MARKETING

COMUNICACIÓN

INTERNET

FORMACIÓN

RRHH

PUBLISHING & EVENTS

Q-LAWYER

DIRECTORIO

Noticias de Despachos

Operaciones

Vida Colegial Comunidad Legal Sistema Judicial Internacional
Arbitraje Mediación TIC Abogados Jóvenes Entrevistas Colaboraciones/Opinión Reportajes Agenda BLOGS LP emprende

 
 
01 de OCTUBRE de 2015

Gestión de brechas de seguridad en el futuro Reglamento General de Protección de Datos. A propósito del caso Ashley Madison

LAWYERPRESS

Por Francisco Ramón González-Calero Manzanares, Abogado especialista en privacidad y seguridad de la información. Certified Data Privacy Professional. Miembro de ISMS Forum Spain y ENATIC

 

Francisco Ramón González-Calero Manzanares, Abogado especialista en privacidad y seguridad de la información.No ha sido el primer escándalo de robo de información y posterior publicación, ni será el último aunque al tratarse de información obtenida de una plataforma utilizada por casados que son o que pretenden ser infieles, ha causado un gran impacto mediático. Aunque esta compañía no se encuentra ubicada en Europa, pero si opera ofertando sus servicios a europeos, la tomaremos como ejemplo de lo que a cualquier empresa le puede pasar y de las consecuencias que puede acarrear.

Concretando en el supuesto de España, lo primero que se tendría que hacer una vez ocurrido un evento de tales características es presentar la correspondiente denuncia, puesto que estaríamos ante un presunto delito de descubrimiento y revelación de secretos (art 197 y ss. del Código Penal) y, en su caso, ante otro delito de daños informáticos (artículo 264 y ss. del Código Penal).

A pesar del daño reputacional que sufre la empresa al quedar al descubierto su vulnerabilidad, su Know How y los datos personales de sus clientes, y aun siendo una víctima en estos casos, no queda exonerada automáticamente de responsabilidad por el acceso ilegítimo a la información que contenga datos de carácter personal (clientes, empleados, contactos, etc). Y esto es así porque el artículo 9 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal establece en su artículo 9 el deber de implantar medidas de seguridad y el artículo 10 establece un deber de secreto en los tratamientos de datos. Por su parte el Título VIII (artículos 79 a 114) del Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, regula las medidas de seguridad a adoptar e implantar cuando se traten datos de carácter personal.

De todas las medidas de seguridad a implementar, queremos destacar el denominado Registro de incidencias, que de acuerdo con el artículo 90 del RD 1720/2007 consiste en: “Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, o en su caso, detectado, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas”. De tratarse de datos de nivel medio o alto, el artículo 100 obliga además a consignar “los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación”, siendo necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. Esta obligación a día de hoy es de carácter interno para la empresa, quedando únicamente reseñada en el anexo correspondiente del documento de seguridad.

En cuanto a la aplicación de estas medidas de seguridad, debe precisarse que tanto la Agencia Española de Protección de Datos (entre otras, Resolución R/01477/2013 de 21 de junio,  Resolución R/01093/2012 de 5 de junio o Resolución R/00434/2011 de 28 de febrero) como la Audiencia Nacional (como por ejemplo la SAN 4898/2008 de 11 de diciembre de 2008 recurso nº 36/2008), entienden que esta obligación de implementar medidas de seguridad no es una obligación de poner medios, sino que se trata de una obligación de resultado, como así resuelve la sentencia mencionada: “Como  ha  dicho  esta  Sala  en  múltiples  sentencias,  entre  otras  la  28  de  junio  de  2006,  el  obligación que dimana del artículo 9 de la LOPD, no basta con la adopción de cualquier medida, pues deben ser las necesarias  para  garantizar  aquellos  objetivos  que  marca  el  precepto  "Se  impone,  en  consecuencia,  una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de como los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor.

En definitiva toda responsable de un fichero (o encargada del tratamiento) debe asegurarse de que dichas medidas  o  mecanismos  se  implementen  de  manera  efectiva  en  la  práctica  sin  que,  bajo  ningún  concepto, datos bancarios o cualquier otro datos de carácter personal pueda llegar a manos de terceras personas."

Llegados a este punto queremos avanzar una nueva obligación que incorporará el futuro Reglamento General de Protección de Datos que vendrá a sustituir a la obsoleta Directiva 95/46CE y que hoy ya es una obligación para los operadores de comunicaciones electrónicas en virtud de lo establecido en el artículo 41.3 de la Ley 9/2014 General de Telecomunicaciones que dispone que “En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas”, todo ello en virtud de lo establecido en el REGLAMENTO (UE) No 611/2013 DE LA COMISIÓN de 24 de junio de 2013 relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas. Por su parte, la AEPD ha implantado ya un sistema de notificación preceptiva de quiebras de seguridad en su Sede electrónica para posibilitar el cumplimiento de esta obligación.

En espera de ver cómo queda el texto final, si partimos de lo establecido en la propuesta de la Comisión Europea, en los artículos 31 y 32, la violación de datos personales se tendrá que notificar a la autoridad de control sin demora justificada. Igualmente dispone el texto de la propuesta que: “cuando sea probable que la violación de datos personales afecte negativamente a la protección de los datos personales o a la privacidad del interesado, el responsable del tratamiento, después de haber procedido a la notificación contemplada en el artículo 31, comunicará al interesado, sin demora injustificada, la violación de datos personales”.

Lo realmente importante es que la empresa puede evitar el bochorno público y el tener que pasar por el mal trago de tener que comunicar a sus clientes esa violación de datos personales, ya que según dispone la propuesta de RGPD “La comunicación de una violación de datos personales al interesado no será necesaria si el responsable del tratamiento demuestra, a satisfacción de la autoridad de control, que ha implementado medidas de protección tecnológica apropiadas y que estas medidas se han aplicado a los datos afectados por la violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos”. Como esta exoneración también está contemplada para los operadores de comunicaciones electrónicas que vimos anteriormente, el Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE ha elaborado ya un Dictamen 03/2014 sobre la notificación de violación de datos personales en el que incluye algunos supuestos prácticos. Cabe destacar que el Grupo de Trabajo entiende que la utilización de un sistema de cifrado adecuado exime de la obligación de notificación al interesado lo que parece que no ha ocurrido en el supuesto analizado a raíz de las noticias publicadas. Téngase en cuenta que el caso de Ashley Madison ha saltado a los medios tanto por el tipo de negocio (fomentar la infidelidad) como por los datos publicados y los afectados, incluyendo direcciones de correo electrónico de sitios de lo más “insospechado”. No siempre un hackeo y posterior publicación de lo robado aparecerán en medios, pero lo que sí que es cierto es que a futuro si no hemos realizado bien los deberes, nos tocará  confesarnos con nuestros clientes y usuarios, por lo que debemos irnos preparando para lo que viene. Para evitar un daño reputacional que en algunos casos puede ser irreparable, estas serían algunas de las vías en las que deberíamos ir empezando a actuar:

-          Implantar políticas eficaces de privacy by design y security by design que incluyan la adopción de medidas adecuadas y razonables al estado de la ciencia, al tamaño de la empresa y al tipo o volumen de datos tratados y no olviden la formación y concienciación del personal que maneja esos datos.

-          Documentar detalladamente los procesos implantados y las incidencias producidas que permitan ir acostumbrando a la organización a cumplir con el principio de la accountability que introduce la futura normativa.

 

 

 

 
 
 

 

 

 
 
 
 
 
 
Nosotros  /  Nuestro Equipo  / Contacto 

copyright, 2015 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain - 
Tel.: + 34 91 858 75 55  -  Fax: + 34 91 858 56 9777
info@lawyerpress.com  -  www.lawyerpress.com - Aviso legal