Ciberseguridad y legalidad: ¿cómo actuar ante una brecha de seguridad de datos personales?

Guardar

Efrén Díaz y Carlos Albareda, del Bufete Mas y Calvet
Efrén Díaz y Carlos Albareda, del Bufete Mas y Calvet

Una brecha o violación de seguridad es un incidente que afecta a datos de carácter personal. Provocará la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (art. 4.12 del Reglamento general de protección de datos de 2016, RGPD). Su origen puede ser voluntario o accidental y los soportes afectados pueden ser analógicos o digitales.

Entre los principales incidentes de seguridad, de origen interno o externo, podemos destacar los siguientes: vulnerabilidad no conocida, ataque dirigido, denegación de servicio, acceso a cuentas privilegiadas, código malicioso, compromiso de la información, robo y/o filtración de datos, desfiguración de sitio web, explotación de vulnerabilidades de aplicaciones o ingeniería social, altamente preocupante por actuar mediante el engaño, normalmente a través de redes sociales.

Según datos de la Agencia Española de Protección de Datos (AEPD) del mes de abril de 2021, en los últimos 12 meses se han producido 1437 notificaciones, 177 sólo en marzo de 2021 y 143 por en organizaciones del ámbito privado. De ellas, 114 notificaciones indican contexto externo e intencionado. 120 notificaciones indican brecha de confidencialidad, 4 de integridad y 90 de disponibilidad, aunque algunas brechas presentan más de una tipología.

No hay duda de que actualmente se producen incidentes que afectan a múltiples responsables de tratamiento, con un elevado número de notificaciones. En particular, el ransomware o "secuestro de datos" tiene una particular incidencia y provoca brechas de datos personales en servicios públicos y privados de toda índole, con el consiguiente impacto en la disponibilidad y también en la confidencialidad de los datos personales. Sólo de 2019 a 2020 el número de usuarios que sufrieron ransomware dirigido aumentó más del 760%, según Kaspersky. Y desde que comenzó 2021 esta clase de ataques ha seguido creciendo, un 56% más a nivel mundial.

"Antes": ¿cómo evitar las brechas?

El responsable del tratamiento de datos, sea una empresa pequeña o grande, una asociación o fundación, una corporación o administración pública, debe contemplar la posibilidad de sufrir un ataque y prepararse. Dos medidas son críticas: 1) establecer quiénes se ocupan (dirección, responsables técnicos y jurídicos, recursos humanos, etc.), y 2) fijar las acciones que se realizarán en caso de incidente de seguridad (al menos prever un plan de reacción y contingencia).

La evitación y mitigación de violaciones de seguridad precisa, al menos, de las siguientes cuatro medidas previas a la definición del plan de acción: 1) preparación (conciencia de los incidentes de seguridad), 2) detección (situaciones de riesgo, herramientas, mecanismos de detección y sistemas de alerta), 3) identificación (naturaleza, clase, impacto y nivel de riesgo del incidente) y 4) clasificación (amenazas, contexto u origen, categoría de seguridad de los sistemas y datos afectados, usuarios y sistemas impactados, impacto en la organización y en los derechos y libertades, vector de ataque, etc.).

"Después": ¿cómo gestionar las brechas?

La ocurrencia de un incidente de seguridad ha de activar el plan de actuación, mediante el despliegue preciso y ágil de acciones y tareas específicas dirigidas a la resolución o minimización de la brecha, a la mitigación de las consecuencias negativas a personas y sistemas de información y datos personales y a la evitación futura de situaciones de riesgo o impacto.

El plan de actuación ante brechas de seguridad recoge un contenido necesario y útil para decidir las medidas a adoptar y las acciones a desplegar, así como para la importante valoración de la necesidad de notificar a las autoridades de control y personas afectadas. Entre ellas, de acuerdo con las principales autoridades y expertos, destacamos las siguientes a título ilustrativo y no exhaustivo:

  • Sujetos implicados:
  • Responsable del tratamiento (la persona física o jurídica que decide fines y medios del tratamiento de datos personales):
    • Para aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.
    • Para valorar notificar la brecha de seguridad a la autoridad de control competente, sin dilación indebida, y en su caso la comunicación con los afectados.
    • Expertos en seguridad:
      • Para la gestión técnica, tecnológica o informática del incidente.
      • Para facilitar toda aquella información mínima y necesaria para la posible comunicación de la brecha de seguridad a la autoridad de control.
    • Delegado de Protección de Datos (DPD), sea obligatorio o voluntario. Ocupará un papel muy relevante para liderar el plan de actuación en todos sus aspectos.
    • Autoridad de control competente: se encargará de verificar que se cumple con el RGPD, y particularmente respecto a la gestión de la brecha de seguridad.
  • Acciones y medidas:
  • Recopilación y análisis de la información relativa al incidente de seguridad (en particular, las dimensiones de integridad, disponibilidad, seguridad y privacidad).
    • Clasificación del incidente de seguridad.
    • Determinación objetiva de si efectivamente se está ante una brecha de seguridad.
    • Investigación, comunicación y coordinación de los medios internos/externos implicados.
    • Puesta en marcha del plan de respuesta (medidas de contención y de limitación de daños).
    • Puesta en marcha del proceso de notificación, previa valoración de notificación temprana a la autoridad de control competente, a afectados y en caso necesario a fuerzas de seguridad.
    • Proceso de respuesta: contención, solución/erradicación, recolección y custodia de evidencias, terminación y recuperación; comunicación/Informe de resolución (interna/externa).
    • Proceso de notificación: valoración, gestión, notificación a autoridad de control y comunicación a afectados.
    • Seguimiento y cierre:
      • Valoración de contratación de un análisis forense digital experto.
      • Valoración de adopción de medidas jurídicas y procesales.
      • Realización de un informe final sobre la brecha de seguridad.
      • Cierre del incidente de seguridad.

Notificación de brechas de seguridad

El RGPD establece la obligación de notificación de la violación de la seguridad de los datos personales a la autoridad de control competente (art. 33). En consecuencia, de ser efectiva una violación de la seguridad de los datos personales, el responsable del tratamiento (su empresa, fundación, asociación o administración pública) tiene la obligación de notificarla a la autoridad de control competente.

Y lo hará sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de la brecha de seguridad. No obstante, si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos en los que se funde la dilación.

Como excepción a dicha obligación se contempla el caso de escasa o nula probabilidad de dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Sin embargo, adicionalmente el RGPD obliga a que, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida (art. 34).

La AEPD destaca que la existencia de una política de notificaciones de brechas de seguridad se debe tener en cuenta con el fin de disponer de un criterio común a todos los tratamientos de datos personales que consten en el registro de actividades de tratamiento de una organización.

Para facilitar una visión de conjunto del contenido y procedimiento ante la autoridad de control española, la notificación de la violación de la seguridad ha de contener los siguientes extremos: 1. identificación del proveedor; 2. identidad y datos de contacto del responsable de protección de datos u otro punto de contacto en el que pueda obtenerse información; 3. indicación de si se trata de una primera o segunda comunicación; 4. fecha del incidente; 5. circunstancias en que se ha producido la quiebra; 6. naturaleza y contenido de los datos personales afectados; 7. medidas técnicas y de organización; 8. otros proveedores que intervienen en los servicios afectados; 9. resumen del incidente; 10. número exacto o estimado de abonados o particulares afectados;  11. posibles consecuencias y efectos negativos en los abonados o particulares; 12.medidas técnicas y organizativas adoptadas para paliar los posibles efectos negativos; 13. posible notificación adicional a los abonados o particulares; 14. medios de comunicación utilizados para la notificación; 15. número de abonados o particulares destinatarios de la notificación; 16. quiebra que afecta a abonados o particulares de otros estados miembros; 17. notificación a otras autoridades nacionales competentes.

Además de tener en cuenta las obligaciones de notificación establecidas por la AEPD para las brechas de seguridad, en función de que la entidad haya designado o no Delegado de Protección de Datos (DPD), será recomendable contar con la opinión experta de especialistas jurídicos para valorar la necesidad de efectuar la notificación de la violación de seguridad, así como planificar las acciones y medidas a adoptar por el Responsable de Tratamiento. 

En la práctica, cinco medidas de seguridad

El Reglamento General de Protección de Datos y, en España, la Ley Orgánica 3/2018 promueven una cultura de gestión diligente de los datos personales por los responsables y encargados del tratamiento, a fin de minimizar el impacto sobre los afectados de los incidentes de seguridad y, en virtud del principio de responsabilidad proactiva, “aprender de las brechas” mediante la determinación de los fallos en los procedimientos de gestión de la información.

Así, dado que la privacidad puede verse afectada por incidentes de confidencialidad, integridad y disponibilidad, deben aplicarse medidas de seguridad básicas para hacer frente a estos desafíos. De acuerdo con la AEPD, destacamos cinco:

  • Uso de contraseñas seguras y segundo factor de autenticación.
  • Copias de seguridad, para hacer frente al secuestro de información y datos personales.
  • Sistemas actualizados, para la aplicación de las medidas de seguridad.
  • Política estricta de servicios expuestos en Internet, para evitar o minimizar accesos remotos no autorizados.
  • Cifrados de dispositivos portátiles, frente al acceso por extravío o robo.

Por Efrén Díaz Díaz, abogado, doctor en Derecho y responsable de las Áreas de Tecnología y Derecho Espacial, y Carlos Albareda Úbeda, colaborador de las Áreas de Tecnología y Derecho Espacial, respectivamente en Bufete Mas y Calvet.