La regulación del Data Breach Notification. Carencias y necesidades

El fenómeno del Data Breach Notification o su traducción oficial “Comunicación de Violación de Datos Personales a la Autoridad de Control”, es una figura que apareció novedosamente en el primer borrador de Reglamento Europeo de Protección de Datos y que se ha mantenido tras algunas modificaciones sufridas.

A pesar de no haberse aprobado el Reglamento, ni parezca que vaya a ser así en la actual legislatura europea, lo cierto es que este tipo de obligaciones se viene imponiendo como una realidad fáctica en campos y normas similares. De hecho, la obligación de notificar una violación de datos deviene obligatoria para los proveedores de comunicaciones electrónicas en virtud del Reglamento 611/2013 de la Comisión relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo sobre la privacidad y las comunicaciones electrónicas.

El borrador de Reglamento de Protección de datos establece en sus artículos 31 y 32 una obligación similar para cualquier entidad que sufra un ataque que implique una violación de datos.

La voluntad de la normativa parece ser que dichas brechas se eviten y sobre todo minimizar el impacto que puedan tener en las personas cuyos datos han sido obtenidos de forma ilegítima. No obstante, esta normativa tiene diversos aspectos que bajo mi punto de vista necesitan una revisión por carecer de un objetivo claro o por la repercusión que puede tener en la empresa víctima de un ataque.

Sin entrar en el detalle de su regulación, a continuación hago algunas reflexiones que considero importantes de cara a una posible regulación futura:

– no se define de forma clara cuándo estamos ante una “violación de datos”. En el mercado y en los estándares se utiliza frecuentemente el término “incidentes de seguridad”, aunque no sabemos si la norma quiere hacer referencia a lo mismo o no. El hecho de no establecer de forma más desarrollada este concepto o listar posibles conductas hará que las organizaciones tengan dudas de notificar o no algunos hechos, p.e. una suplantación de identidad en sistemas corporativos de un empleado por otro.

– cualquier organización, empresa privada u organización pública, es vulnerable a un ataque de seguridad. La seguridad al 100% es imposible y la dependencia que tenemos de las tecnologías y de internet hace que los atacantes siempre tengan una vía de entrada en remoto. Por todo ello, todas las empresas u organismos podrían ser potenciales sujetos pasivos de esta obligación, teniendo en algunos casos una repercusión enorme y otras meramente anecdótica.

– la detección de una brecha de seguridad a veces no ocurre o puede ocurrir mucho tiempo después de transcurrida si el atacante simplemente ha copiado los datos y no ha modificado, borrado o dejado indisponibles los datos. El hecho de establecer plazos rígidos para comunicar la brecha puede implicar el incumplimiento de la obligación, ya que habrá casos donde una vez identificada una brecha puede llevar semanas investigar qué ha ocurrido, cómo ha ocurrido y los efectos que eso puede tener.

– la comunicación de la organización atacada a la Autoridad de Control según está regulada en el borrador no ayudará a paliar los impactos del ataque, ni para la organización víctima, ni para los usuarios cuyos datos han sido violados, y sobre todo, no aporta ninguna solución para prevenir nuevos ataques, compartir información con otras potenciales organizaciones que pudieran estar afectadas, etc.

En el caso español, la competencia actualmente para recibir dichas comunicaciones de violaciones de datos por parte de proveedores de comunicaciones electrónicas es de la Agencia Española de Protección de Datos, en virtud del artículo  Real Decreto Ley 13/2012 pero dicha norma no ofrece mayor detalle sobre una posible actuación proactiva del organismo para prevenir nuevos ataques.

En este sentido, actualmente la AEPD se limita a recibir dichas comunicaciones,  que son pocas, pero no parece tener las capacidades e instrumentos necesarios para llevar a cabo investigaciones sobre lo sucedido, extraer conclusiones y consolidar pautas de ataque, ayudar a prevenir ataques similares, difundir buenas prácticas entre otras entidades vulnerables o con probabilidades de ser atacada.

– la notificación de las brechas a la autoridad de control implica un impacto reputacional muy importante en las compañías atacadas por la desconfianza que generan, y que se verán afectadas ante sus clientes, su competencia, sus accionistas y el propio mercado en general.

La prensa suele hacerse eco de este tipo de fugas o ataques a datos o sistemas de información de compañías, e incluso existen algunas páginas interesantes de visitar que reflejan inventarios y rankings con las brechas de seguridad más conocidas del mundo como http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ y www.hackmageddom.com (cuyo editor estará en Madrid próximamente dando una conferencia en la Jornada Internacional de ISMS Forum Spain del 28 de mayo).

– la notificación de las brechas a la autoridad de control puede implicar una especie de auto-denuncia por parte de la compañía, si le fuera atribuible alguna responsabilidad al no haber frenado el ataque, que puede acabar en algunos casos con la apertura de un procedimiento sancionador, sin saber si el hecho de haber cumplido con la propia comunicación servirá de atenuante o no.

– se debería establecer un canal seguro de comunicación con la Autoridad competente, de  tal forma que fuera complicado que se hicieran notificaciones suplantando a otras organizaciones, debido al impacto reputacional que puede conllevar.

– si la Autoridad quiere saber exactamente qué ha ocurrido, la normativa podría regular o valorar la posibilidad de entregar un Informe de un tercero independiente que establezca qué ha ocurrido en los sistemas de información aportando las correspondientes evidencias electrónicas.

– habrá que atender a nuevos ataques y métodos de suplantación derivados de la obligación de comunicación de las entidades afectadas a los clientes que establece la normativa, donde podrán proliferar mensajes engañosos del tipo “Estimado cliente, tus datos han podido verse comprometidos porque hemos sufrido un ataque… Rogamos disculpes las molestias… Te informamos en base a la normativa de notificación de brechas de seguridad la cual cumplimos de forma rigurosa… Para garantizar tu seguridad y la continuidad del servicio que te damos, te rogamos que pinches en este link y actualices tus datos personales y cambies tu contraseña…”

Como conclusión, desde mi punto de vista:

–          la creación de esta obligación de notificación de violación de datos no está bien construida en su regulación, necesitando más detalle y casuística,

–          necesita una definición clara de violación de datos y tipología que habría que comunicar, en su caso,

–          carece de un objetivo primario que es evitar nuevos ataques y minimizar el impacto que la violación de datos puede tener en las personas afectadas,

–          necesita repensar el papel de las Autoridades de Control para recibir estas comunicaciones, o identificar a otras Autoridades como receptores de las mismas y que tengan capacidad de actuación,

–          en la práctica, las organizaciones serán reacias a comunicar brechas de seguridad debido al daño reputacional que su publicidad les puede acarrear.

Carlos Alberto Sáiz Peña. Socio de Ecix Group. Vicepresidente de ENATIC.