La seguridad de los datos personales es un pilar fundamental en el entorno digital actual. Sin embargo, las filtraciones de información son un fenómeno que no discrimina sectores ni geografías. La reciente filtración de datos a través de una empresa externa encargada de su gestión pone de manifiesto la importancia de adoptar medidas preventivas y y actuar siembre conforme al Reglamento General de Protección de Datos (RGPD) y las directrices de la Agencia Española de Protección de Datos (AEPD).
Un caso específico reportado a la Línea de Ayuda de Ciberseguridad (017) revela cómo una empresa nacional descubrió, mediante el navegador TOR, que una persona afirmaba poseer su base de datos. La verificación mostró que parte de los registros ya habían sido publicados.
La gestión de esta base de datos estaba en manos de un proveedor externo, que inicialmente negó haber sufrido cualquier brecha de seguridad. Sin embargo, la empresa afectada desconfía de esta declaración y consideró necesario realizar auditorías de seguridad para descartar vulnerabilidades en sus propios sistemas.
La empresa actuó rápidamente notificando el incidente a la AEPD, como exige el RGPD, y buscó asesoramiento sobre cómo proceder con las posibles acciones legales por el robo y la amenaza de difusión de los datos.
Pautas recomendadas tras una filtración de datos
La notificación a la AEPD de datos personales filtradios debe ser dentro de las primeras 72 horas, lo que es indispensable para cumplir con el RGPD. Además, se deben tomar las siguientes medidas:
- Comunicación con los afectados: Informar a los clientes sobre lo sucedido y proporcionar recomendaciones claras sobre como deben actuar si les llega cualquier alerta o notificación.
- Análisis de sistemas: Revisar los dispositivos con antivirus y evaluar posibles vulnerabilidades.
- Cambio de contraseñas: Implementar credenciales robustas, cambiar las anteriores y habilitar la autenticación en dos pasos en todas las cuentas que se puedan.
- Revisión de accesos: Examinar los permisos y los registros de acceso al servidor que se han producido en los últimos días/horas.
- Monitorización: Supervisar las cuentas de los administradores que tienen acceso a los datos y como ha sido su evolución en los últimos días/horas con el fin de detectar cualquier anomalía.
- Colaboración con el proveedor externo: Si no se encuentran brechas en los sistemas propios, insistir en que el proveedor realice investigaciones adicionales.
- Recopilación de pruebas: Documentar todas las evidencias relacionadas con la filtración para notificar el incidente.
- Denuncia: Presentar una denuncia formal ante las Fuerzas y Cuerpos de Seguridad del Estado.
El Instituto Nacional de Ciberseguridad (INCIBE) ofrece un catálogo de empresas especializadas en ciberseguridad que pueden ser de ayuda en estas circunstancias.
Responsabilidades según el RGPD
El RGPD establece que la responsabilidad principal recae en la empresa responsable del tratamiento de los datos, que debe garantizar que sus proveedores implementen medidas de seguridad adecuadas. En este contexto:
- Responsabilidad de la empresa: Si se demuestra que no evaluó adecuadamente la capacidad del proveedor para gestionar datos de manera segura.
- Responsabilidad del proveedor: Si se prueba que actuó con negligencia o carecía de medidas de seguridad adecuadas, salvo en casos de fuerza mayor o ataques extremadamente sofisticados.
El análisis de cada caso corresponde a las autoridades de protección de datos competentes y serán ellos quien determinen de quién es la responsabilidad.
Consecuencias legales y medidas preventivas
Los datos personales filtrados pueden tener repercusiones legales significativas, desde sanciones económicas hasta daños reputacionales. Por ello, es fundamental:
- Adoptar medidas preventivas: Realizar auditorías periódicas, formación del personal en ciberseguridad y actualizaciones constantes de los sistemas.
- Elegir proveedores confiables: Asegurarse de que cumplen con los estándares del RGPD.
- Establecer protocolos de respuesta: Diseñar un plan de acción en caso de incidentes de seguridad para actuar de forma rápida y coordinada.