¿Qué significa este correo que he recibido? (A4C42B2D01)

Uno de los deberes del responsable del tratamiento de datos personales es garantizar su seguridad, esto es, en esencia, garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Con esa finalidad, debe adoptar las medidas técnicas y organizativas apropiadas.

Sin embargo, en ocasiones, no se implantan las medidas adecuadas o, a pesar de ello, no se impide una vulneración de esa seguridad. En particular, el crecimiento exponencial de los ciberataques es alarmante.

En este contexto, el Reglamento General de Protección de Datos establece que “cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado”. Este correo electrónico es un ejemplo de una comunicación de una violación de la seguridad.

La normativa exige que esa comunicación sea realizada sin dilación indebida. Lo que se persigue con ello es que el afectado pueda adoptar las medidas oportunas a la mayor brevedad. Por ej., si han sido comprometidas unas contraseñas, que se cambien inmediatamente; o si ha sido la numeración de una tarjeta de crédito, que se cancele. Obsérvese que en el caso el ciberataque se ha producido el 11 de abril, aunque el correo se envía el día 23, posiblemente porque no han sido afectadas ni contraseñas ni tarjetas bancarias -con ello no se está diciendo que se comparta el criterio adoptado-, aunque sí números de cuenta bancaria.

El Reglamento General de Protección de Datos dispone que esa comunicación debe tener el siguiente contenido:

a) La descripción, con lenguaje claro y sencillo, de la naturaleza de la violación de la seguridad. En el caso se explica que ha sido un ciberataque y en qué ha consistido: “cifrar y hacer inaccesibles los sistemas de dichas entidades con la intención de impedir completamente su actividad; así como en amenazar con revelar datos de los interesados afectados” si no se paga un rescate. En fin, está describiendo un Ransomware con robo de datos personales. También se informa que la empresa no ha sufrido pérdida definitiva de información ni tampoco de ninguno de sus aplicativos por lo que los servicios no se han visto afectados. O dicho de otra manera, que había una copia de respaldo con toda la información que se ha podido restaurar.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. En el caso, se facilita información genérica sobre el Delegado de protección de datos y se remite también a una página web de preguntas y respuestas sobre el incidente.

c) Las posibles consecuencias de la violación de la seguridad. En el caso, se informa de dos cuestiones:

• Que es posible que los datos personales se hayan visto comprometidos.
• Los datos potencialmente afectados: nombre, apellidos, dirección postal, teléfono, correo electrónico, DNI o equivalente, fecha de nacimiento, género, productos/servicios contratados, y número de cuenta bancaria facilitada.

d) Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación y, si procede, para mitigar los posibles efectos negativos. En el caso se relatan las siguientes:

• Activación del plan de actuación, con la colaboración de una empresa externa experta en ciberseguridad
• Notificación de los hechos a la Agencia Española de Protección. Debe tenerse en cuenta que esta notificación es un deber por parte del responsable del tratamiento, pues la normativa prohíbe ocultar este tipo de incidentes.
• Denuncia ante el Cuerpo Nacional de Policía, pues este tipo de ciberataques son constitutivos de delito.
• Rechazo del pago del chantaje.

La normativa enumera una serie de supuestos en los que no es necesario que la entidad que sufre una violación de seguridad la comunique a los interesados:

a) El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad. En particular, se trata de aquellas medidas, como el cifrado, que hagan ininteligibles los datos personales para cualquier persona no autorizada.

b) Se han adoptado medidas ulteriores que garanticen que no existe probabilidad de que se concrete el riesgo para los derechos del interesado.

c) Suponga un esfuerzo desproporcionado. En este caso, no se comunica a cada interesado (en el caso analizado, era un correo electrónico dirigido a la concreta dirección de correo electrónico de cada potencial afectado), sino que se hace una comunicación pública (prensa, internet, televisión, etc.) en la que se informe también a los interesados.