Fuente: Confilegal

La Agencia Española de Protección de Datos (AEPD) ha impuesto a RTVE una multa de 60.000 euros tras haber sufrido una brecha de seguridad por la pérdida de 6 «pendrives» que incluían datos personales de aproximadamente 11.000 personas, entre las que se encontrarían trabajadores actuales y antiguos trabajadores.

Ahora RTVE tiene previsto recurrir esa infracción grave del artículo 32 del Reglamento General de Protección de Dato (RGPD) , tipificada en el artículo 83.4.

Desde Confilegal hemos querido acercarnos a la problemática de las brechas de seguridad, y conocer la opinión a varios expertos en privacidad sobre  una problemática que con el nuevo RGPD su comunicación es obligatoria en el plazo de setenta y dos horas.

A lo largo del 2019 esa comunicación se hizo en 1.700 ocasiones por parte de los delegados de Proteccion de Datos (dPDs).

Para Ricard Martínez, director de la Cátedra Microsoft sobre Protección y Transformación Digital de la Universidad de Valencia. “los datos que proporciona la AEPD indican que pese a los riesgos existentes generados por la ciberseguridad no parecen ser muy relevantes. Lo importante es saber cuándo hay que notificarla a la propia AEPD y adicionalmente al interesado. Esta cuestión se reduce para incidentes muy graves”.

Y advierte que la posibilidad estadística de sufrir un ataque grave es más alta de lo que pudiera aparecer.

En su opinión, “la cultura de la ciberseguridad debería normalizar las brechas y normalizar este tipo de situaciones, sin embargo se demoniza a la empresa que comete ese tipo de infracciones”.

Para Martínez se echa en falta que los reguladores y los propios medios informativos, cuando realizan esa comunicación pública que hacen de las brechas, subrayen la diligencia de la empresa en ese tipo de asuntos, cuando en determinadas ocasiones la empresa fue diligente.

En cuanto a la tipología de brechas de seguridad “sobre el robo o perdidas de dispositivos móviles, hay que advertir que ya el ‘cloud computing’ ofrece mucha seguridad, con lo cual no se entiende que aún muchas organizaciones tengan información en ese tipo de herramientas que deberían estar convenientemente protegidos”.

En universidades y laboratorios el acceso a estos dispositivos es muy restringido, con lo cual se reduce el riesgo de brechas de seguridad.

“Esta política podría  trasladarse a cualquier empresa”, señala.

Ricard Martínez es el director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de Valencia.

Sobre los ataques informáticos, este experto destaca que  “ n muchas ocasiones es el propio usuario quien sin darse cuenta activa el archivo e introduce el ataque en el ordenador. Es muy importante que existan políticas activas de bloqueo de estos terminales”.

Para este experto en privacidad. es fundamental que la cultura de la privacidad se extienda en la empresa a nivel formativo y toda la organización sepa cómo funcionar en supuestos de este tipo.

A su juicio “el sector público esta hiperprotegido y carece de responsabilidad patrimonial cuando se produce estas incidencias pese a que ahora la normativa ha cambiado. Nunca pasa nada a nivel de ciberseguridad y sanciones y no se conocen resoluciones sancionadoras que hayan generado un expediente disciplinario a nivel de administraciones públicas”.

Y recuerda que al ayuntamiento medio, menor de 10.000 habitantes no tiene recursos suficientes para poder encima denunciar una brecha de seguridad.

Para Martínez, el papel de los dPOs en este tipo de situaciones es importante.

En algunas ocasiones conviene que dicha actuación se coordine con los equipos jurídicos de la empresa para ver ese impacto real de cualquier brecha de seguridad , “A veces el robo de determinados datos puede hacer que se produzcan suplantaciones personales, lo que generaría graves prejuicios en su imagen, reputación y patrimonio

DETECTAR LA BRECHA, UN PROBLEMA

Alvaro Ramos es el director de Protección de Datos y Nuevas Tecnologías de Clarke Modett y dPO de esta empresa dedicada a la consultoría de patentes y marcas.

“Quizás lo más complicado de gestionar una brecha de seguridad es su detección. Depende de su propia tipología.  Una vez localizada, lo que hay que hacer es aplicar el protocolo que se tenga establecido en la empresa. Tenemos 72h para hacer la comunicación”, indica.

Ramos reconoce que la AEPD tiene un informe sobre quiebras de seguridad y establece la necesidad o no de comunicar la quiebra al propio regulador “ esto depende de una fórmula que depende  del volumen de los datos afectados, el impacto y el riesgo generado”.

Por su experiencia “se trata que no llegue a los límites que establece la propia AEPD para no hacer la comunicación de esa brecha”.

Al mismo tiempo, esa formula muestra “que si supera ese rango hay que comunicar esa brecha a los titulares de los datos dañados. Es muy importante saber dar esa noticia al cliente para que no genere pánico ni problemas con ellos. No sería la primera vez que se pierden clientes o queda dañada la reputación de una empresa.  Estas reconociendo ante tus clientes que has tenido un problema y que han sido afectados sus derechos».

Álvaro Ramos, es director de Protección de Datos y Nuevas Tecnologías de Clarke Modett y dPO de esta empresa.

Para este experto “es fundamental realizar una investigación a fondo y saber qué ha pasado para modificar las medidas de seguridad existente y evitar que vuelva a pasar un incidente de estas características”.

Y añade: “no es lo mismo el acceso irregular a los datos personales de un tercero, que una quiebra de seguridad de información sensible, donde las medidas a establecer sean de otra manera”.

«El problema es cuando un cliente nos llama y descubre que tenemos esa brecha”, afirma.

El papel del dPO en este tipo de situaciones es clave.

“Debemos enterarnos qué ha pasado. Como se ha producido dicha brecha y consensuar con la empresa las medidas adecuadas para evitar cualquier reincidencia. Una vez gestionado este tema tendremos que hacer la comunicación a la AEPD, ya explicando las medidas que vamos a implementar. Esto nos podrá reducir la sanción. El problema es cuando la empresa es reincidente. Entonces la multa es inevitable”, explica Ramos.

En esas 72 horas “los dPO realizamos un informe detallado en el que debe quedarse claro si vamos a hacer o no la comunicación a la AEPD, con los criterios antes establecidos que señala el propio regulador. También tendremos que asesorar a la empresa cómo se comunica a los afectados de lo sucedido. En el caso de incidentes en la web, la solución es retirar dichos datos o información de esa web para evitar cualquier acto de piratería”.

LAS EMPRESAS SE LO TOMAN EN SERIO 

Por su parte, Marcos Judel, presidente de la Asociación Profesional Española de Privacidad (APEP), señala que “el dato que menciona la AEPD supone que el RGPD está calando tanto en los dPOs como en sus empresas a nivel de protección de datos. Es una obligación nueva que antes con la LOPD de 1999 no existía. Ese incremento supone que siguiendo el principio de responsabilidad activa del propio Reglamento Europeo hay empresas que se lo están tomando en serio”.

“La brecha de seguridad cuando se produce afecta a datos personales de nuestra empresa o de terceros involucrados por nosotros. Las medidas que teníamos de seguridad se han vulnerado”, cuenta.

Junto a la perdida de material sin cifrar, como ordenadores o discos duros, están también los ataques informáticos de terceros.

“Todavía se tiran materiales en papel a la basura sin hacer sido destruidos”, revela.

En esa comunicación a la AEPD, en función de la gravedad de la citada brecha de seguridad “se comunican dos cosas: lo que ha pasado y, dependiendo de la incidencia con los datos personales, es posible que tengamos que avisar a terceros. En el caso de correos electrónicos hay que decirles que tienen que cambiar su contraseña para que no sean vulnerables ante un nuevo ataque informático”.

Marcos Judel es presidente de la Asociación Profesional Española de Privacidad (APEP).

Judel reconoce que la comunicación a los clientes y terceros es un tema muy delicado y hay que hacerlo con cuidado para no generar alarmas.

“En ese plazo legal de 72 horas para comunicar la incidencia, hay que mejorar nuestros protocolos para evitar de nuevo ese problema”.

En el caso de un error humano, Judel explica que “se hacen actualizaciones de los protocolos a nuestros empleados para que sepan qué tienen que hacer. En muchos casos hay que darles una formación y manuales, Hay que seguir el principio de responsabilidad activa que viene reflejado en el articulo 12 del RGPD”.

En el caso de las administraciones públicas, “deben comunicar que han tenido esa brecha de seguridad pero no tienen ninguna sanción económica. En una empresa pública y ahí está el caso reciente de RTVE y la pérdida de 6 ‘pendrives’ con la sanción correspondiente de la AEPD, si no tienen que comunicar”.

Todos los expertos consultados para este reportaje, son partidarios de la comunicación de la brecha de seguridad.

“El problema de la ocultación es que podemos tener otra sanción, además de la de la brecha. También es posible que se enteren nuestros clientes que podrían denunciarnos por una cesión inconsentida de datos en la AEPD. La comunicación es obligatoria si se cumplen ciertos volúmenes de datos dañados», coinciden los tres.