Cómo actuar ante una brecha de seguridad para evitar una sanción de la Agencia Española de Protección de Datos

En nuestra sociedad está a la orden del día la utilización de medios informáticos para transmitir información a miembros de las entidades, colaborades externos, etcétera. No obstante, hemos de tener una especial cautela al utilizar dichos medios, pues, aunque nos facilitan esa transmisión de información, también pueden ser un “arma de doble filo” si no se utilizan correctamente, cumpliendo las medidas de seguridad necesarias.

En lo que respecta a la normativa de protección de datos, estas comunicaciones, siempre que contengan datos de carácter personal han de cumplir con la normativa de aplicación:

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de, 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (RGPD).

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Encontramos muchos casos de sanciones por parte de la autoridad de control, en lo relacionado con brechas de seguridad, en este caso vamos a centrarnos en una resolución en concreto, PS-00540-2024:

La investigación de la autoridad de control, AEPD, comienza tras recibir una serie de reclamaciones en las que los reclamantes manifiestan haber recibido una comunicación remitida por el Delegado de Protección de Datos (DPD) de una conocida mutua en la que se les informa de que debido a un error informático se habían remitido sus datos personales, que incluían datos sobre salud, a diferentes empresas y entidades, con las que la reclamada se había puesto en contacto para que fueran eliminados. Junto a las reclamaciones aportan los escritos remitidos.

La brecha ocurrió en una plataforma en línea que facilita la gestión de trámites y consultas para empresas relacionadas con las prestaciones económicas de la mutua, la cual colabora con la Seguridad Social.

El 15 de julio de 2024, una empresa usuaria informó de un error en los correos electrónicos semanales enviados desde la plataforma, que contenían archivos adjuntos con datos de empleados de otras empresas. Este error fue causado por un fallo en la programación del envío de archivos adjuntos, debido a un comentario en una línea de código que desactivó la correcta ejecución de la misma. Como resultado, los archivos de Excel, que debían contener solo los datos de empleados de la empresa, incluyeron datos de otras entidades.

Este incidente afectó a los datos de 3.395 personas, los cuales fueron enviados a 354 destinatarios de empresas y asesorías colaboradoras de la mutua, con la filtración de información personal de los empleados.

• Nombre y apellidos
• NIF/NIE
• Número de afiliación a la Seguridad Social (NAF)
• Edad
• Tipo de contingencia
• Si se trataba de un proceso con baja o sin baja laboral
• Fecha de la baja
• Fecha del alta laboral
• Número de días de baja laboral hasta el momento de la notificación
• Empresa del trabajador/a
• Causa del alta
• Días previstos de baja laboral
• Base Reguladora para el cálculo de la prestación económica
• Coste total o parcial del proceso
• Coste aproximado de cotización
• CNO (Código Nacional de Ocupación) del trabajador/a
• Si tiene o no carencia para tener derecho a la prestación económica
• Si se trata o no de un accidente de trabajo in itinere
• Si se trata o no de un accidente de tráfico
• Sexo (H o M)

Como podemos comprobar, entre los datos afectados por la brecha de seguridad encontramos datos de salud, considerandose estos como datos sensibles a ojos del RGPD, en concreto en los artículos 9 y 10.

La mutua afectada, tras detectar una brecha de seguridad, implementó varias medidas para abordar la situación. Entre las acciones técnicas inmediatas, corrigió un error en el programa, estableció pruebas exhaustivas para futuros cambios, restringió el envío de múltiples archivos adjuntos en un solo correo, verificó el ID de los archivos adjuntos con los destinatarios y realizó pruebas previas al envío de emails.

En el aspecto operativo, contactó con las 354 entidades receptoras afectadas para que eliminaran la información errónea y realizó un seguimiento de la confirmación de la eliminación, que finalizó el 6 de septiembre de 2024.

Además, la brecha fue documentada y notificada a la AEPD el 17 de julio de 2024, y las personas afectadas fueron informadas por correo electrónico o postal.

Asimismo, adoptó diversas medidas de seguridad antes del incidente, incluyendo:

• Seguridad técnica: Uso de arquitectura y tecnologías enfocadas en la protección y trazabilidad de datos.
• Medidas organizativas: Política de privacidad de datos y un procedimiento obligatorio de seguridad para todo el personal.
• Medidas operacionales: Formación continua sobre protección de datos para su personal.
• Análisis de riesgos: Evaluación de riesgos en los tratamientos de «prestaciones económicas» y «relación con las empresas mutualistas», sin hallar riesgos altos.
• Auditoría externa: En julio de 2024, comenzó una auditoría externa sobre protección de datos, aunque no se especifica la fecha ni se adjunta documentación.

Estas medidas demuestran un enfoque preventivo en seguridad antes de la brecha de datos.

Por último, la mutua informa a la AEPD de las medidas de seguridad que tiene pensado implementar en un futuro para que la situación no vuelva a repetirse.

En base a lo indicado la AEPD considera que la mutua realiza esta actividad en condición de responsable del tratamiento, dado que es quien determina los fines y medios de la actividad, en virtud del artículo 4.7 del RGPD.

Por todo ello entiende la AEPD       que la mutua reclamada ha incumplido en Artículo 5.1 f) del RGPD:

«1. Los datos personales serán:

(…)

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)».

Queda claro que el incidente ocurrido en la mutua fue causado por un error humano al modificar el código del «notificador». Este error hizo que, al enviarse un archivo Excel con datos, se incluyeran archivos previos generados durante el mismo día, afectando a los destinatarios incorrectos.

La mutua adoptó varias medidas para corregir el problema, como:

1. Corrección del error y pruebas exhaustivas para asegurar el correcto funcionamiento de futuras modificaciones.
2. Restricción de archivos adjuntos para evitar el envío de múltiples archivos en un solo correo.
3. Verificación del ID del archivo adjunto para asegurarse de que coincida con el usuario destinatario antes de enviarlo.
4. Pruebas previas al envío de emails para detectar problemas en una muestra antes de realizar envíos masivos.

Sin embargo, dado el volumen de envíos (250.000 mensuales) y la naturaleza sensible de los datos, la AEPD considera que las medidas adoptadas por la mutua son básicas. No contaron con controles adecuados para prevenir o detectar errores en la configuración o envío. Por ello, se considera que estos hechos podrían constituir una infracción por parte de la mutua por no cumplir con las obligaciones de seguridad establecidas en el RGPD.

Por lo expuesto, en este caso se aborda la imposición de una multa debido a una posible infracción, considerando la gravedad de sus consecuencias para los afectados. La multa debe ser efectiva, proporcional y disuasoria, de acuerdo con el artículo 83.1 del RGPD. El volumen de negocio de la mutua en 2023 también se tiene en cuenta para determinar la sanción.

Para decidir sobre la multa y su cuantía, se consideran varias circunstancias:

1. Naturaleza, gravedad y duración de la infracción: Se toma en cuenta el número de personas afectadas (3.395) y los daños sufridos, ya que la infracción involucra datos sensibles, como información de salud.
2. Categorías de los datos personales afectados: Se destacan los datos de salud, incluidos en el artículo 9 del RGPD, y la cantidad de datos enviados para cada afectado, lo que agrava la infracción.

En base a estas circunstancias, se propone una multa administrativa inicial de 1.000.000 euros, conforme a lo establecido en el artículo 83.2 del RGPD.

Finalmente, la mutua decide acogerse a las dos reducciones (40%), por pronto pago y por reconocimiento de responsabilidad, lo que implica que la cantidad definitiva a pagar como multa sea de 600.000 €.

Como se desprende del presente artículo, el hecho de cometer un error cuando hablamos de envíos en los que se encuentran datos de carácter personal puede suponer un grave perjuicio económico para la entidad, puesto que se enfrenta a cuantiosas multas por parte de la AEPD, motivo por el que se recomienda que todos los miembros de la entidad conozcan como actuar ante una brecha de seguridad, para lo cual os damos las siguientes pautas:

• Crear un procedimiento interno de actuación ante brechas de seguridad.
• Entregar dicho procedimiento interno a todo el personal con acceso a datos de carácter personal de la entidad. También puede encontrarse disponible en alguna plataforma interna que utilice la entidad.
• Realizar formaciones periódicas en materia de protección de datos a todo el personal con acceso a datos de la entidad.
• Contar con un Delegado de Protección de Datos en la entidad.
• Que el personal de la entidad conozca a quien ha de dirigirse si sufre una brecha de seguridad que afecte a datos de la entidad.
• Cumplir con las medidas de seguridad del art. 32 RGPD, las cuales pueden ser básicas o reforzadas, dependiendo de la tipología de datos de carácter personal que trate la entidad.

Con estas pautas, en muchos casos podremos evitar la brecha de seguridad, puesto que en numerosas ocasiones estas ocurren por el desconocimiento del personal. No obstante, si no podemos evitar una brecha de seguridad, siguiendo estas pautas podremos evitar o aminorar la sanción por parte de la autoridad de control en caso de reclamación e investigación.