¿Qué hacer ante una brecha de seguridad?: Dictamen de las Autoridades Europeas de Protección de Datos.
Una de las novedades que contiene el futuro Reglamento Europeo de Protección de Datos es la obligatoriedad de notificar las brechas o fugas de seguridad tanto a las Autoridades de Control como a los usuarios o afectados, que además de tener su propia regulación, aparece en otros apartados de este texto normativo, como es el caso de las funciones del Data Protection Officer (documentar, notificar y comunicar las violaciones de seguridad), o en lo referente al principio de “accountability” (responsable y encargado deben articular los procedimientos de cómo actuar ante las fugas de seguridad).
Sobre la citada regulación específica, está contenida en los artículos 31 y 32 de la Propuesta de Reglamento Europeo de Protección de Datos, que regula la obligación de notificar las brechas de seguridad, tanto a los afectados como a la correspondiente Autoridad de Control, debiendo contener esta notificación el número de interesados afectados, tipos y categoría de datos, consecuencias de la brecha de seguridad y medidas tomadas para solventar el problema.
En este sentido, el Grupo del Artículo 29 de Protección de Datos, que abarca a todas las Agencias Europeas, acaba de publicar un interesante documento sobre las brechas de seguridad, y que sirva de ayuda cuando se produce este tipo de situaciones.
Como punto de partida, debemos tomar la Directiva 2002/58, de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), que define la “violación de datos personales” como violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Comunidad.
El citado documento distingue entre aquellas violaciones o brechas de seguridad que deben ser comunicadas a los afectados y las que dicha obligación no es necesaria, ofreciendo numerosos ejemplos al respecto. Esta obligación de notificar podría tener su encaje legal, si bien no está mencionado expresamente, en el artículo 17 de la Directiva 95/46, ya que el responsable y encargado deben adoptar las medidas técnicas y organizativas para garantizar la seguridad de los tratamientos de datos de carácter personal. Además, se insta a que esta comunicación a los afectados se realice lo antes posible, y que la misma no se vincule a la comunicación que se haga también a la Autoridad de Control de Protección de Datos competente.
Brechas de seguridad que deben ser comunicadas a los afectados.
Para explicar el funcionamiento de esta comunicación, como ya hemos mencionado anteriormente, se ofrecen diversos ejemplos, que no sólo sirven para saber en qué casos hay que comunicar, sino también los posibles perjuicios que se pueden causar así como las medidas que se podrían haber adoptado para mitigar los riesgos causados.
a.- Robo de cuatro ordenadores de un Centro de Salud para niños.
El robo afecta a datos de carácter personal, incluyendo datos de salud que tienen la consideración de especialmente protegidos.
Al tratarse de menores, la notificación se realizaría a sus padres o a quien ostente su representación legal. En el ordenamiento jurídico español, recordemos que el Reglamento de desarrollo de la LOPD, establece en su artículo 13 el consentimiento de los menores a partir de los 14 años, por lo que entiendo, que al ser una cuestión relacionada con dicho consentimiento, como es que haya habido una fuga que afecte a los datos que se están tratando en virtud del mencionado consentimiento, se debería comunicar a los menores a partir de 14 años y no a sus padres.
Las consecuencias y perjuicios de este robo podrían ser las siguientes:
– Sobre la confidencialidad: vulneración del secreto; publicación de estos datos personales; uso de los datos para realizar chantaje
– Sobre la disponibilidad: imposibilidad de continuar el tratamiento de los pacientes; puede causar retraso en la financiación sanitaria de los citados pacientes;
– Sobre la integridad: si no se ha realizado una copia de seguridad, o la existente es muy antigua, se habrían perdido todos los cambios y evoluciones de los historiales médicos almacenados en los cuatro ordenadores.
Como medidas de salvaguarda que se podrían haber adoptado para este supuesto:
– Sobre la confidencialidad: haber cifrado los datos, sobre todo, los de salud.
– Sobre la disponibilidad e integridad: haber realizado una copia de seguridad, y tenerla actualizada.
Si estas medidas se hubiesen adoptado, no sería necesario notificar la brecha a los sujetos afectados. Además, serviría de prueba ante la Autoridad de Control para demostrar la oportuna diligencia debida.
b.- Vulnerabilidad de un servicio web que afecta a 700 personas que tienen contratado un seguro de vida, afectando al nombre, apellidos y cuestionarios que incluyen datos de salud.
Las consecuencias y perjuicios de este ataque a la web podrían ser las siguientes:
– Sobre la confidencialidad: publicación de datos en Internet; impacto emocional sobre aquellas personas que tuviesen algún tipo de enfermedad y no la hubiesen comunicado a sus allegados; fraude y phising;
Como medidas de salvaguarda que se podrían haber adoptado para este supuesto:
– Monitorización continua del servicio web para identificar posibles vulnerabilidades; encriptación de datos personales; en los cuestionarios haber sustituido los datos personales de nombre y apellidos por un código identificador.
A diferencia del primer supuesto, se recomienda notificar lo ocurrido a los afectados.
c.- Empleado que facilita a un tercero el login y password para acceder al fichero de clientes (son más de 100.000), en el que además de los datos personales de nombre, apellido, móvil, email y dirección, se incluyen datos referentes a pagos y tarjetas de crédito, así como logins y contraseñas (con algoritmo hash) de los clientes.
Las consecuencias y perjuicios de esta cesión ilegal de login y password a un tercero podrían ser las siguientes:
– Sobre la confidencialidad: daños en la economía financiera de los afectados; uso del email y contraseñas para otros servicios Internet.
– Sobre la integridad: el tercero puede acceder a todo el fichero de clientes, pudiendo modificar, eliminar o añadir datos.
Como medidas de salvaguarda que se podrían haber adoptado para este supuesto:
– Limitar los empleados que, en el seno de la organización que tiene este fichero de clientes, pueden acceder a todos los datos del citado fichero, es decir, establecer perfiles de acceso en relación con las funciones de cada empleado; sobre las contraseñas de los clientes, se podría reforzar las mismas si se hubiese sugerido contraseñas más fuertes que incluyan, por ejemplo, letras y números.
Obviamente, en este caso se recomienda que en la notificación a los afectados se les inste a cambiar la password, así como en cualquier otro servicio en el que se estuviese utilizando la misma password.
d.- Un sobre con recibos de tarjetas de crédito fue tirado por error a una papelera, en vez de destruirse de forma segura. Los recibos incluyen el nombre y apellidos del titular, número de la tarjeta de crédito, y en algunos casos, su firma. 700 personas se ven afectadas. Los hechos ocurren en una tienda.
Las consecuencias y perjuicios de esta cesión podrían ser las siguientes:
– Sobre la confidencialidad: daños en la economía financiera de los afectados si las tarjetas de crédito no se han anulado.
Como medidas de salvaguarda que se podrían haber adoptado para este supuesto:
– Formación a los empleados sobre el tratamiento de la información; usar terminales de venta para las tarjetas que no incluyan todos los números de las mismas.
Si bien se trata de otro supuesto que debe comunicarse a los afectados, pueden existir problemas de comunicación, ya que no necesariamente la tienda tendrá datos de contacto de todos los afectados. Por ello, se recomienda que la comunicación se realice también mediante la publicación de anuncios en los medios de comunicación. Además, la tienda tiene que ponerse en contacto con quien le provea del servicio de pago de tarjetas de los clientes para evitar fraudes.
Brechas de seguridad que no deben ser comunicadas a los afectados.
Como explicábamos al principio, pueden existir casos en que no sea necesario que la citada comunicación a los titulares de los datos personales se produzca:
-El supuesto más claro y obvio, es cuando haya habido una brecha de seguridad pero la misma no afecte a datos de carácter personal.
-Cuando los datos personales se hayan cifrado, y la clave no se haya visto afectada.
¿Qué consecuencias tiene la notificación de la brecha de seguridad a la Autoridad de Control?
Aunque este documento del Grupo del Artículo 29 cita en un par de apartados que se notifique la brecha a la Autoridad de Control, al igual que ocurre en la Propuesta de Reglamento de Protección de Datos de la Unión Europea, no se especifica la finalidad. Es decir, ¿Me va a sancionar la Autoridad de Control? ¿Me inspeccionará?
Tal y como ya planteé en el apartado referente a las brechas de seguridad en el libro electrónico “Comentarios prácticos a la Propuesta de Reglamento de Protección de Datos de la Unión Europea”, puede ocurrir que si se ha publicitado la brecha (por ejemplo, en las redes sociales o medios de comunicación social), el daño al prestigio de la empresa puede ser mayor que cualquier sanción económica que se le pueda imponer.
Hasta la fecha conocemos dos supuestos en que ha existidos esta “auto-denuncia” por parte de un responsable:
-El “Caso Inteco”, en el que la AEPD terminó realizando un apercibimiento a este organismo.
-El “Caso Pepephone” (también existió denuncia de un particular), que fue sancionado con una multa de 3.000 euros. En este caso, la “auto-denuncia” fue en cumplimiento del artículo 34.4 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (más abajo transponemos el contenidod de este precepto).
Obviamente, son dos únicos casos, pero podemos concluir que al realizar la “auto-denuncia” junto con la adopción de las medidas posteriores pertinentes para evitar daños mayores, la sanción económica será menor, además de hacerse un “lavado de imagen” de cara a la opinión pública.
Obligación de notificar las brechas de seguridad en el marco de las telecomunicaciones.
El artículo 34.4 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones establece la obligación de notificar las violaciones de seguridad de la siguiente manera:
4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.
La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.
Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.
En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.
Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.
A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.
Reglamento de Protección de Datos de la Unión Europea.
Tal y como indicábamos al principio, la Propuesta de Reglamento de Protección de Datos de la Unión Europea, regula en los artículos 31 y 32, la notificación de las brechas de seguridad, que se han traducido como “violación de datos personales”. Tras el paso de este texto normativo por el Parlamente Europeo, se han introducido numerosas enmiendas a su articulado.
En este sentido, las enmiendas más importantes que han modificado el texto de los citados artículos 31 y 31 son las siguientes:
– Se ha matizado la obligación de realizar la notificación a la Autoridad de Control, que en el texto inicial afectaba a cualquier brecha de seguridad, mientras que en la redacción actual sólo será obligatoria respecto a determinadas categorías de datos como los relativos a infracciones penales o cuentas bancarias;
– Se especifica que la violación puede producir un perjuicio negativo cuando pueda producir fraude o usuarpación de la identidad.
– Se introduce un nuevo artículo, el 32.bis, que regula la notificación a otras organizaciones que pudiesen verse afectadas por las brechas de seguridad.
En consecuencia, los artículos anteriormente citados, quedan redactados de la siguiente forma (en negrita el texto de las enmiendas introducidas por el Parlamento Europeo):
Artículo 31. Notificación de una violación de datos personales a la autoridad de control.
“1. En caso de violación de datos personales, relacionada con categorías especiales de datos personales, datos personales objeto de secreto profesional, datos personales relacionados con infracciones penales o con la sospecha de un acto delictivo o datos personales relacionados con cuentas bancarias o de tarjeta de crédito, que amenacen gravemente los derechos o intereses legítimos del interesado, el responsable del tratamiento notificará sin demora injustificada la violación de datos personales ante la autoridad de control.
2. 2. Con arreglo a lo dispuesto en el artículo 26, apartado 2, letra f), el encargado del tratamiento alertará e informará, sin demora injustificada, al responsable del tratamiento tras la identificación de una violación de datos personales que pueda producir efectos jurídicos en detrimento de la privacidad del interesado.
3. La notificación contemplada en el apartado 1 deberá, al menos:
a) describir la naturaleza de la violación de datos personales, en particular las categorías y el número de interesados afectados, y las categorías y el número de registros de datos de que se trate;
b) comunicar la identidad y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) recomendar medidas tendentes a atenuar los posibles efectos negativos de la violación de datos personales;
d) describir las consecuencias de la violación de datos personales;
e) describir las medidas propuestas o adoptadas por el responsable del tratamiento para poner remedio a la violación de datos personales.
4. El responsable del tratamiento documentará cualquier violación de datos personales, indicando su contexto, sus efectos y las medidas correctivas adoptadas. Esta documentación deberá permitir a la autoridad de control verificar el cumplimiento de las disposiciones del presente artículo. Solo incluirá la información necesaria a tal efecto.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos aplicables a la constatación de la violación de datos contemplada en los apartados 1 y 2 y en relación con las circunstancias particulares en las que se exige a un responsable y un encargado del tratamiento notificar la violación de datos personales.
6. La Comisión podrá definir el formato normalizado de dicha notificación a la autoridad de control y los procedimientos aplicables para cumplimentar los informes.
Artículo 32. “Comunicación de una violación de datos personales al interesado”.
“1. Cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales, a la privacidad del interesado o a sus derechos y legítimos intereses, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales. Se considerará que una violación afecta negativamente a los datos personales o a la privacidad del interesado cuando pueda conllevar, por ejemplo, fraude o usurpación de identidad, daños físicos, humillación grave o perjuicio para su reputación.
2. La comunicación al interesado contemplada en el apartado 1 describirá la naturaleza de la violación de datos personales y contendrá, al menos, la información y las recomendaciones previstas el artículo 31, apartado 3, letras b) y c).
3. La comunicación de una violación de datos personales al interesado no será necesaria si dicha violación no ha provocado un daño grave y si el responsable del tratamiento ha implementado medidas de protección tecnológica apropiadas y estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer los datos ininteligibles, inutilizables o anónimos para toda persona que no esté autorizada a acceder a ellos.
4. Sin perjuicio de la obligación del responsable del tratamiento de comunicar al interesado la violación de datos personales, si aquel no hubiera comunicado ya al interesado la violación de datos personales, la autoridad de control, una vez considerados los efectos negativos probables de la violación, podrá exigirle que lo haga.
5. La Comisión estará facultada para adoptar actos delegados, de conformidad con lo dispuesto en el artículo 86, a fin de especificar los criterios y requisitos en relación con las circunstancias en que es probable que una violación de datos personales afecte negativamente a los datos personales contemplados en el apartado 1.
6. La Comisión podrá determinar el formato de la comunicación al interesado contemplada en el apartado 1 y los procedimientos aplicables a la misma. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.”
Artículo 32.bis. Comunicación de una violación de datos personales a otras organizaciones.
Un responsable del tratamiento que comunique una violación de datos personales a un interesado, de conformidad con el artículo 32, podrá notificar a otra organización, institución gubernamental o parte de una institución gubernamental la violación de los datos personales si dicha organización, institución gubernamental o parte de una institución gubernamental puede reducir el riesgo de perjuicio que pueda derivarse de dicha violación o mitigar tal perjuicio. Dicha notificación podrá realizarse sin informar al interesado, si la divulgación se realiza únicamente con el propósito de reducir el riesgo de perjuicio para el interesado que pueda derivarse de dicha violación o de mitigar tal perjuicio.