Caminante no hay camino, se hace brecha al andar. A cargo de Iciar López-Vidriero Tejedor.

AD 125/2020

Caminante no hay camino, se hace brecha al andar.

RESUMEN

El presente artículo hace una reflexión y estudio acerca de las brechas de seguridad que se han ido comunicando a la Agencia Española de Protección de datos desde el año 2018, así como los informes de datos acerca de brechas de seguridad que la AEPD ha ido elaborando durante desde la entrada en aplicación del Reglamento Europeo de Protección de Datos

Se han elaborado cuadros comparativos y cuadros resumen con los datos que la AEPD arroja a través de los diferentes informes que publica mensualmente para que el lector pueda tener de una forma sencilla la información más relevante, así como un análisis de los datos arrojados en 2018, 2019 y 2020

SUMMARY

This article reflects on and studies the security breaches that have been reported to the Spanish Data Protection Agency since 2018, as well as the data reports on security breaches that the AEPD has been preparing since the entry into force of the European Data Protection Regulation

Comparative tables and summary tables have been prepared with the data that the AEPD provides through the different reports that it publishes monthly so that the reader can easily have the most relevant information, as well as an analysis of the data provided in 2018, 2019 and 2020.

PALABRAS CLAVE

Brecha – AEPD – DPO – DPD – privacidad – GDPR – RGPD – auditoria – SGID – incidencia – notificación – confidencialidad – integridad- disponibilidad – proactividad – accountability

KEY WORDS

DataBreach – – audit – DPO –  AEPD – privacy – GDPR – RGPD – SGID – incidence – notification – confidentiality – integrity – availability- proactivity- accountability

Será por el calor o por los interminables meses de trabajo que están sobre los hombros de todos los españoles tras esta pandemia y sus efectos colaterales, ya sea en plano laboral como familiar, el caso es que me propusieron amablemente volver a participar como colaboradora en la redacción de un artículo para Adefinitivas y llega agosto y hay que tenerlo, así que si bien la idea ya estaba fraguada, el título intenta ser sólo un enunciado del estudio y reflexión que planteo a través de este artículo y que su idea nació hace ya dos meses cuando Carlos Otto me invitó a comentar acerca de cómo veía la colaboración de las empresas a la hora de comunicar las brechas de seguridad.

Pues bien, este artículo hace una reflexión y estudio acerca de las brechas de seguridad que se han ido comunicando a la Agencia Española de Protección de datos desde el año 2018, así como los informes de datos acerca de brechas de seguridad que la AEPD ha ido elaborando durante estos 2 años, elaborando pequeños cuadros informativos, así como un análisis de los datos arrojados en 2018, 2019 y 2020.

En 2018  la Agencia Española comenzaba con esta labor de publicar informes bastante detallados acerca de las brechas de seguridad que habían sido comunicadas, comenzando su andadura por un informe  que comprendía todas las notificaciones de brechas de seguridad efectuadas en 2018 desde la entrada en aplicación del Reglamento Europeo de Protección de Datos, en mayo de 2018, incluyendo datos estadísticos de tipos de notificaciones, forma de notificación, si habían sido resueltas, medios de materialización y detalles de categorías especiales de datos, entre otra información. De este informe cabe resaltar el apartado de notificaciones por Comunidades Autónomas que arroja unos datos interesantes, puesto que indica que ni Ceuta ni Melilla han comunicado brecha de seguridad alguna y que Baleares, Cantabria, Rioja, Navarra y Extremadura apenas llegan al 0,8% en los datos estadísticos respecto a las comunicaciones globales de notificaciones de brechas desde mayo de 2018 hasta enero de 2019.

Si bien la Agencia decidió aportar datos estadísticos, yo he hecho la reconversión para tener unas cifras que se puedan comparar entre los distintos años, debiendo tener en cuenta que en 2018 se llevaron a cabo un total de 547 notificaciones de brechas de seguridad en apenas 7 meses.

Es por ello que se puede decir que en el 2018 el gran ruido que se hizo con la entrada en aplicación del RGPD, hizo que los responsables del tratamiento aplicaran su responsabilidad proactiva y comunicaran las brechas de seguridad, si bien pasada esta primera toma de contacto, los informes de la AEPD han arrojado otros datos desveladores que hacen que la que suscribe el presente artículo también haga una reflexión al final del artículo.

En 2019 se varió la forma de elaborar los informes de brechas de seguridad y, en este sentido se comenzó a elaborar un informe mensual, eliminando el aspecto visual en forma de estadísticas y facilitando cuadros con datos exactos que arrojan mucha más luz y nos hacen ver la realidad de las notificaciones efectuadas. En este sentido, traigo dos cuadros interesantes, el resumen de diciembre de 2019 donde se ofrece el cuadro de notificaciones realizadas por las diferentes Comunidades Autónomas, donde llama la atención que ni Ceuta ni Melilla comunicaron ni una sola brecha de seguridad en todo 2019, y La Rioja sólo comunicó 5 brechas y Cantabria un total de 8 brechas en todo un año, frente a las 246 de Cataluña y un total de 557 brechas  de la Comunidad de Madrid, es decir, la Comunidad de Madrid comunicó más brechas de seguridad en 2019 que el total de brechas comunicadas en 2018 por todas las comunidades autónomas.

En un segundo cuadro, he querido incluir un cuadro de los datos más relevantes que arrojan las diferentes comunicaciones de brechas de seguridad para luego poder llevar a cabo un cuadro comparativo por años y que cada uno pueda sacar sus propias conclusiones.

Este cuadro ofrece datos muy interesantes, como que la gran mayoría por no decir todas las brechas de seguridad comunicadas proceden del sector privado, así como las comunicaciones que se han tenido que realizar al SGID (Subdirección General de Inspección de Datos) por apreciarse la existencia de riesgo alto para los derechos y libertades de los ciudadanos o por requerir de una investigación adicional para determinar la existencia del riesgo, por tanto estamos hablando que en el 2019 sólo 51 brechas fueron trasladadas al SGID de las 1460 brechas totales, introduciéndose esta novedad a partir del mes de junio de 2019, por lo que muy posiblemente esta vía no estuviera abierta con antelación, ya que desde junio de 2019 siempre se han llevado a cabo investigaciones mensuales por el SGID.

Con respecto al año 2020 la progresión de las notificaciones ha ido incrementando, si bien el estado de alarma que hemos sufrido en España no ha hecho que las mismas incrementaran, por lo que puede ser que esto haya sido debido al colapso de trabajo que han tenido las empresas, dando prioridad a otras actuaciones.

De igual forma y siguiendo la pauta de años precedentes seguimos teniendo una tasa casi cero de comunicaciones de brechas de seguridad en Ceuta y Melilla que por fin estrenaron el procedimiento este pasado mes de junio y, sin embargo La Rioja no ha realizado ninguna comunicación y Cantabria sólo una, por lo que son datos bastante interesantes a tener en cuenta, al igual que el número de comunicaciones realizadas por la Comunidad de Madrid, Cataluña y Comunidad Valenciana que en este caso aumenta su cifra de comunicaciones casi igualándose a Cataluña.

Con respecto a los datos que arrojan las diferentes brechas, he realizado un cuadro donde se recoge la información más relevante y, donde una vez más, podemos apreciar que el traslado de las brechas al SGID pasa a ser un procedimiento más o menos normalizado llevándose a cabo traslados mensuales, frente a la inexistencia de su comunicación con anterioridad al mes de junio de 2019.

Una vez expuestos los cuadros, quiero incluir a continuación un pequeño cuadro comparativo de los meses de enero a junio, tanto del año 2019 como del 2020 para que se pueda apreciar la tendencia que se ha llevado a cabo de un año a otro.  

En este sentido y después de haber aportado los datos reales y las comparativas, pueden asaltar algunas dudas al lector, ¿están siendo los responsables de tratamiento proactivos? ¿Los Delegados de protección de datos cumplen con las premisas de objetivos e independientes? Porque desde luego el Delegado de Protección de Datos ocupa un puesto relevante en la toma de decisiones de comunicaciones de brechas de seguridad pero, si no cumple con las premisas de objetivo e independiente puede que la brecha de seguridad no sea finalmente comunicada y, por tanto, las cifras de brechas de seguridad plasmadas en este artículo no sean tan reales, puesto que la comunicación de una brecha de seguridad pudiere estar afectada por varios aspectos determinantes; desconocimiento de los propios responsables del tratamiento respecto a dicha obligación; que en el caso que existiere la figura del Delegado de Protección de Datos éste no pudiera cumplir con sus funciones de forma independiente y objetiva; que en caso que el Delegado de Protección de Datos cumpliera con sus obligaciones de independencia y objetividad y considerara que se ha producido una brecha de seguridad, el Responsable del Tratamiento finalmente decidiere no proceder a su comunicación; desconocimiento o mal asesoramiento.

Por tanto, habrá que seguir atentos a los informes y datos facilitados por la AEPD. Sin más que desear un descanso merecido.

Iciar López-Vidriero Tejedor

17 de agosto de 2020

---

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero