Con el verano comienza la temporada de festivales, momentos de disfrute en los que no debemos olvidar que para acceder a estos o comprar las entradas nos van a solicitar datos de carácter personal. Este tratamiento de datos de carácter personal implica que las entidades que organicen y gestionen dichos festivales han de cumplir con la normativa de aplicación en materia de protección de datos:
En el presente artículo nos centraremos en analizar una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD) relacionada con lo indicado, PS-00456-2024:
Todo comienza cuando los reclamantes informan que el 11 de abril de 2023 ocurrió una brecha de datos personales en el sitio web de un conocido festival de música. Ese día, al ingresar al sitio para confirmar la dirección de envío de las pulseras del evento, los usuarios podían ver datos personales de otros usuarios registrados en la plataforma. Como evidencia, se adjuntan capturas de pantalla con información sensible de terceros y un correo enviado por la organización ese mismo día solicitando la verificación de direcciones. En base a esto la AEPD abre el proceso de investigación.
Como resultado de las actuaciones realizadas, se confirma que la entidad reclamada no notificó la brecha de datos a la Agencia Española de Protección de Datos. La entidad justificó esta decisión argumentando que, tras un análisis del incidente, no consideraron que existiera un riesgo alto para los derechos y libertades de las personas afectadas, basándose en el volumen, tipo y grado de exposición de los datos comprometidos.
La brecha ocurrió cuando se habilitó un formulario en la web para que los asistentes al festival confirmaran su dirección postal. El problema surgió debido a un error humano durante la migración de la plataforma a un nuevo servidor, en la que no se desactivó una micro-caché de 2 segundos. Este fallo provocó que, durante ese breve periodo, algunos usuarios pudieran ver los datos personales de otros al acceder al formulario. La situación fue calificada por la entidad reclamada como un error puntual e involuntario.
Cuando la entidad detecto la brecha a las 15:15 procedió a cerrar el formulario para minimizar el impacto. Posteriormente, ajustaron la duración del incidente entre las 14:45 y las 15:15, coincidiendo con la documentación presentada. El 12 de abril, comenzaron a recibir quejas de usuarios afectados, y dos días después publicaron un comunicado en su web explicando lo ocurrido.
Tras detectar la brecha, la entidad cerró de inmediato el formulario afectado, revisó su seguridad, desactivó la micro-caché y restauró el sistema en unos 30 minutos. Las acciones fueron ejecutadas por su proveedor técnico (encargado del tratamiento), quien también analizó y documentó el incidente ese mismo día. El error permitió que algunos usuarios visualizaran datos de otros durante el acceso al formulario.
En cuanto al impacto de la brecha, la entidad reclamada estimó que un número indeterminado de usuarios pudo haber sido afectado por la brecha, aunque no todos los que accedieron vieron datos ajenos. Se aportaron listados diferenciando entre usuarios posiblemente afectados y usuarios afectados con certeza. La brecha afecta a datos como nombre, apellidos, dirección postal, teléfono y correo electrónico. En total, había 29.140 usuarios registrados, y la entidad reclamada indicó que los datos modificados durante el incidente fueron descartados, restaurando los originales para mantener la integridad.
Respecto a lo expuesto la entidad reclamada declara que el incidente de seguridad no ha afectado derechos ni libertades de los usuarios, ya que no se han visto comprometidos datos personales sensibles ni información de pago, como números de tarjetas bancarias. El encargado del tratamiento concluye que se trata de una brecha que afecta únicamente a la confidencialidad de ciertos datos personales, pero sin representar un riesgo significativo. Por tanto, no se considera necesario notificar el incidente a la autoridad de control ni a los afectados, conforme al RGPD. Se ha simulado la evaluación de la brecha de seguridad en la propia plataforma de la AEPD (Asesora Brecha) y se concluye que no es necesario comunicarla a los afectados, según el artículo 34 del RGPD, ya que no implica un riesgo alto para sus derechos y libertades. Sin embargo, se sugiere por parte de la autoridad de control que podría hacerse de forma voluntaria como muestra de transparencia. La decisión final corresponde exclusivamente al responsable del tratamiento, y el uso de esta herramienta no implica una opinión oficial de la AEPD.
Antes de que se dictara resolución, la entidad reclamada presentó el 20 de enero de 2025 el justificante de pago con una reducción del 20% por pronto pago. Posteriormente, el 17 de febrero de 2025, confirmó su renuncia a cualquier acción o recurso en vía administrativa, conforme al artículo 85.3 de la LPACAP.
A este respecto la AEPD sanciona en base a los siguientes artículos del RGPD:
- Por la infracción del Art. 5.1 f) del RGPD: 2.000€ al vulnerar la confidencialidad, dado que algunos usuarios han podido ver datos de otros usuarios, que no les correspondía visualizar ni conocer.
- Por la infracción del Art. 32 del RGPD: 1.500€ medidas de seguridad inadecuadas: La Agencia destaca la ausencia de una medida de seguridad que fue adoptada posteriormente de forma reactiva (según informó la sancionada), en concreto la implementación de VPN para asegurar las comunicaciones entre los usuarios autorizados y los servidores. De ello se deduce y evidencia que esta medida no estaba implantada con anterioridad y podía estar implantada.
Tras haber procedido la parte reclamada al pronto pago, aunque sin reconocimiento de
responsabilidad, se procede, en virtud del artículo 85 de la LPCAP, a la reducción de
un 20 % del total mencionado, lo cual supone la cantidad definitiva de 2.800 €.
Entonces ¿Cómo se de actuar para gestionar una brecha de seguridad?
Ya hemos analizado en uno de nuestros artículos (ver aquí), las principales novedades incluidas en la actualización de la Guía para la notificación de brechas de datos personales, de la AEPD.
Vamos a ver qué debemos de hacer a continuación para así evitar una posible sanción por parte de la Agencia Española de Protección de Datos (AEPD):
- En primer lugar, se recomienda contar con un procedimiento en el cual estén indicadas las pautas de actuación para estos casos, así como quienes serán los responsables dentro de la organización a los que hemos de informar (Dirección, Delegado de Protección de Datos, Responsable TIC, etc.).
- En segundo lugar, una vez detectada y evaluada la brecha de datos personales, durante su resolución se debe documentar el proceso con toda la información que se vaya recopilando. Esta documentación será adjuntada al registro de incidentes que deben mantener los responsables de los tratamientos.
También debe constar en dicho registro la información relativa a las decisiones tomadas sobre la notificación a la autoridad competente y, en su caso, la comunicación a los afectados.
No existe un modelo estándar de registro de incidentes, sino que, cada organización debe utilizar el que considere más conveniente y que se integre en sus sistemas de gestión
- En tercer lugar, el responsable de tratamiento debe valorar las posibles consecuencias que la brecha supone sobre los afectados y su severidad.
Una vez valorados estos extremos, si la brecha de seguridad constituye un riesgo para los derechos y libertades de los interesados se debe de notificar ante la AEPD en un plazo máximo de 72 horas. La notificación se realizará aquí.
- A mayor abundamiento, si además la brecha de seguridad entraña un alto riesgo para los derechos y libertades de los interesados. deberá comunicarse sin dilación indebida a los afectados a través del medio que se suela utilizar para comunicarse con ellos, con un lenguaje claro y sencillo. Esto permitirá que los afectados puedan reaccionar cuanto antes y tomar las medidas oportunas, porque en dicha comunicación se les deberá explicar claramente lo sucedido y las medidas recomendadas para que puedan minimizar o eliminar las consecuencias negativas que pueda tener la brecha sobre ellos.
Como podemos comprobar, si contamos con un procedimiento interno en el que tengamos pautado el modo de actuación ante este tipo de incidentes, todo será mucho más sencillo para todos los miembros de la organización. Además, con la documentación de registro permitiremos a la AEPD comprobar que hemos realizado una valoración previa del riesgo que supone la violación de seguridad, los efectos provocados y las medidas correctivas adoptadas. Por lo tanto, si seguimos los pasos indicados por parte de la AEPD actuaremos con garantías de evitar una sanción como la que hemos analizado en el presente artículo.
