LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 15:47:04

LegalToday

Por y para profesionales del Derecho

Las brechas de seguridad, la nueva tendencia

Departamento Legal
Áudea Seguridad de la Información

El GDPR o Reglamento General de Protección de Datos puede parecer a simple vista una norma muy actual pero a su vez difícil de entender o aplicar para la gente ajena a la protección de datos. No obstante, como casi todo lo que tiene que ver con las leyes, su entendimiento pasa por ver la norma aplicada a la práctica, al día a día. Todo es cuestión de perspectiva

Seguridad

Por ejemplo, ¿cuál es el caso contemplado en el  GDPR  que más reflejado se encuentra en la actualidad? En Áudea Seguridad de la Información hemos examinado dos casos muy recientes.

Por un lado, Uber, la mayor compañía de vehículos de transporte con conductor, ha acordado con la justicia estadounidense el pago, en concepto de compensación, de una cantidad de 148 millones de dólares tras haber ocultado el robo de datos de aproximadamente 57 millones de usuarios y el posterior pago a los hackers encargados del robo con el fin de guardar el secreto.  Lo relevante del acuerdo, además de la importante suma, es que el mismo determina que la empresa deberá implementar las medidas de seguridad de la privacidad pertinentes para que este hecho no vuelva a suceder. ¿Por qué? Porque en palabras de uno de los fiscales implicados, Xavier Becerra, fiscal de California: "la decisión de Uber de encubrir esta brecha de seguridad es una flagrante violación de la confianza del  público". 

Por otro lado, Facebook, el gigante de las redes sociales, declaró el pasado 28 de septiembre que alrededor de 50 millones de cuentas habían quedado al descubierto tras un ataque informático en el que los hackers habían accedido a las "llaves" de las cuentas de los usuarios.

¿Cuál es la diferencia más evidente entre estos dos casos? La notificación a la Autoridad de Control y a los usuarios afectados. Mientras que Uber ocultó deliberadamente la brecha, Facebook comunicó tanto a la Autoridad Irlandesa (Ireland Data Protection Commission) como a los afectados la existencia de la violación de seguridad.

El GDPR establece en su artículo 33 que, en caso de una violación de la seguridad de los datos personales, siempre que esta suponga un riesgo para la protección de los datos de los usuarios, la empresa deberá notificarla a la autoridad de control a la mayor brevedad posible y siempre antes del plazo de 72 horas desde que se tuviese constancia del hecho. Asimismo, siempre que exista la posibilidad de que la violación suponga un alto riesgo para los derechos y libertades de los afectados, se les deberá comunicar el incidente en el menor tiempo posible.

En España, esta obligación no es nueva, ya que si bien con anterioridad al GDPR sólo se encontraban obligados a comunicar a la autoridad los operadores de servicios de comunicaciones electrónicas, el Reglamento de Desarrollo de la LOPD (RLOPD) contemplaba la obligación de mantener un procedimiento de notificación interna, gestión y registro de incidencias de seguridad.

La comunicación de las violaciones de seguridad implica proactividad por parte de las empresas, es decir, un esfuerzo por aminorar los daños causados y por evitar un daño mayor a los afectados o, al menos, esa debería ser su motivación final, ya que la proactividad genera a su vez confianza en la población al contar con que sus datos personales están debidamente protegidos. No obstante, la proactividad (principio recogido en el GDPR) debe reflejarse, no sólo en la mitigación de los daños tras la brecha, sino en la prevención de las violaciones de seguridad, en evitar que estos "errores" ocurran.

La pérdida de datos personales no es baladí, y aunque gran parte de la población no le de la importancia que merece, como se indicaba al inicio de este texto, todo es cuestión del punto de vista desde el que se mire. Si miramos las brechas de seguridad desde un punto de vista legal, podemos caer en el error de pensar que es un "asunto de empresa" ya que son ellas quienes deben enfrentarse a sus "errores"; sin embargo, si pensamos en los "Panamá Papers", una de las filtraciones de datos de más envergadura relativa a comunicaciones entre abogados y clientes, el caso de PlayStation Network que afectó a casi 80 millones de usuarios y que llevó a la compañía a suspender el servicio durante más de 15 días, o el caso de los supermercados Target, donde se perdieron no sólo nombres y direcciones sino también datos de tarjetas de crédito como el PIN, el CVV y la fecha de caducidad, además del nombre del titular y el número de tarjeta, podemos observar la magnitud de estas acciones por parte de los hackers y como estás acciones no supusieron únicamente pérdidas económicas si no también de reputación de las compañías y de la confianza de los afectados.

Esta situación está provocando que se popularicen los servicios de hacking ético, como pueden ser auditorías de seguridad o los test de intrusión (pentest). De esta forma, se utilizan técnicas similares a las que utilizaría un ciberdelincuente para poder detectar y corregir las brechas de seguridad antes de que lo hagan personas malintencionadas y pongan a la empresa en un problema legal y reputacional.

 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.