¿Cuándo hay que comunicar una brecha de seguridad? La AEPD sanciona a una entidad por no haber comunicado un hackeo.

Hace unas semanas veíamos en las redes cómo el sector de la privacidad se hacía eco de una resolución sancionadora de la Agencia Española de Protección de Datos, por incumplimiento de las previsiones del Reglamento General de Protección de Datos (RGPD), relativas a las obligaciones del responsable del tratamiento con respecto a las violaciones de seguridad.

En concreto, en el asunto acerca del cual se ha pronunciado la autoridad de control, los clientes de la entidad, ahora sancionada, recibieron una serie de emails con contenido de petición de cambio de datos personales, procedentes de cuentas con extensión de dominio diferente al oficial de la entidad (en adelante la reclamada).

En tales emails, no solo figuraban los datos personales identificativos y número de cuenta bancaria, sino que también se incorporaba un archivo adjunto.

Estos hechos fueron puestos en conocimiento de la AEPD por parte de uno de los propios afectados, cuando, ante la solicitud de información formulada a la entidad reclamada responsable de sus datos, no recibió respuesta alguna.

¿Qué llevó a la AEPD a acordar el inicio de procedimiento sancionador en este caso?

Es interesante conocer cuál es la documentación que, inicialmente, la AEPD solicitó a la entidad reclamada:

  • Copia de las comunicaciones, de la decisión adoptada remitida al reclamante a propósito del traslado de esta reclamación, y acreditación de que el reclamante recibió la comunicación de esa decisión.
  • Informe sobre las causas que han motivado la incidencia que ha originado la reclamación.
  • Informe sobre las medidas adoptadas para evitar que se produzcan incidencias similares.
  • Cualquier otra que considerase relevante.

A pesar de que la entidad reclamada aportó la documentación solicitada por la AEPD (Informe Riesgo RGPD, Procedimiento de Evaluación de Riesgo y Notificaciones de Violaciones de Seguridad, Informe de la incidencia, Contrato para la realización de Auditoría de Ciberseguridad y Respuesta al cliente), tras su examen y revisión, se admitió a trámite la reclamación presentada por el reclamante, de conformidad con el artículo 65 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), al entender la existencia de una posible vulneración de los artículos 33 y 34 del RGPD.

En concreto, los hechos pondrían de manifiesto el incumplimiento del deber de comunicar, tanto a la autoridad de protección de datos personales como a los interesados, la violación de la seguridad de sus datos.

Recordemos que estos artículos del RGPD establecen:

Artículo 33.1.: en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

Artículo 34.1.Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

A este respecto, y del análisis de la documentación aportada, se confirmó el intento de hackeo de las cuentas de clientes, reconociendo la propia entidad reclamada el error en la gestión de la solicitud del reclamante, así como la existencia de un malware en la cuenta de correo de una trabajadora, suplantando su identidad y usando correos que se habían enviado a la misma.

Así, y sin perjuicio de que la entidad reclamada, en cumplimiento de lo establecido en su procedimiento interno de Evaluación de Riesgo y Notificaciones de Violaciones de Seguridad analizó los hechos con el fin de determinar la idoneidad o no de proceder a la comunicación del incidente, determinó que no era necesario realizar dichas comunicaciones a la autoridad de control y a los interesados.

Por todo ello, y para determinar, en una valoración inicial, la existencia de una infracción tipificada en el artículo 83.4 del RGPD, la AEPD estimó la concurrencia de los siguientes factores:

  • La conducta de la reclamada es fruto de una falta de diligencia en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos.
  • La naturaleza y gravedad de la infracción, brecha de seguridad declarada.
  • La ausencia de notificación a la autoridad de control acerca de los hechos producidos.
  • La ausencia de notificación a los interesados la posible afectación a sus derechos dada la categoría de datos afectados, datos bancarios.
  • El número de afectados por la brecha.
  • El grado de responsabilidad del responsable del tratamiento, habida cuenta de las medidas técnicas u organizativas aplicadas y que fueron vulneradas, así como la categoría de los datos afectados.
  • La actividad de la entidad presuntamente infractora está vinculada con el tratamiento de datos tanto de clientes como de terceros.
  • El volumen de negocio de la reclamada.

En atención a todo lo expuesto, y al contenido de la resolución, consideramos que una vez más se ha desaprovechado la oportunidad de poder conocer un criterio fundamentado por parte de la AEPD en lo que respecta a los supuestos en los que una violación de seguridad constituye un riesgo para los derechos y libertades de las personas físicas, y por tanto debe ser comunicado a la AEPD, y cuándo este es alto y exige la correspondiente comunicación a los interesados.

La fundamentación que podemos extraer de esta resolución como criterio seguido por la APED, y así para aplicarla en supuestos similares es la siguiente:

  1. La AEPD indica que en brechas o incidencias de este tipo deberá realizarse la notificación dentro del plazo máximo de 72 horas conforme a las previsiones del RGPD.

Sin embargo, cuando se refiere a “brechas o incidencias de este tipo”, no sabemos si ha de entenderse el tipo de incidente concreto; malware que permitió el intento de hackeo de las cuentas de clientes, o si se extendería a cualquier tipo de ataque informático, aunque las categorías de datos y colectivos afectados fuesen diferentes (si por ejemplo no se hubiesen visto afectados datos de clientes y no se incluyesen entre la tipología de datos información bancaria).

  1. El número de afectados por la brecha. Aunque es uno de los factores que ha de tenerse en consideración de cara a la valoración de la gravedad de un incidente, y que en este supuesto ha llevado a la AEPD a inclinarse hacia la resolución sancionadora, se desconoce el número de afectados por la brecha.
  2. Volumen de negocio de la reclamada. De igual modo que en el caso anterior, y aunque conocer el nombre de la entidad reclamada permite averiguar determinada información respecto a su volumen de negocio, se echa en falta más detalle y análisis por parte de la AEPD a este respecto.

Tal vez la autoridad de control hubiese profundizado más en estas cuestiones si la entidad reclamada no hubiese procedido al pago voluntario de la multa propuesta, y el procedimiento hubiese seguido adelante.

Tampoco queremos dejar de apuntar que no es la primera vez que no se aprovecha una resolución para aclarar términos o conceptos que suscitan grandes dudas entre los sujetos obligados al cumplimiento normativo en materia de protección de datos. Claro ejemplo de ello lo encontramos en la sonada sanción a Glovo por no haber designado un Delegado de Protección de Datos, que no nos permitió conocer cuál es el criterio que la AEPD siguió en ese caso para determinar que esta entidad realiza un tratamiento de datos a gran escala.

En cualquier caso, de la mano de los informes que la AEPD emite en relación con las violaciones de seguridad notificadas (se pueden consultar aquí en el apartado Datos de notificaciones), podemos ver cómo se comportan las entidades ante la ausencia de unas pautas más claras por parte de la autoridad de control. Así, en el último informe disponible del mes de junio, podemos ver, entre otros, los siguientes datos relativos a las brechas que se han notificado:

Medios de materialización de las brechas de seguridad.

A pesar de que la AEPD no entra a valorar si estas brechas notificadas, atendiendo a los medios de materialización lo fueron de manera correcta y necesaria, podemos ver que el hacking (medio de materialización del incidente en el caso analizado), es el cuarto medio más habitual, objeto de notificación ante la AEPD. 

Categorías de datos.

Llama la atención de forma considerable que en el apartado de categorías de datos afectados solamente se reflejen los relativos a condenas o infracciones penales o categorías especiales de datos, ni en los datos de este último informe de la AEPD, ni en anteriores. Entonces ¿solo se notifican violaciones de seguridad en las que se han visto afectadas estas tipologías de datos? Entendemos que la respuesta a esta cuestión debería de ser negativa, si tenemos en consideración y aplicamos el criterio fijado por la propia AEPD en la resolución analizada, ya que solamente se vieron afectados datos identificativos y bancarios relativos a los clientes de la entidad reclamada.

Sin perjuicio de todo lo expuesto, nos gustaría concluir recordando la publicación de este Blog en la que tratábamos de dar respuesta a la pregunta ¿Cómo responde la AEPD ante la notificación de una brecha de seguridad?, y en la que no solamente se analizaba el comportamiento de la AEPD ante una notificación de brecha de seguridad, sino que también se comentan las Directrices sobre la notificación de las violaciones de la seguridad de los datos personales de acuerdo con el Reglamento 2016/679 (WP 250) del antiguo Grupo de Trabajo del Artículo 29 (actual CEPD).