La Agencia Española de Protección de Datos ha impuesto, recientemente, algunas multas relativas a la insuficiente implantación de medidas de seguridad adecuadas al tratamiento de datos personales, lo cual comportó que las empresas infractoras sufriesen ciberataques de consecuencias relevantes para la seguridad del tratamiento de los datos de personas trabajadoras, así como de clientes.
El pasado mes de diciembre de 2024 se publicaron en el Boletín Oficial del Estado («BOE») algunas sanciones de la Agencia Española de Protección de Datos («AEPD»), por superar estas la cantidad de un millón de euros. Las empresas infractoras, dos reconocidas organizaciones del sector de las telecomunicaciones, fueron multadas con entre uno y siete millones de euros por infracciones relativas a la integridad y confidencialidad en el tratamiento de datos personales, y a la seguridad del tratamiento.
El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («RGPD»), aplicable desde 2018, impone una serie de obligaciones a las personas físicas, jurídicas y, en general, organismos, que traten datos personales; para el caso, obligaciones derivadas de los principios atribuidos al tratamiento de datos personales, como que estos deban ser tratados «de tal manera que se garantice una seguridad adecuada (…), incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas», o del detalle sobre seguridad en el tratamiento, como la aplicación de medidas técnicas y organizativas apropiadas.
Los artículos 5.1.f) y 32 del RGPD, casi siempre de la mano cuando de infracciones sobre seguridad en el tratamiento se trata, dejan en absoluta claridad que el enfoque de riesgos en la protección de datos personales es esencial para un tratamiento de los datos personales idóneo.
Ransomware y filtración masiva de datos personales
Tal y como consta en los Hechos Probados contenidos en la resolución del procedimiento sancionador de la primera de las empresas infractoras, esta organización sufrió un ciberataque de tipo ransomware, el cual supuso el acceso no autorizado a su base de datos por parte de terceros no autorizados. Conocidas estas circunstancias por parte de la empresa afectada, esta activó sus protocolos internos de seguridad para intentar mitigar el alcance de tal incidente, lo cual no impidió que los ciberdelincuentes publicasen la información accedida en la Deep Web, tras negarse la compañía afectada a realizar pago alguno del rescate solicitado. Estas eventualidades supusieron la pérdida de la confidencialidad y control de numerosos datos personales.
Al respecto de la seguridad del tratamiento, la AEPD desarrolló y concluyó que, aunque el ataque tal vez no podría haberse evitado, la empresa «no contaba con medidas técnicas y de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo de sus tratamientos. (…) las medidas que no tenía implantadas o con deficiencias son medidas adecuadas, básicas y conocidas en relación con el estado de la técnica y los costes de aplicación, y apropiadas para la naturaleza, el contexto y los fines de los tratamientos que realiza». La AEPD detectó deficiencias en la política de contraseñas, medidas de seguridad perimetral y de monitorización de red interna insuficientes, o inaplicación de medidas técnicas de cifrado, anonimización o seudonimización sobre los datos personales, a pesar de tratarlos de forma masiva; no se estaban implantando las medidas establecidas para mitigar los riesgos detectados en las evaluaciones de impacto que la empresa aportó al caso.
Un portal de internet: la llave de acceso a infinidad de datos personales
El escenario que se derivó para la segunda empresa infractora es similar: los atacantes accedieron indebidamente a un portal de internet de esta compañía, el cual se utilizaba para fines de soporte técnico y mantenimiento a los clientes por parte de los equipos técnicos. Dicho portal, que únicamente contaba con una restricción de autenticación a través de usuario y contraseña, recibió multitud de solicitudes de acceso -un número muy superior a la media habitual- y logró afectar a datos personales de más de medio millón de personas clientes de la empresa infractora.
Todo lo anterior supuso que la organización afectada fuese víctima de una vulnerabilidad en el sistema consistente en una brecha de confidencialidad, habida cuenta de que se produjo un acceso a datos personales de sus clientes.
¿Cuál fue el análisis de la AEPD? «En el caso que nos ocupa, una vez analizadas las circunstancias concretas, se ha podido determinar sin incurrir en ningún tipo de valoración o interpretación arbitraria la falta de medidas técnicas y organizativas adecuadas, de todo tipo, incluyendo las de seguridad para garantizar, por una parte el principio de integridad y confidencialidad, y por otro, un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales realizados (…) (pues carecía de medidas de seguridad adecuadas y razonables en cuanto a la tecnología disponible y costes de aplicación en el momento del incidente, que hubieran impedido, cuando no minimizado o mitigado considerablemente el impacto del incidente sobre los datos personales)».
Tras la revisión de las evidencias aportadas por la infractora, la AEPD valoró que tales medidas, implantadas con anterioridad a la brecha, no eran apropiadas, y ello con independencia del ataque sufrido, y considerando que, además, la empresa realizaba tratamientos de datos a gran escala.
Se puede observar que, en ambos casos, ninguna de las empresas infractoras contaba con medidas de seguridad adecuadas al tratamiento de datos personales en cuestión. Aunque ninguna de las dos podía prever los ataques sufridos, la AEPD apreció que el margen de implantación de medidas de seguridad era amplio y que era asumible que las afectadas pudiesen haber invertido mayor dedicación al refuerzo de su marco de seguridad.
Consideraciones finales: deficiencias en la seguridad del tratamiento
Si la valoración de la AEPD para los casos examinados es que ninguna de las empresas infractoras había aplicado medidas técnicas y organizativas oportunas, tal vez se debieran cuestionar gran parte de las organizaciones cuál puede ser la causa; por qué cada vez más se sufren ciberataques ¿se debe al avance en el desarrollo de herramientas por parte de los atacantes?
¿o es la falta de un entorno robusto de seguridad lo que propicia que pueda ser relativamente sencillo penetrar en los sistemas de las organizaciones? Sea como fuere, el RGPD y los organismos y autoridades de protección de datos insisten en la necesidad y obligatoriedad de tener una infraestructura de protección actualizada, fuerte y que pueda garantizar, en la medida de lo posible, que los datos personales puedan ser tratados íntegra y confidencialmente.
