Saltar al contenido

Entre brechas anda el juego. A cargo de Iciar López-Vidriero.

AD 43/2021

RESUMEN

El presente artículo hace una reflexión y estudio acerca de las brechas de seguridad que se han ido comunicando a la Agencia Española de Protección de datos y los procedimientos de investigación que se han ido abriendo a causa de las mismas, haciendo una reflexión de los distintos finales que pueden dar lugar el principio de accountability de notificación de brechas de seguridad recogido en el artículo 33 del RGPD.  

SUMMARY

This article reflects on and studies the security breaches that have been reported to the Spanish Data Protection Agency and the investigation procedures that have been opened as a result of them, reflecting on the different ends that can give rise to the accountability of compliance with the security breach notification set out in Article 33 of the GDPR. 

PALABRAS CLAVE

Brecha – AEPD – DPO – DPD – privacidad – GDPR – RGPD – auditoria – SGID – incidencia – notificación – confidencialidad – integridad- disponibilidad – proactividad – accountability

KEY WORDS

DataBreach – audit – DPO –  AEPD – privacy – GDPR – RGPD – SGID – incidence – notification – confidentiality – integrity – availability- proactivity- accountability

Durante este mes hemos tenido la oportunidad de ver dos procedimientos de investigación por parte de la AEPD en materia de brechas de seguridad, con finales muy diferentes, así por un lado tenemos el procedimiento de investigación que se abrió a MAPFRE a raíz de la brecha de seguridad que notificó en el mes de agosto de 2020 y, por otro lado, en el mismo mes se ha hecho pública la resolución del procedimiento de investigación abierto a AIR EUROPA a raíz de la brecha de seguridad comunicada en el mes de noviembre de 2018. Así como para comenzar los entremeses, llama especialmente la atención que en el mismo mes de marzo de 2021 se hagan públicas resoluciones de brechas de seguridad notificadas con un margen de 2 años, con lo cual aquí empieza una pequeña historia de cómo se inicia la herida y acaba convirtiéndose en brecha.

Pues bien, con este artículo pretendo acercar a los lectores los artículos 33 y 34 del RGPD acerca de brechas de seguridad, así como el giro de 180º que ha llevado a cabo la AEPD respecto a sus resoluciones en materia de brechas de seguridad y, recordar cómo se encuentra el “pequeño diario de brechas”, es decir, qué brechas se están notificando y como van las estadísticas desde que publiqué mi último estudio acerca de brechas de seguridad en el mes de julio del año pasado https://adefinitivas.com/arbol-del-derecho/brechas-de-seguridad/ . Por tanto, en este artículo voy a tocar varios frentes, a saber:

  • El giro de 180º de la AEPD respecto a los procedimientos abiertos en materia de brechas de seguridad.
  • Los distintos finales que la AEPD le ha dado a esta versión del cuento.
  • El balance de las comunicaciones de brechas de seguridad que se han llevado a cabo desde julio de 2020 que es cuando presenté el último estudio.

El giro de 180º de la AEPD respecto a los procedimientos abiertos en materia de brechas de seguridad.

Este artículo ha nacido de la curiosidad que me ha suscitado ver dos procedimientos con finales bien distintos en materia de brechas de seguridad y en un mismo mes. Así comenzábamos el mes de marzo (12 de marzo) con la publicación del archivo de expediente de MAPFRE E709159/2020 (https://www.aepd.es/es/documento/e-09159-2020.pdf ) y, seis días después, el 18 de marzo, la publicación del procedimiento sancionador a AIR EUROPA PS/00179/2020 (https://www.aepd.es/es/documento/ps-00179-2020.pdf ), en ambos casos se habían abierto actuaciones de investigación por parte de la AEPD tras la recepción de sendas notificaciones de brechas de seguridad realizadas por MAPFRE y por AIR EUROPA, con lo cual y visto lo acontecido me puse a “arrebuscar en el baúl de los recuerdos” para ver como se había pronunciado en otras ocasiones la AEPD respecto a las brechas de seguridad, y he aquí los datos que os traslado:

  • En total se han abierto 48 procedimientos de investigación desde la entrada en aplicación del RGPD, 25 mayo de 2018,  a raíz de las comunicaciones de brechas de seguridad.
  • De los 48 procedimientos de investigación sólo 6 han tenido un final amargo, acabando en procedimiento sancionador, si bien de esos 6 responsables del tratamientos salen estos finalistas:
    • 2 responsables han sido finalmente sancionados económicamente, uno fue SAUNIER TEC, la sanción se quedó en 3600€ por pronto pago y reconocimiento de responsabilidad y, por otro lado tendríamos la reciente sanción impuesta a AIR EUROPA con imposición de multa de 600.000€ (500.000€ por infracción del art. 32 RGPD y 100.000€ por infracción del artículo 33 RGPD).
    • De los otros tres responsables investigados, quedaron finalmente apercibidos, debiendo tener en cuenta que sólo uno de ellos era un Ayuntamiento, por lo que se puede decir que a veces, no pasa nada por comunicar la brecha de seguridad.
    • El último responsable del tratamiento al que se le han abierto investigaciones tras su comunicación de brecha de seguridad, ha sido LA CAIXA, si bien acabó en un Archivo del procedimiento.

De igual forma, no nos debemos olvidar que cuando una brecha de seguridad pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá comunicar al interesado la misma sin dilación indebida (art. 34 RGPD), debiendo destacar, en este sentido que sólo 29 brechas de seguridad con alto riesgo para los derechos y libertades de los afectados, han sido finalmente investigadas, de las cuales todas han acabado en archivo de actuaciones, a excepción de la de SAUNIER TEC, debiendo destacar de igual forma el procedimiento abierto a la Secretaría General para la Innovación y Calidad del Servicio Público de Justicia que si bien fue apercibida al ser entidad comprendida dentro del artículo 77 de la LO 3/2018, está claro que de haber sido entidad privada le hubiera caído una buena sanción, puesto que la brecha se origina tras tener conocimiento la Secretaría a través de un correo electrónico por parte de un ciudadano de una notificación de concesión de la nacionalidad española correspondiente a otra persona, detectándose finalmente hasta 36 personas más afectadas, no siendo ésta la primera vez que sucedía un error de ese calibre, ya que de las investigaciones se detecta que la última vez la brecha había afectado a un total de 81 personas a las cuales se les notificaron concesiones de nacionalidad incorrecta, por lo que el alto riesgo aquí es totalmente manifiesto, si bien la  Secretaría General para la Innovación y Calidad del Servicio Público de Justicia  nunca notificó a los afectados la brecha y, por tanto, además de las infracciones por medidas técnicas, también fue sancionada con apercibimiento por la AEPD por incumplimiento del artículo 34 RGPD.

Por tanto, a día de hoy podemos decir que de los 48 procedimientos abiertos tras la comunicación de la brecha de seguridad, tan sólo un 12,5% se les ha abierto procedimiento sancionador, quedando una estadística de menos del 5% de procedimientos que finalmente se les han impuesto sanción económica, si bien el giro que está dando la AEPD es de 180º ya que tiene pinta que la tendencia de la AEPD es la de imponer duras sanciones económicas, al igual que ya ha hecho con LA CAIXA, BBVA y VODAFONE y, ahora le toca a AIR EUROPA. En este caso, llama especialmente la atención que si bien no estamos hablando de los recientes 8 millones que le han caído a VODAFONE por incumplimiento de los artículos 24 y 44 del RGPD, 21 de la LSSICE y 48 de la LGT. En el caso de AIR EUROPA la sanción de 600.000€, viene impuesta por incumplimiento de medidas técnicas (500.000€) y por no comunicar la brecha de seguridad sin dilación (100.000€), lo cual llama especialmente la atención porque  la brecha se produjo unos días antes de la entrada en aplicación del RGPD y, si bien se demoraron varios día en su notificación, finalmente se comunicó la misma, por lo que puede que nos tengamos que poner a temblar porque está claro que la AEPD no tiene pensado dejar títere con cabeza y, por tanto, a la hora de llevar a cabo las mediciones del riesgo los distintos responsables del tratamiento, deberán atender a  este nuevo giro de la AEPD que va a hacer que se eleve exponencialmente el riesgo que tuvieren medido y el impacto, ya que cada vez se están haciendo más eco los medios de las distintas sanciones impuestas por la AEPD.  

Ya metidos el tema y como de brechas va el juego, aprovecho para aportar la publicación que hace escasos días la autoridad francesa de protección de datos, la CNIL, ha hecho pública en su página web tras el incendio de OHV, donde exponen los casos en los que no es necesario comunicar la brecha de seguridad a la CNIL:

  • Si la aplicación de un plan de recuperación de catástrofes (DRP) o un plan de continuidad de la actividad (BCP) ha garantizado la continuidad del servicio
  • Ssi los datos se han restaurado a partir de las copias de seguridad, sin consecuencias significativas para las personas (por ejemplo, las consecuencias se limitan a la imposibilidad de realizar un pedido durante unas horas).

Los distintos finales que la AEPD le ha dado a esta versión del cuento “LA BRECHA”

Como ya he dejado caer anteriormente a la vista de las estadísticas que he sacado, la AEPD le da varios finales al Cuento de la brecha y, aunque siempre nos hemos creído que el tema de las sanciones era como el cuento de “Pedro y el Lobo”, se puede decir que actualmente ya estamos en el final del libro cuando después de que Pedro hiciera creer que iba a venir el lobo, finalmente este llegó, como está haciendo la AEPD que finalmente ha llegado para imponer sanciones astronómicas.

Os dejo aquí los distintos finales alcanzados por la AEPD:

  • Llegó el lobo y se zampó a todos los corderos. Esta versión es la que más cuadra con el procedimiento abierto a AIR EUROPA que finalmente acaba con 600.000€ de sanción.
  • Que viene el lobo pero nunca llega. Resulta curioso e inquietante que en España se decidiera incorporar a través del art. 77 de la LO 3/2018 un régimen distinto a ciertos responsables y encargados de tratamientos por los cuales estos no pueden ser sancionados económicamente y por tanto sólo pueden ser apercibidos, con lo cual se puede decir que estos responsables y encargados siempre podrán vivir del cuento porque las consecuencias no parece que sean muy disuasorias. (ver procedimiento abierto a la Secretaría General para la Innovación y Calidad del Servicio Público de Justicia https://www.aepd.es/es/documento/ps-00187-2020.pdf )
  • 5 lobitos tenía la loba. Sinceramente en este caso me había quedado ya sin título pero como me recuerda la canción que tras la misma los niños se quedan tan tranquilos y sonrientes, pues podemos decir que en esta tercera versión del cuento es cuando uno tras hacer sus deberes y cumplir con el artículo 33 RGPD, acaba el cuento con final feliz y un archivo de actuaciones donde a lo mejor además se le reconoce su buen hacer, ej. MAPFRE.

El balance de las comunicaciones de brechas de seguridad que se han llevado a cabo desde julio de 2020 que es cuando presenté el último estudio.

Incluyo a continuación tablas de la progresión de comunicaciones de brechas de seguridad desde el 2019 a fecha de hoy, donde podemos ver que la tendencia es “a la baja” ya que el número de notificaciones cayeron en el año 2020 respecto al 2019 y, en 2021 el canal de comunicación de brechas de la AEPD debió de quedarse congelado por Filomena porque desde luego la tendencia sigue cayendo, con lo que esto añadido a que la AEPD se está poniendo seria y su tendencia es la de abrir investigaciones e imponer sanciones económicas cuando éstas se comunican, hace que esto vaticine una “crónica de una muerte anunciada del canal de comunión de brechas de seguridad” pero no seamos negativos y habrá que esperarse a ver en los siguientes meses si se producen cambios al respecto.

De momento os dejo las tablas con los números que hablan por sí solos

Como reflexión final, atendiendo a las cifras y resoluciones, a fecha de hoy, no se puede afirmar qué hace más daño, si notificar la brecha o no notificarla, por lo que habrá que estar atentos a las resoluciones que se vayan publicando y datos sobre notificaciones, donde sin duda uno de los riesgos a tener en cuenta por los responsables será el de notificación de la brecha ante la autoridad de control, donde tendrán un debate interesante entre la probabilidad y el impacto, porque a tenor de lo expuesto, ya no es tan sencillo tomar la decisión acertada.

Iciar López-Vidriero Tejedor

30 de marzo de 2021


BREVE CURRICULAR

Iciar López-Vidriero Tejedor es abogada colegiada del ICAM. Lead Auditor 27001. Delegada de Protección de Datos. Miembro de la APEP y perteneciente a su claustro de profesores. Quartermaster en España de la EADPP – European Association of Data Protection Professionals. Auditora en Entornos Tecnológicos (AAULETEC). Con más de 17 años de experiencia en el sector, asesorando empresas a nivel nacional, europeo e internacional. Evaluadora y creadora de los contenidos del examen de certificación de Delegado de Protección de Datos de una de las entidades acreditadas para su certificación. Formadora en diferentes cursos para la obtención de la certificación de delegado de protección de datos según el esquema de la Agencia Española de Protección de Datos y en titulaciones universitarias relacionadas con la tecnología y el derecho, entre otras Universidad Carlos III y Universidad Internacional de Andalucía.

Redes sociales

Twitter:  @ICIARLVT

Linkedin: Iciar López-Vidriero

En Madrid a 26 de marzo de 2021

Deja un comentario

A %d blogueros les gusta esto: