Enviament massiu de ‘spam’ unionista des de l’Ajuntament de Barcelona

Enviats abans del 21-D, els correus podrien haver infringit la Llei de Protecció de Dades i provenien d'una web validada a través de la xarxa WiFi del consistori. Una "errada tècnica" impedeix identificar-ne el responsable

El desembre del passat 2017, en plena campanya electoral per a les eleccions autonòmiques del 21-D, convocades pel govern espanyol després de suspendre l’autonomia catalana amb l’aplicació de l’article 155 de la Constitució Espanyola, milers de persones van rebre un correu electrònic que es titulava “Et necessitem per a vèncer l’independentisme” i on s’animava als receptors a votar Ciutadans “per fer presidenta Inés Arrimadas”. Els correus, enviats des de les adreces info@democraciaciudadana.org i democraciaciudadanacat@gmail.com, van provocar la indignació de molts dels qui el van rebre, entre els quals hi havia l’actual presidenta de l’Assemblea Nacional Catalana, Elisenda Paluzie, que va denunciar els fets a les xarxes i va animar els altres afectats a denunciar els fets a l’Autoritat Catalana de Protecció de Dades alhora que es preguntava si els fets podien haver infringit no només la Llei Orgànica de Protecció de Dades sinó, també, la normativa electoral.

 

Text complet del correu electrònic enviat massivament abans del 21-D

Text complet del correu electrònic enviat massivament abans del 21-D | Twitter

 

 

L’enviament dels correus va tenir lloc entre els dies 17 i 20 de desembre, durant la jornada de reflexió. L’origen de les dades emprades era incert i, com que molts dels qui els van rebre es van sentir molestos per l’ús no autoritzat que s’havia fet de les seves adreces de correu electrònic, l’Autoritat Catalana de Protecció de Dades va rebre aproximadament 500 denúncies. Segons es va poder saber en aquell moment, el domini democraciaciudadana.org havia estat registrat a nom de “Carla Puigde”, probablement fent befa del president de la Generalitat, Carles Puigdemont, que en aquell moment es trobava exiliat a Brussel·les. L’Agència Espanyola de Protecció de Dades també va rebre denúncies en el mateix sentit i va iniciar una investigació que ara ha arxivat, traslladant la responsabilitat de continuar-la a l’ens català competent.

 

El document de l’agència espanyola, a què ha pogut tenir accés El Món, ha posat al descobert un indici sorprenent de l’origen dels correus electrònics. Durant les seves actuacions, es va esbrinar quina adreça IP havia fet servir “Carla Puigde” per registrar el domini de la pàgina web democraciaciudadana.org, actualment inaccessible. D’aquesta cerca en va sortir que l’adreça corresponia a l’Institut Municipal d’Informàtica de l’Ajuntament de Barcelona. En concret, pertanyia al router de sortida que fan servir els treballadors del consistori per connectar-se a internet amb els seus telèfons mòbils a través de la xarxa WiFi. Fent servir sempre un nom d’usuari i una contrasenya personals, a aquesta xarxa només hi poden accedir els funcionaris, càrrecs de confiança i regidors de l’Ajuntament. Els tècnics municipals fan servir una altra xarxa mentre que, en el cas dels visitants i convidats, encara n’hi ha una tercera.

L’Agència Espanyola de Protecció de Dades es va posar en contacte amb l’Institut Municipal d’Informàtica per identificar la persona que estava fent servir aquella adreça IP en el moment de la validació del domini. Malauradament, i al·legant el volum de tràfic i una incidència tècnica, l’IMI no va poder donar a l’AEPD la informació requerida, per la qual cosa va obrir una incidència de seguretat i va anunciar que miraria de recuperar les dades que els havien estat demanades. Aquesta és la mateixa resposta que, el passat 11 de juliol, va donar el gerent de l’IMI, Francisco Rodríguez, que va ser preguntat pel regidor Jordi Martí del Grup Demòcrata a la Comissió de Presidència, Drets de Ciutadania, Participació i Segureta i Prevenció de l’ajuntament de la capital catalana, amb la intenció de conèixer si hi havia novetats i exigint que s’arribés al final tant amb la investigació com amb les responsabilitats penals que se’n puguin derivar.

 

Segons el Reglament Europeu de Protecció de Dades, el responsable i encarregat dels serveis d’aquest tipus tenen l’obligació de comptar amb les mesures tècniques i organitzatives adients per garantir un nivell de seguretat adequat al risc, tenint en compte les possibilitats tècniques, els costos d’implementació i la natura, l’abast, el context i la finalitat d’aquest tractament de dades, a més dels riscos de probabilitat i de gravetat per als drets i les llibertats de les persones. La Llei Orgànica de Protecció de Dades espanyola, per la seva banda, recull l’obligació de registrar les incidències que afectin a les dades de caràcter personal i informar de les mesures correctores que es prenguin, com és el cas de l’IMI davant la impossibilitat de recuperar el registre de connexió d’aquella adreça IP en la franja temporal que els havia estat demanada i que és de 27 minuts.

 

A la mateixa resolució, l’Agència Espanyola de Protecció de Dades va arxivar una denúncia semblant per correus electrònics animant al vot a partits independentistes i que van ser enviats massivament des del domini democracia21d.cat. En aquest altre cas, però, l’AEPD determina que, tot i que ha pogut comprovar que l’adreça es va registrar des de la xarxa WiFi de la seu central d’Esquerra Republicana de Catalunya. Aquesta xarxa, pero, a diferència de la de l’Ajuntament de Barcelona, és d’accés lliure per a “les persones convidades i alienes a l’organització”, entre els quals “periodistes de tots els mitjans, professionals externs, proveïdors de serveis i persones visitants,així com estudiants universitaris i membres d’altres organitzacions polítiques, sindicals o d’àmbit social”, per la qual cosa preval la presumpció d’innocència i es determina la impossibilitat d’identificar el responsable del registre de la pàgina.

Nou comentari