La Pesadilla del DPO: Enfrentando Brechas de Seguridad de Datos

En el complejo mundo de la privacidad de los datos y el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, los Delegados de Protección de Datos (DPD o DPO en sus siglas en inglés), desempeñan un papel crucial en la supervisión y el asesoramiento sobre el cumplimiento de las regulaciones de privacidad. Uno de los desafíos más significativos y temidos que un DPO puede experimentar es lidiar con una brecha de seguridad de datos. Vamos a ver, por qué las brechas de seguridad son la pesadilla de un DPO y cómo pueden abordar este desafío.

El Rol del DPO: Más Allá del Cumplimiento

El papel del Delegado de Protección de Datos (DPO), también conocido como DPD (Delegado de Protección de Datos), es fundamental en el marco de la privacidad de los datos y el cumplimiento del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Aunque gran parte de la atención se centra en el cumplimiento de las regulaciones de privacidad, las funciones del DPO abarcan un alcance más amplio, lo que va más allá de simplemente garantizar el acatamiento de las normativas.

Las funciones del DPO están claramente definidas en el artículo 39 del RGPD, y se resumen en los siguientes puntos clave:

  1. Información y Asesoramiento: Una de las responsabilidades centrales del DPO es informar y asesorar al responsable o al encargado del tratamiento de datos, así como a los empleados que participan en el procesamiento de datos. Esto incluye proporcionar orientación sobre las obligaciones estipuladas en el RGPD y otras normativas aplicables en materia de protección de datos. El DPO actúa como un recurso de conocimiento esencial, ayudando a la organización a comprender y cumplir sus responsabilidades legales.
  2. Supervisión del Cumplimiento: El DPO tiene la tarea de supervisar de manera activa el cumplimiento del RGPD y otras regulaciones pertinentes relacionadas con la protección de datos. Esto no se limita únicamente a asegurarse de que las políticas y procedimientos de la organización estén alineados con las normativas, sino que también implica monitorear la asignación de responsabilidades, la concienciación y formación del personal involucrado en el tratamiento de datos, y la realización de auditorías para evaluar el grado de cumplimiento.
  3. Asesoramiento en Evaluación de Impacto: El DPO ofrece asesoramiento sobre la evaluación de impacto relativa a la protección de datos, según lo establecido en el artículo 35 del RGPD. Esto implica ayudar a la organización a identificar y evaluar los riesgos asociados con ciertos procesos de tratamiento de datos y garantizar que se tomen medidas adecuadas para mitigar esos riesgos. La supervisión de la aplicación de estas evaluaciones también recae en el DPO.
  4. Cooperación con la Autoridad de Control: El DPO actúa como un punto de contacto vital entre la organización y la autoridad de control en cuestiones relacionadas con el tratamiento de datos. Esto incluye facilitar la consulta previa cuando sea necesario, según lo establece el artículo 36 del RGPD, y responder a consultas de la autoridad de control sobre una variedad de asuntos relacionados con la privacidad de los datos.

El rol del DPO va más allá del cumplimiento normativo. Si bien asegurarse de que la organización cumple con las regulaciones es esencial, el DPO también desempeña un papel fundamental en la promoción de una cultura de privacidad, la gestión proactiva de riesgos y la comunicación efectiva con las partes interesadas internas y externas. Además, actúa como una figura clave en la protección de la privacidad de los datos y en la construcción de la confianza en una era digital donde la seguridad de la información es esencial.

La Pesadilla de una Brecha de Seguridad

Una violación de seguridad de los datos, comúnmente conocida como «brecha de datos personales», es un incidente que involucra la destrucción, pérdida, alteración accidental o ilícita de datos personales, así como la comunicación o el acceso no autorizados a estos datos. El Reglamento General de Protección de Datos (RGPD) proporciona una definición amplia de lo que constituye una brecha de seguridad de datos y establece requisitos para su manejo y notificación.

Este tipo de incidentes puede variar en su naturaleza y gravedad, y pueden incluir situaciones como la pérdida de un dispositivo que contiene datos personales, el acceso no autorizado a sistemas de almacenamiento de datos por parte de empleados o personas externas, o incluso la eliminación accidental de registros de datos personales. Lo importante es que cualquier evento que pueda poner en peligro la seguridad o la privacidad de los datos personales debe ser considerado como una brecha de seguridad de datos.

Las consecuencias de una brecha de datos personales pueden ser tanto materiales como inmateriales. Pueden incluir la discriminación de las personas cuyos datos se han visto comprometidos, el robo de identidad, pérdidas económicas, la divulgación no autorizada de información confidencial y otros tipos de daños. El RGPD reconoce la importancia de proteger los derechos y libertades de los interesados cuyos datos se ven afectados por una brecha de seguridad.

Es fundamental destacar que se considera que se tiene constancia de una brecha de datos personales cuando se tiene certeza de que ha ocurrido y se posee un conocimiento suficiente sobre su naturaleza y alcance. Esto implica que la organización debe estar segura de que ha ocurrido un incidente antes de notificarlo a las autoridades pertinentes y a los individuos afectados. La notificación prematura de sospechas sin evidencia sólida podría generar preocupación innecesaria y dificultades en la gestión de la brecha de datos.

El Rol del DPO en la Respuesta a Brechas de Seguridad

Es fundamental que el responsable del tratamiento de datos esté preparado para la posibilidad de una brecha de seguridad y establezca un plan de acción en caso de que ocurra. Para ello, se debe tener un conocimiento completo de qué datos personales se están tratando, cómo se están manejando y cuáles son los riesgos potenciales asociados. La implementación de mecanismos para la detección temprana de brechas de seguridad de datos personales es esencial.

En el momento en que se detecta una brecha de seguridad, el responsable del tratamiento debe poner en marcha de inmediato el plan de actuación. Este plan debe incluir tareas específicas diseñadas para resolver la brecha, minimizar sus consecuencias y prevenir futuras ocurrencias.

Además, en el caso de una brecha de seguridad, es esencial recopilar información relevante que ayudará a tomar decisiones informadas y a emprender las acciones necesarias para cumplir con los objetivos establecidos, así como para determinar si es necesario notificar a la autoridad de control y a las partes afectadas.

La información clave que debe recopilarse incluye:

  1. Medio por el que se produjo la brecha: Es decir, cómo ocurrió la brecha. Puede haber ocurrido debido a la pérdida de un dispositivo con datos personales, un robo, la publicación accidental de datos, el envío a la dirección equivocada, un ataque de ransomware, una intrusión no autorizada en un sistema de información, el engaño a un empleado a través de phishing, entre otros.
  2. Origen de la brecha: Es importante determinar si la brecha tuvo un origen interno o externo y si fue intencionada o accidental.
  3. Categorías de datos afectados: Se debe identificar si se trata de datos básicos, como credenciales o datos de contacto, o si son categorías especiales, como datos de salud.
  4. Volumen de datos afectados: Esto incluye tanto el número de registros de datos afectados como el número de personas afectadas.
  5. Categorías de las personas afectadas: Se debe determinar si se trata de clientes, empleados, estudiantes, abonados, pacientes u otros grupos, y si entre ellos hay colectivos vulnerables.
  6. Información temporal de la brecha: Es fundamental registrar cuándo comenzó la brecha, cuándo se detectó y cuándo se espera resolverla o se resolvió.

La recopilación de esta información proporciona una base sólida para la toma de decisiones y la implementación de medidas correctivas necesarias en respuesta a una brecha de seguridad de datos.

La Agencia Española de Protección de Datos (AEPD) estableció un canal específico para la notificación de brechas de datos personales en el ámbito de las comunicaciones electrónicas. Este canal es único y obligatorio para cumplir con las disposiciones de la Directiva 2002/58 y la normativa nacional de transposición. Puedes acceder a este canal específico para notificar ciertas brechas de datos personales en el siguiente enlace: AQUÍ

plan de privacidad compliance

Si bien las brechas de seguridad de datos pueden ser la peor pesadilla de un DPO, su función es vital en la gestión y respuesta efectiva a estos incidentes. Aunque no sean personalmente responsables por las brechas, los DPO desempeñan un papel crucial en la protección de la privacidad de los datos y en la minimización de los daños cuando ocurren incidentes de este tipo. En última instancia, su labor contribuye significativamente a la seguridad de la información y al cumplimiento de las regulaciones de privacidad de datos en la era digital.

 

Ejemplo de Sanción por Brecha de Seguridad y notificación tardía

Un caso ejemplar en el que una empresa se enfrentó a una sanción considerable debido a su retraso en la notificación de una brecha de seguridad. La Agencia Española de Protección de Datos (AEPD) emitió una multa de 600.000€ a una aerolínea española, lo que sirve como un recordatorio contundente de la necesidad de cumplir con las regulaciones de notificación de brechas de seguridad.

El Caso: Notificación Tardía de una Brecha de Seguridad

En marzo de un año reciente, la AEPD tomó una decisión que llamó la atención de muchas empresas y organizaciones en España y en otros lugares. Esta agencia reguladora decidió sancionar a una aerolínea española con una multa sustancial de 600.000€. La razón detrás de esta sanción fue la notificación tardía de una brecha de seguridad que afectó a una cantidad significativa de personas, más de 489.000 individuos. Además, la empresa no proporcionó una justificación válida para la demora en la notificación.

Antecedentes de la Brecha de Seguridad

El incidente en cuestión se remonta al 29 de noviembre de 2018, cuando la aerolínea informó a la AEPD que había recibido una notificación de un banco con el que tenía relaciones comerciales. Esta notificación se refería a un incidente de seguridad que había activado su plan de respuesta a incidentes el 17 de octubre de 2018. Sin embargo, la notificación completa no se proporcionó hasta el 18 de enero de 2019, a través del formulario habilitado en la sede electrónica de la AEPD. Este informe incluía detalles sobre las medidas preventivas aplicadas antes del incidente, las medidas de contención y la justificación para no informar a los afectados.

La defensa de la compañía enfatizó que el número de reclamaciones recibidas de los usuarios afectados por el incidente fue extremadamente bajo, con solo 2 reclamaciones en total y sin solicitudes de compensación. Argumentaron que esto indicaba que los atacantes no pudieron acceder a información sensible de manera efectiva debido a las sólidas medidas de seguridad en su lugar.

La Complejidad de la Brecha y la Demora en la Detección

La demora en la notificación se debió a la naturaleza particularmente compleja de la brecha de seguridad. La empresa afirmó que se trataba de un ataque APT (Amenaza Persistente Avanzada), un tipo de ataque dirigido y altamente sofisticado que estaba diseñado para pasar desapercibido y evadir las medidas de seguridad convencionales. Los ataques APT son sigilosos y buscan filtrar información sensible de una organización mientras borran todas las huellas después de su finalización, lo que los hace extremadamente difíciles de detectar.

Las Alegaciones de la Compañía y el Procedimiento Sancionador

Durante el procedimiento sancionador, la aerolínea presentó alegaciones en las que afirmaba que sí notificaron la brecha de seguridad una vez que tuvieron indicios sólidos de que el ciberataque había afectado a un gran número de datos. También argumentaron que siempre respondieron a las solicitudes de la AEPD y cuestionaron la validez de la infracción del artículo 33 del RGPD (Reglamento General de Protección de Datos), que establece cómo debe notificarse una violación de la seguridad de los datos.

La empresa también expresó su desacuerdo con la gravedad de la sanción, dada la falta de agravantes y la presencia de atenuantes que, según ellos, no se tuvieron en cuenta.

Fundamentos de Derecho y Graduación de la Sanción

Según el artículo 33 del RGPD, tan pronto como el responsable del tratamiento tenga conocimiento de una violación de la seguridad de los datos personales, debe notificarla a la autoridad de control competente. La naturaleza y gravedad de la violación, el número de personas afectadas y la calidad de los datos comprometidos son factores clave a considerar al evaluar la sanción.

La multa de 600.000€ impuesta en este caso se basó en la gravedad de la brecha de seguridad, que afectó a una gran cantidad de personas, incluyendo a extranjeros, y comprometió datos bancarios y financieros. También se tuvo en cuenta el carácter continuado de la infracción y el volumen de negocio de la empresa, que es líder en el mercado español de transporte aéreo.

 

Si has llegado hasta aquí,
¿quieres más información de las soluciones CompaaS?

Contáctanos

Laworatory tratará los datos personales facilitados a través del presente formulario con la finalidad de gestionar su solicitud de contacto para agendar una demo de la herramienta de LAWORATORY, legitimando el consentimiento mostrado mediante la remisión del mismo. Puede obtener más información en nuestra Política de Privacidad, así como contactar con nuestro Delegado de Protección de Datos a través de dpd@laworatory.com.

Los campos marcados con asterisco (*) son obligatorios. En caso de no ser facilitados no podrá atenderse correctamente su solicitud.