Incidentes de seguridad LOPD

Imagina que tienes una actividad profesional en marcha.

Has invertido una buena cantidad de dinero y tiempo, le has puesto toda tu ilusión, has cumplido toda esa infinidad de requisitos y normativas que te afectan, e incluso te has adaptado a la LOPD.

Tienes tu documento de seguridad, tu alta en el registro de la Agencia Española de Protección de Datos, has adaptado tu web a las exigencias de la LSSICE, has implantado hasta la última de las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD y lo haces todo a la perfección.

Pero un buen día (o mal día, mejor dicho) te levantas como habitualmente, desayunas, tratas con tus clientes, tus proveedores, realizas las llamadas habituales, comes en casa de tu suegra… ¡y de repente: un incidente de seguridad!

Saltan las alarmas, te llevas las manos a la cabeza, cierras los ojos, respiras hondo, cuentas hasta diez y esperas que haya sido una pesadilla, pero no: la realidad te golpea como un mazo y al final te das cuenta de que ha ocurrido y ya no tiene solución.

Un incidente de seguridad –en muchos casos- está tan solo a un click de ratón de cualquiera de nosotros.

A mí me ha pasado. A grandes empresas le ha pasado. A más de una administración pública le ha pasado. A tu amigo Pepe le ha pasado.

No hay ninguna razón para que mañana no te pueda pasar a ti.

Somos personas y nos equivocamos.

Otras veces, fallan las máquinas, los programas, los sistemas automatizados…

Sea lo que sea, en un segundo, te ves como un claro infractor de la LOPD, que – ya lo sabemos- es una norma que impone multas la mar de sustanciosas.

Mi primer consejo, a título personal, es que no te desesperes. Ya ha ocurrido y no tiene remedio. Torturarse sirve de poco.

Eso sí: aprende del incidente, minimiza los daños y haz todo lo posible porque no vuelva a sucederte nunca más.

Uno de los errores que me encuentro con más frecuencia –ya os he hablado en otras entradas de multas de la AEPD por esta cuestión- es el de los envíos masivos de e-mails que por equivocación, se hacen usando la opción CC del correo electrónico, en lugar de la opción BCC o CCO.

Una vez que hiciste click en el botón enviar, ya sabes que no hay marcha atrás…

El resultado –contrario a la LOPD- es que un montón de clientes o destinatarios de e-mail, pueden ver la dirección de correo electrónico de todos los demás.

Sé lo mal que te sientes (a mí me pasó hace muchos años), pero el mundo no se acaba aquí.
Esto es lo que yo –de forma resumida- recomiendo hacer en estas situaciones:

1º. Envía un nuevo e-mail –esta vez usando la opción BCC o CCO, eso sí- explicando lo ocurrido y que se ha debido a un error técnico, humano o del tipo que sea. Haz saber a los destinatarios, en el mismo mensaje, que deben eliminar el e-mail anterior.

2º. ¿Y a la AEPD? ¿Se lo decimos? Sólo los proveedores de servicios de comunicaciones electrónicas están legalmente obligados a comunicar el incidente de seguridad a la AEPD. Hay quien, en estos casos, decide autodenunciarse a la AEPD. Francamente, yo no lo recomiendo ni le veo sentido a hacerlo.

3º. Minimiza los daños en la medida de lo posible. Si tenías programada una segunda tanda de envíos, por supuesto, detén el proceso.

4º. Haz lo que esté en tu mano para evitar que vuelva a ocurrir.

Nuestros amigos de PC-CITOS nos dan una solución muy interesante para evitar en el futuro el problema del envío de e-mails sin usar la función de copia oculta.

Es tan sencillo como instalar una aplicación que –en cierto modo- suprime la maldita opción CC.

Así me lo explica Miguel, de PC-CITOS:

Es tan sencillo como instalar un módulo: se llama “Use Bcc Instead”

Se puede descargar aquí: https://addons.mozilla.org/en-US/thunderbird/addon/use-bcc-instead/

Aunque se puede buscar también en la sección “Complementos” del cliente de correos Thunderbird.

Ahora, configurado correctamente, no permite el envío sin BCC si el correo va dirigido a más de una persona, además comienza las nuevas redacciones con BCC activado por defecto.

Aquí podemos ver cómo configurar el complemento:

 

Y aquí cómo se vería en la lista de complementos o módulos al buscarlo o instalarlo:

Copia oculta y LOPD

DIEZ ERRORES MUY HABITUALES EN MATERIA DE LOPD y LSSICE.

 

 SEGUNDO ERROR:

 

Del que os voy a hablar hoy, me atrevería a decir que es el error más habitual con el que me encuentro en el día a día.

 

Son muchos los que se sorprenden cuando se lo explico y reconocen que lo desconocían en absoluto.

 

Me refiero al envío de correos electrónicos a múltiples destinatarios poniendo las direcciones en “copia visible” (CC)  en lugar de en CCO  o en BCC.

 

Hacerlo, puede suponerte una multa de –al menos- 900 euros, siendo frecuente la imposición de multas más elevadas (3.000 euros es muy habitual).

 

¿Pero por qué?

 

Pues porque estás vulnerando la obligación de guardar secreto y realizando una cesión inconsentida de datos personales.

 

En la mayoría de las ocasiones, las direcciones de correo electrónico son consideradas como datos de carácter personal que permiten identificar a su titular, y más aún en el caso de esas direcciones que tanto abundan ,que contienen nombres y apellidos de la persona (me refiero, por ejemplo, a un e-mail que fuese vanesagonzalezperez@lopddirecta.es).

 

Cuando escribes las direcciones en el apartado CC,  los destinatarios que reciben tu e-mail, están viendo al mismo tiempo las direcciones del resto de destinatarios. ¿Y qué sucede si uno de esos destinatarios no quiere que otro tenga su e-mail bajo ningún concepto? Son cosas que pueden ocurrir y que de hecho ocurren, y que suponen una cuestión de privacidad que siempre debe ser respetada, protegida y tenida en cuenta.

 

El artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se refiere a la obligación de guardar secreto, de la siguiente forma:

 

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

 

Por su parte, el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, sienta como principio general la prohibición de cesión de datos personales, así:

 

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

 

El párrafo 2º de dicho precepto, recoge una serie de excepciones a esta necesidad de consentimiento, sin que ninguna de ellas sea en principio aplicable al supuesto que estoy comentando.

No lo vuelvas a hacer más. La próxima vez usa la opción CCO de tu e-mail.

 

Los ejemplos reales de multas impuestas por la Agencia Española de Protección de Datos son muchísimos. Puedes leer algunos ejemplos aquí:

 

– MULTA DE 3.000 EUROS: 

 

https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00679-2009_Resolucion-de-fecha-16-02-2010_Art-ii-culo-10-LOPD.pdf

 

– MULTA DE 3.000 EUROS:

 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00228-2010_Resolucion-de-fecha-21-10-2010_Art-ii-culo-10-LOPD-21-LSSI.pdf

 

– MULTA DE 2.000 EUROS:

 

http://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/ps_2010/common/pdfs/PS-00553-2009_Resolucion-de-fecha-06-04-2010_Art-ii-culo-10-LOPD.pdf