PUBLICIDAD
PUBLICIDAD

Descienden a 93 las brechas de seguridad notificadas en marzo a la AEPD

Protección de Datos recuerda que se mantiene durante el estado de alarma la obligación legal de notificar estas brechasSe rompe así una tendencia al alza desde septiembre del 2019.
|

Las notificaciones de brechas de seguridad a la Agencia Española de Protección de Datos (AEPD) fueron 93 durante el mes de marzo, según el informe mensual del regulador.

Se rompe así una tendencia al alza desde septiembre del 2019, cuyo punto más álgido fue octubre de ese año con 266 notificaciones.

En este 2020, la tendencia en descenso es acusada, 166 en enero, 177 en febrero y 93 en marzo, mes en el que explotó la crisis del coronavirus en nuestro país y en el que declaró el Estado de alarma.

Tal y como la AEPD confirmó a nuestra publicación, la suspensión de los plazos administrativos no tiene nada que ver con la notificación de las brechas de seguridad, que según marca la normativa actual debe hacerse en 72 horas.

PUBLICIDAD
PUBLICIDAD

De las 93 notificaciones, 91 han utilizado como canal de comunicación el formulario de “notificación de brechas de seguridad” publicado en la sede electrónica de la AEPD. Del total, seis son notificaciones con información adicional y 82 por parte de organizaciones del ámbito privado.

Además, 73 notificaciones indican brecha de confidencialidad, 21 de integridad y 33 de disponibilidad, dejando claro que algunas brechas presentan más de una tipología.

La importancia de notificar las brechas de seguridad es notable. Se trata de alertar a terceros de que ha habido una vulneración de esos datos personales. Tal y como escribía Alvaro Ramos, director de tecnología y protección de datos en ClarkeModett, cuando hay una brecha hay que investigar su origen y establecer nuevas medidas de seguridad.

PUBLICIDAD

Durante el mes de marzo se ha trasladado una notificación de brecha de seguridad de los datos personales a la Subdirección General de Inspección de Datos (SGID), al apreciar la existencia de riesgo alto para los derechos y libertades de los ciudadanos de lo que se puede requerir una investigación adicional para determinar la existencia de dicho riesgo.

Un descenso inesperado de notificaciones

Para José Luis Piñar, of counsel de CMS Albiñana & Suárez de Lezo y exdirector de la AEPD, “sorprende el descenso significativo de estas notificaciones.

Es posible que las empresas hayan reforzado las medidas de seguridad al desarrollar actividades como el teletrabajo, pero hay que darse cuenta de que los plazos para atender los derechos de protección de datos ante una administración pública estarían suspendidos, pero el ejercerlos ante un particular o empresa privada no está suspendido”.

PUBLICIDAD
José Luis Piñar, of counsel de CMS Albiñana & Suárez de Lezo.

Este experto, recuerda que las notificaciones de las brechas de seguridad no están suspendidas y hay que realizar dicha notificación siempre y cuando la brecha tenga una repercusión importante.

PUBLICIDAD

“Llama la atención que del total de las brechas notificadas, todas menos dos se hayan hecho vía sede electrónica, situación propiciada por el confinamiento actual”.

Hay que recordar que la propia AEPD publicó hace algo más de un año una guía sobre gestión de brechas de seguridad. “Esto hace que no todo se tenga que notificar realmente a la AEPD”, apunta Piñar.

Para este jurista “la protección de datos como derecho fundamental no se puede suspender nunca. Ni siquiera cuando hubiera estado de excepción o sitio. La Constitución recoge esos estados y sobre el artículo 18.4 de protección de datos no puede suspenderse, otra cosa es que se pueda limitar temporalmente”.

La importancia de la seguridad de los datos

Para Paz Martín, socia directora de Legal Things Abogados, “en estos momentos de confinamiento en los que el trabajo en remoto y el teletrabajo se han disparado, la seguridad de los datos debe garantizarse aún más. Sorprende el descenso en marzo del número de brechas de seguridad notificadas”.

PUBLICIDAD

“No en vano muchas empresas han tenido que trabajar a marchas forzadas para implantar sistemas de trabajo en remoto que no habían contemplado. En muchos casos ni siquiera los trabajadores cuentan con ordenadores y dispositivos corporativos previamente testados por los equipos de IT en cuanto a su seguridad. Es por ello más factible que existan mayores vulnerabilidades en estos momentos”, aclara.

Paz Martín, socia directora de Legal Things Abogados.

Además, “se ha producido un incremento exponencial del ‘malware’ que se recibe a través de correo electrónico. Ello ha obligado a las empresas a estar permanentemente alertando a sus equipos sobre los riesgos de abrir dichos correos electrónicos que a menudo vienen enmascarados en forma de actualizaciones del propio software, facturas adjuntas, información del Covid-19 o documentos de trabajo”, destaca Martín.

Las estadísticas ofrecidas por la Agencia Española de Protección de Datos evidencian que en su mayoría se produce por ‘malware’ cuya entrada es habitual a través del correo electrónico o una acción voluntaria del usuario que permite la entrada al sistema provocando la pérdida de confidencialidad de la información que es la brecha más habitual. “No sería de extrañar que estas cifras crezcan en los próximos meses”.

Por ello, “la obligación de comunicar las brechas de seguridad está más vigente que nunca. Quizás en lo que conviene insistir más es que a la vista de las estadísticas, las empresas y profesionales deben trabajar en la prevención, advertencias constantes a los usuarios, boletines informativos, alertas, revisiones de seguridad, actualizaciones de software y sistemas, etc.”

En su opinión, “las condiciones de trabajo han cambiado y se aconseja extremar la precaución ante emails, contenidos y páginas sospechosos. Aún más si se trabaja con dispositivos propios que en muchos casos se comparten con la familia o sirven para actividades escolares de los hijos”.

“Es obligación de los responsables de los datos utilizar medios seguros y minimizar al máximo los riesgos que pueden poner en peligro los datos de los menores (incluyendo su imagen) y que supondrían brechas de seguridad evidentes”, destaca.

Escaso nivel de severidad en las brechas

En cuanto a los datos que revela el informe de la AEPD, 59 brechas indican contexto externo e intencionado mientras que 15 notificaciones de brechas implican categorías especiales de datos, de las cuales 26 se refieren a datos de salud.

En cuanto al grado de severidad, 60 notificaciones indican severidad de las consecuencias para los afectados baja mientras que ninguna notificación indica severidad muy alta.

De ese total, 15 notificaciones de brechas con implicaciones de carácter transfronterizo y una se ha trasladado a la SGID.

Sería el caso de multinacionales o empresas que operan fuera de España donde la autoridad competente principal en este caso es la española es la que ante la que se debe notificar dicha brecha de seguridad.

La notificación de brecha con mayor número de afectados corresponde a una notificación de una brecha de confidencialidad con aproximadamente 1,6 millones de personas afectadas por un incidente de tipo explotación de vulnerabilidad en servicio expuesto en internet.

En cuanto a la información a los perjudicados, tal y como señala la normativa que debe hacerse, de esas 93 notificaciones, 15 indicaron haber informado en total a aproximadamente 400.000 personas mientras que 13 notificaciones indican que informarán en total a aproximadamente 100.000 afectados.

Por su parte, 63 notificaciones indican que no informarán a los afectados o tienen pendiente decidir si lo harán.

Sobre la materialización de las brechas de seguridad, la AEPD destaca que 41 se produjeron por ‘malware’, 17 por ‘hacking’ o pirateo; 9 por correo perdido; otras 9 por datos personales,  mientras que por ‘phishing’ fueron 8 y por dispositivo robado y documentación perdida 6 notificaciones en cada área. También hay otras 4 notificaciones por datos personales enviados.

En cuanto a la localización geográfica de dichas brechas de seguridad, la comunidad de Madrid lidera dicha clasificación con 32, seguida a cierta distancia por la comunidad valenciana con 16 y Cataluña con 14.

Andalucía tiene 9 brechas notificadas, Murcia y Aragón 3, Baleares, Castilla-La Mancha y Navarra, 2 y Extremadura, País Vasco y Canarias, solo una.