BDO utiliza cookies de terceros para analizar la navegación en nuestra página web (cookies analíticas). Para más información sobre las cookies que utiliza BDO, puede consultar la Política de cookies Si continúas navegando o clicas “Aceptar”, consideramos que aceptas su uso.
  • LA AEPD MULTA CON 60.000 EUROS A UNA EMPRESA POR LA PÉRDIDA DE USBs
Artículos:

LA AEPD MULTA CON 60.000 EUROS A UNA EMPRESA POR LA PÉRDIDA DE USBs

12-12-2019

La Agencia Española de Protección de Datos (AEPD) ha sancionado la brecha de seguridad con 60.000€. La comparativa con otros casos nos ayuda a ver qué podría haber hecho la empresa para evitarlo.

El Delegado de la sección sindical de CC.OO. de una empresa extravió varios USBs sin encriptar en la sede de la empresa. Incluían información sobre unas 11.000 personas (datos identificativos, circunstancias personales, económicos y de empleo y de categorías especiales como afiliación sindical y algunas sentencias penales). Era información relacionada con el plan de pensiones.

La empresa notificó extemporáneamente la brecha de seguridad a la AEPD (en lugar de en 72 horas desde que tiene conocimiento tarda más de un mes, llegando incluso a interponer una denuncia a la policía antes de notifica a la AEPD), posteriormente un sindicato opuesto denuncia los hechos ante la AEPD. Se inicia procedimiento sancionador que acaba con la sanción de 60.000€.

¿Qué recomendaciones existen si hay brechas de seguridad en las primeras 72 horas?

  • Se debe informar muy rápidamente a los responsables del cumplimiento del RGPD (por ejemplo, avisar al DPO o al Departamento Legal). La organización debe formar al personal, enviar instrucciones laborales y/o establecer protocolos para que exista dicha cultura.
  • Se deberá contrastar la información rápidamente para ver qué obligaciones legales son aplicables.
  • Hay que aplicar medidas que puedan reducir el posible impacto. En ocasiones hay medidas organizativas, jurídicas o técnicas que si son implantadas rápidamente pueden reducir las consecuencias perniciosas. Desde aplicar métodos para borrar a distancia la información de dispositivos (más difícil de aplicar en el caso de USBs), a cambiar contraseñas, reforzar algoritmos de cifrado en bases de datos vinculadas, etc.
  • Si procede, se deberá notificar la brecha de seguridad a la AEPD (o ante la autoridad competente) y, si procede, comunicarlo a los interesados. Puesto que no siempre es obligatorio, los responsables en la empresa del cumplimiento del Reglamento General de Protección de Datos (RGPD) deberán determinarlo con criterios jurídicos con mucha celeridad.
  • También hay que estudiar si hay medidas legales –que no sean de protección de datos- que hay que realizar con urgencia.

Asimismo, se deberá dejar evidencias de todo lo anterior a efecto de Accountability.

¿Qué otras  cosas evitan sanciones , o las atenúan en caso de brechas de seguridad?

Conforme las recomendaciones que han publicado las autoridades de protección de datos pero, sobretodo, según casos en que la AEPD sí ha archivado casos que ella investigaba debido a brechas de seguridad, recomendamos las siguientes:

Medidas Preexistentes:

  • Finalizar el proyecto de Adecuación al RGPD (que incluyaa el protocolo de brechas de seguridad). No ayudaría a evitar la sanción que sea un proyecto de adecuación “de mínimos”. Además, deberá estar correctamente implementado en el “día a día” de los distintos departamentos de la empresa.
  • Auditar el cumplimiento del RGPD por parte de la empresa. Preferiblemente mediante una auditoría jurídica externa.
  • Realizar las pertinentes evaluaciones de impacto en protección de datos. También se deben aplicar sus conclusiones. También se debe documentar –por ejemplo, en un informe jurídico- las razones legales por las que ciertos tratamientos de datos personales no han requerido hacerlas.
  • Actualizar el inventario de los Sistemas de Información y sus medidas de Seguridad. En las medidas se debe procede a mitigar riesgos conforme al principio de privacidad por defecto y desde el diseño, por ejemplo, obligando a que los USBs estén encriptados y/o limitando muchísimo su uso.
  • Disponer de una Política de Medios Digitales actualizada que indica cómo pueden –y no pueden- emplearse los medios de la empresa (como los referidos USBs y las normas vinculadas a su uso o prohibición total o parcial). Hay que recordar que este documento es obligatorio desde diciembre de 2018.

Medidas posteriores a la brecha/Incidencia de seguridad y sus 72 horas críticas:

  • Incluso si la incidencia no acaba suponiendo una brecha notificable ante la AEPD, se debe guardar registro y documentar la problemática, las consecuencias, las medidas correctivas adoptadas, así como la forma en cómo se ha cumplido con las obligaciones, etc.
  • Hay que hacer seguimiento de las medidas implementadas (especialmente si se ha notificado la brecha a la AEPD o comunicado a los interesados).
  • Se deben de buscar medidas organizativas, legales y/o técnicas para que no vuelva a darse esta tipología de incidencia/brecha de seguridad.
  • Hay que analizar –cada cierto tiempo, pero especialmente después de una brecha- si todas las medidas indicadas en este documento están aplicadas y se puede demostrar. Son especialmente útiles al respecto las auditorías e incluso los simulacros de brechas de seguridad.