LA AEPD LO CONFIRMA: LA NOTIFICACIÓN DE UNA BRECHA DE SEGURIDAD NO IMPLICA MULTA AUTOMÁTICA.

La Agencia Española de Protección de Datos (en adelante, AEPD) archiva el expediente abierto contra la Dirección General de la Guardia Civil (en adelante, DGGC) tras notificar una brecha de seguridad que afectó aproximadamente a unas 50.000 personas. La DGGC sufrió un ciberataque que comprometió los datos de 50.000 personas, alrededor de unos 150.000 registros vinculados a la Guardia Civil.

Tras la notificación de la brecha por parte de la DGGC, la AEPD abrió la oportuna investigación y, pese a la idea común de “si notificamos una brecha a la AEPD, nos sancionan seguro”, la AEPD archivó este expediente sin sanción alguna.

Con este archivo, la AEPD ha desmontado una idea muy común en el día a día de la protección de datos, en donde, el miedo a ser sancionado lleva en ocasiones a retrasar e incluso evitar el cumplimiento de las obligaciones en protección de datos, concretamente, notificar una violación de seguridad en cuanto se tiene conocimiento de ella, en el plazo máximo de 72 horas.

En este caso, el 29 de diciembre de 2024 una aplicación corporativa de la Guardia Civil sufrió un incidente de seguridad y, tras detectarlo, el 10 de enero de 2025 la DGGC notificó esta brecha de seguridad ante la AEPD. A simple vista, por el número de afectados (50.000 personas), de primeras, podría intuirse que este expediente acabase en sanción.

Trayendo a colación el artículo 32 del RGPD que obliga al responsable y al encargado del tratamiento a aplicar medidas técnicas y organizativas apropiadas, cabe resaltar la inmediata respuesta de la Guardia Civil que, de entre las diversas medidas que adoptaron, destacan las siguientes:

  • Difusión de comunicado interno sobre el incidente en toda la red corporativa.
  • Reunión con las distintas unidades de la organización para investigar el ciberataque y localizar la causa del mismo.
  • Traslado de información y comunicación constante con el Comité de Seguridad de la Información de la Guardia Civil.
  • Realización exhaustiva de un análisis técnico para poder determinar el alcance real del ciberataque.

Pues bien, el fundamento jurídico en el que la AEPD apoya su decisión de archivo fue la Sentencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE) de 24 de septiembre de 2024, asunto C-768/21, cuyo origen fue un supuesto alemán en el que la autoridad de control decidió no imponer sanción al investigar una violación de seguridad. El TJUE en esta Sentencia fue claro no puede deducirse ni del artículo 58, apartado 2, del RGPD ni del artículo 83 de este la existencia de una obligación a cargo de la autoridad de control de adoptar, en todos los casos, cuando constate una violación de la seguridad de datos personales, una medida correctora, en particular una multa administrativa, siendo su obligación, en tales circunstancias, reaccionar adecuadamente para subsanar la deficiencia constatada. (…) En estas circunstancias, como señaló el Abogado General en el punto 81 de sus conclusiones, el autor de una reclamación cuyos derechos han sido vulnerados no dispone de un derecho subjetivo a que la autoridad de control imponga una multa administrativa al responsable del tratamiento”.

Es decir, ni el RGPD obliga a sancionar por el simple hecho de sufrir una brecha de seguridad, ni la persona afectada por dicha brecha tiene un derecho absoluto a exigir la imposición de una multa. Esto se debe a que la obligación de toda autoridad de control no es sancionar, sino reaccionar de forma adecuada para solventar y/o corregir las deficiencias detectadas.

El TJUE en este Asunto C-768/21 fue más allá admitiendo, de forma excepcional, que la autoridad de control no deba incluso ni imponer medidas correctoras, cuando se diesen las siguientes circunstancias:

  • La violación de seguridad no debe continuar en el momento de resolución del expediente.
  • El responsable del tratamiento, previo al incidente, ha implementado las medidas técnicas y organizativas oportunas.
  • En cuanto la entidad tiene conocimiento de la brecha, adopta las medidas de seguridad necesarias para solventar el incidente acaecido.

Aplicando este razonamiento del TJUE, la AEPD concluye que, de forma excepcional y atendiendo al caso concreto, no procede actuar de manera correctiva y acuerda el archivo de las actuaciones.

Es importante resaltar que la AEPD no indica que no hubiese ocurrido ningún fallo de seguridad o que renuncie a su capacidad de sancionar por regla general, sino que como expresamente indica, el archivo se acuerda “sin perjuicio de las posibles actuaciones que la Agencia pueda lleva a cabo”. De esta manera, quedan claros dos puntos:

  1. La sanción no es la norma general, sino la excepción cuando el responsable del tratamiento no actúa diligentemente con anterioridad y posterioridad a sufrir una brecha de seguridad.
  2. Notificar una brecha de seguridad e iniciar un procedimiento de investigación no equivale, automáticamente, a recibir una sanción por parte de la AEPD.

Este caso concreto ofrece unas pautas muy útiles para cualquier entidad u organización sobre la manera de enfrentarse o actuar ante un incidente de seguridad:

  • Notificar a tiempo la brecha de seguridad es parte de la solución.
  • Actuar proactivamente y contar con las medidas de seguridad adecuadas previo a cualquier incidente importa. La reacción posterior puede ser positiva, pero no compensa la ausencia total de una prevención previa.
  • Reaccionar a tiempo determina el hilo del procedimiento de investigación. Es importante demostrar una actitud reactiva y proactiva desde el momento en el que se tiene constancia de la incidencia: comunicación al personal responsable, activación de comités de seguridad, análisis técnico del alcance del incidente, notificación ante la autoridad de control si procede, comunicación a los afectados…
  • Demostrar que las medidas adoptadas para mitigar y solventar la brecha son oportunas y han funcionado. No basta con actuar en el momento, sino con poder demostrar que el problema queda finalmente resuelto.
  • La AEPD se reserva la posibilidad de actuar con posterioridad, por ende, es importante registrar y documentar la gestión del incidente, así como monitorizar y supervisar el seguimiento de las medidas correctoras adoptadas.

Este expediente de la AEPD nos recuerda que el derecho a la protección de datos y su cumplimiento no es automático, sino que debe analizarse cada caso en concreto, como en el presente, en el que la Agencia no sanciona por el simple hecho de que una entidad haya sufrido una brecha de seguridad. La AEPD sanciona cuando detecta negligencia, falta de medidas adecuadas o una reacción tardía e insuficiente.

El archivo de este expediente de la DGGC refleja que la respuesta de la autoridad de control ha de ser proporcional a la conducta del responsable, no una consecuencia automática del mero hecho de haber sufrido un incidente. La AEPD, en este sentido, “premia” haber actuado diligentemente antes, durante y después de la brecha.  Es esta la verdadera lección del caso: se sanciona la negligencia, no la brecha.

Por eso, el mensaje que debe interiorizar cualquier organización como responsable del tratamiento es doble. Por un lado, notificar a tiempo no es un acto de exposición frente a la AEPD, sino lo contrario. Y, en segundo lugar, la notificación de la brecha o violación de seguridad puede no derivar en sanción cuando se hace de buena fe y con información que lo respalde, es decir, medidas de seguridad adecuadas, medidas correctivas apropiadas, reacción inmediata, etc. Es decir, el silencio, ocultación o pasividad son los verdaderos factores de que dicha notificación termine en sanción.

En definitiva, ante cualquier violación de seguridad será clave estar preparado para gestionarlo y actuar diligentemente, por ende, es importante cambiar la mentalidad y no interpretar el hecho de notificar como una posibilidad de aumentar el riesgo de ser sancionado por la AEPD, sino todo lo contrario, como el primer paso para demostrar el cumplimiento normativo en protección de datos por parte de la organización.

Para más información sobre brechas de seguridad y una correcta actuación puedes consultar más información en nuestro Blog y en este artículo de nuestra compañera Sandra Pérez.