Durante el presente mes de marzo, la Agencia Española de Protección de datos, ha emitido una resolución por la que acuerda sancionar a una aerolínea española de 600.000€ por la notificación tardía de una brecha de seguridad con más de 489.000 implicados, sin justificación válida para dicho retraso en la notificación.
Antecedentes
El 29/11/2018 se recibe en la AEPD escrito de la aerolínea señalando que se había recibido notificación de un banco con el que operan relativa a un incidente de seguridad que había provocado la activación del plan de respuestas ante incidentes el 17/10/1018. El 18/01/2019 la aerolínea aporto notificación completa a través del formulario habilitado en la sede electrónica de la AEPD, aportando documentos y anexos relativos a Medidas preventivas aplicadas con anterioridad al incidente, las medidas de contención e información adicional y la justificación para no informar a los
interesados afectados por el incidente.
Uno de los puntos puntos fuertes aportados por la defensa de la compañía ha sido considerar que “resulta relevante manifestar, como dato importante a efectos de ratificar la inexistencia de perjuicios efectivos relevantes, que el número de reclamaciones recibidas por parte de usuarios de la Compañía que pudieran estar relacionados con el incidente ha sido muy pequeño (2 reclamaciones en total sin solicitud de compensación). Ello confirma el análisis de que los atacantes no han podido conseguir información sensible o relevante y que, con la información que pudieran haber sustraído, la existencia de numerosas medidas de seguridad técnicas y organizativas en toda la cadena de procesos (incluyendo las entidades intervinientes en los servicios de pago) ha hecho que esa información no se pueda haber utilizado para causar perjuicios graves.”
En relación al motivo de la no detección de la brecha hasta bastante tiempo después, a pesar de que el ataque se inició el 12/05/2018, la compañía manifiesta que la brecha se produjo como consecuencia de una APT, un ataque dirigido y sofisticado, planificado y ejecutado de una forma profesional y alevosa, ya que “el ataque sufrido por la Sociedad es un tipo de “ataque […] diseñado para perdurar en el tiempo y conseguir evadir todas las medidas de seguridad de las plataformas más usuales” tal y como describe el INCIBE en un artículo publicado en su portal a fecha 16 de junio de 2016 y firmado por A.A.A.. Es, por tanto, un tipo de ataque sigiloso y que busca como fin último filtrar información sensible de una organización y borrar las huellas a la finalización, lo que los hace extremadamente difíciles de detectar”
Alegaciones
Iniciado el procedimiento sancionador, la aerolínea presentó escrito de alegaciones en el que, en síntesis, manifestaba que no era cierto que no se hubiese notificado la brecha de seguridad
sino que una vez que se tuvo indicios fundados de que el ciberataque sufrido había afectado a un considerable número de datos se procedió a su notificación; que el reclamado en todo momento ha contestado a los requerimientos formulados por la AEPD; la improcedencia de la infracción del artículo 33 del RGPD puesto que la notificación fue efectuada; la falta de motivación y de responsabilidad apreciada por la AEPD; que en las resoluciones dictadas por la AEPD relativas a brechas de seguridad menos sofisticados que la analizada fueron la mayor parte de ellas archivadas siempre que se acreditaran medidas de seguridad técnicas con anterioridad al incidente y se adoptaban medidas paliativas con posterioridad como ocurre en el presente caso; su disconformidad con la graduación de la sanción ante la posible infracción del artículo 32.1 del RGPD por la no concurrencia de agravantes y la existencia de atenuantes que no han sido considerados en el acuerdo de inicio.
Fundamentos de Derecho
El RGPD define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.
Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.
En el artículo 33 del RGPD establece la forma en que ha de notificarse una violación de la seguridad de los datos personales a la autoridad de control.
Además, se imputa al reclamado la vulneración del artículo 32.1 del RGPD, que señala:
- “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. - Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros”
Así, la vulneración de los artículos 32.1 y 33 del RGPD se encuentran tipificadas en el artículo 83.4.a) del citado RGPD en los siguientes términos: “4. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a) las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39, 42 y 43.»
Sanción por notificación tardía de brecha de seguridad
Los hechos acreditados evidencian la existencia de una brecha de seguridad en los sistemas del reclamado permitiendo su vulnerabilidad provocando el acceso no autorizado e ilícito a información relativa a clientes en relación con sus tarjetas bancarias, numeración, fecha de caducidad y CVV que se podría haber utilizado para la comisión de operaciones fraudulentas, lo que unido a la notificación extemporánea de la citada brecha o incidente de seguridad supone la infracción de los artículos 32.1 y 33 del RGPD.
La naturaleza y gravedad de la infracción dado su alcance no meramente local de la brecha de seguridad declarada, sino todo lo contrario puesto que se han podido ver comprometidos datos de carácter personal no solo de nacionales sino extranjeros, sin olvidar el elevado número de personas, clientes, al que potencialmente afecto la misma (489.000) y el número de registros afectados (1.500.000); Las categorías de los datos de carácter personal que se han visto afectados como consecuencia de la infracción pues a los datos identificativos hay que unir los bancarios y financieros, consecuencia del acceso a las tarjetas, con una finalidad claramente fraudulenta; La forma en que se ha tenido conocimiento de infracción pues ello se debió a una comunicación del banco, y como se señala en el párrafo anterior por compañías de tarjetas de crédito, sin que la reclamada hubiera tenido constancia de la intrusión y accesos cometidos que comenzaron el 12/05/2018; El carácter continuado de la infracción y el volumen de negocio de la reclamada pues se trata de una de la compañía líder dentro del mercado español, en su objeto de negocio transporte aéreo, hace que se establezca una cuantía de la sanción por vulneración del artículo 32.1 del RGPD de 500.000 euros, por infracción del artículo 32.1 del RGPD, dada la gravedad de los hechos producidos.
A esto se añade una infracción del artículo 33 del RGPD, tipificada en el artículo 83.4.a) del RGPD, con una multa de 100.000 €.
