La sanción de 20 millones de libras impuesta la semana pasada por la autoridad de protección de datos personales del Reino Unido (ICO), en relación a un incidente de quiebre de datos personales sufrido por la línea aérea British Airlines (en adelante BA) en 2018, no ha sido tan elevada si se considera que la propuesta original de sanción era por poco más de 183 millones de libras.

Lo que resulta de interés de esta sanción es la evaluación de ICO tanto respecto a si existió una violación a la obligación de implementar las medidas de seguridad exigidas por el RGPD así como al criterio empleado para cuantificar la multa impuesta.

La maniobra de quiebre de la seguridad informática fue perpetrada en forma remota por un proveedor de la aerolínea que permitió que durante el período del 22 de junio al 5 de septiembre de 2018 se filtraran los datos de tarjetas de crédito de 244.000 clientes de BA. Dicha maniobra fue detectada por un tercero ajeno a la línea aérea.

La autoridad regulatoria debía analizar si BA falló en adoptar de medidas organizaciones y técnicas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en un todo de acuerdo con lo exigido por el artículo 32 del RGPD[1]

El criterio imperante para considerar incumplida la referida obligación bajo el RGPD no pasa por castigar cualquier quiebre de seguridad informática por el beneficio de contar con el diario del lunes, sino por el contrario se basa en que el análisis se focaliza en lo adecuado y apropiado que resultaban las medidas adoptadas al momento de su implementación, atento los riesgos conocidos o que razonablemente se debieran haber identificado o previsto así como la adecuación de las medidas que se deberían y pudiesen haber sido adoptadas y que no estaban efectivamente en funcionamiento al momento del incidente.

En este caso ICO cuestionó que no se hayan adoptado las siguientes medidas:

(i) limitación del acceso a aplicaciones, datos y herramientas conforme al grado de autorización requerido para cumplir con la función propia de cada usuario, principio de mínimos privilegios;

(ii) realización de pruebas rigurosas, en forma de simulación de un ciberataque, en los sistemas de la empresa, penetration test, escaneo de vulnerabilidades o auditorías de seguridad; y

(iii) implementación de protección de las cuentas de los empleados y de terceros con factores múltiples de autenticación, situación que podría haber sido detectado por una auditoría de seguridad.

Los factores relevantes para la disminución del monto propuesto inicialmente como sanción fueron:

  • la no existencia de ninguna ventaja financiera como consecuencia del quiebre;
  • la escala y severidad del incidente, al cual ICO lo consideró en 30 millones de libras;
  • que no se encontrasen antecedentes previos de faltas;
  • que no se considerase necesario imponer una penalidad ejemplificadora para que cumpla con un efecto disuasorio;
  • reducción de la multa en considerando:

a) la capacidad de pago del infractor (20%),

b) pronta respuesta del infractor a través de rápidas notificaciones a los afectados así como a las autoridades regulatorias competentes y la total cooperación con los pedidos de ICO, que no superaron las 48 horas de descubierto el quiebre,

c) afectación de la marca y reputación de la empresa,

d) impacto de la pandemia del COVID 19 en el negocio de la aerolínea que implicó una reducción de 4 millones de libras.

La imposición de estas sanciones por parte de las autoridades de protección de datos personales producto de fallas de seguridad informática viene a confirmar la estrecha relación que hay entre la protección de datos personales y la seguridad informática. En tal sentido, el principio de responsabilidad proactiva que guía al RGPD, toma al cumplimiento de seguridad de los datos personales y su correspondiente evidencia como uno de los pilares principales en donde apoyarse.

La seguridad informática hace tiempo ha dejado de ser una cuestión de los informáticos para empezar a integrar, cada vez con más frecuencia, el orden del día de las reuniones de Directorio por tratarse de decisiones empresariales estratégicas, para los cuales los directivos deben estar debidamente asesorados. De lo contrario es posible que se genere un daño significativo a la empresa que seguramente genera responsabilidades legales. 


En Crearis Latam contamos con un equipo multidisciplinario para asesorarte en las medidas a ser adoptadas en forma preventiva para que no sea demasiado tarde y caro si llegás a sufrís un incidente de ciberseguridad que comprometa los datos en posesión de tu organización, y que muchas veces son de terceros.

 

[1] Los criterios enumerados para evaluar la adecuación del nivel de seguridad según la referida norma son: los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Comentarios
* No se publicará la dirección de correo electrónico en el sitio web.