Más de tres años después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) resulta interesante pararse a analizar cómo hemos evolucionado en la aplicación de esta nueva normativa europea. Y qué mejor forma de hacerlo que repasando el conjunto de sanciones que se han impuesto en España.
Nuestro objetivo es analizar un apartado de la norma que incumbe directamente a las empresas tecnológicas que trabajan en el sector de la ciberseguridad: el Artículo 32. De alguna forma, y siendo sinceros, las sanciones ejemplifican las malas prácticas —ocasionales o habituales— de empresas, organismos o particulares que afectan a cómo se recogen, protegen o explotan los datos personales de los ciudadanos. Y a partir de ellas siempre es posible extraer información ciertamente interesante.
Sanciones por el RGPD en Europa
Según los datos proporcionados por Privacy Affairs, hasta la fecha se han impuesto más de 800 multas en toda Europa relacionadas con la nueva normativa de protección de datos personales. Unas multas que suponen más de 1.200 millones de euros… y es probable que la lista siga creciendo.
AEPD y el RGPD
En España, desde hace bastante tiempo, se aplica un riguroso procedimiento de análisis, traslado y resolución de las reclamaciones a la AEPD. Y aquí debemos hacer una aclaración: no todas las solitudes prosperan.
Solo a modo de referencia, en 2020, en torno al 56% de las reclamaciones no fueron admitidas ni siquiera a análisis —el listado completo puede ser revisado y estudiado, junto con el contenido de las resoluciones en su página Web. Aun así, en torno al 9% del total acabaron en un procedimiento sancionador. Un porcentaje reducido, pero que sin embargo puede resultar revelador si se analiza con detenimiento.
Incumplimientos
Una gran mayoría de las actuaciones se refieren a aspectos relacionados con el incumplimiento en la solicitud de autorizaciones para la recogida o tratamiento/explotación de datos personales de los ciudadanos. Los casos son numerosos y los ejemplos de sobra conocidos:
- sistemas de videovigilancia que graban fuera de lo que sería su alcance autorizado,
- publicidad no solicitada,
- cartas con datos de otras personas,
- bloqueos de acceso a web por no aceptar cookies,
- falta de información en los servicios web sobre el tratamiento de datos,
- transmisión de datos personales a terceras partes,
- suscripción a servicios sin la debida autorización,
- llamadas de teléfonos o SMS de marketing pese a notificar que no quiere recibirlas,
- confirmación de aceptación de procesamiento de datos personales por defecto activada en formularios,
- creación de perfiles de otras personas, etc.
Nuestro objetivo, aunque en la misma línea, sin embargo, es analizar un apartado de la norma que incumbe directamente a las empresas tecnológicas que trabajan en el sector de la ciberseguridad: el Artículo 32.
¿Qué recoge el Artículo 32?
Veamos lo que dice el apartado primero del Artículo 32:
“1.- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (a) la seudonimización y el cifrado de datos personales; (b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; (d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento…”
Planteándolo de forma simplificada, nos encontramos ante un epígrafe que expresa la obligación de implantar medidas organizativas y técnicas que minimicen los riesgos para los datos personales que las compañías tienen recogidos en sus sistemas de información. Se trata pues de un requerimiento evidente, aunque no siempre es fácil de cumplir.
Procedimientos sancionadores
En los últimos años, la AEPD ha evaluado en torno a dos centenares de casos que tienen como foco principal algún apartado relacionado con el Artículo 32.
Según la información disponible, los casos resueltos en los últimos tres años afectan principalmente a quiebras de seguridad, a procesamiento de datos sanitarios, a servicios de Internet y telecomunicaciones, a datos relacionados con asuntos laborales, incluso a actuaciones de la administración pública o a servicios de suministros básicos.
Sobre la base del análisis de esos casos, la AEPD ha iniciado más de 60 procedimientos sancionadores, justificados en incumplimientos como, por ejemplo:
- el envío electrónico de información médica sin cifrar (clasificada como nivel alto),
- el uso incorrecto de dispositivos compartidos por empleados para el tratamiento de información personal,
- debilidades del anonimizado de datos en documentos publicados en Internet o incluso
- el almacenamiento temporal de información confidencial en dispositivos no autorizados.
En algunas ocasiones ha sido motivo de sanción la ausencia de una política de privacidad y de gestión de cookies adecuada en los servicios que las compañías proporcionan online. También entra en este apartado la publicación abierta de listados de datos personales relacionados con algún concurso o proceso de admisión particular o incluso la utilización de productos software/hardware claramente desactualizados y vulnerables a ataques.
Apercibimientos y multas
Cabe señalar que una gran parte de las sanciones impuestas son inicialmente de apercibimiento a los causantes, seguidas por la exigencia de actuaciones correctivas, en su mayoría destinadas a implantar medidas tecnológicas. Aun así, existen casos en los que se ha ido más lejos —principalmente en el sector de las telecomunicaciones. Para algunos se han impuesto sanciones económicas que caso por caso e individualmente superan los 40.000 €. El caso más representativo, por el momento, ha sido el de Air Europa que ha recibido una sanción de 600.000 €.
De cualquier forma, se trata de multas que, aun acumuladas, están lejos de los límites establecidos por la normativa vigente. Una normativa que recoge la posibilidad de llegar hasta los 20 millones de euros o el 4% de la facturación anual de la compañía sancionada.
Uso de tecnología
Entre las medidas tecnológicas recomendadas se encuentra el cifrado de información, el filtrado de contenidos, los controles de acceso, la gestión de la identidad, las copias de seguridad, la recogida de logs, etc. Todas ellas son soluciones ofrecidas por fabricantes e integradores que pueblan el mercado de la ciberseguridad.
Sin embargo, ninguna de estas medidas resulta infalible. Los recientes —y no tan recientes— ataques de ransomware —con exfiltración de información— a organizaciones de todos los sectores así lo testifican. Casos en su mayoría mediáticos y bien conocidos.
Riesgo cero
Llegados a este punto, alguien podría preguntarse si la AEPD estudia también esos casos: aquellos en los que las medidas existían y pese a todo se produjeron fugas de información.
La respuesta es sí, y su análisis si cabe es más meticuloso. De cualquier forma, eso no significa que, tras el análisis, los responsables de las compañías encargados de la custodia de los datos sean objeto de sanción; entre otras cosas porque existen mecanismos para mitigar sus responsabilidades.
La normativa recoge claramente que “…la adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del artículo 32”. Y eso es algo así como decir que el riesgo nulo no existe.
Básicamente, las organizaciones tienen mecanismos para demostrar que hicieron todo lo posible para evitar finalmente el problema ocasionado. De ahí que no se pueda asegurar que la compañía que ha sufrido una fuga de información —y sus responsables designados, CISO o DPO— sea simultáneamente víctima y culpable de incumplimiento alguno, al menos por el momento. Pero, aun así, el daño estará hecho.
Concluyendo, la lectura del artículo 32 será una ocasión propicia para que las organizaciones reflexionen sobre si están haciendo todo lo posible para proteger los datos que recogen de los ciudadanos. Si es así, conseguiremos avanzar con paso firme hacia un modelo más seguro en la gestión de los datos personales. Si no, quizás algún día suframos sus duras consecuencias.