CÓMO ACTUAR CORRECTAMENTE ANTE UNA BRECHA DE SEGURIDAD Y EVITAR UNA SANCIÓN POR PARTE DE LA AEPD

Nos encontramos ante una brecha de seguridad cuando una organización sufre un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel.

En general, suele tratarse de un suceso que ocasiona la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Artículo 4.12 del Reglamento General Europeo de Protección de Datos (RGPD), “violación de la seguridad de los datos personales”: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

¿Cómo se ha de actuar para gestionar una brecha de seguridad?

Ya hemos analizado en uno de de nuestros artículos (ver aquí), las principales novedades incluidas en la actualización de la Guía para la notificación de brechas de datos personales,  que la AEPD publicaba hace aproximadamente un año.

Lo cierto es que una vez que se ha detectado e identificado la brecha, aunque parezca algo sencillo, muchas veces las organizaciones no detectan la brecha hasta que el propio interesado interpone una reclamación.

Vamos a ver qué debemos de hacer a continuación para así evitar una posible sanción por parte de la Agencia Española de Protección de Datos (AEPD):

  • En primer lugar, se recomienda contar con un procedimiento en el cual estén indicadas las pautas de actuación para estos casos, así como quienes serán los responsables dentro de la organización a los que hemos de informar (Dirección, Delegado de Protección de Datos, Responsable TIC, etc.).
  • En segundo lugar, una vez detectada y evaluada la brecha de datos personales, durante su resolución se debe documentar el proceso con toda la información que se vaya recopilando. Esta documentación será adjuntada al registro de incidentes que deben mantener los responsables de los tratamientos.

También debe constar en dicho registro la información relativa a las decisiones tomadas sobre la notificación a la autoridad competente y, en su caso, la comunicación a los afectados.

No existe un modelo estándar de registro de incidentes, sino que, cada organización debe utilizar el que considere más conveniente y que se integre en sus sistemas de gestión

  • En tercer lugar, el responsable de tratamiento debe valorar las posibles consecuencias que la brecha supone sobre los afectados y su severidad.

Una vez valorados estos extremos, si la brecha de seguridad constituye un riesgo para los derechos y libertades de los interesados se debe de notificar ante la AEPD en un plazo máximo de 72 horas. La notificación se realizará aquí.

A mayor abundamiento, si además la brecha de seguridad entraña un alto riesgo para los derechos y libertades de los interesados. deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.

Como podemos comprobar, si contamos con un procedimiento interno en el que tengamos pautado el modo de actuación ante este tipo de incidentes, todo será mucho más sencillo para todos los miembros de la organización. Además, con la documentación de registro permitiremos a la AEPD comprobar que hemos realizado una valoración previa del riesgo que supone la violación de seguridad, los efectos provocados y las medidas correctivas adoptadas.

Pero ¿basta lo indicado para evitar una sanción por parte de la AEPD en el caso de que la organización sufra una brecha de seguridad?

Para dar una respuesta más práctica a esta pregunta vamos a analizar una resolución de la AEPD, en concreto PS/00187/2020;

Un organismo público (en adelante, el responsable del tratamiento) sufre una brecha de seguridad de la que informa un ciudadano, el cual recibe un email con unos datos de carácter personal (notificación de concesión de la nacionalidad española) que no le pertenecen. Siendo consciente de este extremo, el responsable del tratamiento paraliza el envío de esos emails y realiza una investigación al respecto, de tal manera que se pueda detectar si existen más afectados, siendo finalmente un total de 36 personas afectadas.

Al día siguiente del conocimiento de la brecha de seguridad, el responsable del tratamiento procede a la notificación del incidente ante la AEPD, tal y como indica el artículo 33 del RGPD: “Los responsables de un tratamiento de datos personales la obligación de notificar a la autoridad de control competente las brechas de datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas.”

En dicha notificación el responsable del tratamiento hace referencia a la tipología de datos que se han visto afectados por la violación de seguridad, que son los siguientes:

  • NIE (Número de Identificación de Extranjero).
  • Nombre, apellidos, lugar y fecha de nacimiento, domicilio en el momento de presentar la solicitud, la propia concesión de nacionalidad.
  • Copia del certificado de nacimiento (en el que figuran nuevamente datos de fecha y lugar de nacimiento y nombre y apellidos de los progenitores).

A pesar de haber sufrido la indicada brecha de seguridad, el responsable del tratamiento sí que contaba con medidas previas en materia de protección de datos en aras de cumplir con la normativa en vigor, esto es el RGPD y la  Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), contando con la documentación que se detalla en adelante;

  • En virtud del cumplimiento del Art. 31 LOPDGDD: Registro de Actividades del Tratamiento (RAT).
  • En virtud del cumplimiento del Art. 35 RGPD: Evaluación de Impacto (EIPD), en la cual se analizan los riesgos de los tratamientos de datos que realiza. Contando con un informe al respecto, con objeto de minimizar los riesgos potenciales analizados mediante la implantación de diversas acciones correctoras hasta disminuirlos a riesgos residuales que han resultado ser de nivel alto.

Una vez sufrida y conocida la brecha de seguridad, el responsable del tratamiento ha implantado una serie de medidas adicionales para solucionar lo ocurrido y evitar que vuelva a repetirse dicho acontecimiento:

Medidas de carácter correctivo

  • Una vez conocido el incidente se procedió a bloquear el proceso de firma y de notificación automatizada de las concesiones de nacionalidad española en la aplicación involucrada.
  • Notificación ante la autoridad de control (AEPD).
  • Supresión de la carpeta de notificaciones afectada por la brecha de seguridad.
  • Notificación de la brecha de seguridad tanto a los destinatarios de las resoluciones como a las personas que las habían recibido erróneamente, se cumplimentaron los acuses de recibo, ensobrado y albaranes para su envío postal a los interesados.
  • Tras mantenerse bloqueado el sistema, a partir del viernes día 24 de enero del 2020 a las 9:00 horas se empiezan a realizar notificaciones de concesión de nacionalidad de manera manual previa comprobación de que el documento a notificar es correcto.

Medidas de carácter preventivo

  • El responsable del tratamiento informa que se ha establecido un protocolo de control de calidad previo (no lo detalla) para asegurar que el documento a notificar sea correcto, realizándose la notificación de manera manual y supervisada.
  • Se encuentra en proceso de prueba la nueva versión de la aplicación con un control más robusto.
  • Proceso de automatización de los formularios para que se garantice que las resoluciones de concesión de la nacionalidad española son notificadas correctamente.

Todo parece indicar que el responsable del tratamiento cumplía correctamente con la normativa de protección de datos (RGPD y LOPDGDD) que le es de aplicación, así como del Esquema Nacional de Seguridad (ENS), el cual le es de aplicación al tratarse de un organismo público.

¿Qué ha determinado la AEPD en su resolución?

La autoridad de control ha estimado que el responsable del tratamiento ha cometido una triple infracción;

  1. Infracción del artículo 5.1.f) del RGPD tipificada en el artículo 83.5.a) del RGPD con sanción de apercibimiento al entender que se trata de una brecha calificada como de integridad (de la falta de seguridad adecuada y medidas técnicas u organizativas apropiadas) y de confidencialidad (por los accesos no autorizados a datos personales por terceros ajenos).
  • Infracción de los artículos 25 y 32 del RGPD en relación con el artículo 5.1.f) del RGPD, tipificada en el artículo 83.4.a) del RGPD con sanción de apercibimiento, por falta de previsión desde el diseño del factor de concurrencia en los procesos de los aplicativos utilizados por el responsable del tratamiento, y por no aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  • Infracción del artículo 34 del RGPD en relación con el artículo 5.1.f) del RGPD, tipificada en el artículo 83.4.a) del RGPD, con sanción de apercibimiento. El responsable del tratamiento afirma también que hubo dos brechas de seguridad similares y previas a la ahora investigada, las cuales se notificaron ante la AEPD, pero sin embargo este hecho, no consta en las bases de la autoridad de control.

Por lo tanto, como podemos comprobar a lo largo del artículo, a pesar de que dentro de una organización podamos estar convencidos de que el grado de cumplimiento de la normativa es adecuado, es importante asegurarse de que esto es cierto y realizar auditorías cada cierto tiempo en aras de saber si contamos con las medidas de seguridad técnicas y organizativas adecuadas.

Para finalizar, en el caso de que suframos una brecha de seguridad, es muy importante que seamos conscientes de que hemos de cumplir con los pasos que hemos detallado en los primeros párrafos del presente artículo, pues, aunque muchas veces no evitemos la sanción, lo que sí que haremos es disminuirla y sufrir el menor perjuicio.