Actualmente las empresas
recopilan, almacenan y tratan información de carácter personal contenidos en
distintos formatos: digital, audiovisual e impreso. En todos los casos, la
información debe ser tratada con las medidas
técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que
el tratamiento es conforme con el Reglamento General de Protección de Datos
(RGPD). Las medidas deben ser revisadas y actualizadas cuando sea necesario e incluirán las oportunas políticas de
protección de datos (art. 24 RGPD).
Esas medidas que han de
garantizar el uso correcto de los datos personales y la salvaguarda frente a
posibles violaciones de seguridad deben llevarse a cabo por defecto y desde el
diseño, esto es, antes de la creación de las bases de datos o archivos y el
inicio de recopilación, almacenamiento y tratamiento de dicha información (art. 25 RGPD).
Así mismo, cuando se
utilicen las nuevas tecnologías y entrañe un riesgo para los derechos y
libertades de las personas, es obligatorio hacer una evaluación de las
operaciones de tratamiento en la protección de datos personales (art. 35.1 RGPD).
Por tanto, estamos
hablando del establecimiento de una política de seguridad de la información con
medidas de prevención y actuación. Esta seguridad
de la información incluye la seguridad
informática para aquellos datos contenidos en soporte digital.
¿Qué se entiende por violación de la seguridad y
sus consecuencias?
Si nos atenemos a la definición
de la Real Academia Española y el artículo 4.12) RGPD, se entiende como el quebrantamiento
de una información exenta de riesgo ocasionando “la destrucción, pérdida o alteración accidental o ilícita de datos
personales transmitidos”. En otras palabras, el acceso no autorizado a
datos personales para destruirlos, perderlos o alterarlos.
Esta violación suele
producirse debido a errores o fallos de funcionamiento: tirar listados con información
de clientes a la papelera sin antes triturar el papel, robo de usuarios y
contraseñas para acceder a datos personales, etc. A estos fallos se les denomina
brechas de seguridad y las consecuencias suelen “entrañar daños y perjuicios físicos, materiales o inmateriales para las
personas físicas, como pérdida de control sobre sus datos personales o
restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras,
reversión no autorizada de la seudonimización, daño para la reputación, pérdida
de confidencialidad de datos sujetos al secreto profesional, o cualquier otro
perjuicio económico o social significativo para la persona física en cuestión”
(Considerando 85 RGPD).
Constatación efectiva de la violación de la
seguridad
Para la Agencia Española de Protección de Datos
(AEPD) no es suficiente la mera
sospecha de una brecha en la seguridad, es necesario registrar y documentar
todas las acciones que confirman la violación de la seguridad: características
de la brecha, tipo de datos y categorías afectadas, consecuencias de los afectados,
etc.
Deber de notificación en caso de violación de la
seguridad
Cuando se produce una
brecha de seguridad que afecta a los datos personales, el responsable del
tratamiento debe notificarlo a la autoridad de control (en el caso de España a
la Agencia Española de Protección de
Datos) dentro de las 72 horas desde que se tiene constancia de la violación
de seguridad (art. 33.1 RGPD).
En la notificación deberá
describirse la naturaleza de la violación, las categorías y el número
aproximado de registros y personas afectadas; el nombre y los datos de contacto
del Delegado de protección de datos para obtener más información; las posibles
consecuencias derivadas de la violación; y las medidas adoptadas o propuestas
por el responsable del tratamiento para hacer frente a la violación de
seguridad (art. 33.3 RGPD).
Si fuera la persona que
procesa los datos (encargado del tratamiento) quien tuviera conocimiento de la
violación de seguridad, debe comunicarlo sin dilación al responsable del
tratamiento (art. 33.2 RGPD).
Notificación al interesado
Con el fin de que la
persona afectada por la violación de seguridad tome las medidas oportunas al
entrañar un riesgo para sus derechos y libertades, el responsable del
tratamiento debe comunicárselo inmediatamente en un lenguaje claro y sencillo (art. 34.1 y 2 RGPD).
Por ejemplo, cuando se
produce un robo masivo de usuarios y contraseñas vinculados a correos
electrónicos o robo de números de tarjetas de crédito. El responsable debe
informar a los afectados para que estos cambien inmediatamente las contraseñas
o soliciten a la entidad bancaria la anulación de dicha tarjeta.
Si la gravedad de la
violación de seguridad y el esfuerzo por notificarlo a los afectados es desproporcionada,
podrá optarse por una comunicación pública.
Casos de violación de la seguridad de los datos
personales
Son muchos los casos que
han salido en los medios de comunicación por la gravedad y la categoría de
datos:
1. Equifax. Esta empresa recopila información crediticia o de morosos de millones de
personas en Estados Unidos y otros países (en España opera como EQUIFAX IBERICA S.L. con su fichero
denominado ASNEF). El 29 de julio de 2017 se produjo una brecha de seguridad en
su web permitiendo el robo de datos de 143 millones de personas. Se llevaron
datos personales, números de tarjetas de crédito, contraseñas, números de la Seguridad
Social, etc.
2. Ashley Madison. En julio de 2015 se hizo público la noticia del
robo de datos personales del portal de contactos extramatrimoniales Ashley
Madison, cuya empresa propietaria es Avid
Life Media (ALM), con sede en Toronto (Canadá). Según distintas fuentes,
entre ellas The Guardian, los crackers se llevaron 37 millones de datos de
usuarios, incluidas tarjetas de crédito.
3. Sony. El acceso no autorizado en los servicios online de PSN y Qriocity entre
los días 17 y 19 de abril de 2011, supuso el robo de 77 millones de cuentas de PlayStation. Entre los datos más
importantes, además de los personales, estaban los números de tarjetas de
crédito (con su fecha de caducidad), correos electrónicos, nombres de usuario y
contraseñas. A la compañía le costó aproximadamente unos mil millones de euros.
4. VTech. El 14 de noviembre de 2015 la empresa de juguetes china sufrió el robo de
5 millones de cuentas y perfiles de niños y adultos de todo el mundo. Se
llevaron datos personales además de correos electrónicos, nombre de usuarios y
contraseñas, preguntas y respuestas de recuperación de contraseña, direcciones
IP o descargas de historiales.