La Autoritat Catalana de Protecció de Dades (APDCAT) ha iniciado un procedimiento sancionador contra Transports Metropolitans de Barcelona (TMB) tras la detección de una brecha que dejó al descubierto información personal sensible de trabajadores en la intranet de la compañía. Este incidente, que tuvo lugar entre 2022 y 2025, podría desembocar en una multa de hasta 15 millones de euros si finalmente se constata una vulneración grave de las normativas de protección de datos.
Según los primeros informes, una carpeta con datos relativos a expedientes laborales permaneció accesible en la red interna sin la debida protección. La información afectada incluía detalles delicados como sanciones disciplinarias, historiales médicos, bajas laborales, registros de reuniones privadas y sesiones con servicios de apoyo psicológico, que en condiciones normales solo deberían estar al alcance de personal autorizado.
La exposición de estos datos fue descubierta por empleados, quienes alertaron a la APDCAT y a representantes sindicales, desencadenando la apertura de la investigación oficial.
Impacto y consecuencias
El caso ha generado inquietud entre representantes de los trabajadores y ha puesto en primer plano la gestión interna de la seguridad de la información en una de las mayores empresas públicas de movilidad de España. En respuesta, TMB ha reconocido el error y asegura haber adoptado medidas correctivas para reforzar su política de protección de datos.
Entre las acciones implementadas, figura el cierre inmediato de la carpeta afectada, la modificación de permisos de acceso y la revisión de los procesos de creación de grupos y repositorios internos para garantizar que, por defecto, sean privados y solo accesibles para quienes realmente lo requieran.
Reacción de la empresa
Desde TMB han subrayado que, tras detectar la brecha, actuaron rápidamente para cerrarla, comunicaron el incidente a las autoridades competentes y notificaron a las personas afectadas. Asimismo, han señalado que las correcciones aplicadas reflejan un avance considerable en sus mecanismos de protección de datos.
No obstante, el proceso sancionador sigue vigente y la entidad aún debe presentar sus alegaciones ante la APDCAT, que será quien decida si procede imponer la multa y en qué cuantía definitiva.
Un ejemplo de la importancia de la privacidad
Este caso pone de manifiesto los riesgos que pueden surgir cuando organizaciones, incluso grandes operadores públicos, no aplican controles estrictos sobre datos personales. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) imponen obligaciones estrictas sobre cómo se deben tratar y resguardar los datos sensibles, especialmente en entornos laborales.
Las sanciones por vulneraciones de este tipo sirven, entre otros objetivos, para reforzar la cultura de la privacidad y la necesidad de que todas las entidades, públicas o privadas, establezcan medidas técnicas y organizativas que prevengan accesos no autorizados y protejan adecuadamente la información de las personas.
