Volver

Consecuencias de una brecha de seguridad

Publicaciones
21-oct-21

Recientemente hemos podido ver como una empresa gigante como Twitch ha sufrido una brecha de seguridad con consecuencias verdaderamente preocupantes tanto para la plataforma como para los propios usuarios. Se ha filtrado información relativa a los ingresos de los mayores streamers, al código fuente y posiblemente datos personales de los usuarios. De hecho, a estos últimos la propia Twitch ya les ha solicitado que procedan al cambio de sus contraseñas.

En España, partimos de la definición de una brecha de seguridad como cualquier incidente de seguridad que afecta a datos de carácter personal. En concreto, según los últimos informes de 2021 publicados por la AEPD sobre “Notificaciones de Brechas de Datos Personales” las brechas que más se repiten con aquellas que afectan a la confidencialidad de los datos debido a vulnerabilidades por falta de actualización del software y los servidores VPN, por ciberataques ramsonware o ataques de phishing. 

Este tipo de incidentes no sólo pueden tener consecuencias para los activos de la empresa, si no también lo pueden sufrir los propios usuarios o clientes de dichas empresas. Así lo vimos recientemente en una sentencia de la Audiencia Provincial de Pontevedra (Sentencia 00113/2021) de fecha 7 de abril de 2021 en la que se condenó a la entidad bancaria Abanca a devolver el dinero (19.632 euros) que se le había sido robado a un cliente como consecuencia de un ataque de phishing. En este caso, aunque Abanca había alegado que por su parte habían adoptado las medidas de seguridad adecuadas para prevenir este tipo de incidentes, la Audiencia Provincial condenó a la entidad financiera porque no habían tomado las medidas suficientes para detectar dicho fraude a través de la vigilancia de las operaciones de transferencias bancarias de una manera activa.

A raíz de lo anterior, debemos tener en cuenta el papel fundamental que jugará la propia organización en cualquier brecha de seguridad a través de un rol activo para así cumplir con el principio de responsabilidad proactiva exigido por el RGPD que demuestre la diligencia debida, como puede ser con una notificación a la AEPD en tiempo y forma. Además, el mencionado principio también exige que ante cualquier suceso que pueda tener consecuencias para los derechos y libertades de los interesados el responsable de tratamiento ha de reaccionar y mitigar dichas consecuencias.

A ello se suma la cuestión sobre cuándo será necesario notificar a la autoridad de control competente o a los usuarios sobre la existencia de una brecha de seguridad. Aunque en algunos casos pueda resultar complejo, el Comité Europeo de Protección de Datos ( EDPB por sus siglas en inglés) publicó una guía, aún consulta pública, sobre ejemplos de casos en los que era necesario notificar estas brechas, para lo cual se deberá tener en cuenta los posibles daños que se causen a las personas físicas fruto de esa brecha, los daños materiales o no materiales, o el posible robo de identidad o la pérdida de confidencialidad de los datos. Para ello, la empresa responsable que sufra el incidente deberá identificar los riesgos y al mismo tiempo tomar las medidas técnicas y organizativas adecuadas para minimizar los riesgos. 

Por su parte, la AEPD también ha publicado una guía para la notificación de brechas de datos personales. En ella podemos encontrar información relevante a la hora de saber identificar exactamente el contenido de la notificación a la agencia. 

En primer lugar, se debe dar una información general sobre el tratamiento o tratamientos de datos personales, el número de personas que se han podido ver afectadas por la brecha de seguridad, así como una estimación de los riesgos de dicho incidente y el ámbito geográfico al que pudiera suscribirse el incidente. Si aún no se contara con dicha información, se podrá aportar en un momento posterior sin dilación indebida. También habrá que indicar si el incidente se ha producido de una manera intencionada o accidental y si el origen es interno, producido por empleados de la organización, o externo, por parte de terceros como otros responsables o encargados de tratamiento.

Respecto a las personas afectadas, en esta comunicación también habrá que indicar si la brecha afecta a la confidencialidad, disponibilidad o integridad de los datos para que así permita conocer y evaluar el nivel de riesgo. Junto a ello se deberá identificar también las categorías y perfiles de los afectados. Con categorías de datos, nos referimos a aquellos como datos de contacto, imágenes, datos económicos, categorías especiales de datos, etc. Estas categorías, irán asociadas a distintos perfiles de afectados como pueden ser los propios clientes, usuarios, empleados o pacientes.  Finalmente, fruto del análisis anterior, habrá que indicar cuáles son las posibles consecuencias para las personas físicas de la brecha de seguridad detectada.

Por todo lo expuesto en este artículo, se pone de manifiesto la importancia de la seguridad de una organización y al mismo tiempo cumplir con las obligaciones de responsabilidad proactiva que exige el RGPD mientras que también se protegen los derechos y libertades de las personas. 

Williams Colacci Córdova, Legal Team, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
11-04-24
El Tribunal Supremo tumba varias restricciones a la publicidad del juego online
This is some text inside of a div block.
Leer más
11-04-24
Paramount se asegura los derechos de autor de 'Top Gun: Maverick' tras una victoria judicial
This is some text inside of a div block.
Leer más
11-04-24
La CNIL emite sus primeras recomendaciones para el desarrollo de IA
This is some text inside of a div block.
Leer más