No ha sido el primer escándalo de robo de información y posterior publicación,
ni será el último aunque al tratarse de información obtenida de una plataforma
utilizada por casados que son o que pretenden ser infieles, ha causado un gran
impacto mediático. Aunque esta compañía no se encuentra ubicada en Europa, pero
si opera ofertando sus servicios a europeos, la tomaremos como ejemplo de lo que
a cualquier empresa le puede pasar y de las consecuencias que puede acarrear.
Concretando en el supuesto de España, lo primero que se tendría que hacer una
vez ocurrido un evento de tales características es presentar la correspondiente
denuncia, puesto que estaríamos ante un presunto delito de descubrimiento y
revelación de secretos (art 197 y ss. del Código Penal) y, en su caso, ante otro
delito de daños informáticos (artículo 264 y ss. del Código Penal).
A pesar del daño reputacional que sufre la empresa al quedar al descubierto su
vulnerabilidad, su Know How y los datos personales de sus clientes, y aun siendo
una víctima en estos casos, no queda exonerada automáticamente de
responsabilidad por el acceso ilegítimo a la información que contenga datos de
carácter personal (clientes, empleados, contactos, etc). Y esto es así porque el
artículo 9 de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos
de carácter personal establece en su artículo 9 el deber de implantar medidas de
seguridad y el artículo 10 establece un deber de secreto en los tratamientos de
datos. Por su parte el Título VIII (artículos 79 a 114) del Real Decreto
1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo
de la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de
carácter personal, regula las medidas de seguridad a adoptar e implantar cuando
se traten datos de carácter personal.
De todas las medidas de seguridad a implementar, queremos destacar el denominado
Registro de incidencias, que de acuerdo con el artículo 90 del RD 1720/2007
consiste en: “Deberá existir
un procedimiento de notificación y gestión de las incidencias que afecten a los
datos de carácter personal y establecer un registro en el que se haga constar el
tipo de incidencia, el momento en que se ha producido, o en su caso, detectado,
la persona que realiza la notificación, a quién se le comunica, los efectos que
se hubieran derivado de la misma y las medidas correctoras aplicadas”.
De tratarse de datos de nivel medio o alto, el artículo 100 obliga además a
consignar “los procedimientos realizados de recuperación de los datos,
indicando la persona que ejecutó el proceso, los datos restaurados y, en su
caso, qué datos ha sido necesario grabar manualmente en el proceso de
recuperación”, siendo necesaria la autorización del responsable del fichero
para la ejecución de los procedimientos de recuperación de los datos. Esta
obligación a día de hoy es de carácter interno para la empresa, quedando
únicamente reseñada en el anexo correspondiente del documento de seguridad.
En cuanto a la aplicación de estas medidas de seguridad, debe precisarse que
tanto la Agencia Española de Protección de Datos (entre otras,
Resolución R/01477/2013 de 21 de junio, Resolución R/01093/2012 de 5 de junio o
Resolución R/00434/2011 de 28 de febrero)
como la Audiencia Nacional (como por ejemplo la SAN 4898/2008
de 11 de diciembre de 2008 recurso nº 36/2008),
entienden que esta obligación de implementar medidas de seguridad no es una
obligación de poner medios, sino que se trata de una obligación de resultado,
como así resuelve la sentencia mencionada: “Como ha dicho esta Sala en
múltiples sentencias, entre otras la 28 de junio de 2006, el
obligación que dimana del artículo 9 de la LOPD, no basta con la adopción de
cualquier medida, pues deben ser las necesarias para garantizar aquellos
objetivos que marca el precepto "Se impone, en consecuencia, una
obligación de resultado, consistente en que se adopten las medidas necesarias
para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.
En definitiva y como manifiesta el Abogado del Estado en la contestación, la
recurrente es, por disposición legal, una deudora de seguridad en materia de
datos, y por tanto debe dar una explicación adecuada y razonable de como los
datos han ido a parar a un lugar en el que son susceptibles de recuperación por
parte de terceros, siendo insuficiente con acreditar que adopta una serie de
medidas, pues también es responsable de que las mismas se cumplan y se ejecuten
con rigor.
En definitiva
toda responsable de un fichero (o encargada del tratamiento) debe asegurarse de
que dichas medidas o mecanismos se implementen de manera efectiva en
la práctica sin que, bajo ningún concepto, datos bancarios o cualquier
otro datos de carácter personal pueda llegar a manos de terceras personas."
Llegados a este punto queremos avanzar una nueva obligación que incorporará el
futuro Reglamento General de Protección de Datos que vendrá a sustituir a la
obsoleta Directiva 95/46CE y que hoy ya es una obligación para los operadores de
comunicaciones electrónicas en virtud de lo establecido en el artículo 41.3 de
la Ley 9/2014 General de Telecomunicaciones que dispone que “En caso de
violación de los datos personales, el operador de servicios de comunicaciones
electrónicas disponibles al público notificará sin dilaciones indebidas dicha
violación a la Agencia Española de Protección de Datos. Si la violación de los
datos pudiera afectar negativamente a la intimidad o a los datos personales de
un abonado o particular, el operador notificará también la violación al abonado
o particular sin dilaciones indebidas”, todo ello en virtud de lo
establecido en el REGLAMENTO (UE) No 611/2013 DE LA COMISIÓN de 24 de junio de
2013 relativo a las medidas aplicables a la notificación de casos de violación
de datos personales en el marco de la Directiva 2002/58/CE del Parlamento
Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas. Por
su parte, la AEPD ha implantado ya un sistema de notificación preceptiva de
quiebras de seguridad en su Sede electrónica para posibilitar el cumplimiento de
esta obligación.
En espera de ver cómo queda el texto final, si partimos de lo establecido en la
propuesta de la Comisión Europea, en los artículos 31 y 32, la violación de
datos personales se tendrá que notificar a la autoridad de control sin demora
justificada. Igualmente dispone el texto de la propuesta que: “cuando sea
probable que la violación de datos personales afecte negativamente a la
protección de los datos personales o a la privacidad del interesado, el
responsable del tratamiento, después de haber procedido a la notificación
contemplada en el artículo 31, comunicará al interesado, sin demora
injustificada, la violación de datos personales”.
Lo realmente importante es que la empresa puede evitar el bochorno público y el
tener que pasar por el mal trago de tener que comunicar a sus clientes esa
violación de datos personales, ya que según dispone la propuesta de RGPD “La
comunicación de una violación de datos personales al interesado no será
necesaria si el responsable del tratamiento demuestra, a satisfacción de la
autoridad de control, que ha implementado medidas de protección tecnológica
apropiadas y que estas medidas se han aplicado a los datos afectados por la
violación. Dichas medidas de protección tecnológica deberán hacer ininteligibles
los datos para cualquier persona que no esté autorizada a acceder a ellos”.
Como esta exoneración también está contemplada para los operadores de
comunicaciones electrónicas que vimos anteriormente, el Grupo de Trabajo del
Artículo 29 de la Directiva 95/46/CE ha elaborado ya un
Dictamen 03/2014 sobre la notificación de violación de datos personales en
el que incluye algunos supuestos prácticos. Cabe destacar que el Grupo de
Trabajo entiende que la utilización de un sistema de cifrado adecuado exime de
la obligación de notificación al interesado lo que parece que no ha ocurrido en
el supuesto analizado a raíz de las noticias publicadas. Téngase en cuenta que
el caso de Ashley Madison ha saltado a los medios tanto por el tipo de negocio
(fomentar la infidelidad) como por los datos publicados y los afectados,
incluyendo direcciones de correo electrónico de sitios de lo más “insospechado”.
No siempre un hackeo y posterior publicación de lo robado aparecerán en medios,
pero lo que sí que es cierto es que a futuro si no hemos realizado bien los
deberes, nos tocará confesarnos con nuestros clientes y usuarios, por lo que
debemos irnos preparando para lo que viene. Para evitar un daño reputacional que
en algunos casos puede ser irreparable, estas serían algunas de las vías en las
que deberíamos ir empezando a actuar:
-
Implantar políticas
eficaces de privacy by design y security by design que incluyan la adopción de
medidas adecuadas y razonables al estado de la ciencia, al tamaño de la empresa
y al tipo o volumen de datos tratados y no olviden la formación y concienciación
del personal que maneja esos datos.
-
Documentar
detalladamente los procesos implantados y las incidencias producidas que
permitan ir acostumbrando a la organización a cumplir con el principio de la
accountability que introduce la futura normativa.
|