La “autodenuncia” de Pepehone a la AEPD y la obligación de comunicar brechas de seguridad.

Según esta noticia, este operador había mandado 4.845 correos sin copia oculta de sus clientes, de forma involuntaria, habiendo decidido comunicar este incidente a la Agencia Española de Protección de Datos.

 ¿Qué se busca con esta medida? ¿Dar transparencia? ¿Mitigar las posibles sanciones que pudiese imponer la AEPD ante la denuncia planteada por los usuarios que estimasen vulnerada su privacidad?

La propuesta de Reglamento de Protección de Datos

Recordemos que estamos ante una de las novedades más importantes que recoge esta futura norma, que es la de comunicar las brechas de seguridad a la Autoridad de Control, y que no sólo se introduce en esta materia, sino que también está incluida esta obligación en la futura Directiva y Plan de Ciberseguridad, ya que la Comisión se ha mostrado en los últimos tiempos ciertamente preocupada por las fugas de información y sobre todo por los ataques a los sistemas de información y páginas webs.

Con anterioridad ya había tratado este tema en este blog, y me preguntaba por aquel entonces, cuál era la finalidad de esta comunicación ¿Ser sancionado?

Y sigo teniendo bastantes interrogantes sobre esta medida. Lo primero es que se incluye cualquier tipo de brecha de seguridad sin especificar si debe afectar a un número mínimo de usuarios. Pensemos en la pobre PYME, que bastante tiene con sobrevivi,r que tenga que realizar esta comunicación y pongamos que sólo ha visto afectado uno de sus ficheros y concretamente 10 usuarios.

 Sobre la comunicación a éstos, si bien debemos pensar que lo que se busca es una mayor transparencia en la relación usuario-empresa, podría producirse el efecto contrario que sería aumentar las denuncias realizadas por los propios usuarios, es decir, la empresa que ha tenido una fuga de información se podría encontrar con la comunicación de la misma a la Autoridad de Control, la inspección que realice ésta (en su caso), y las denuncias que hayan realizado los usuarios por presunta vulneración de las medidas de seguridad. Obviamente, habría que valorar el tema del “non bis in idem”, pero no es lo mismo que en prensa aparezca “3 particulares denuncian brechas de seguridad de la empresa…” que un “La empresa denuncia la brecha de seguridad recibida y además se han presentado 200 denuncias”.

 En este sentido, la posición de España en el seno del Grupo de Trabajo DAPIX ha sido bastante crítica con este precepto debido a que notificar cualquier brecha de seguridad podría producir el colapso de las Autoridades de Control; el plazo de 24 horas es muy breve y es posible que no se cumpliese; y en cuanto al documento para realizar la notificación debería tener unas condiciones mínimas en función de cada sector, por lo que se sugiere eliminar el contenido de la notificación así como la obligación de notificar siempre, de tal manera que debería realizarse únicamente en aquellos supuestos que sean más graves o hayan producido mayores perjuicios a los titulares de los datos personales.

¿Cómo actuar ante estos casos?

La Guía de la Autoridad de Protección de Datos de Australia “Guide to handling personal information security breach” establece una serie de pautas para llevar a cabo cuando se comete una brecha de seguridad así como para realizar una labor preventiva que consistiría en ejecutar, entre otros, los siguientes pasos: identificación de los riesgos de seguridad teniendo en cuenta los perjuicios que las brechas de seguridad podrían causar en la organización; desarrollo e implantación de políticas que reduzcan los riesgos de seguridad previamente identificados; formación al personal en materia de seguridad y concienciación, dándoles a conocer los protocolos y políticas que haya adoptado sobre esta cuestión la organización; designar a una responsable de seguridad en la empresa; introducir medidas de seguridad como control de accesos, copias de seguridad o encriptación; control y revisión de las medidas y protocolos de seguridad implantados; y finalmente, realizar Informes de Impactos de Privacidad así como auditorías

Asimismo, si bien precisa que no se establece sanción para el caso que se haya comprobado que efectivamente ha habido una brecha vulnerando la normativa de protección de datos, esa Autoridad de Control si puede intermediar entre las partes, e incluso imponer una sanción o compensación económica que sería revisable en vía judicial. Además, la notificación no es obligatoria pero esa Autoridad “trata de venderla” en base a que es beneficioso para la organización que se haya visto comprometida: supone que la citada organización se preocupa por la protección de datos, y sirve para prevenir de futuras fugas en el futuro.

 El “Caso INTECO”

Tenemos un ejemplo para ilustrar lo que ahora va a hacer Pepephone (la comunicación a la AEPD): lo que le pasó a INTECO en su día.

Los hechos ocurrieron en junio del año 2011 cuando un hacker se coló en la base de datos de usuarios de la plataforma de formación online de Inteco, robando datos personales referentes a nombres, apellidos, teléfonos, dirección y sexo, y publicándolos en la página web de Confianza On Line.

La AEPD e INTECO tenían firmado (7 de abril de 2008) un Convenio de Colaboración, donde obviamente, no se contempla la obligación de notificar brechas de seguridad, sino que estamos hablando de un convenio de carácter formativo y de acciones de difusión de la protección de datos y la seguridad. 

 Nada más recibir la notificación, la AEPD, decidió abrir un expediente de actuaciones previas de investigación. Sin embargo, decidió aplicar la figura del apercibimiento ya que estimó “que INTECO reaccionó de forma diligente el día en que se hace público el acceso (6 de junio de 2011) dirigiéndose a los sitios web en los que fueron publicados los datos y a Google para que los datos fueran retirados de dichos sitios web, y que la incidencia no resulta de una ausencia total de medidas de seguridad. Por otra parte, consta que el lapso transcurrido entre cada una de las solicitudes de información por parte del programa atacante hizo muy difícil la detección del ataque en el momento de producirse éste. Estas circunstancias, junto con las características del ataque efectuado por el intruso, se valoran para fundamentar el acuerdo de apercibimiento, y la no apertura de procedimiento sancionador, a pesar del volumen de datos accedido y de la falta de medidas de seguridad del sistema de información diseñado por la propia entidad constatada.”

Y como dije al principio, sigo teniendo mis dudas, salvo que se busque una disminución de la sanción. Entre otras cosas, porque al realizar la comunicación se está declarando uno culpable echando por tierra la presunción de inocencia.

Además, aunque la finalidad sea esa disminución, no olvidemos que dependerá del criterio de la AEPD.

Lo que sí tengo claro es que si fuera Pepephone alegaría el “Caso INTECO” para no ser sancionado y que se aplicase la figura del apercibimiento (siempre y cuando no haya sido sancionado con anterioridad y sea aplicable la citada figura).


5 comentarios

  1. Álvaro Del Hoyo
    2 de mayo de 2013 @ 13:23

    Buenas, Javier

    PepePhone no tiene que esperar al Reglamento europeo, como tampoco ningún operador

    Ver el artículo 34 de la Ley 32/2003

    http://www.boe.es/buscar/act.php?id=BOE-A-2003-20253&p=20120331&tn=1#a34

    Tanto la Directiva como nuestra Ley hablan de “un abonado o usuario”

    Tienes una guía de ENISA a este respecto, pero me temo no viene tampoco a aclarar tus dudas

    http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/dbn/at_download/fullReport

    Un saludo

    Responder

  2. Amedeo Maturo Senra
    2 de mayo de 2013 @ 17:37

    Hola,
    En Italia, a partir del 26 de abril, es obligatorio, para las empresas de telefonía y los proveedores de Internet, proceder a la declaración. Link del Garante della Privacy: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2390892 Una pena que no digan fecha y número della Gazzetta Ufficiale (el BOE italiano).

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*