En este supuesto, se produjo una brecha de seguridad en los sistemas internos de un encargado del tratamiento de la empresa DECIMAS, que prestaba servicios de desarrollos informáticos y su mantenimiento. Así, el 26 de abril, el responsable del tratamiento recibió un correo de INCIBE informando sobre el posible ataque que había sufrido su base de datos, puesto que el día anterior se había publicado un mensaje del atacante ofreciendo la venta de esta información.
Ese mismo día, el encargado del tratamiento contrató a un tercero especializado para que llevara a cabo un informe forense de vulnerabilidad (este informe terminó concluyendo que hubo “una fuga de información de las bases de datos mediante técnicas de inyección de código SQL”), realizándose por DÉCIMAS la comunicación inicial a la AEPD y quedando, posteriormente (pero el mismo día), solucionado el ciberataque. Los datos afectados de los clientes fueron sus correos electrónicos, fecha de nacimientos, género, nombre y apellidos y DNI.
Apenas una semana después, se comunicó la incidencia a los clientes afectados (331.809 usuarios), informando de la brecha, la tipología de los datos a los que se había tenido acceso y las medidas de seguridad adoptadas. En este sentido, DÉCIMAS entendía que las personas apenas se verían afectadas por la incidencia o que la consecuencia sería que podrían encontrar sólo unos inconvenientes limitados como, por ejemplo, la recepción de comunicaciones comerciales.
La reclamación ante la AEPD se interpuso por diversos afectados que tuvieron constancia de la brecha de seguridad debido a la comunicación remitida por la empresa.
La autoridad de control declara en su resolución que el principio de confidencialidad “obliga a los responsables del tratamiento a garantizar que los datos personales sean tratados de forma que se garantice la confidencialidad […] evitando accesos no autorizados, usos indebidos o divulgación a terceros no autorizados”, debiendo adoptarse medidas técnicas y organizativas que impidan que se materialicen los riesgos. En este caso, consta probada la brecha de seguridad que tuvo lugar por el ciberataque sufrido.
Este ciberataque fue conocido por la entidad por la información que facilitó un tercero, pero no por la detección interna del propio responsable, lo que, según la AEPD, permite evidenciar la ausencia de medidas destinadas a la alerta temprana de incidentes o a la detección de este tipo de ataques. Estas medidas, que no fueron adoptadas, podrían haber permitido la monitorización de las vulnerabilidades de la compañía y la rápida solución de estos ataques en su caso.
A la vista de ello, afirma la AEPD que “DÉCIMAS no tenía implantada medidas adecuadas destinada a comprobar la existencia de vulnerabilidades ni de alerta temprana de incidentes, por lo que carecía de una monitorización adecuada de sus sistemas. Esta ausencia de controles permitió que un atacante accediera y exfiltrara los datos personales de los clientes”. Del mismo modo, se pone de manifiesto que los datos de sus sistemas internos tampoco estaban cifrados, existiendo vulnerabilidades incluso tiempo después de que la brecha estuviera solucionada.
Adicionalmente, en relación con los datos afectados, la autoridad de control declara que “el tratamiento del número del DNI/NIF/NIE constituye un tratamiento sobre un dato personal de especial sensibilidad, pues permite la identificación directa e inequívoca de una persona física”. Esta especial sensibilidad deriva de que “su utilización indebida conlleva un elevado riesgo de suplantación de identidad, daños patrimoniales o afectación al derecho al honor”. En consecuencia, la AEPD considera este dato relativo al número de DNI “como un dato particularmente sensible”.
Habida cuenta de todo lo anterior, la autoridad de control impone una sanción de 200.000 euros (reducida a 120.000 euros, por haber hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad) por la infracción del artículo 5.1.f) del RGPD. En este sentido, sorprende que la sanción no se haya impuesto con ocasión de la infracción del artículo 32 del mismo cuerpo normativo, relativo a la aplicación de medidas de seguridad por parte del responsable.
Esta noticia permite apreciar la importancia de que los responsables del tratamiento lleven a cabo un control efectivo sobre aquellos encargados que van a tratar datos personales. En este sentido, no basta con formalizar el correspondiente contrato de encargado, sino que se debe analizar y evaluar previamente aspectos como las medidas de seguridad implantadas, los procedimientos de gestión de la información o la capacidad de proteger adecuadamente los datos. Y ello es así porque una brecha de seguridad que sufra el encargado del tratamiento genera importantes consecuencias para el responsable, que asume las responsabilidades y posibles sanciones derivadas del tratamiento de los datos.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.
