AD 141/2020
RESUMEN: El objetivo de este trabajo es servir de herramienta útil para facilitar la interpretación de la normativa de protección de datos en lo relativo a la gestión y obligación de notificar las brechas de seguridad a la autoridad de control y, en su caso, a los interesados mediante unos consejos y pautas orientativas.
ABSTRACT: The objective of this work is to serve as a useful tool to facilitate the interpretation of data protection regulations with regard to the management and obligation to notify security breaches to the control authority and, where appropriate, to the interested parties by means of advice and guidance.
PALABRAS CLAVE: protección de datos, brechas de seguridad, RGPD, riesgos, derechos y libertades de los interesados.
KEYWORDS: data protection, data breaches, GDPR, risks, rights and freedoms of data subjects.
ÍNDICE. 1. LA SEGURIDAD DE DATOS PERSONALES ESTABLECIDA EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. 2. LA GESTIÓN DE INCIDENTES DE SEGURIDAD: VALORACIÓN DE LAS BRECHAS DE SEGURIDAD. 3. CONCLUSIONES. 4. BIBLIOGRAFÍA.
1. LA SEGURIDAD DE LOS DATOS ESTABLECIDA EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE LOS DATOS
En España el derecho fundamental a la protección de datos encuentra sus cimientos en el artículo 18.4 de la Constitución donde ya nuestra carta magna alertaba de los usos de la informática. Un derecho que ha ido configurándose como hoy lo conocemos a través de diversos pronunciamientos judiciales y que ha tomado especial importancia con el incremento exponencial de las nuevas tecnologías y el desarrollo de la Sociedad de la Información. Destacando la aprobación del Reglamento General de Datos Personales (RGPD) donde entre otros fines, ha tratado de armonizar en la Unión Europea la protección de datos personales de los ciudadanos y residentes de los Estados Miembros.
El RGPD deja claro en su propio título que el ámbito de protección de este cuerpo legal es siempre la persona física. Se impone una obligación genérica de transparencia y responsabilidad proactiva en el tratamiento de datos personales, y en particular, nos detendremos en aquellas exigencias relativas a la seguridad del tratamiento que obliga a la organización a adoptar medidas técnicas y organizativas adecuadas a la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos para los derechos de las personas, garantizando la confidencialidad, integridad y disponibilidad de la información personal de estas.
Estas medidas deberán ser suficientes para evitar o mitigar el impacto en caso de que se produzcan brechas de seguridad de los datos, ya que la empresa deberá notificar la brecha sin dilación indebida, y como máximo en 72 horas desde que se tiene conocimiento de la misma a la autoridad competente, y a los afectados, en caso de que sea probable que entrañe alto riesgo para los derechos y libertades de las personas.
Aunque todas las brechas de seguridad son incidentes de seguridad de la información, no todo incidente de seguridad es necesariamente una brecha de datos personales. Una brecha de seguridad podría tener efectos adversos considerables en los titulares de los datos y ocasionarles daños y perjuicios, tangibles e intangibles como la pérdida de control sobre su información personal, la restricción de derechos, usurpación de identidad o fraude, problemas de discriminación, pérdidas financieras o daños materiales, daño para la imagen o reputación, etc.
Por tanto, ¿qué se entiende por brecha de seguridad de los datos personales? todo incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales tratados o la comunicación o acceso no autorizados a dichos datos[1]. Aunque algunas organizaciones ya cuentan con medidas de seguridad reforzadas como el cifrado que ofrecen más posibilidades de prevenir brechas de seguridad, este tipo de incidentes sigue siendo un problema creciente y, lamentablemente, muy habitual en la actualidad.
Una brecha de seguridad puede afectar a tres dimensiones, a la confidencialidad, la integridad y la disponibilidad, de forma individual o todas al mismo tiempo, así como la combinación de estas. Si bien, mientras que una violación de la confidencialidad o integridad puede resultar relativamente obvia (acceso no autorizado o accidental; alteración no autorizada o accidental respectivamente), no es tan sencillo determinar una violación de la disponibilidad, que será preciso notificar solo cuando se haya producido una pérdida o destrucción permanente de los datos personales, por ejemplo, cuando los datos se hayan borrado accidentalmente o por una persona no autorizada o cuando los datos se encuentren cifrados de forma segura y se haya perdido la clave de descifrado. En todo caso, habrá que evaluar caso por caso.
Hasta la aplicación del RGPD, la obligación de notificar brechas de seguridad a la Autoridad de Control se reducía únicamente a operadores de servicios de comunicaciones electrónicas[2] y prestadores de servicios de confianza[3]. Ahora, es una obligación para las organizaciones, una parte de un todo en la gestión de la seguridad de la información, aplicable a cualquier responsable del tratamiento de datos personales. Sin embargo, no se trata de una simple comunicación a la Autoridad de Control, ya que representa el último paso de un proceso que se debe haber iniciado con una correcta adecuación técnica al RGPD, es decir, la normativa exige además de un cumplimiento legal, una adecuación técnica que sólo se puede abordar contando con especialistas en seguridad[4].
Ojo, aunque la organización como responsable del tratamiento tiene la responsabilidad general de la protección de los datos personales, el prestador de servicios o encargado del tratamiento desempeña un papel importante para que el responsable del tratamiento pueda cumplir sus obligaciones en protección de datos, entre las que se incluye la notificación de las brechas de seguridad.
En strictu sensu, cada brecha de seguridad individual es un incidente que debe ser notificado, hay que tener en cuenta que la notificación podría no realizarse cuando, una vez evaluada la brecha, se determine que es improbable que la misma constituya un riesgo para los derechos y libertades de las personas físicas.
En caso de que debiendo hacerlo, el responsable del tratamiento no notificara a la AEPD y, en su caso, a los interesados, la empresa se podría enfrentar a una multa administrativa[5], junto con una medida correctiva en su caso, que puede ser de 10 millones de euros como máximo o de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global (artículo 83, apartado 4, letra a), del RGPD). El hecho de no notificar una brecha puede denotar la ausencia de medidas de seguridad, y por eso, las autoridades de control podrían también imponer sanciones junto con la infracción por no notificar la brecha de seguridad, otra sanción añadida por la ausencia de medidas de seguridad “adecuadas”, ya que se trata de dos infracciones diferenciadas[6].
En cifras, según las estadísticas ofrecidas por la AEPD en su Memoria de 2019[7], en España se notificaron 1.459 brechas de seguridad, de las cuales 498 incluyen notificaciones a los interesados, con un total de 14 resoluciones de requerimiento de notificación a los interesados emitidas por la AEPD. En particular, las notificaciones de brechas de seguridad trasladadas a inspección han crecido de las 16 de 2018 a las 79 de 2019, lo que supone un incremento de casi un 400%.
2. LA GESTIÓN DE INCIDENTES DE SEGURIDAD: VALORACIÓN DE LAS BRECHAS DE SEGURIDAD.
Una vez detectado el incidente de seguridad se deberá proceder a su análisis donde se pueda recabar la información y clasificar el incidente con mayor conocimiento y precisión[8]. Es de vital importancia que la organización esté concienciada y haya recibido formación en la materia a la hora de detectar e identificar una brecha de seguridad, sobre todo los empleados con acceso a datos, son clave fundamental para garantizar la seguridad de los tratamientos y en concreto, la gestión eficaz de las brechas de seguridad[9].
Para valorar si el incidente de seguridad es o no una brecha de seguridad, así como su alcance, la empresa debe determinar la peligrosidad de la misma. Identificado el incidente, es preciso tener definido el plan de actuación para solucionar el incidente ya que de la clasificación del mismo dependerán las acciones a emprender durante los procesos de respuesta y notificación.
En el proceso de respuesta y, en su caso, notificación no se trata solo de aplicar medidas activas en el momento, sino de implementar controles periódicos y eficaces tendentes a minorar el riesgo en aquellos procesos de alto impacto, en este sentido resulta muy útil seguir alguno de los estándares internacionales de seguridad y contar con especialistas en seguridad que puedan asesorarte en la implantación.
Asimismo, es importante recabar toda la documentación del proceso de cara a comunicaciones con las partes interesadas tanto de carácter interno como externo, y a la elaboración de un informe de cierre que permita extraer conclusiones y acciones de mejora en base a lecciones aprendidas[10].
En cuanto al proceso de notificación, sería conveniente formalizar un procedimiento al efecto, donde se evalúe la gravedad de la brecha[11] para, en su caso, notificar a la Autoridad de Control y/o a los interesados, y que contenga los detalles sobre cómo escalar las notificaciones de brechas de seguridad a nivel interno.
Finalmente, para cerrar la gestión de la brecha es recomendable valoración la contratación de un informe forensic que analice los hechos y recopile todas las evidencias precisas -siendo de gran utilidad en caso de disputa judicial o infracción administrativa-; y se valoren de las acciones legales oportunas analizando previamente los fines de imputación y la reparación del daño, y por último emitir un informe de cierre sobre la trazabilidad del suceso y su análisis valorativo.
3. CONCLUSIONES
Desgraciadamente, sufrir un incidente de seguridad no es una opción, sino una cuestión de probabilidades. Ésta es una realidad difícil de asumir, no sólo desde el punto de vista técnico, sino también por las consecuencias económicas que puede ocasionar en la empresa los impactos directos e indirectos derivados de este hecho. Por ello, es necesario tomar conciencia e implementar medidas de prevención, que llevan implícitos costes económicos, aunque a priori no se traduzcan en un retorno de la inversión claro.
Las brechas de seguridad pueden producirse con independencia de si el tratamiento es efectuado por un responsable o por un encargado, siendo especialmente relevante la implicación del todo el personal de la organización y de nuestros colaboradores para garantizar la seguridad del tratamiento y, también, para gestionar de forma eficaz y eficiente las brechas de seguridad.
La mayoría de los incidentes de seguridad no corresponden a ciberataques sofisticados ya que en muchos casos se podrían haber evitado o mitigado su impacto llevando a cabo un razonable análisis de riesgos y aplicando unas medidas de seguridad adecuadas. Algunas de estas medidas son:
- El uso de contraseñas seguros y segundo factor de autentificación
- Copias de seguridad periódicas
- Sistemas actualizados en todo momento
- Definir una estricta política de servicios con exposición a internet
- Cifrado de dispositivos
Tan importante como solucionar la brecha de seguridad y minimizar sus consecuencias sobre los afectados, es aprender de ella, y determinar qué ha fallado en la gestión para mejorar nuestros procesos y activos. Todo ello forma parte del principio de responsabilidad proactiva donde hemos de documentar en detalle la brecha y las acciones tomadas para gestionarla y prevenirla en el futuro.
4. BIBLIOGRAFÍA
• Agencia Española de Protección de Datos (AEPD), Memoria AEPD 2019. Disponible en: https://www.aepd.es/sites/default/files/2020-05/memoria-AEPD-2019.pdf
• Agencia Española de Protección de Datos (AEPD), Guía para la gestión y notificación de brechas de seguridad, 2018.
• DE LAS HERAS, M. (1 de octubre de 2018). “¿Sabemos lo que implica la seguridad de la información?”, El Economista, 2018. Obtenido de https://www.eleconomista.es/ecoley/buengobierno/noticias/9423320/10/18/Sabemos-lo-que-implica-la-seguridad-de-la-informacion.html
• Grupo de Trabajo del Artículo 29, Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679, adaptadas el 3 de octubre de 2017.
• MARTÍN SAN CRISTÓBAL, A., “Detección de incidentes y violaciones de seguridad”, Thomson Reuters, 2020.
María Cumbreras
4 de septiembre de 2020
Abogada y Economista. Consultor Senior en el Área de Seguridad y Compliance en Procesia
[1] Reglamento general de protección de datos, artículo 4, apartado 12; véase además Grupo de Trabajo del Artículo 29 (2017), Directrices sobre la notificación de violaciones de datos personales conforme al Reglamento 2016/679, WP250, 3 de octubre de 2017, p. 8.
[2] Véanse los artículos 41 y 44 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
[3] Véase el artículo 19.2 del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
[4] DE LAS HERAS, M. (1 de octubre de 2018). “¿Sabemos lo que implica la seguridad de la información?”, El Economista, 2018. Obtenido de: https://www.eleconomista.es/ecoley/buen-gobierno/noticias/9423320/10/18/Sabemos-lo-que-implica-la-seguridad-de-la-informacion.html
[5] Para más detalle sobre la aplicación y fijación de multas administrativas, consulte las Directrices del Grupo de Trabajo del Artículo 29, disponible aquí: http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889
[6] Grupo de Trabajo del Artículo 29, Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679, adaptadas el 3 de octubre de 2017, p. 11.
[7]Agencia Española de Protección de Datos (AEPD), Memoria AEPD 2019. Disponible en: https://www.aepd.es/sites/default/files/2020-05/memoria-AEPD-2019.pdf
[8] Agencia Española de Protección de Datos (AEPD), Guía para la gestión y notificación de brechas de seguridad, 2018, p.24.
[9] MARTÍN SAN CRISTÓBAL, A., “Detección de incidentes y violaciones de seguridad”, Thomson Reuters, 2020, p. 4.
[10] Agencia Española de Protección de Datos (AEPD), Guía para la gestión y notificación de brechas de seguridad, 2018, p. 28.
[11] A modo orientativo, la AEPD en su Guía para la gestión y notificación de brechas de seguridad propone en el Anexo III un posible modelo que puede ser utilizado como referencia en la toma de decisiones tanto para la notificación a la Autoridad de Control como para los propios afectados, valorando determinados umbrales bajo los cuales la empresa procederá a la notificación.
