La semana pasada saltó la noticia: El Corte Inglés fue víctima de un ataque informático con robo de datos personales de sus clientes, en la que se incluía información sobre su identificación, contacto y número de tarjetas para compras en sus puntos de venta. ¿Cómo lograron acceder a estos datos? A través de un ciberataque a uno de los proveedores externos de los grandes almacenes, pero la empresa aseguró que este incidente “se identificó y se subsanó inmediatamente a través de nuestros protocolos de detección y seguridad”. Así lo comunicó a los usuarios afectados la noche del domingo 2 de marzo. Y es que esta es una de las obligaciones con las que tienen que cumplir las empresas cuando han sufrido una brecha de seguridad con filtración de datos personales, pero ¿con qué otras responsabilidades legales deben cumplir?
Los ciberataques están a la orden del día. Y es que unos días después se supo que la aseguradora Generali también sufrió un ataque online que afectó a la información de exclientes procedentes de Liberty Seguros o que realizaron alguna gestión a través de BBVA Seguros, entidad que comercializaba las coberturas de Liberty. Según adelantó El Economista, los datos comprometidos fueron nombre y apellidos, dirección, teléfono, correo electrónico, NIF, fecha y país de nacimiento, estado civil y el IBAN de la cuenta bancaria. Como se puede comprobar, es información altamente sensible.
En ambos casos, las empresas afectadas informaron a los usuarios titulares de los datos de que su información personal había sido accedidos a través de una brecha.
¿Qué es una brecha de datos personales?
No todos los ciberincidentes pueden ser considerados una brecha de datos personales. Según el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), son “aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
En este sentido, no serán catalogados dentro de esta categoría los incidentes que no afecten a datos personales, es decir, de personas físicas identificadas o identificables; los que no afecten a tratamientos de datos personales llevados a cabo por un responsable o un encargado; y los que ocurran en tratamientos llevados a cabo por una persona física en el ámbito doméstico.
Notificación a la autoridad e información a los usuarios
Tanto en el caso de El Corte Inglés como en el de Generali, se ha informado a los usuarios de los datos personales a los que se ha accedido de manera indebida. Y es que cuando se produce una brecha de datos personales, los responsables del tratamiento deben cumplir con algunos requisitos.
En primer lugar, en cuanto el responsable del tratamiento tenga conocimiento del acceso no autorizado, debe notificarlo en un plazo máximo de 72 horas a la Autoridad de Control si es probable que la brecha constituya un riesgo para los derechos y libertades de las personas. El RGPD prevé una excepción a esta obligación: si el responsable puede garantizar que es improbable que la brecha de datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.
Por otra parte, si en vez del responsable es un encargado del tratamiento el que ha detectado la brecha de datos, deberá enviar toda la información necesaria al responsable para que pueda cumplir con sus obligaciones en tiempo y forma: deberá documentar la brecha y evaluar la necesidad de notificar ante la Autoridad de Control y de informar a los afectados. Si el contrato lo recoge así, el encargado podrá realizar la notificación de brecha de datos personales en nombre de los responsables.
Tal como señala la Agencia Española de Protección de Datos (AEPD) en su “Guía para la notificación de brechas de datos personales”, algunos criterios para evaluar el riesgo de una brecha, es el tipo de acceso, la naturaleza de los datos personales (el volumen y si tienen carácter sensible), la facilidad para identificar a las personas, la gravedad de las consecuencias para los derechos y libertades, las características particulares del responsable de tratamiento, el número de personas afectadas, entre otras consideraciones.
Si se concluye que la brecha supone un alto riesgo para los derechos y libertades de las personas afectadas, se deberá informar a los afectados sin dilación (salvo en algunos casos excepcionales) con un mensaje claro, sencillo, conciso y transparente. Los factores que hay que tener en cuenta son tres: en primer lugar, las obligaciones legales y contractuales; los riesgos que conlleva la pérdida de confidencialidad, integridad o disponibilidad de sus datos personales, de los servicios asociados a dichos datos personales, así como del compromiso de la identidad o identificación de los interesados (con el foco en los perjuicios a sus derechos fundamentales, los daños físicos, daños reputacionales, fraudes, etc; y por último, si los daños serán irreversibles, si se puede evitar o mitigar los daños inmediatos y los posibles perjuicios posteriores.
Los casos en los que no será necesario notificar a los usuarios, según la AEPD, son aquellos en los que el responsable del tratamiento ha adoptado medidas técnicas y organizativas para evitar los riesgos citados, minimizar los daños a los derechos y libertades o logran que estos sean reversibles. También su las medidas de protección mitigan total o parcialmente el posible impacto y no es posible que el alto riesgo se materialice.
¿Y después del incidente?
De acuerdo con la “Guía nacional de notificación y gestión de ciberincidentes”, aprobada por el Consejo Nacional de Ciberseguridad, una vez que los sistemas se han estabilizado y recuperado su funcionamiento, es decir, cuando el ciberincidente está controlado, es necesario realizar una reflexión sobre las lecciones que se han aprendido con el evento: qué ha sucedido, cuáles han sido las causas del problema, cómo se ha desarrollado la actividad durante el episodio, qué problemas asociados han surgido.
El objetivo es extraer aprendizajes y adoptar las medidas adecuadas a fin de evitar que el acceso de terceros no autorizados se vuelva a producir. También detectar las áreas en las que hay que reforzar los protocolos.
Asimismo, es conveniente realizar un informe detallado del ciberataque, que incluya la descripción de las causas y el coste, centrándose en el nivel de compromiso de la información y en el impacto en los servicios prestados. El documento debe incluir las medidas que se deben implantar en la organización para prevenir incidentes informáticos similares en el futuro.