¿Quién no ha utilizado alguna vez un USB para almacenar documentación o información y poder trasladarla o transferirla? Pero ¿son válidas y eficaces todas las condiciones y medidas de seguridad para salvaguardar dicha información? Evidentemente no. Es el caso, precisamente, de esta resolución de la Agencia Española de Protección de Datos (en adelante, AEPD) que ha terminado sancionando a una entidad con 100.000 euros por enviar un USB cifrado con datos personales con la contraseña dentro del mismo sobre en el que se portaba el USB.
A raíz de una notificación efectuada por una empresa de gestión y administración de propiedad inmobiliaria a la AEPD, se consideró oportuno realizar una investigación por parte de la Subdirección General de Inspección de Datos con el fin de determinar una posible vulneración de la normativa de protección de datos personales. Esta investigación da lugar al presente procedimiento sancionador que pasamos a analizar.
Como hemos adelantado, el inicio del procedimiento se produce a consecuencia de la notificación de una brecha de seguridad por parte del responsable del tratamiento, una empresa de gestión y administración de propiedad inmobiliaria. En particular, la entidad remitió por mensajería postal, en un sobre, un USB con datos personales de 143 personas, incluidos medios de pago. Dicho USB estaba cifrado, pero la contraseña iba dentro del sobre. Se detectó que el sobre vino devuelto, pero sin el USB ni la contraseña dentro.
Precisamente el hecho de que la contraseña estuviera incluida en el mismo sobre en el que se contenía el USB cifrado evidencia un posible acceso ilícito a los datos personales con la consiguiente falta de medidas de seguridad.
A este respecto, el artículo 32 del Reglamento General de Protección de Datos relativo a la seguridad del tratamiento establece que:
- “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que, en su caso, incluya, entre otros:
- La seudonimización y el cifrado de datos personales;
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida, alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (…)”.
Hay que señalar que la AEPD recuerda que el RGPD, en el citado precepto, no establece un listado de las medidas de seguridad que sean de aplicación de acuerdo con los datos que son objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas que sean adecuadas al riesgo que conlleve el tratamiento.
Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, señalando que la determinación de las medidas técnicas y organizativas deberá realizarse teniendo en cuenta: la seudonimización y el cifrado, la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia, la capacidad para restaurar la disponibilidad y acceso a datos tras un incidente, proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
Además, y, en todo caso, al evaluar la adecuación del nivel de seguridad se tomará por base, en particular, los riesgos derivados de la destrucción, pérdida, alteración accidental o ilícita de los datos personales o la comunicación o acceso no autorizado.
En este mismo asentido, se alega por la AEPD el considerando 83 del RGPD que dispone que:
“A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”.
Por su parte, la entidad reclamada ha indicado las siguientes medidas correctoras adoptadas:
- La entidad cuenta con un procedimiento de seguridad de la información implementado a nivel compañía. En el mismo, se incluye un apartado relativoa “Transferencia de soportes físicos”, en el cual se recoge la siguiente obligación para los empleados: “cuando se transfieran físicamente datos secretos o confidenciales, se evitará en la medida de lo posible el uso de soportes físicos. La transferencia segura de archivos debe utilizarse como medio preferente. Si se envían soportes físicos, deben cifrarse o ser sometidos a estrictos controles físicos. Los soportes cifrados deben enviarse por separado de las claves de descifrado”.
- Todos los empleados de la entidad reciben la formación y concienciación apropiadas sobre las políticas y procedimientos de la empresa, según corresponda a su puesto de trabajo, así como actualizaciones periódicas de dichas políticas y procedimientos. Concretamente, todos los empleados (incluido el que procedió a introducir el USB en el sobre) recibieron una formación inicial sobre seguridad de la información al incorporarse a la empresa y anualmente a partir de entonces. Se está realizando, además, una evaluación interna acerca de cómo lograr transmitir de una manera más efectiva estas obligaciones a los empleados, con la finalidad de evitar, en la medida de lo posible, este tipo de actuaciones y concienciar todavía más a todo el personal.
- Como procedimiento habitual, dentro de la entidad reclamada, antes de incorporar a un nuevo proveedor, se lleva a cabo un análisis de riesgos para analizar la viabilidad de su contratación y si cumple con los requisitos exigidos por la normativa en protección de datos personales. En particular, tras la realización del correspondiente análisis de riesgos de la comunicación de los datos a la empresa de mensajería y transporte, el resultado fue que la comunicación suponía un riesgo bajo desde el punto de vista del tratamiento de datos personales.
De estas medidas se infiere que, de forma previa al incidente, el responsable del tratamiento había adoptado medidas destinadas a mantener la confidencialidad de los datos personales almacenados en soportes físicos.
En cuanto a nuevas medidas adoptadas para la mitigación de los efectos de una potencial incidencia, en la compañía se adoptaron las siguientes:
- Se ha contactado con el empleado encargado de introducir la información en el sobre, para recordarle y advertirle de la importancia de cumplir con estas directrices, a lo que la persona implicada reaccionó adecuadamente, comprometiéndose a seguir las instrucciones y colaborando en todo momento para evitar futuras incidencias.
- Se ha adoptado como medida mitigadora durante 2 meses realizar una monitorización cibernética, con la finalidad de sondear la dark web a los efectos de verificar que la información y datos personales sustraídos del USB no están siendo utilizados de manera fraudulenta (suplantación de identidad, pérdidas financieras, phishing etc).
- Se ha enviado comunicación a los afectados indicando las medidas que se están adoptando en respuesta a la brecha, así como las que los propios usuarios pueden adoptar para reducir riesgos.
- Se ha hecho un seguimiento continuado de la incidencia por parte del DPO y se ha realizado un informe de valoración del incidente por parte del equipo de Seguridad Informática de la entidad reclamada para actualizar la información del estado de la incidencia.
- Se ha optado por la contratación de un nuevo proveedor prestador del servicio de mensajería y transporte.
Pese a estas medidas correctoras previas y posteriores adoptadas por la entidad, se considera por la AEPD que la responsabilidad del reclamado viene determinada por la falta de medidas de seguridad adoptadas para este caso concreto, con las peculiaridades que presenta, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico, como es el supuesto.
Por lo tanto, la Autoridad de control considera, con todos los factores expuestos, que se ha producido una vulneración del artículo 32 del RGPD, al no haberse cumplido por parte de la entidad reclamada con la obligación de implementar medidas técnicas y organizativas de seguridad apropiadas para garantizar, en este caso concreto, con las especiales características que pueda presentar, un nivel de seguridad adecuado al incluir la clave de acceso al USB en el mismo sobre en el que se portaba éste. Finalmente, la parte reclamada procedió al pago de la sanción en cuantía de 80.000 euros.
De esta resolución se infiere que es especialmente relevante implementar toda medida de seguridad apropiada para garantizar un nivel de seguridad adecuado al riesgo pues, prácticas contrarias, pueden suponer, como el caso, una vulneración a la normativa en materia de protección de datos personales.
Ha faltado determinar por parte de la AEPD, qué ocurrió con el proveedor de mensajería y transporte, en el sentido de si asumía la figura de responsable o de encargado del tratamiento en relación con sus obligaciones de confidencialidad y medidas de seguridad implantadas.
Para conocer más casos de vulneración de la protección de los datos por falta de medidas de seguridad pincha aquí y aquí.
Además, si quieres saber más sobre cómo actuar correctamente ante una brecha de seguridad pincha aquí.
