Durante el pasado mes de abril se produjo un ataque a los sistemas informáticos de EasyJet que todavía se está investigando y que recientemente ha provocado que la compañía haga pública una nota informativa en su página web donde indica lo sucedido y detalla a los posibles afectados las actuaciones llevadas a cabo.
Puedes acceder a la nota informativa de la compañía en este enlace https://www.easyjet.com/es/infoalert
Nos encontramos ante lo que define el GDPR/RGPD 679/2016 (Reglamento de Protección de Datos Personales) como una “violación/brecha de seguridad sobre los datos personales”
El art 4GDPR define la quiebra/violación de seguridad de los datos personales como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
¿Porqué Easy Jet ha obrado de esta forma?
Básicamente, porque es una exigencia legal, más que por un ejercicio de responsabilidad y transparencia plenamente voluntarios.
La normativa de protección de datos exige que, en el momento se tenga conocimiento de que se haya producido una brecha de seguridad, se informe a la Autoridad de Control de su estado (la Oficina del Comisionado de la Información en este caso, el equivalente a la Agencia de Protección de Datos española).
EL PLAZO PARA NOTIFICAR A LA AUTORIDAD DE CONTROL ES DE 72 HORAS DESDE QUE SE TIENE CONSTANCIA DE LA QUIEBRA
Pero no sólo ha de informar, sino que ha de detallar convenientemente acerca de:
a) El tipo/naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) Las posibles consecuencias de la violación de la seguridad de los datos personales;
d) Las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos
¿Y SI EL DAÑO PARA EL INTERESADO YA SE HA PRODUCIDO O PUEDE SER INMINENTE?
En el caso de EasyJet, la empresa confiesa que se ha podido obtener datos de tarjetas de crédito de 2208 clientes, a los que se ha advertido e informado para que puedan tomar las medidas convenientes para que no sufran pérdidas o uso fraudulento de su tarjeta de crédito.
Esta comunicación lo que permite es MINIMIZAR el riesgo de que esa fuga de información pueda suponer un DAÑO para los interesados, y está totalmente definida también por la normativa de protección de datos personales:
El art 34 del GDPR establece la obligación de informar al interesado en caso de que se pueda prever que se pueda producir un daño a sus derechos e intereses y que de esta manera se puedan tomar medidas tendentes a minimizar el riesgo.
¿SE HA DE INFORMAR EN TODOS LOS CASOS?
No siempre: No será necesario informar si la empresa ha tomado las medidas necesarias para que no se concretice el riesgo, o bien que haga que los datos afectados sean ininteligibles para terceros.
Por último, tampoco será necesario en el caso de que hacerlo suponga un esfuerzo imposible de cumplir o totalmente desproporcionado (en estos casos, la comunicación se puede sustituir por la publicación en web, por ejemplo. En el caso de EasyJet ha informado a los usuarios afectados a través de la web, pero indica que se pondrá en contacto con las personas afectadas (9 millones). EasyJet ha optado también por la publicación como medida de transparencia, pero también por un buen planteamiento inicial de comunicación: Si ha de informar a 9 millones de usuarios va a tardar bastante tiempo en hacerlo, según el tipo de comunicación que haya decidido emplear (más o menos personalizado), por ello, mientras se va comunicando usuario a usuario han dejado la información general en la web.
Una vez se sustancie el procedimiento de revisión del caso por parte de la Autoridad de Control, ésta podrá concluir si la brecha de seguridad podía haber sido evitable, si se ha producido algún tipo de negligencia o falta de control por parte de EasyJet y en definitiva, si antes, durante y después de la brecha, la empresa ha obrado con la diligencia debida en materia de privacidad.
Si no fuera así, se abriría un expediente sancionador que puede resolverse con sanciones económicas. Sin embargo, el hecho de que se haya procedido ante la brecha tal y como exige la normativa, ya supone un elemento positivo a la hora de ponderar la posible sanción.
Como antecedentes, podemos citar la sanción de la propia autoridad de control del Reino Unido (ICO) a British Airways en 2018 en la que, tras una brecha de seguridad en la que se vieron afectados datos de 500.000 usuarios (datos identificativos, email, tarjetas de crédito e incluso sus CSV).
En este caso, la sanción fue de 204.111.000€ y viene dada, no por no comunicar la brecha o no actuar frente a ella, sino porque se constató que la empresa no había tomado las medidas técnicas, y organizativas necesarias para poder evitar que se hubiera producido (art 32 GDPR).
Así pues, la implantación de medidas técnicas y organizativas que intenten garantizar la seguridad de los datos (su integridad, confidencialidad y disponibilidad) es totalmente imperativa para una organización.
Y decimos que ha de ser una obligación, pero no sólo normativa, sino para la propia supervivencia de la organización. Hoy en día, el principal activo con el que puede contar una entidad es precisamente la información que maneja, ya sea personal o no. Una buena gestión de los sistemas de la información ha de ser uno de los principales objetivos, ya que las consecuencias siempre serán positivas.
Álvaro Orts Ferrer | Abogado | Lelgatech y privacidad | alvaro.orts@ortsconsultores.es | www.ortsconsultores.es
