El Reglamento General de Protección de Datos (RGPD) define la violación o brecha de seguridad como cualquier acto que ocasione “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. De acuerdo con esta definición, la violación de seguridad abarca un gran abanico de supuestos, desde la perdida de un pendrive, el robo de un ordenador o la encriptación de un servidor.

Además de lo anterior, el RGPD prevé en su artículo 33 la obligación de notificar a la autoridad de control competente las violaciones de seguridad que sufra cualquier empresa o entidad en un plazo máximo de 72 horas desde que se tenga constancia de ella.

En este contexto, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 24.000 euros a una de las principales cadenas de tiendas autorizadas de Vodafone a nivel nacional, tras comunicar a la Agencia haber sido victima de un ataque informático.

La violación de la seguridad

La empresa sancionada comunicó a la AEPD haber sido victima de un ataque informático. En particular, detectó un incorrecto funcionamiento de sus sistemas y, a continuación, la existencia de ficheros cifrados y notas de rescate en los servidores corporativos.

En el incidente se vieron comprometidos nombre, apellidos, DNI y datos de contacto como dirección postal, correo electrónico y número de teléfono de 641 empleados y exempleados de la empresa, por lo que decidió comunicar a la AEPD la brecha de seguridad, de acuerdo con lo establecido en el RGPD.

Procedimiento de investigación

Tras recibir la notificación, la AEPD inició las actuaciones previas de investigación, observando claras deficiencias en las medidas de seguridad de la empresa sancionada. Entre otras cuestiones, la AEPD encontró evidencias claras de que se dejó activo un usuario genérico de la VPN (“Guest” o “invitado”) cuyas credenciales no habían sido actualizadas.

Como señala la AEPD, al atacante le bastó con un ataque de fuerza bruta para obtenerlas, utilizando el método de ensayo y error para adivinar la información de inicio de sesión. Así mismo, esta empresa no tenía establecido un número máximo de intentos de autenticación antes vetar el acceso, lo que constituye una grave falta de seguridad.

También se detectaron evidencias claras de que el controlador del dominio era un equipo vulnerable, antiguo y con una insuficiencia clara de medidas técnicas y organizativas que permitió vulnerar la confidencialidad de los datos personales.

Asimismo, de las medidas adoptadas tras la brecha se pueden deducir, según el criterio de la AEPD, importantes insuficiencias relacionadas con la pérdida de confidencialidad de la información relativa a los 641 trabajadores, lo que pudo derivar en un riesgo para los afectados (como casos de suplantación de identidad, perdida de control sobre sus datos…).

Incumplimiento del principio de integridad y confidencialidad

Los hechos descritos suponen un claro incumplimiento del principio de integridad y confidencialidad consagrado en el RGPD, por el cual las empresas deben garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

La AEPD determinó que concurrieron graves negligencias causadas por la falta de medidas básicas de seguridad. Teniendo en cuenta esto, la naturaleza de los datos personales que se vieron involucrados (en particular el número del DNI/NIE es un dato sensible, pues permite la identificación directa e inequívoca de una persona física), así como la vinculación de la actividad del infractor con la realización de tratamientos de datos personales, la Agencia calculó una sanción de 30.000 euros, que finalmente se redujeron en 24.000 euros tras el reconocimiento de la responsabilidad por parte de la empresa sancionada.

Esta resolución pone de manifiesto la importancia de que las empresas implementen medidas que garanticen un nivel de seguridad adecuado al riesgo, no solamente con el ánimo de evitar sanciones administrativas, sino también para garantizar la continuidad del negocio y la buena reputación como un activo empresarial.

En Microlab Hard, asesoramos a empresas para proteger los datos personales frente a violaciones de seguridad, garantizando el cumplimiento del RGPD y la LOPDGDD. Ayudamos a identificar riesgos, implementar medidas de seguridad adecuadas y establecer protocolos de notificación ante brechas de datos. Si tu empresa maneja información sensible y aún no cuenta con las garantías necesarias para prevenir incidentes, es el momento de actuar. Contacta con nosotros sin compromiso.