El tratamiento diario de la información que se realiza en cualquier entidad requiere el acceso a distintos servicios, y aplicaciones para los cuales utilizamos las credenciales inseparables de usuario y contraseña. Credenciales que siguen siendo hoy el método predilecto por antonomasia de autenticación.
La gestión de las contraseñas es de vital importancia en cualquier organización. No obstante, para los profesionales en la materia, es habitual encontrarnos en las auditorias de protección de datos de carácter personal, como muchas organizaciones guardan las contraseñas en texto plano o escritas en agendas y post-it sin las debidas medidas de seguridad, siendo fácil tener acceso a las mismas.
¿Pero qué ocurre en aquellos casos en los que se pueden ver comprometidas las mismas? ¿Quién debe responder de la falta de negligencia en su custodia, por dejarlas a la vista o apuntadas donde no debemos?
Pues esto fue concretamente lo que acaeció recientemente en un centro de telemarketing de Valladolid, y sobre el que se ha pronunciado recientemente el Tribunal Superior de Justicia de Castilla y León (en adelante (TSJCyL), en una sentencia de 03 de noviembre del pasado 2022, en la que una trabajadora de dicha empresa fue despedida por no guardar las contraseñas en un lugar “seguro” (al tener apuntadas las mismas en una carpeta de fácil acceso para no olvidarlas).
La brecha de seguridad de carácter interno (podéis consultar aquí la actualización de la Guía para la notificación de brechas de datos personales de la AEPD), se produjo cuando un compañero de dicha trabajadora consultó la carpeta en la que guardaba las contraseñas, y accedió con su login y contraseña hasta en tres ocasiones, accediendo al sistema sin su conocimiento y sin su consentimiento para realizar transacciones bancarias no autorizadas mientras la trabajadora estaba ausente y fuera del horario de su turno de trabajo.
Como consecuencia de los hechos expuestos se procedió por la entidad a la entrega de la carta de despido disciplinario de ambos trabajadores,concretamente a la trabajadora se la imputaron las siguientes infracciones:
- La comisión de una falta comprendida en el artículo 54.2 d) del Estatuto de los Trabajadores, consistente en «la trasgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo«,
- y del art. 67.4 del convenio de aplicación, consistente en «la falsedad, deslealtad, fraude, el abuso de confianza y el hurto o robo, tanto a sus compañeros de trabajo como a la empresa o a terceros relacionados con el servicio durante el desempeño de sus tareas o fuera de las mismas«.
Sin embargo, la cuestión no quedó aquí y la trabajadora denunció la improcedencia de su despido estimándose por el juzgado de primera instancia como improcedente y ante el que la entidad demandada recurrió en suplicación ante el TSJ de CyL, cuya fundamentación y sentido del fallo pasamos a analizar:
Si bien es cierto que la trabajadora en el momento en que entró a trabajar, recibió su login y su clave de usuario, junto con un escrito recordándole las obligación de adoptar las medidas necesarias para su custodia, evitando su uso por terceros, junto con un código general de conducta y la obligación de que las contraseñas deben ser cambiadas obligatoriamente cada dos meses, (aconsejándoles la empresa en este sentido que las memorizasen), pero sin que en ningún momento se facilitase por parte de la empresa de un lugar seguro donde custodiar las mismas bajo llave. Es por ello, que ante la inexistencia de una adecuada política de gestión de contraseñas la trabajadora optó por apuntar las mismas en una carpeta.
En este punto debemos recordar, tal y como se establece sobre identificación y autenticación el antiguo artículo 93 del Real Decreto 1720/2007, de 21 de diciembre: «Cuando el mecanismo de autenticación se base en la existencia de contraseñas, existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad«. y que podemos buscar su encaje en el actual 32 del RGPD «seguridad del tratamiento», donde se establece que el responsable deberá aplicar medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, que incluya entre otros, «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» y «la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico».
Finalmente, el TSJ de Castilla y León desestima el recurso de suplicación interpuesto y confirma la sentencia del Juzgado de lo social núm. 1 de Valladolid, coincidiendo así con el criterio de la juzgadora de instancia, considerando dicho despido como improcedente al no existir un elemento intencional o al menos de negligencia relevante en la conducta de dicha trabajadora por los siguientes motivos:
1.-El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma.
2.-Tampoco existe negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses, se tuvieran que apuntar en algún sitio para su recordatorio.
3.-La empresa más allá de una atribución genérica de responsabilidad a los trabajadores acerca de un uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave.
Una vez expuesto lo sucedido, nos queda concluir y reflexionar sobre la incuestionable importancia de que todo el personal en cualquier entidad proteja adecuadamente sus contraseñas, para ello es de vital importancia que toda entidad disponga de una buena política o procedimiento de contraseñas con pautas claras y concretas sobre la generación, almacenamiento y mantenimiento de las mismas, sino queremos poner en riesgos los activos de nuestra organización:
Para mitigar los posibles riesgos os ponemos algunos ejemplos claros de buenas prácticas:
En la Generación:
- Los identificadores de usuario y contraseñas de acceso asociadas serán de uso personal e intransferible y por tanto no pueden ser compartidos.
- Las contraseñas deben ser conocidas exclusivamente por el usuario propietario de la misma y tratadas como información personal e intransferible.
- Se generarán contraseñas seguras, en longitud y caracteres mínimos 8 (evitando cualquier referencia de índole personal) cumpliendo 3 de los siguientes requisitos:
- 1 letra mayúscula
- 1 letra minúscula
- 1 número
- 1 carácter especial
- No utilizar caracteres consecutivos numéricos o alfabéticos., como por ejemplo “aaaaa” “555555”.
En el Mantenimiento:
- Todas las contraseñas deben ser modificadas por el usuario al menos con la frecuencia establecida por parte de la entidad. En los servicios en los que sea posible se automatizará este requerimiento de caducidad.
En el Almacenamiento:
- Las contraseñas se almacenan de forma ininteligible para terceros.
Por último, podemos acudir a técnicas de autenticación externas y gestores de contraseñas, estos últimos puede sernos de gran utilidad y nos puede salvar de más de un susto para aquellos casos en los que dispongamos de varias contraseñas para distintos servicios, evitando así tener que escribirlas en alguna carpeta, de tal forma que sólo tendremos que memorizar una.
Si aplicamos estas recomendaciones, evitaremos encontrarnos con situaciones como lo acontecido, en la que un tercero no autorizado pueda comprometer la privacidad de la información y de los datos a los que pueda acceder de nuestra entidad, y que tal y como establece en el fallo de la sentencia aquí analizada, finalmente, será la propia entidad la que debe proveer de los medios necesarios para la salvaguarda de las contraseñas por parte del personal en un lugar seguro. Siendo finalmente la entidad la que deba responder por la falta de negligencia en su custodia.
Y para concluir, no solo debemos contar con una adecuada política de contraseñas sino también con planes y procedimientos adecuados para tratar posibles violaciones de la seguridad de los datos como el aquí expuesto (similar a otro del que ya tuvimos ocasión de hablar en una anterior entrada a nuestro Blog).
A pesar de que la documentación interna de una violación de la seguridad es una obligación independiente de los riesgos inherentes a dicha violación, y debe realizarse en todos y cada uno de los casos. En aquellos casos en los que tengamos dudas acerca de comunicar o no este incidente ante la autoridad de control competente, la AEPD ha puesto a disposición de todos los responsables y encargados de tratamiento la herramienta de asesora-brecha, de cara a poder valorar la obligación de notificar un incidente (atendiendo a los riesgos para los derechos y libertades del interesado), sin dilación indebida a la Agencia Española de Protección de Datos, tal y como establece el artículo 33 del Reglamento General de Protección de Datos.
Si quieres conocer más para actuar correctamente ante una brecha de seguridad y evitar ser sancionado pincha aquí