Guía sobre brechas de seguridad: principales claves legales ante un ciberataque

31 mayo, 2021

Los ciberataques se pueden producir por distintos medios: ‘phishing’, troyanos, ‘ransomware’, ‘spyware’, gusanos… las ciberamenazas para la seguridad de las empresas es tan variadas que resulta difícil identificarlas y, lo más grave, prevenir sus ataques. Cuando esto ocurre, normalmente se pone en jaque el funcionamiento de la empresa u organización que ha sido objetivo del ciberataque. La reacción inmediata es poner el caso en manos de un equipo técnico especializado. Pero en muchas ocasiones también es necesario seguir una serie de protocolos de carácter legal que suelen estar en segundo plano. Estas son las principales claves legales ante un ciberataque.

Lo primero es aclarar qué es una brecha o violación de seguridad: se trata de un incidente que afecta a datos de carácter personal, que provocará la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Su origen puede ser voluntario o accidental y los soportes afectados pueden ser analógicos o digitales, tal como explica nuestro abogado Efrén Díaz, que está al frente de nuestra área de Tecnología y Telecomunicaciones.

En los últimos 12 meses se han producido 1437 notificaciones, 177 sólo en marzo de 2021 y 143 por en organizaciones del ámbito privado. De ellas, 114 notificaciones indican contexto externo e intencionado. 120 notificaciones indican brecha de confidencialidad, 4 de integridad y 90 de disponibilidad, aunque algunas brechas presentan más de una tipología.
Datos de la Agencia Española de Protección de Datos (AEPD) de abril de 2021

Entre los principales incidentes de seguridad, de origen interno o externo, podemos destacar los siguientes: vulnerabilidad no conocida, ataque dirigido, denegación de servicio, acceso a cuentas privilegiadas, código malicioso, compromiso de la información, robo y/o filtración de datos, desfiguración de sitio web, explotación de vulnerabilidades de aplicaciones o ingeniería social, altamente preocupante por actuar mediante el engaño, normalmente a través de redes sociales.

No hay duda de que actualmente se producen incidentes que afectan a múltiples responsables de tratamiento, con un elevado número de notificaciones. En particular, el ransomware o «secuestro de datos» tiene una particular incidencia y provoca brechas de datos personales en servicios públicos y privados de toda índole, con el consiguiente impacto en la disponibilidad y también en la confidencialidad de los datos personales. Sólo de 2019 a 2020 el número de usuarios que sufrieron ransomware dirigido aumentó más del 760%, según Kaspersky. Y desde que comenzó 2021 esta clase de ataques ha seguido creciendo, un 56% más a nivel mundial.

Lee también: Empresas obligadas a contar con un Delegado de Protección de Datos
Lee también: En qué consiste Europrivacy, la certificación europea de protección de datos
Lee también: Ciberataques a empresas, el valor estratégico de un protocolo de actuación
Lee también: Los riesgos de la protección de datos «a coste cero» para las empresas

1. Paso previo: ¿cómo evitar las brechas de seguridad?

El responsable del tratamiento de datos, sea una empresa pequeña o grande, una asociación o fundación, una corporación o administración pública, debe contemplar la posibilidad de sufrir un ataque y prepararse. Dos medidas son críticas:

Establecer quiénes se ocupan (dirección, responsables técnicos y jurídicos, recursos humanos, etc.), y
Fijar las acciones que se realizarán en caso de incidente de seguridad (al menos prever un plan de reacción y contingencia).

La evitación y mitigación de violaciones de seguridad precisa, al menos, de las siguientes cuatro medidas previas a la definición del plan de acción:

Preparación (conciencia de los incidentes de seguridad)
Detección (situaciones de riesgo, herramientas, mecanismos de detección y sistemas de alerta)
Identificación (naturaleza, clase, impacto y nivel de riesgo del incidente)
Clasificación (amenazas, contexto u origen, categoría de seguridad de los sistemas y datos afectados, usuarios y sistemas impactados, impacto en la organización y en los derechos y libertades, vector de ataque, etc.).

2. ¿Y después? Cómo gestionar las brechas de seguridad

La ocurrencia de un incidente de seguridad ha de activar el plan de actuación, mediante el despliegue preciso y ágil de acciones y tareas específicas dirigidas a la resolución o minimización de la brecha, a la mitigación de las consecuencias negativas a personas y sistemas de información y datos personales y a la evitación futura de situaciones de riesgo o impacto.

«El plan de actuación ante brechas de seguridad recoge un contenido necesario y útil para decidir las medidas a adoptar y las acciones a desplegar, así como para la importante valoración de la necesidad de notificar a las autoridades de control y personas afectadas»

Efrén Díaz, abogado y responsable del área de Tecnología y Telecomunicaciones del Bufete Mas y Calvet

Entre las medidas y las acciones a desplegar, de acuerdo con las principales autoridades y expertos, destacamos las siguientes:

SUJETOS IMPLICADOS

Responsable del tratamiento (la persona física o jurídica que decide fines y medios del tratamiento de datos personales):
- Para aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD.
- Para valorar notificar la brecha de seguridad a la autoridad de control competente, sin dilación indebida, y en su caso la comunicación con los afectados.
Expertos en seguridad:
- Para la gestión técnica, tecnológica o informática del incidente.
- Para facilitar toda aquella información mínima y necesaria para la posible comunicación de la brecha de seguridad a la autoridad de control.
Delegado de Protección de Datos (DPD), sea obligatorio o voluntario. Ocupará un papel muy relevante para liderar el plan de actuación en todos sus aspectos.
Autoridad de control competente: se encargará de verificar que se cumple con el RGPD, y particularmente respecto a la gestión de la brecha de seguridad.

ACCIONES Y MEDIDAS

Recopilación y análisis de la información relativa al incidente de seguridad (en particular, las dimensiones de integridad, disponibilidad, seguridad y privacidad).
Clasificación del incidente de seguridad.
Determinación objetiva de si efectivamente se está ante una brecha de seguridad.
Investigación, comunicación y coordinación de los medios internos/externos implicados.
Puesta en marcha del plan de respuesta (medidas de contención y de limitación de daños).
Puesta en marcha del proceso de notificación, previa valoración de notificación temprana a la autoridad de control competente, a afectados y en caso necesario a fuerzas de seguridad.
Proceso de respuesta: contención, solución/erradicación, recolección y custodia de evidencias, terminación y recuperación; comunicación/Informe de resolución (interna/externa).
Proceso de notificación: valoración, gestión, notificación a autoridad de control y comunicación a afectados.

SEGUIMIENTO Y CIERRE

Valoración de contratación de un análisis forense digital experto.
Valoración de adopción de medidas jurídicas y procesales.
Realización de un informe final sobre la brecha de seguridad.
Cierre del incidente de seguridad.

Notificación de brechas de seguridad

El RGPD establece la obligación de notificación de la violación de la seguridad de los datos personales a la autoridad de control competente (art. 33). En consecuencia, de ser efectiva una violación de la seguridad de los datos personales, el responsable del tratamiento (su empresa, fundación, asociación o administración pública) tiene la obligación de notificarla a la autoridad de control competente.

Y lo hará sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de la brecha de seguridad. No obstante, si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos en los que se funde la dilación.

Como excepción a dicha obligación se contempla el caso de escasa o nula probabilidad de dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Sin embargo, adicionalmente el RGPD obliga a que, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida (art. 34).

La AEPD destaca que la política de notificaciones de brechas de seguridad se debe tener en cuenta con el fin de disponer de un criterio común a todos los tratamientos de datos personales que consten en el registro de actividades de tratamiento de una organización. Para facilitar una visión de conjunto del contenido y procedimiento ante la autoridad de control española, la notificación de la violación de la seguridad ha de contener los siguientes extremos:

Identificación del proveedor
Identidad y datos de contacto del responsable de protección de datos u otro punto de contacto en el que pueda obtenerse información
Indicación de si se trata de una primera o segunda comunicación
Fecha del incidente
Circunstancias en que se ha producido la quiebra
Naturaleza y contenido de los datos personales afectados
Medidas técnicas y de organización
Otros proveedores que intervienen en los servicios afectados
Resumen del incidente
Número exacto o estimado de abonados o particulares afectados
Posibles consecuencias y efectos negativos en los abonados o particulares
Medidas técnicas y organizativas adoptadas para paliar los posibles efectos negativos
Posible notificación adicional a los abonados o particulares
Medios de comunicación utilizados para la notificación
Número de abonados o particulares destinatarios de la notificación
Quiebra que afecta a abonados o particulares de otros estados miembros
Notificación a otras autoridades nacionales competentes

Además de tener en cuenta las obligaciones de notificación establecidas por la AEPD para las brechas de seguridad, en función de que la entidad haya designado o no Delegado de Protección de Datos (DPD), será recomendable contar con la opinión experta de especialistas jurídicos para valorar la necesidad de efectuar la notificación de la violación de seguridad, así como planificar las acciones y medidas a adoptar por el Responsable de Tratamiento.

Cinco medidas prácticas de seguridad

El Reglamento General de Protección de Datos y, en España, la Ley Orgánica 3/2018 promueven una cultura de gestión diligente de los datos personales por los responsables y encargados del tratamiento, a fin de minimizar el impacto sobre los afectados de los incidentes de seguridad y, en virtud del principio de responsabilidad proactiva, “aprender de las brechas” mediante la determinación de los fallos en los procedimientos de gestión de la información.

Así, dado que la privacidad puede verse afectada por incidentes de confidencialidad, integridad y disponibilidad, deben aplicarse medidas de seguridad básicas para hacer frente a estos desafíos. De acuerdo con la AEPD, destacamos cinco:

Uso de contraseñas seguras y segundo factor de autenticación.
Copias de seguridad, para hacer frente al secuestro de información y datos personales.
Sistemas actualizados, para la aplicación de las medidas de seguridad.
Política estricta de servicios expuestos en Internet, para evitar o minimizar accesos remotos no autorizados.
Cifrados de dispositivos portátiles, frente al acceso por extravío o robo.

Asesoramiento legal frente a ciberataques

En el Bufete Mas y Calvet contamos con un equipo de abogados especializado asesoramiento legal frente a ciberataques, siguiendo todos los protocolos y requerimientos legales como consecuencia de una brecha de seguridad. También podemos ejercer la defensa en procedimientos sancionadores de la AEPD, transferencias internacionales de datos, etc. Contacte con nosotros y le ayudaremos en todas sus consultas legales.