El Consejo de Transparencia y Protección de Datos de Andalucía ha señalado que, a raíz del ciberataque sufrido la pasada semana, se ha dirigido al Ayuntamiento de Jerez para recordarle que es la autoridad a la que debe notificar la posible violación de seguridad de datos personales. En una nota, ha recordado que el consejo, conforme a la Ley de Transparencia Pública de Andalucía, es la autoridad pública independiente de control en materia de protección de datos en la Comunidad Autónoma, habiendo asumido dicha competencia el pasado 1 de octubre.

En consecuencia, según señala, es el órgano supervisor de la aplicación del Reglamento General de Protección de Datos, que tiene por objeto la protección de los derechos y libertades fundamentales de las personas físicas en lo que respecta al tratamiento de los datos personales.

En el articulado del citado reglamento se establece que, en caso de producirse una violación de la seguridad de los datos personales, debe notificarse la misma a la autoridad competente dentro de un plazo de 72 horas después de que el responsable del tratamiento haya tenido constancia de ella. A estos efectos, el Consejo dispone en su web (www.ctpdandalucia.es) de un formulario para facilitar la realización de esta notificación a los responsables, ha indicado. No obstante, el gobierno local asegura desde la pasada semana que ni se ha producido robo ni fuga de datos. 

Horas más tarde, el gobierno local aseguraba que ha comunicado el ‘hackeo’ a este órgano e incidió en que el CNI ha certificado que “no se había producido fuga de datos en la red municipal y que la información había estado en todo momento segura y protegida”.

Mientras tanto, el Consejo de Transparencia recordó al Ayuntamiento la obligatoria comunicación a la autoridad de control de la designación del Delegado de Protección de Datos y la difusión pública de sus datos de contacto.

Asimismo, ha comunicado al Ayuntamiento que tanto el incumplimiento del deber de notificación a la autoridad de control como la falta de comunicación a la misma del nombramiento del Delegado de Protección de Datos son "infracciones" previstas en la Ley Orgánica de Protección de Datos Personales que están sujetas al régimen sancionador establecido al respecto.

Finalmente, ha trasladado al Ayuntamiento su "total disposición para aclarar cualquier aspecto relacionado con la notificación de la violación de seguridad y, en general, con el cumplimiento de la normativa reguladora de la protección de datos personales".