Importancia notificar una brecha de seguridad

Importancia notificar una brecha de seguridad

La importancia de notificar una brecha de seguridad desde su conocimiento es vital para poder evitar sanciones por parte de la Agencia Española de Protección de Datos, ya que una vez tenido el conocimiento, se cuenta con un  plazo de 72 horas para notificar a la Agencia.

Antecedentes.

En esta entrada, estudiamos una conocida compañía aérea española.

La misma aérea sufrió una brecha de seguridad, en la que vio afectados datos personales de clientes, entre los que se encontraban datos financieros (información de más de 4.000 tarjetas de crédito) de clientes del grupo de empresas al que pertenece y por otra parte la brecha también afectó a más de 2,7 millones de números de tarjetas, extraídos de la base de datos de la compañía por parte de los ciberdelincuentes.

La aerolínea española, no tuvo conocimiento de la brecha de seguridad hasta octubre de 2.018, pero la gravedad del asunto fue que tardó 41 días en notificar desde su conocimiento a la Agencia Española de Protección de Datos, en enero de 2.019.

Fundamentos de Derecho

La AEPD resolvió sancionando a la aerolínea por dos cuestiones (Procedimiento Nº: PS/00179/2020):

  • Por no aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. “(…) infracción del artículo 32.1 del RGPD, tipificada en el Artículo 83.4.a) del RGPD, una multa de 500.000 €”.
  • Por no notificar a la AEPD o autoridad de control competente, incumpliendo el plazo máximo de 72 horas después del conocimiento de los hechos “(…) infracción del artículo 33 del RGPD, tipificada en el artículo 83.4.a) del RGPD, una multa de 100.000 € ”.

La empresa debió notificar el incidente una vez conocido, en el plazo de 72 horas, y no pasando los 41 días que transcurrieron hasta que realizaron la notificación a la AEPD.

La compañía aérea española, no conforme con la resolución, presentó recurso de reposición, en el que justificaban la notificación tardía porque no se tuvo conocimiento suficiente del alcance del daño, pudiendo haber afectado a más datos personales de los que inicialmente tuvieron conocimiento, siendo resuelto por la AEPD de forma desestimatoria(Recurso de reposición Nº RR/00245/2021):

“La Directora de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR el recurso de reposición interpuesto por la compañía aérea contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 15 de marzo de 2021, en el procedimiento sancionador PS/00179/2020.”.

Atendiendo a este supuesto de hecho, desde AIXA CORPORE S.L., ponemos en relevancia la importancia que supone que se comuniquen este tipo de incidencia desde su conocimiento.

Si su organización ha tenido una brecha de seguridad reciente y no sabe qué actuaciones acometer puede comunicarse con nosotros a través de cualquiera de los medios disponibles, nosotros nos encargaremos de todo, realizamos una exhaustiva evaluación de la brecha de seguridad, las directrices a seguir, y en su caso realizando la comunicación a la AEPD, si procede.

Compartir:

Te podría interesar:

Contacto rápido
Archivos
Scroll al inicio