En nuestra última publicación del blog (ver aquí), hemos analizado los informes mensuales emitidos por la Agencia Española de Protección de Datos (AEPD), respecto a las notificaciones de brechas de seguridad que ha recibido hasta el mes de noviembre del ya pasado año 2019. De tal análisis, hemos concluido que, de las 1296 notificaciones de brechas de seguridad recibidas, sólo 79 se llegaron a trasladar a la Subdirección General de Inspección de Datos para el esclarecimiento de los hechos y que, no obstante, se llegaron a archivar la mayor parte de las actuaciones, al haberse analizado tanto la diligencia de responsables y encargados, como las medidas que han sido aplicadas para evitar los posibles incidentes de seguridad (principio de responsabilidad proactiva).
La AEPD vuelve a reafirmarse en esta postura en una reciente resolución (PS/00305/2019), en la que, por el contrario, impone una sanción a una entidad la cual ha sufrido una brecha de seguridad, por considerar en este caso, que se ha producido una infracción del artículo 32 del Reglamento General Europeo de Protección de Datos (RGPD), al no haberse aplicado las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
En concreto, la brecha de seguridad a la que nos referimos consistió, en la pérdida de seis pendrives sin cifrar, que contenían datos personales de aproximadamente once mil personas. Este incidente tuvo lugar en la sede uno de los sindicatos más representativos, que se situaba dentro del edificio de la empresa, y le ocurrió precisamente a un Delegado de sección sindical, que por tal condición, tenía acceso a la oficina, y cuya propiedad de los pendrives ostentaba. Por ello, pese a que se trate de un trabajador de la empresa, la información no se ha visto afectada dentro de sus funciones como trabajador, sino como Delegado Sindical.
En primer lugar, debemos hacer referencia a que la empresa ha alegado que, la pérdida de los dispositivos de almacenamiento no ha sido en ningún caso consecuencia de una actitud negligente por su parte puesto que, la comunicación de los datos a los sindicatos está legitimada en el artículo 6.1 c) del RGPD, siendo el tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento (Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical). Además, hace hincapié en que, en dicha remisión, se han guardado todas las medidas de seguridad necesarias y que, de todas formas, ella no tiene ninguna potestad para decidir acerca de cómo tratar los datos, ni les da instrucciones a los sindicatos acerca de cómo tratar los mismos, puesto que precisamente se trata de una comunicación y no de un acceso a datos por cuenta de un tercero, propio de una relación responsable – encargado del tratamiento.
No obstante, pese a las alegaciones formuladas por la entidad y, tratarse de dos responsables del tratamiento totalmente independientes la AEPD ha sancionado únicamente a la empresa, considerando a ésta la única responsable de la infracción, resultando curiosa esta decisión de la AEPD a la hora de sancionar únicamente a la entidad, principalmente por no justificar o entrar a valorar sus alegaciones, y determinar realmente quien es el responsable del tratamiento en este caso, máxime cuando la brecha ha sido notificada tanto por la empresa como por el sindicato.
En segundo lugar, respecto a la imposición de la multa administrativa en sí misma, la AEPD en virtud del artículo 83.2 del RGPD y atendiendo al caso concreto, ha tenido en cuenta dos factores agravantes y uno atenuante a la hora de determinar la cuantía de la misma:
AGRAVANTES
- Se trata de una acción negligente sobre datos significativos que permiten la identificación de una persona (83.2b): puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación, datos de afiliación sindical, datos de salud e incluso infracciones penales o condenas.
- Atendiendo a la tipología y categoría de datos de carácter personal afectados por la infracción (83.2g): se encuentran afectados tanto identificadores personales básicos (nombre, apellidos, DNI, teléfono, dirección y circunstancias personales), como datos especialmente protegidos.
ATENUANTE
- Se han adaptado medidas para paliar los daños y perjuicios sufridos por los interesados (83.2c): la entidad, tras la incidencia producida, ha identificado exactamente los tratamientos de datos afectados, la tipología de datos de los mismos, y la ubicación de las bases de datos automatizadas. También se ha impartido formación para trabajar la concienciación de los empleados y se han colocado carteles en los despachos sobre la cultura de protección de datos (política de mesas limpias, bloqueo por inactividad, protección de dispositivos extraíbles, etc.)
Por todas estas razones, la AEPD ha sancionado en esta ocasión a la empresa con una multa de 60.000 euros; habiendo ya sancionado en otras ocasiones muy similares que han sido también analizadas en nuestro blog (ver aquí), al apreciar igualmente que no se había actuado con la diligencia debida y no haberse adoptado las medidas de seguridad necesarias y suficientes.
Es determinante, por tanto, tomar medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratarlos bajo las instrucciones del responsable.
Concretamente, ¿Qué medidas se pueden adoptar para proteger los dispositivos extraíbles? Siguiendo la Guía de Almacenamiento en dispositivos extraíbles, publicada por el Instituto Nacional de Seguridad (INCIBE), algunas de las normas de uso de dispositivos extraíbles que pueden garantizar dentro de una empresa la seguridad de la información corporativa que almacenan y la de los equipos a los que se conectan pueden ser:
- Llevar un registro de los dispositivos autorizados detallando los privilegios de acceso asignados a cada usuario que los necesite;
- Definir en qué condiciones o casos se permite su uso, así como definir el modo de acceso y si la información debe ir cifrada;
- Trabajar la concienciación de los empleados.
- Ofrecer alternativas a los medios de almacenamiento extraíble, como usar repositorios comunes para el intercambio de información, implantar la posibilidad de acceso remoto para poder trabajar desde fuera de la oficina o usar servicios de almacenamiento en la nube autorizados por la entidad.
- Establecer las configuraciones de seguridad necesarias para poder utilizarlos, por ejemplo, programando cambios periódicos de contraseña de acceso al dispositivo, implementando mecanismos de autenticación de usuarios o evitando que dispositivos no registrados puedan conectarse a los equipos de la empresa.
