La importancia de realizar una auditoría de ciberseguridad antes de una brecha
La AEPD ha resuelto un expediente sancionador por una brecha de seguridad de enorme alcance que afectó a millones de personas, entre clientes, empleados y exempleados. Según recoge la resolución, el incidente comenzó el 24 de octubre de 2023, cuando un tercero no autorizado logró acceder a la red de la entidad, y fue detectado el 27 de octubre, después de que varios servicios del centro de datos dejaran de tener conectividad. Poco después, los análisis forenses confirmaron indicios de exfiltración de datos y, más adelante, se constató que la brecha había comprometido la confidencialidad de información personal de 6.381.913 personas. Entre los datos afectados figuraban, en el caso de clientes, nombre, apellidos, DNI o NIF, domicilio, teléfono, correo electrónico y fecha de nacimiento. En el caso de empleados y exempleados, además de datos identificativos y de contacto, también podían verse afectados la imagen, datos relativos al grado de discapacidad, nóminas y número de cuenta. La propia entidad reconoció que los atacantes llegaron a publicar datos en la dark web y que algunas personas afectadas habían empezado a recibir correos y mensajes susceptibles de formar parte de campañas de phishing.
A partir de esos hechos, la AEPD centra su análisis jurídico, sobre todo, en el artículo 5.1.f) del RGPD, es decir, en el principio de integridad y confidencialidad. La Agencia recuerda que este precepto obliga a tratar los datos personales con una seguridad adecuada, protegiéndolos frente a accesos no autorizados, pérdidas o daños, mediante medidas técnicas y organizativas apropiadas. En este caso, concluye que las medidas existentes antes del incidente no eran suficientes para garantizar un nivel de seguridad adecuado al riesgo. La resolución subraya, además, que esa insuficiencia no se desprende solo de la magnitud de la brecha, sino también de la documentación aportada, incluido el informe forense y el hecho de que la propia entidad admitiera inicialmente que el incidente podría haberse evitado con medidas adicionales. Para la AEPD, la gravedad aumenta por el volumen extraordinario de afectados, por la variedad de datos comprometidos y por la especial sensibilidad de algunos de ellos, como el número de DNI, los datos de salud de determinados trabajadores y los datos económicos de empleados y exempleados.
La Agencia también examinó una posible infracción del artículo 34 del RGPD, relativa a la obligación de comunicar la brecha a las personas afectadas sin dilación indebida y con información suficiente. En la resolución se razona que la comunicación se produjo aproximadamente un mes después de conocerse la brecha y que, además, su contenido era incompleto, porque no detallaba adecuadamente las medidas adoptadas para remediar el incidente.
Finalmente, la AEPD declaró la comisión de la infracción del artículo 5.1.f) del RGPD y confirmó una sanción de 2.600.000 euros. Junto a ello, acordó ordenar a la entidad que, en el plazo de seis meses desde que la resolución fuera firme y ejecutiva, acreditara ante la AEPD la adopción de medidas técnicas y organizativas adecuadas para ajustar sus tratamientos a la normativa de protección de datos.
En definitiva, la resolución no se queda en la multa: también exige reforzar de forma efectiva la seguridad para evitar que una brecha similar vuelva a repetirse.