Caso Valka: el juez y el fiscal investigan si el urbanismo de la ciudad se gestionaba en la casa del jubilado Setién

El Juzgado de Instrucción número 2 de Las Palmas de Gran Canaria, ha ordenado una exhaustiva recopilación de documentación técnica, administrativa y operativa a raíz de la brecha de seguridad que en septiembre de 2024 comprometió sistemas informáticos de la empresa pública Geursa y, por conexión, del área de Urbanismo del Ayuntamiento de Las Palmas de Gran Canaria en el marco del Caso Valka. Todo ello, presuntamente, ocurrió por orden de la que era su máxima responsable, la investigada Marina Mas. En síntesis, la instrucción de esta causa busca confirmar si la información en poder de Geursa —el corazón urbanístico de Las Palmas de Gran Canaria— llegó a latir fuera de su lugar natural, en el domicilio particular del que fuera su máximo responsable y ahora jubilado, José Manuel Setién.

La decisión del juez da respuesta a la petición del fiscal Anticorrupción, Javier Ródenas, que considera imprescindible acceder a esta información para valorar el alcance real del incidente y determinar eventuales responsabilidades.

El punto de partida de la investigación es el uso de un ordenador portátil de Geursa —configurado con acceso remoto mediante VPN— que fue empleado desde el domicilio particular de la que fuera gerente de esta sociedad Marina Mas, con el objetivo de consultar expedientes internos del Ayuntamiento capitalino sin constar, por el momento, las garantías técnicas y jurídicas que habilitaron ese acceso.

Según describe el fiscal en su solicitud, lo que se pretende es «la práctica de las siguientes diligencias» para obtener una visión completa del incidente: desde las evaluaciones internas de ciberseguridad realizadas por Geursa y el Ayuntamiento, hasta los protocolos de respuesta aplicados y la comunicación a los ciudadanos cuyos datos podrían haber quedado expuestos.

La finalidad última de esta documentación es permitir la elaboración de un informe pericial independiente que establezca si se cumplieron las obligaciones legales en materia de protección de datos, acceso remoto seguro y supervisión interna. Por ello, el fiscal pide expresamente que se recabe toda la información técnica y organizativa necesaria para «determinar si Geursa y/o el Ayuntamiento de Las Palmas de Gran Canaria cumplieron con sus obligaciones derivadas del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) en relación con la brecha de seguridad».

En su solicitud, el Ministerio Público argumenta que es imprescindible que se valore «la adecuación y eficacia de las medidas de seguridad técnicas y organizativas implementadas para proteger el acceso VPN, la gestión de credenciales (especialmente de usuarios privilegiados como la Gerente), y la seguridad de las aplicaciones de gestión de expedientes urbanísticos». También que se analice «la correcta gestión de la brecha una vez detectada, incluyendo la observancia de los plazos y requisitos para la notificación a la propia AEPD (Art. 33 RGPD) y, en su caso, la comunicación a los interesados afectados (Art. 34 RGPD), así como la idoneidad y celeridad de las medidas correctivas aplicadas».

El juez ha accedido íntegramente a esta petición, considerando que «las diligencias interesadas en este caso guardan relación directa con los hechos objeto del procedimiento y resultan pertinentes para el esclarecimiento de los mismos», añadiendo que no son «manifiestamente inútiles ni dilatorias, cumpliendo así los criterios de legalidad y proporcionalidad exigidos jurisprudencialmente». En consecuencia, «procede acceder a lo interesado por el Ministerio Fiscal».

La resolución judicial fija el 15 de octubre como fecha límite para que Geursa y el Ayuntamiento entreguen la documentación requerida. Entre otros elementos, se solicita «informe(s) completo(s) de la Evaluación de Impacto y del Riesgo (EIPD) y/o de la evaluación interna de la brecha de seguridad», así como «actas, informes, comunicaciones o cualquier otra documentación interna que refleje las decisiones, análisis, medidas adoptadas, equipos de trabajo constituidos […] y la cronología de las actuaciones llevadas a cabo».

El juez también ordena solicitar a la Agencia Española de Protección de Datos un informe técnico que valore si el incidente constituye una violación de seguridad conforme al RGPD y qué consecuencias ha tenido sobre los derechos de los ciudadanos. Esta evaluación, señala el fiscal, debe incluir «una valoración del riesgo real para los derechos y libertades de las personas físicas afectadas (ciudadanos y/o empleados), así como para la confidencialidad de la información gestionada en los expedientes urbanísticos».

Además, se requiere la certificación de la situación laboral y competencias de varios extrabajadores en el momento de los hechos, como es el también investigado José Manuel Setién y Luis Pérez Cañón, incluyendo fechas de ceses, cargos ocupados y funciones asumidas, como parte del esclarecimiento de las atribuciones y decisiones técnicas tomadas en ese periodo.

Con estas diligencias, el Ministerio Fiscal y la autoridad judicial pretenden sentar las bases para analizar en detalle si el acceso remoto fue debidamente autorizado, si se cumplió el marco normativo y si existieron fallos de control interno que permitieron la vulneración de sistemas sensibles sin una trazabilidad adecuada.

Temas

• Caso Valka