Una violación de datos personales es un fallo de seguridad que pone en peligro datos personales.
El RGPD regula cómo deben protegerse los datos personales de las violaciones de datos, y este artículo explorará el tema de las violaciones de datos en relación con el RGPD.
La gravedad de las violaciones de datos puede variar considerablemente.
Por un lado, la pérdida accidental de datos puede producirse sin intención maliciosa y sin la participación de terceros malintencionados.
Por otra parte, los ataques deliberados de piratas informáticos que pretenden acceder a los datos o hacer un uso indebido de ellos presentan riesgos considerables. Estas violaciones selectivas aumentan la probabilidad de divulgación no autorizada, lo que provoca daños significativos a personas y organizaciones.
El RGPD tiene una serie de requisitos que regulan cómo deben actuar las empresas cuando se produce una violación de datos personales.
Curiosamente, esto también requiere que su empresa tenga la capacidad de identificar una violación de datos cuando se produce para poder detenerla y mitigarla.
En el RGPD, la ignorancia no es excusa para el incumplimiento. Por lo tanto, su organización debe estar atenta a las violaciones de datos y prepararse para responder a ellas.
Cómo identificar una violación de datos
Es importante ser capaz de identificar una violación de datos porque es lo primero que hay que hacer para prevenirla e identificarla cuando se produzca.
¿Qué es una violación de datos personales?
En el contexto del RGPD, una violación de la seguridad de los datos personales se define de la siguiente manera:
“Se entenderá por “violación de datos personales” toda violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, conservados o tratados de otra forma”.
Simultáneamente, una violación de la seguridad de los datos personales también se considera un incidente de seguridad de la información. En la norma de seguridad de la información ISO 27000, un incidente de seguridad de la información se describe como una situación en la que se produce un suceso identificable que afecta a un sistema, servicio o red. Este hecho sugiere un incumplimiento de la política de seguridad de la información o un fallo en las medidas de seguridad. También podría tratarse de un caso que no haya sido reconocido previamente pero que sea potencialmente significativo para la seguridad.
Es importante tener en cuenta que solo los incidentes de seguridad de la información relacionados con datos personales entran en la definición de violación de datos personales del RGPD.
Por lo tanto, no todos los incidentes de seguridad de la información se consideran una violación de datos personales. Por ejemplo, la detección de patrones inusuales de tráfico en la red podría clasificarse como incidente de seguridad, pero no significa necesariamente que se haya producido un acceso no autorizado o una revelación de datos personales.
Este escenario muestra la necesidad de una cuidadosa consideración para determinar si se ha producido una verdadera violación de datos personales, lo cual es importante para comprender y aplicar eficazmente las normas del RGPD.
Diversas violaciones de datos
El objetivo del RGPD es proteger los datos personales, por lo que evitar las violaciones de datos personales es una de las preocupaciones centrales del Reglamento.
Por lo tanto, debe ser consciente de cómo pueden producirse en la práctica las violaciones de datos personales, de modo que pueda aplicar las medidas adecuadas para prevenirlas e identificarlas en caso de que se produzcan.
Un informe de Verizon sobre investigaciones de violaciones de datos muestra que 3 de cada 4 violaciones de datos incluyen un elemento humano, con personas implicadas por error, uso indebido de privilegios, robo de credenciales o ingeniería social.
Las violaciones de datos pueden producirse a través de diversos canales y a menudo tienen su origen en salvaguardias inadecuadas de su organización, que podrían mitigarse.
Tipos de violaciones de datos
A continuación, exploraremos algunos de los principales tipos de violaciones de datos para darle una idea de cómo se producen.
Hackear
El pirateo informático consiste en acceder sin autorización a los sistemas de datos aprovechando las vulnerabilidades técnicas de sus sistemas.
Un pirata informático suele identificar puntos débiles en la arquitectura de seguridad de un sistema, como componentes de software obsoletos, conexiones de red inseguras o sistemas mal configurados. Una vez que los piratas informáticos encuentran una vulnerabilidad, utilizan diversos métodos, como la inyección de código malicioso o el uso de credenciales robadas, para saltarse las medidas de seguridad e infiltrarse en el sistema.
Divulgación accidental
La divulgación accidental de datos personales suele deberse a errores humanos. Ejemplos típicos son el envío por error de correos electrónicos a destinatarios incorrectos o la configuración errónea de bases de datos que dejan datos privados accesibles al público.
Robo o pérdida física
Las filtraciones de datos pueden producirse por la pérdida o el robo de dispositivos como ordenadores portátiles, discos duros o teléfonos inteligentes que almacenan datos personales. Esto pone de manifiesto la necesidad de adoptar medidas de seguridad física, además de salvaguardias digitales, como el cifrado de los discos duros en caso de robo de un dispositivo.
Amenazas internas
Las amenazas internas son una fuente importante de violaciones de datos en las organizaciones y afectan aproximadamente al 20% de los incidentes de seguridad. Se producen cuando los empleados u otras personas con acceso legítimo a la información provocan una violación de forma intencionada o accidental. Este riesgo subraya la importancia de aplicar protocolos de seguridad internos.
Ataques de ransomware y malware
Los ataques de ransomware y malware son tipos de infracciones en las que se utiliza software malicioso para comprometer la seguridad de su sistema. Por lo general, el ransomware cifra los datos y los mantiene como rehenes a cambio de un rescate, mientras que otros tipos de malware pueden extraer información de forma encubierta. Estos ataques ponen de relieve la necesidad de defensas antimalware y actualizaciones periódicas del sistema para garantizar que los programas maliciosos no puedan explorar software obsoleto.
Causas de las violaciones de datos
Los tipos de filtraciones de datos mencionados no se producirían sin una combinación de medidas de seguridad inadecuadas, errores internos y agentes externos malintencionados. A continuación exploraremos algunas causas de las violaciones de datos.
Contraseñas débiles o reutilizadas
Los usuarios de programas informáticos suelen crear contraseñas que pueden recordar y reutilizar en distintas cuentas, lo que los hace vulnerables. Las contraseñas sencillas o de uso común son fáciles de descifrar, lo que ofrece un punto de entrada a los piratas informáticos para acceder a los sistemas.
Una vez que los piratas informáticos han puesto en peligro una contraseña reutilizada, varias cuentas serán vulnerables al acceso de los piratas informáticos.
Ataques de phishing
Un ataque de phishing es una técnica engañosa en la que un ciberdelincuente se hace pasar por otra persona para que la víctima realice un acto, por ejemplo, revelar información sensible. Un ataque de phishing suele realizarse enviando correos electrónicos imitando a una persona de confianza y engañando al destinatario para que haga clic en un enlace malicioso o facilite datos personales.
El fraude del CEO es un ejemplo de ataque de phishing en el que los hackers establecen una identidad falsa de una figura de confianza como el CEO, que luego pediría a la víctima, a menudo un empleado, que transfiriera dinero, hiciera una compra en su nombre o revelara información secreta.
La infame estafa del “príncipe nigeriano” es otro ejemplo de ataque de phishing. En este caso, el “príncipe nigeriano” solicita ayuda para transferir una gran suma de dinero y le recompensará falsamente (a la víctima) con una pequeña comisión.
Vulnerabilidades del software
El software evoluciona rápidamente, y el que usted utiliza a diario añade continuamente nuevas funciones, actualizaciones de rendimiento, etc., para garantizar su buen funcionamiento y su integración con los sistemas de los que depende.
Su empresa utiliza mucho software, lo que requiere un trabajo importante para garantizar que todo funcione a la vez que se mantienen las actualizaciones del software.
Esto suele dar lugar a programas informáticos obsoletos o sin parches, propensos a las brechas, ya que los atacantes pueden aprovecharse de estas debilidades.
Error humano
El error humano es la causa de 1 de cada 10 violaciones de datos, según el Informe de Verizon sobre investigaciones de violaciones de datos.
Los empleados están expuestos a importantes cambios tecnológicos y se espera de ellos que hagan más en menos tiempo en entornos de trabajo de ritmo acelerado. Por eso, en las organizaciones se cometen a diario errores como el envío de datos a destinatarios incorrectos o la mala gestión de la información.
Por ello, la formación de los empleados en materia de protección de datos, ciberseguridad y cumplimiento de la normativa es una medida organizativa muy utilizada para aumentar la seguridad.
Medidas de seguridad inadecuadas
La falta de una infraestructura de seguridad completa, que incluya una seguridad deficiente de la red, una formación insuficiente de los empleados y controles de acceso deficientes, aumenta la vulnerabilidad ante diversas amenazas.
Tanto las pequeñas como las grandes empresas tienen dificultades para aplicar medidas de seguridad adecuadas. Como ya se ha mencionado, la velocidad del desarrollo, la escala del tratamiento de datos, las complejidades organizativas, el ritmo del cambio y la falta de talento, presupuestos y concienciación sobre la seguridad de la información hacen que las organizaciones tengan medidas de seguridad inadecuadas.
Las pequeñas empresas a menudo necesitan adquirir conocimientos sobre seguridad y la implantación y el mantenimiento les resultan costosos. Para las grandes empresas, el tamaño de la organización puede complicar la tarea de garantizar la seguridad en todos los rincones.
Ejemplos de violaciones de datos personales
En las secciones anteriores, hemos explorado los tipos de violaciones de datos y algunas de las causas que permitirían que se produjeran.
Con el fin de proporcionar una comprensión más clara del concepto de violación de datos personales tal como se define en el RGPD, los siguientes ejemplos pueden servir de ilustración:
- Una persona no autorizada, ya sea de fuera o de dentro de la empresa, accede a datos personales a los que no debería tener acceso.
- Un empleado cambia o borra accidentalmente información personal, lo que provoca una pérdida de datos involuntaria.
- Alguien accede a datos personales, como números de la seguridad social o información de tarjetas de crédito, debido a una brecha en un servidor de la empresa.
- Un empleado comparte información privada sobre un cliente con otra persona, ya sea por error o a propósito, lo que da lugar a una divulgación no autorizada.
- La pérdida o el robo de dispositivos como ordenadores portátiles o teléfonos inteligentes que contengan datos personales sin cifrar permite el acceso no autorizado a los datos personales almacenados en los dispositivos.
- Los datos personales se envían por error a la persona equivocada por correo electrónico o tradicional.
- Un ciberataque, como el phishing o el malware, roba datos personales de los sistemas de la empresa.
- Los datos personales se exponen accidentalmente en un sitio web público debido a errores de codificación o a una mala configuración.
- Un empleado consulta datos personales sin una razón comercial válida, infringiendo las políticas internas de acceso a los datos.
- Los datos personales se eliminan de forma insegura, por ejemplo, los registros en papel no se trituran adecuadamente, por lo que alguien puede encontrar datos personales en el contenedor de basura fuera del edificio.
Estos ejemplos son sólo algunas de las infinitas formas en que los datos personales pueden verse comprometidos y dar lugar a una violación de datos.
Repercusiones de las violaciones de datos en las personas
Las repercusiones de una violación de datos pueden afectar significativamente a las personas afectadas, desde pequeñas molestias hasta situaciones graves que alteren sus vidas. La naturaleza de la violación de los datos, las categorías de datos personales comprometidos y las personas afectadas influyen a la hora de determinar la gravedad de las consecuencias.
Los siguientes ejemplos ilustran algunas de las consecuencias negativas de una violación de datos:
Tratamiento médico incorrecto
Una violación de los datos sanitarios podría conducir a un tratamiento médico erróneo si se altera información crítica como las alergias o los detalles de la medicación, lo que podría causar graves complicaciones de salud.
Fraude financiero
La exposición de datos financieros personales puede dar lugar a fraudes financieros, en los que las víctimas pueden perder dinero por transacciones no autorizadas o usurpación de identidad.
Pérdida de empleo
Si los expedientes laborales confidenciales quedan al descubierto o se manipulan, pueden perderse oportunidades profesionales, producirse despidos improcedentes y afectar significativamente al medio de vida de una persona.
Robo de identidad
Una consecuencia común y grave de las violaciones de datos personales es la usurpación de identidad, en la que la identidad de la víctima se utiliza para actividades ilegales, lo que podría acarrear complicaciones legales para el individuo o problemas similares.
Chantaje y extorsión
La exposición de información personal puede conducir al chantaje y la extorsión, especialmente si los datos incluyen fotos comprometedoras, mensajes o información que la persona desea mantener en privado.
Consecuencias jurídicas
A veces, las personas se encuentran en una situación en la que necesitan pasar por batallas legales para limpiar su nombre o arreglar actividades fraudulentas que se hicieron utilizando su identidad. Por desgracia, esto puede acabar costándoles mucho dinero en honorarios de abogados.
Daños a la reputación
La revelación de información personal delicada, como las preferencias sexuales, puede conducir a la estigmatización social y dañar la reputación personal y profesional del individuo.
Riesgos futuros para la seguridad
Los datos robados pueden utilizarse con fines delictivos continuados, lo que expone a las personas a un mayor riesgo de ciberdelincuencia y a riesgos para su seguridad personal.
RGPD y violación de datos personales
El RGPD establece requisitos y procedimientos específicos para gestionar las violaciones de datos.
Obviamente, su organización está incentivada para responder a las violaciones de datos personales con prontitud para mitigar los daños, pero el RGPD también regula cómo debe responder su organización.
A continuación se examinará cómo mantener el cumplimiento del RGPD al gestionar una violación de datos.
Requisitos del RGPD en caso de violación de datos
Cuando se ha identificado una violación de datos, debe tomar medidas inmediatas para contener la violación y garantizar el cumplimiento del RGPD, incluida una comunicación clara con las partes interesadas, la notificación a las personas afectadas y el mantenimiento de una documentación interna exhaustiva.
El RGPD es un marco que debe seguir. Además, también le ayuda a garantizar que gestiona las violaciones de datos de forma que sirva a todas las partes interesadas afectadas por la violación.
Estos requisitos para gestionar una violación de datos personales se explican en las siguientes secciones.
Notificación a las autoridades
Cuando detecte una violación de datos en su organización, debe notificarlo inmediatamente a la autoridad de control. El plazo para realizar esta notificación es de 72 horas desde que se tiene conocimiento de una violación de datos.
Si su notificación se retrasa más de 72 horas, debe incluir una explicación de los motivos del retraso a la autoridad de control.
Cuando sea improbable que la violación de los datos suponga un riesgo para cualquier persona, no está obligado a notificarlo a la autoridad de protección de datos.
Puede saber más sobre cómo evaluar una infracción en este artículo, en el que también se especifica cuándo no está obligado a notificarlo a la autoridad de protección de datos.
Contenido de la notificación
La notificación a la autoridad de control debe describir los hechos de la violación de los datos personales, como la causa de la violación. Debe incluir las categorías de interesados y el número aproximado de interesados afectados por la violación, los tipos de datos personales incluidos, por ejemplo, dirección de correo electrónico, nombre de usuario, etc., y el número de éstos.
Debe incluir los datos de la persona de contacto de su organización, que sería el responsable de la protección de datos si ha designado uno.
La notificación debe describir las consecuencias probables para las personas afectadas y las medidas adoptadas o propuestas para hacer frente a la violación de los datos personales y mitigar las consecuencias para las personas.
Si no puede comunicar todos los datos en 72 horas, puede hacerlo por fases para respetar el plazo de 72 horas.
En cualquier caso, siempre debe documentar todas las violaciones de datos personales en sus registros internos de acuerdo con los requisitos mencionados. Las autoridades de protección de datos siempre pueden solicitar esta información para comprobar que ha cumplido estas normas.
Notificación a las personas afectadas
Cuando sea probable que la violación de datos suponga un alto riesgo para las personas afectadas, debe notificárselo inmediatamente para que puedan protegerse, por ejemplo, cambiando las contraseñas de las cuentas violadas.
La notificación debe ser clara y transparente sobre los hechos de la violación de datos e incluir al menos los detalles de la persona de contacto, por ejemplo, el responsable de protección de datos o similar, las consecuencias probables de la violación de datos y las medidas que su organización está tomando para mitigar las consecuencias negativas para estas personas.
La notificación debe hacerse directamente a las personas afectadas para garantizar que reciben la información, a menos que esto suponga un esfuerzo desproporcionado. Si es imposible garantizar que todo el mundo reciba la información directamente, se pueden utilizar medidas indirectas, como emitir una declaración pública, por ejemplo mediante un comunicado de prensa.
Encargados del tratamiento y violación de datos
La mayoría de las organizaciones recurren a proveedores, incluidos encargados del tratamiento.
Cuando un encargado del tratamiento detecte una violación de datos que afecte a los datos tratados por cuenta del responsable del tratamiento, deberá notificarlo inmediatamente al responsable del tratamiento. Esto permitirá al responsable del tratamiento (su organización) cumplir con su obligación de informar de la violación de datos a las autoridades de protección de datos y a las personas afectadas.
Evaluación de una violación de datos
Es importante determinar el impacto previsto de una violación de datos para gestionarla con eficacia. A continuación se analizará cómo podría afectar a las personas una violación de datos.
Tipo de infracción
La naturaleza de una violación de datos influirá en sus repercusiones sobre las personas afectadas. El robo de un disco duro cifrado que resulta en la pérdida del número de la seguridad social de una persona difiere de cuando una mala configuración revela públicamente el número de la seguridad social.
La sensibilidad de los datos personales
La sensibilidad de los datos personales en cuestión influye en la evaluación del riesgo. Por ejemplo, una revelación pública accidental de información sobre los antecedentes penales, las deudas o el estado de salud de alguien podría tener implicaciones de mayor alcance que la exposición de su dirección de correo electrónico o su número de teléfono.
Riesgo de identificación
Los datos personales pueden haber estado implicados en una violación de datos, pero debe considerar la facilidad con la que se puede identificar a las personas afectadas a partir de los datos comprometidos. Si los datos personales comprometidos se encuentran en un disco duro cifrado, se reduce el riesgo de identificación.
Consecuencias
La gravedad de una brecha depende del grupo de individuos afectados por la brecha. Por ejemplo, las infracciones que afecten a personas especialmente vulnerables, como los niños, podrían ser más perjudiciales.
Información en manos de delincuentes
Si se sabe que los datos comprometidos han llegado a manos de delincuentes con intenciones maliciosas, esto influye significativamente en la evaluación del riesgo de la violación de datos. Este sería el caso de un ataque de ransomware.
Fiabilidad del destinatario
Supongamos que has enviado datos personales a la persona equivocada, pero esperas que el destinatario siga las instrucciones para devolverlos o destruirlos. En ese caso, podría considerarse que la infracción no tiene consecuencias significativas. No obstante, el responsable del tratamiento debe estar seguro de la fiabilidad del destinatario y, si es posible, disponer de documentación que confirme que ya no puede acceder a los datos.
Reversibilidad
Las infracciones con efectos duraderos o permanentes se consideran más graves. Se trataría de infracciones que el responsable del tratamiento o la persona no pueden subsanar fácilmente. Por ejemplo, la filtración de datos de una tarjeta de pago puede mitigarse cancelando la tarjeta, pero la filtración de información que dañe la reputación de alguien puede tener repercusiones a más largo plazo.
El tamaño importa
Por lo general, cuanto mayor sea el número de personas afectadas por una violación, mayor será el impacto. Sin embargo, las violaciones que afectan a una o unas pocas personas también pueden tener graves consecuencias cuando los datos son sensibles.
Características del responsable del tratamiento de datos
Las características de la organización afectada y las actividades de tratamiento pueden afectar a la probabilidad de que una violación suponga un riesgo para las personas. Por ejemplo, un hospital privado que maneja amplia información sanitaria o una oficina de crédito que trata datos sobre deudores morosos aumenta el riesgo para las personas.
Tener en cuenta los aspectos mencionados puede ayudar a evaluar el impacto potencial de una violación de la seguridad de los datos personales y guiarle hacia las medidas de respuesta adecuadas para proteger a las personas afectadas.
Cómo responder a una filtración de datos
En todas las emergencias deben tomarse medidas inmediatas para contener el incidente y sus daños.
Medidas inmediatas
La respuesta inicial a una violación de datos requiere una acción decisiva para contenerla y evaluar su alcance. Esto puede incluir aislar los sistemas comprometidos, revocar los privilegios de acceso y asegurar las áreas físicas si es necesario.
Una evaluación preliminar de la violación de datos debe determinar el tipo y el alcance de los datos comprometidos y si la violación sigue en curso.
Ya debería contar con un plan de lucha contra la violación de datos, que incluya también a los miembros del equipo de respuesta. Si aún no lo ha hecho, reunir un equipo de respuesta formado por miembros de los departamentos informático, jurídico y de comunicaciones y de la alta dirección es útil para gestionar la brecha con eficacia. Este equipo también es responsable de documentar todas las medidas adoptadas para mitigar la infracción, que se utilizarán para el cumplimiento de la normativa y cualquier procedimiento legal.
Comunicación con las partes interesadas
En el caos de una violación de datos, una comunicación clara y transparente es clave para gestionarla de forma organizada.
Internamente, sus colegas deben ser informados de la violación y comprender su papel en la respuesta a la violación de datos.
Externamente, debe comunicarlo a las personas afectadas lo antes posible (si existe riesgo de consecuencias negativas) y seguir los requisitos del RGPD del artículo 34.
También debe colaborar con las autoridades de protección de datos y ser transparente y cooperativo, facilitando toda la información necesaria sobre la violación y las medidas de respuesta, al tiempo que cumple los requisitos del artículo 33.
Función de los responsables de la protección de datos (RPD)
Cuando una organización nombra a un responsable de la protección de datos, esta persona desempeña varias funciones críticas en relación con la violación de datos.
Durante una violación de datos personales, el RPD asesora al equipo de respuesta para cumplir con el RGPD. Esto incluye garantizar que las notificaciones de violación de datos enviadas a la autoridad de protección de datos y a los individuos afectados se alineen con los requisitos del RGPD. El RPD puede ayudar a clasificar los datos implicados en la violación, evaluar los riesgos potenciales para las personas y valorar la idoneidad de las medidas propuestas o aplicadas para hacer frente a la violación.
El RPD también puede desempeñar un papel en la comunicación interna y la coordinación con los departamentos informático, jurídico y de comunicaciones para garantizar una estrategia de respuesta conforme a las normas y que todas las acciones se documenten con precisión.
Una vez que se haya gestionado una filtración de forma segura, el RPD deberá colaborar con las partes interesadas internas pertinentes para analizar el incidente, identificar las lecciones aprendidas y sugerir mejoras para evitar futuras filtraciones.
Notificaciones
Cuándo notificar a las personas
Como se ha señalado anteriormente, el RGPD le obliga a notificar a los interesados cuando sea probable que la violación suponga un alto riesgo para los derechos y libertades de estas personas.
Esta notificación debe ser clara y concisa, explicando la naturaleza de la violación, las categorías de datos implicadas, las posibles consecuencias y las medidas adoptadas para hacer frente a la violación.
El objetivo de la notificación es garantizar que las personas afectadas puedan tomar las medidas adecuadas para protegerse de posibles daños.
La notificación a los particulares les permite, en primer lugar, tomar las precauciones necesarias si sus datos se han visto comprometidos. Como ya se ha señalado, una violación de la seguridad de los datos personales puede acarrear importantes efectos adversos para los afectados, como discriminación, usurpación de identidad o fraude, pérdidas económicas, daños a la reputación, pérdida de confidencialidad de datos protegidos por secreto o cualquier otra desventaja económica o social.
El concepto de “alto riesgo” en la normativa de protección de datos no está definido explícitamente. No obstante, según las directrices de evaluación de riesgos, la gravedad de las posibles consecuencias y la probabilidad de que una violación de datos afecte a las personas contribuyen a un mayor nivel de riesgo.
Al realizar una evaluación de riesgos, el responsable del tratamiento debe tener en cuenta todos los posibles resultados y efectos negativos para las personas. Esto incluye las consecuencias “secundarias” que podrían producirse debido a una violación de la seguridad de los datos personales.
Además, la notificación debe realizarse independientemente del número de personas afectadas, en función de la gravedad potencial de los efectos adversos. Este planteamiento garantiza que se aborden adecuadamente todas las posibles repercusiones sobre los derechos y libertades de las personas.
Cuándo no notificar a las personas
Una filtración de datos no supone un alto riesgo
La notificación a las personas afectadas no es necesaria en los casos en que se considere que una violación de datos no puede suponer un alto riesgo para los derechos y libertades de las personas.
La carga de la prueba para demostrar que no existe un riesgo elevado recae en el responsable del tratamiento. Deben poder justificar, en caso necesario, por ejemplo durante una investigación de la Autoridad de Protección de Datos, por qué decidieron no notificar a las personas afectadas.
Medidas técnicas y organizativas adecuadas
Si el responsable del tratamiento, tras evaluar todas las posibles consecuencias y repercusiones negativas de una violación de datos, llega a la conclusión de que es probable que la violación entrañe un alto riesgo para los derechos y libertades de las personas, la acción por defecto es notificarlo a las personas afectadas.
Sin embargo, la notificación no es necesaria si el responsable del tratamiento ha aplicado medidas de protección técnicas y organizativas adecuadas, como el cifrado, que hacen que los datos personales sean ininteligibles para personas no autorizadas.
Por ejemplo, si un responsable del tratamiento pierde un dispositivo portátil que contiene datos personales cifrados, y el cifrado utilizado es lo suficientemente fuerte como para que no se pueda romper o eludir durante un período significativo, y no hay ninguna probabilidad de descifrado no autorizado -como la obtención de la clave de cifrado-, entonces se puede suponer que los datos personales están protegidos hasta el punto de que la violación probablemente no suponga un alto riesgo para los derechos y libertades de las personas. Incumbe al responsable del tratamiento la carga de la prueba para justificar su decisión de no notificar a las personas afectadas.
En los casos en que se considere que una violación de datos tiene un alto riesgo de afectar negativamente a los derechos y libertades de las personas, la acción por defecto es notificar a las personas afectadas. Sin embargo, la notificación puede no ser necesaria si se aplican medidas técnicas y organizativas adecuadas, como el cifrado, para que los datos personales sean ininteligibles para las personas no autorizadas.
Por ejemplo, se puede suponer que los datos personales están protegidos si el responsable del tratamiento pierde un dispositivo portátil que contiene datos personales cifrados, el cifrado es suficientemente sólido y no hay probabilidad de descifrado no autorizado (como la obtención de la clave de cifrado).
El responsable del tratamiento seguiría siendo responsable de justificar la decisión de no notificar a las personas afectadas.
Riesgos sin explotar
Supongamos que se produce una filtración de datos, pero se detiene antes de que pueda explotarse. En ese caso, no es necesaria la notificación a los particulares.
Por ejemplo, supongamos que un sistema informático crea accidentalmente un acceso no autorizado por Internet a datos personales, pero se descubre inmediatamente y se bloquea el acceso. Una investigación interna de los registros podría confirmar si sólo los usuarios autorizados accedieron a los datos durante la exposición, lo que determinaría si las personas se vieron afectadas y deben ser notificadas.
Esfuerzo desproporcionado
En algunos casos, el responsable del tratamiento podrá optar por no notificar directamente a cada persona si el esfuerzo necesario para hacerlo se considera desproporcionado en relación con las circunstancias.
La decisión de notificar a los particulares una violación de datos debe sopesar la importancia de informarles y el esfuerzo necesario.
Por ejemplo, una empresa que pierde el acceso a todos los datos de sus clientes como consecuencia de un ataque de ransomware a su base de datos de clientes podría entrar en esta excepción. En tal caso, si una evaluación interna determina que la notificación individual requeriría un esfuerzo excesivo, el responsable del tratamiento deberá considerar medidas alternativas, como anuncios públicos para informar a las personas afectadas.
Responsabilidad y documentación interna
El RGPD obliga a las organizaciones a mantener un registro de todas las violaciones de datos, independientemente de su tamaño y gravedad.
El registro interno de las violaciones de datos debe incluir los hechos de la violación, sus efectos y las medidas correctivas adoptadas.
Esta documentación también sirve como herramienta fundamental para perfeccionar futuras estrategias y respuestas en materia de protección de datos, ya que ayuda a las organizaciones a analizar patrones, detectar puntos débiles en sus estrategias de protección de datos y aplicar en su lugar medidas más eficaces.
Consecuencias jurídicas de una violación de datos
Las violaciones de datos personales pueden acarrear importantes consecuencias jurídicas, incluidas multas y sanciones. En el peor de los casos, una organización puede ser multada con 20 millones de euros o el 4% de los ingresos anuales, lo que sea mayor, e incluso ser condenada a prisión.
A los ojos de la normativa, cualquier violación de datos es punible, por lo que puede ser víctima de un pirateo informático y ser multado por la autoridad supervisora por negligencia al mismo tiempo.
Esto puede parecer injusto a primera vista, pero el cumplimiento del RGPD exige que las organizaciones apliquen medidas técnicas y organizativas adecuadas para mitigar el riesgo de posibles consecuencias negativas para los interesados. Si se descubre que tales medidas no estaban efectivamente en vigor cuando se produjo la infracción, su organización se arriesga a ser multada.
La determinación de la multa depende de varios factores, entre ellos la naturaleza, gravedad y duración de la infracción, el carácter intencionado o negligente de la misma y las medidas adoptadas para mitigar el daño.
Estudio de caso: Filtración de datos de Marriot International
Los hackers accedieron a los sistemas de reservas de las propiedades Starwood de Marriott, lo que afectó hasta a 339 millones de huéspedes en 2018. La Autoridad de Protección de Datos del Reino Unido (ICO) anunció inicialmente una multa de 99 millones de libras, que finalmente se redujo a 18,4 millones. La filtración puso de relieve la necesidad de actuar con la debida diligencia en materia de seguridad informática durante las fusiones y adquisiciones.
La Autoridad de Protección de Datos del Reino Unido impuso la multa a Marriot International e identificó cuatro incumplimientos por parte de Mariott International, que fueron los motivos de su multa.
1. Control insuficiente de las cuentas privilegiadas
El intruso consiguió acceder al Entorno de Datos de Titulares de Tarjeta de Marriot (CDE) aprovechando una debilidad no identificada previamente en la aplicación de la autenticación multifactor, que no se aplicaba a todas las cuentas y sistemas con acceso al CDE.
Su fallo en este sentido fue que podrían haber sido más eficaces en el control de las actividades de los usuarios, especialmente de aquellos con acceso de alto nivel.
Esta falta de vigilancia y registro detallados en sus sistemas dificultaba la detección de anomalías, como acciones no autorizadas dentro del CDE. Este descuido en la supervisión y el registro les impidió identificar actividades inusuales en las cuentas y posibles infracciones.
2. Control insuficiente de las bases de datos
La insuficiente supervisión de las bases de datos en el CDE fue un fallo clave en la protección de datos de Marriott, según identificó la autoridad de protección de datos. Esto se debe principalmente a tres razones:
La configuración de las alertas de seguridad de Marriott en sus bases de datos era inadecuada. Este fallo significaba que el sistema no señalaba eficazmente las actividades sospechosas dentro del CDE, lo que habría sido fundamental para identificar posibles infracciones.
En segundo lugar, Marriott debería haber agregado correctamente los registros de diferentes fuentes. La agregación de registros es esencial para un análisis exhaustivo de la actividad de la red, lo que permite una visión más holística de las posibles amenazas a la seguridad.
En tercer lugar, el registro de las actividades de Marriott en el CDE era insuficiente, especialmente en lo que se refiere a acciones como la creación de archivos y la exportación de tablas de bases de datos; esta falta de registro detallado limitaba su capacidad para detectar actividades inusuales o no autorizadas en sus sistemas.
Estas tres deficiencias en la supervisión de las bases de datos contribuyeron a que Marriott tardara en detectar la filtración de datos y responder a ella.
3. Control de sistemas críticos
La autoridad de protección de datos consideró inadecuado el control que ejercía Marriott sobre los sistemas críticos, debido a una supervisión deficiente y a un endurecimiento insuficiente de los servidores.
No habían implementado listas blancas efectivas, que habrían restringido el acceso al sistema a usuarios o direcciones IP autorizados.
La implantación de listas blancas por parte de Marriott fue limitada y argumentó que suponía una carga para los sistemas informáticos. Sin embargo, las listas blancas habían sido una práctica bien establecida incluso antes de la era del RGPD.
Además, el enfoque de seguridad de Marriott carecía de una estrategia global de “defensa en profundidad” con protección por capas y supervisión de las actividades de la red.
4. Falta de encriptación
Marriott se centró principalmente en el cumplimiento de la norma PCI DSS (Payment Card Industry Data Security Standard) y argumentó que se trataba de un planteamiento basado en el riesgo, centrando los esfuerzos de seguridad en las tablas de la base de datos que contienen información sobre los titulares de las tarjetas. Sin embargo, este planteamiento dio lugar a incoherencias, como encriptar algunos números de pasaporte u otras categorías de datos personales, que también necesitan protección, pero no todos.
La existencia de métodos de descifrado eficaces, como los identificadores únicos y los módulos de seguridad de hardware, contradecía la afirmación de Marriott de que el cifrado extensivo era poco práctico. Además, una vulnerabilidad en su base de datos de reservas de huéspedes comprometía la seguridad ofrecida por el cifrado, permitiendo descifrar entradas cifradas. Este incidente puso de manifiesto las deficiencias del planteamiento de Marriott para salvaguardar los datos personales.
Resumen
En conjunto, el estudio de caso de la violación de datos de Marriot International ilustra que debe tener un enfoque exhaustivo de la seguridad de los datos personales para cumplir con el RGPD.
En este caso, el intruso accedió a los sistemas de Marriot antes de la entrada en vigor del RGPD, pero como no descubrieron la infracción con prontitud, se siguió considerando que incumplían el RGPD.
El coste de las filtraciones de datos
Más allá del daño inmediato a las personas cuyos datos se ven comprometidos, las violaciones de datos conllevan un coste para las empresas que las sufren.
La violación media de datos cuesta a una empresa más de 4 millones de euros, según el informe de IBM “Cost of a Data Breach Report”. Sin embargo, el coste de una violación de datos puede variar sustancialmente, dependiendo de factores como el país en el que se produzca la violación, el tamaño de la empresa afectada, el sector al que pertenezca, la puntualidad de la respuesta al incidente y la madurez general de las medidas de seguridad informática de la empresa.
El coste del responsable del tratamiento
Las secuelas de una brecha requieren investigaciones, esfuerzos de contención, restauración del sistema y, a menudo, la contratación de especialistas externos en ciberseguridad. Estos gastos se acumulan rápidamente.
Una organización correrá el riesgo de ser multada si la causa de la violación de datos es la negligencia. Las normativas de protección de datos, como el RGPD, imponen importantes sanciones por incumplimiento de hasta el 4 % de los ingresos globales de una organización o 20 millones de euros.
Las personas afectadas por una filtración de datos pueden tener derecho a una indemnización si sufren pérdidas económicas o daños a su reputación, lo que también podría dar lugar a costosos litigios si se impugnan.
Las filtraciones de datos suelen afectar a las operaciones empresariales y provocar tiempos de inactividad y pérdidas de productividad. A veces, puede afectar negativamente a las ventas si afecta a los tratamientos comerciales, los plazos de entrega o similares.
Quizá el coste más insidioso sea la erosión de la confianza. Una violación de datos puede empañar la reputación de una marca y disuadir a clientes actuales y potenciales. Esta pérdida de confianza puede perdurar y afectar a los resultados de la empresa durante años.
El coste total de una violación de datos varía en función de la escala y la gravedad, pero incluso las violaciones menores pueden resultar devastadoras desde el punto de vista financiero. Medidas proactivas como sólidos protocolos de ciberseguridad, formación de los empleados en materia de seguridad y planificación de la respuesta a incidentes son inversiones básicas que mitigan los costes potenciales de las violaciones de datos.
Resumen
En este artículo, has aprendido qué es una violación de datos personales en relación con el RGPD, cómo identificar una violación de datos en la práctica, cómo evaluar una violación y cómo responder de una manera compatible con el RGPD. También hemos estudiado casos de filtración de datos y los costes que supone para su organización.