Incidentes de seguridad LOPD

Imagina que tienes una actividad profesional en marcha.

Has invertido una buena cantidad de dinero y tiempo, le has puesto toda tu ilusión, has cumplido toda esa infinidad de requisitos y normativas que te afectan, e incluso te has adaptado a la LOPD.

Tienes tu documento de seguridad, tu alta en el registro de la Agencia Española de Protección de Datos, has adaptado tu web a las exigencias de la LSSICE, has implantado hasta la última de las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD y lo haces todo a la perfección.

Pero un buen día (o mal día, mejor dicho) te levantas como habitualmente, desayunas, tratas con tus clientes, tus proveedores, realizas las llamadas habituales, comes en casa de tu suegra… ¡y de repente: un incidente de seguridad!

Saltan las alarmas, te llevas las manos a la cabeza, cierras los ojos, respiras hondo, cuentas hasta diez y esperas que haya sido una pesadilla, pero no: la realidad te golpea como un mazo y al final te das cuenta de que ha ocurrido y ya no tiene solución.

Un incidente de seguridad –en muchos casos- está tan solo a un click de ratón de cualquiera de nosotros.

A mí me ha pasado. A grandes empresas le ha pasado. A más de una administración pública le ha pasado. A tu amigo Pepe le ha pasado.

No hay ninguna razón para que mañana no te pueda pasar a ti.

Somos personas y nos equivocamos.

Otras veces, fallan las máquinas, los programas, los sistemas automatizados…

Sea lo que sea, en un segundo, te ves como un claro infractor de la LOPD, que – ya lo sabemos- es una norma que impone multas la mar de sustanciosas.

Mi primer consejo, a título personal, es que no te desesperes. Ya ha ocurrido y no tiene remedio. Torturarse sirve de poco.

Eso sí: aprende del incidente, minimiza los daños y haz todo lo posible porque no vuelva a sucederte nunca más.

Uno de los errores que me encuentro con más frecuencia –ya os he hablado en otras entradas de multas de la AEPD por esta cuestión- es el de los envíos masivos de e-mails que por equivocación, se hacen usando la opción CC del correo electrónico, en lugar de la opción BCC o CCO.

Una vez que hiciste click en el botón enviar, ya sabes que no hay marcha atrás…

El resultado –contrario a la LOPD- es que un montón de clientes o destinatarios de e-mail, pueden ver la dirección de correo electrónico de todos los demás.

Sé lo mal que te sientes (a mí me pasó hace muchos años), pero el mundo no se acaba aquí.
Esto es lo que yo –de forma resumida- recomiendo hacer en estas situaciones:

1º. Envía un nuevo e-mail –esta vez usando la opción BCC o CCO, eso sí- explicando lo ocurrido y que se ha debido a un error técnico, humano o del tipo que sea. Haz saber a los destinatarios, en el mismo mensaje, que deben eliminar el e-mail anterior.

2º. ¿Y a la AEPD? ¿Se lo decimos? Sólo los proveedores de servicios de comunicaciones electrónicas están legalmente obligados a comunicar el incidente de seguridad a la AEPD. Hay quien, en estos casos, decide autodenunciarse a la AEPD. Francamente, yo no lo recomiendo ni le veo sentido a hacerlo.

3º. Minimiza los daños en la medida de lo posible. Si tenías programada una segunda tanda de envíos, por supuesto, detén el proceso.

4º. Haz lo que esté en tu mano para evitar que vuelva a ocurrir.

Nuestros amigos de PC-CITOS nos dan una solución muy interesante para evitar en el futuro el problema del envío de e-mails sin usar la función de copia oculta.

Es tan sencillo como instalar una aplicación que –en cierto modo- suprime la maldita opción CC.

Así me lo explica Miguel, de PC-CITOS:

Es tan sencillo como instalar un módulo: se llama “Use Bcc Instead”

Se puede descargar aquí: https://addons.mozilla.org/en-US/thunderbird/addon/use-bcc-instead/

Aunque se puede buscar también en la sección “Complementos” del cliente de correos Thunderbird.

Ahora, configurado correctamente, no permite el envío sin BCC si el correo va dirigido a más de una persona, además comienza las nuevas redacciones con BCC activado por defecto.

Aquí podemos ver cómo configurar el complemento:

 

Y aquí cómo se vería en la lista de complementos o módulos al buscarlo o instalarlo:

Destruccion de documentos LOPD

Principio seguridad LOPD
Principio de seguridad LOPD

No por gusto le insisto yo a mis clientes en el tema de la confidencialidad, la seguridad y la destrucción de documentos que contienen datos de carácter personal.

El 99% de las veces, su respuesta es la misma: “por supuesto” o “mujer, claro, aquí con eso tenemos mucho cuidado” o “yo tengo una destructora y lo destruyo todo antes de tirarlo”.

Sí, sí.

Seguro que el MINISTERIO DE INSDUSTRIA, TURISMO Y COMERCIO también decía estas cosas y sin embargo, aquí lo tenéis, expedientado por la Agencia Española de Protección de Datos, por poner documentos sin destruir en el contenedor de la basura:

http://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2014/common/pdfs/AAPP-00003-2014_Resolucion-de-fecha-08-07-2014_Art-ii-culo-9-LOPD.pdf

Ojo, que estas cosas pasan y mucho.

Desde aquí vuelvo a hacer una llamada de atención a responsables de fichero y/o de seguridad: mucho cuidado con la forma en que se gestionan los datos en soportes no automatizados. Es decir: la documentación en papel que contenga datos de carácter personal.

Si al Ministerio le puede pasar, seguro que a ti también.

Por qué unos documentos acaban en el contenedor de basura que hay frente a tu local, probablemente no lo sepamos nunca.

Los del Ministerio tampoco se lo explican.

Pero ahí estaban y ahí fueron encontrados por un mendigo que rebuscaba en la basura y finalmente, por la policía local.

El Ministerio contaba con destructoras de papel y se conocía la obligación de eliminar los documentos, sin embargo, algo falló.

El resultado:

– Para ti, probablemente una sanción por cometer una infracción grave (multa de 40.001 a 300.000 euros).

– Para el Ministerio de Industria, una resolución declarando que ha infringido (infracción grave) el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (principio de SEGURIDAD) y solicitud de remisión de una Instrucción de Seguridad.

La resolución de referencia, que es la nº 1435/2014 de la AEPD, determina que:

El artículo 44.3 h) califica como infracción grave: “Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”. De acuerdo con los fundamentos anteriores, se deduce que por parte del se ha producido una vulneración de la de seguridad de los datos, que ha tenido como consecuencia que los datos de carácter personal, cuya custodia era responsabilidad de esa entidad, acabaran siendo recuperados.

Notificacion quiebras seguridad

Si eres un proveedor de servicios de comunicaciones electrónicas, lo más probable es que hayas oído hablar del tema de las notificaciones de quiebras de seguridad que estás obligado a hacerle a la Agencia Española de Protección de Datos.

Y si el tema no te suena, más te vale que empiece a sonarte y prestes atención.

Esta obligación la introdujo el Real Decreto-Ley 13/2012, de 30 de marzo (que tiene un título larguísimo), que modificó el artículo 34 de la Ley 32/2013, de  3 de noviembre, General de Telecomunicaciones. A su vez, la reforma trae causa del mandato establecido por la Directiva 2002/58/CE, que exigía la notificación de los incidentes de seguridad que pudieran afectar a datos de carácter personal, y no sólo a los usuarios del servicio, sino también a las autoridades nacionales competentes.

Así queda redactado finalmente el artículo 34.4 de la LGT, que es lo que aquí nos interesa:

4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas.

La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos.

Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación.

En la notificación al abonado o al particular se describirá al menos la naturaleza de la violación de los datos personales y los puntos de contacto donde puede obtenerse más información y se recomendarán medidas para atenuar los posibles efectos adversos de dicha violación. En la notificación a la Agencia Española de Protección de Datos se describirán además las consecuencias de la violación y las medidas propuestas o adoptadas por el proveedor respecto a la violación de los datos personales.

Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario.

A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público.

¿Y cómo se lleva a cabo esta notificación a la AEPD, en la práctica? Pues muy fácil: accediendo a la sede electrónica de la Agencia en:

https://sedeagpd.gob.es/sede-electronica-web/

Tendrás que seleccionar la opción NOTIFICACIÓN PRECEPTIVA DE QUIEBRAS DE SEGURIDAD y cumplimentar el formulario.

Y ojo, porque el plazo que tienes para notificar es muy breve: 24 horas.