HACKEO EN TWITTER: RESPONSABILIDAD DE LA EMPRESA EN LOS INCIDENTES DE SEGURIDAD

El reciente hackeo a diversas cuentas eminentes de Twitter (Uber, Barack Obama, Jeff Bezos, Bill Gates, Elon Musk o Apple) expone a la luz varias cuestiones relevantes en materia de protección de datos personales y seguridad de la información. Desde la perspectiva de la privacidad, la seguridad de los datos personales se encuentra la Sección Segunda del Capítulo IV del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD).

Ante un incidente de seguridad, bien sea directamente a nuestros sistemas, bien sea de alguna de servicios o aplicaciones cloud, como pueden ser nuestros perfiles corporativos en redes sociales, es fundamental reaccionar de forma ágil y contar con un procedimiento interno de gestión de incidencias. Para ello debemos:

  • analizar lo sucedido y determinar qué tipología de datos se han visto afectados, el número de personas a afectadas, el tipo de incidente ocurrido (confidencialidad, integridad, etc.)
  • detectar las vulnerabilidades del sistema;
  • valorar los daños;
  • mitigar el impacto;
  • valorar la necesidad de comunicarlo a la Agencia Española de Protección de Datos e Instituto Nacional de Ciberseguridad;
  • valorar la necesidad de informar sobre el incidente a los interesados afectados;
  • establecer las medidas adecuadas destinadas a minimizar la posibilidad de que un incidente similar vuelva a suceder.

Una de las principales críticas de las que ha sido objeto Twitter, a raíz del hackeo comentado, ha sido la demora en su respuesta al incidente; teniendo en cuenta la magnitud de la empresa atacada y la gravedad del ataque (que ha supuesto la estafa de más de 100.000$ y la posibilidad de futuros chantajes y/o secuestros de información). En este sentido, el artículo 33 del RGPD establece la obligación de notificar las violaciones de seguridad que afecten a la confidencialidad, seguridad o integridad de los datos personales, a la Autoridad de control competente, en nuestro caso a la Agencia Española de Protección de Datos en un plazo de 72h, desde que se conoce el incidente.

Por otro lado, en la mayoría de los casos será necesario comunicarse, a la mayor brevedad posible, con los interesados que se han visto afectados por la violación de seguridad (artículo 34 del RGPD).

De acuerdo con lo expuesto, es muy importante valorar qué servicios online y/o cloud contratamos a terceros; especialmente si sus servidores principales están establecidos en EE.UU. En general, podemos diferenciar tres tipos de servicios: Infraestructure as a Service (IaaS), como es el caso de Amazon Web Services; Platform as a Service (PaaS), como es la Google App Engine que permite el desarrollo de una App propia para la empresa; y Software as a Service (SaaS), como el Webmail de Gmail, Dropbox o Google Drive.

En cualquier caso, como ya publicamos en nuestro blog, el pasado 16 de julio, el TJUE emitió una sentencia que tumbaba la transferencia de datos personales a EE.UU. Esto ha supuesto que la Autoridad de Protección de Datos de Berlín ya se pronuncie indicando que deben ‘devolverse a la UE’ todos los datos que se hayan podido transferir a EE.UU. Y esa devolución es responsabilidad de cada empresa; que debe asegurarse de que esos datos se tratan exclusivamente en la UE, o bien en un tercer país que la Comisión Europea haya dictaminado como país con un nivel de protección de datos equiparable al exigido por la normativa europea en la materia.

Finalmente, avanzando un escenario próximo, está en proceso de adopción una nueva Directiva Europea que permitirá a colectivos de consumidores (o entidades representantes de los mismos) presentar demandas colectivas a proveedores de servicios o comerciantes que vulneren sus derechos (como el derecho a la protección de datos personales), pudiendo llegar a exigir una indemnización por los daños causados por un ciberataque o una transferencia de datos internacional no conforme con la normativa europea. Puede acceder aquí a la propuesta de Directiva Europea.

Ante cualquier consulta respecto a incidentes de seguridad, no duden en contactarnos.