Cabecera blog ciberseguridad

Cómo comunicar una brecha de seguridad que implica la filtración de datos personales

- Ciber 4 All Team

Tanto en Estados Unidos como en Europa es obligatorio comunicar una brecha de seguridad en la que se han visto afectados datos personales de clientes, trabajadores o socios

Hace unas semanas, Change Healthcare, una de las mayores compañías de seguros sanitarios del mundo, procedió a comunicar una brecha de seguridad que había afectado a los datos personales, financieros y sanitarios de 100 millones de personas.

Este fue el resultado de un ciberataque que se produjo en febrero y que ha terminado por provocar una de las mayores brechas de datos de la historia a nivel mundial. Con el agravante de que la información sustraída resulta especialmente sensible, porque se incluyen historiales médicos e información de facturación.

Además de alertar sobre los riesgos de los ciberataques y poner el foco en la relación entre ciberseguridad y protección de datos, este caso evidencia la importancia de comunicar una brecha de seguridad que afecta a datos personales cumpliendo con la normativa en vigor.

Hemos elaborado esta breve guía para ayudar a las empresas a comunicar una brecha de seguridad que han sufrido y evitar que, además de los daños causados por un incidente de seguridad, también se vean expuestas a reclamaciones de personas afectadas y sanciones de las autoridades competentes.

1. Cómo comunicar una brecha de seguridad en la Unión Europea y Reino Unido

Para saber cómo se debe comunicar una brecha de seguridad que afecte a datos personales se debe acudir al Reglamento General de Protección de Datos (RGPD) si la empresa se encuentra en la Unión Europea.

¿Qué sucede con las compañías que operan en Reino Unido? Tras el Brexit, en este país se optó por trasladar el RGPD a su ordenamiento interno así que, en esencia, el UK GDPR es análogo al RGPD que está en vigor al otro lado del Canal de la Mancha.

¿Qué dice el RGPD sobre el deber de los responsables del tratamiento de datos personales de comunicar una brecha de seguridad?

1.1. Obligaciones de notificación de una brecha de seguridad a las autoridades competentes

El reglamento europeo establece en su artículo 33 que:

  • Se debe notificar a la autoridad competente, en el caso de España la Agencia Española de Protección de Datos (AEPD), una violación de la seguridad de datos personales a la mayor brevedad posible y, a más tardar, antes de que pasen 72 horas desde que se tenga constancia de que se ha producido. En caso de que no se cumpla este plazo, se deben justificar los motivos para no haberlo hecho.
  • La notificación de una brecha de seguridad debe incluir como mínimo:
    • Una descripción de la violación de los datos personales: categorías de datos y número de personas afectadas…
    • El nombre y la información de contacto del delegado de protección de datos.
    • Una lista de las consecuencias potenciales de la violación de los datos personales sufrida.
    • Todas las medidas implementadas por la compañía para remediar la brecha de seguridad y mitigar los efectos que podría desencadenar en las personas afectadas.
  • Si no se puede reportar toda esta información al comunicar una brecha de seguridad, deberá facilitarse paulatinamente y sin dilación.
  • El responsable del tratamiento de los datos debe documentar cualquier violación de información personal, sus consecuencias y las medidas implementadas. Esta labor de documentación es esencial para que la autoridad competente pueda comprobar si se cumplió con la normativa o no. Por ejemplo, a la hora de implementar medidas de ciberseguridad eficaces.

1.2. Obligaciones de notificación de una brecha de seguridad a los afectados

En cuanto al deber de comunicar una brecha de seguridad a los afectados por la violación de datos personales, el RGPD establece que:

  • Se debe informar a los afectados cuando exista «un alto riesgo para los derechos y libertades de las personas físicas» con la máxima celeridad.
  • Esta notificación de una brecha de seguridad a las personas afectadas debe ser clara y explicar de una manera sencilla, pero completa el incidente, sus posibles consecuencias y las medidas adoptadas.
  • Las empresas que han sufrido una brecha de seguridad no estarán obligadas a notificar a los afectados cuando:
    • Las medidas que hayan implementado para proteger los datos los hagan ininteligibles a los actores maliciosos como, por ejemplo, el cifrado de la información.
    • A posteriori, se hayan puesto en marcha medidas que eliminen la posibilidad de que el riesgo para los derechos y las libertades de las personas se materialice.
    • Notificar a los afectados implique un esfuerzo desproporcionado para las empresas. De ser así, deberá realizarse una comunicación pública para informar a las personas.
  • Si una empresa no ha notificado una brecha de seguridad a las personas afectadas, la autoridad competente, en nuestro país la AEPD, puede exigirle que lo haga.

1.3. Consecuencias de no cumplir con el deber de comunicar una brecha de seguridad

Las compañías que no procedan a comunicar una brecha de seguridad a la autoridad competente o a los afectados se exponen a que las personas afectadas presenten reclamaciones ante la AEPD y el resto de autoridades competentes nacionales. Y que, finalmente, se les impongan severas sanciones por incumplir el RGPD.

Así, las multas por no notificar debidamente una violación de datos personales pueden llegar a ascender hasta los 10 millones de euros o el 2% del volumen de negocio global de la compañía infractora, pudiéndose optar por la cifra más elevada.

Para facilitar el cumplimiento de la normativa en nuestro país, la AEPD puso en marcha Asesora Brecha, una herramienta que ayuda a las compañías a saber si deben o no comunicar una brecha de seguridad que afecta a datos personales.

How to report a security breach in the USA

2. Cómo comunicar una brecha de seguridad en Estados Unidos

Así como resulta fácil explicar cómo se debe comunicar una brecha de seguridad en Europa, en Estados Unidos esta tarea es más difícil. ¿Por qué? Cada estado tiene su propia normativa al respecto. A modo de ejemplo, vamos a desgranar cómo se debe notificar la violación de datos personales en los dos grandes estados del país: California y Texas.

2.1. Obligaciones de notificación de una brecha de seguridad a las autoridades

En California, las empresas deben notificar una violación de la seguridad de datos personales a la Fiscalía General de dicho estado cuando afecte a más de 500 residentes. Mientras que en Texas se deberá notificar:

  • A la Fiscalía General cuando la brecha de seguridad afecte, por lo menos, a 250 residentes en el estado, dentro de los 30 días siguientes al descubrimiento de la violación de información personal.
  • A las agencias de información sobre consumidores cuando haya más de 10.000 personas afectadas por la brecha de seguridad.

La notificación debe realizarse por medios electrónicos y el contenido es similar al que se exige en la Unión Europea y el Reino Unido.

2.2. Obligaciones de notificación de una brecha de seguridad a los afectados

Las normas estatales imponen el deber de comunicar una brecha de seguridad a las personas afectadas cuando personas no autorizadas hayan podido acceder a:

  • Datos personales no cifrados.
  • Información personal encriptada, pero también a la clave de encriptación para superar esta medida de protección.

¿Cómo debe realizarse la notificación? El contenido de la comunicación es prácticamente idéntico al que se exige en la UE y UK: de manera clara se debe explicar qué ha sucedido, qué información se ha visto expuesta y qué medidas se han puesto en marcha para evitar daños mayores.

En cuanto al periodo temporal para comunicar una brecha de seguridad a las personas afectadas, en el caso de California solo se estipula que debe ser lo más rápido posible y sin demora, mientras que en Texas se establece un tope de 60 días.

Las empresas que no cumplan con sus obligaciones de notificación de una brecha de seguridad se exponen a multas y procesos judiciales que pueden saldarse con pérdidas económicas millonarias. Hace unas semanas, el grupo hotelero Marriott pactó con los 50 estados que conforman Estados Unidos pagar 52 millones de dólares por deficiencias de seguridad que se saldaron con el robo de datos personales de más de 130 millones de clientes y por informarlos con retrasos que, en algunos casos, superaron el año.

2.3. Los datos sanitarios tienen un estatus especial

No toda la normativa en Estados Unidos con respecto a la protección de datos es de ámbito estatal. Así, existe una norma federal, la HIPAA que busca proteger los datos médicos de pacientes y asegurados. Esta ley exige comunicar una brecha de seguridad que afecte a datos sanitarios a:

  • Las personas afectadas, en menos de 60 días desde que se tiene constancia de la brecha de seguridad.
  • Los medios de comunicación más representativos si la brecha de seguridad afecta a 500 residentes en un mismo estado. Esta comunicación consistirá en una nota de prensa y debe realizarse a más tardar a los 60 días de que se conozca la violación de información sanitaria.
  • El secretario del Departamento de Salud de Estados Unidos:
    • En menos de 60 días desde que se descubre la violación si hay 500 o más personas afectadas.
    • De manera anual si las personas cuyos datos se han visto expuestos son menos de 500.

3. La importancia de detectar amenazas de manera temprana y evitar brechas de seguridad que afecten a datos personales

Como resulta evidente, ninguna empresa quiere encontrarse ante la tesitura de tener que comunicar una brecha de seguridad que ha afectado a datos personales de clientes, trabajadores, proveedores o socios comerciales. Por eso, es fundamental que las compañías dispongan de una estrategia de seguridad que les permitan evitar incidentes de seguridad que acarreen el robo o exfiltración de datos personales.

En esta tarea juegan un papel crítico los servicios de Threat Hunting, ya que:

  • Llevan a cabo una búsqueda activa y permanente de amenazas, poniendo en valor la proactividad en materia de ciberseguridad.
  • Son capaces de detectar amenazas de manera temprana para poder responder a ellas antes de que se vulnere información personal. Para ello, analizan la telemetría de EDR/XDR y logran identificar actividad maliciosa, aunque no se hayan generado alertas de seguridad en la tecnología defensiva de la organización.
  • Están a la vanguardia en la investigación de nuevas técnicas, tácticas y procedimientos maliciosos.
  • Nutren de información de gran valor a otros servicios de ciberseguridad esenciales para prevenir brechas de seguridad como el Red Team o el Incident Response.

En definitiva, las empresas deben implementar servicios de ciberseguridad como el Threat Hunting para evitar brechas de seguridad que impliquen el robo, secuestro o filtración de información personal y por último, las sanciones y multas que todo ello puede implicar. Y, en caso de que dicha brecha se produzca, han de tener en cuenta sus obligaciones en materia de notificación de vulneraciones de datos a las autoridades públicas y las personas afectadas por ellas.