Concienciación, responsabilidad y transparencia, el gran éxito de GDPR en España
La evolución de la comunicación de las brechas de datos a la AEPD y a las personas afectadas por parte de las empresas ha sido muy positiva desde que entrara en vigor GDPR.
El Reglamento General de Protección de Datos de la UE (GDPR, de sus siglas inglesas) es aplicable desde mayo de 2018, y junto a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) nacional, ambas normativas han supuesto un antes y un después en cuanto a la notificación de brechas de datos personales a la Agencia Española de Protección de Datos (AEPD) y su comunicación a las personas afectadas. Las notificaciones aumentan exponencialmente, de manera transparente, ante la agencia reguladora y con las personas afectadas, de una manera normalizada, debido al aumento de la responsabilidad y la concienciación de empresas y ciudadanos.
La normativa que lo cambió todo
Sólo en 2022 la AEPD recibió 1.751 notificaciones de brechas de seguridad, una cifra que lleva una inercia ascendente en los últimos años, según los datos que maneja la agencia en su memoria de actividad anual. Antes de 2018, “en la AEPD se recibían menos de una decena de notificaciones de brechas de datos personales al año, fundamentalmente de operadoras de telecomunicaciones”, explica Luis de Salvador, el director de la División de Innovación Tecnológica de la agencia española.
Para él, GDPR “ha sido la regulación que más ha contribuido a este cambio, precisamente por el cambio de paradigma que establece, al poner el foco en las obligaciones de responsabilidad proactiva frente a este tipo de situaciones, y al obligar a gestionar los riesgos para los derechos y libertades de las personas cuando ocurre una brecha y responder para minimizar esos riesgos”.
Según María Eugenia López, responsable de Ciberseguridad para Empresas de INCIBE, tras la entrada en vigor ambas legislaciones, comunitaria y española, ya no hay excusas: “Las empresas deben saber que cualquier incidente de seguridad que ponga en riesgo la integridad de los datos almacenados, y pueda implicar un alto impacto para los derechos de los ciudadanos, de otras empresas y de la administración pública, tiene que ser reportado a la AEPD en un plazo máximo de 72 horas y puede conllevar sanciones económicas”.
Inicialmente por temor a las sanciones, y después por inercia o concienciación, ya desde mayo de 2018 la AEPD recibió 547 notificaciones, es decir, una media aproximada de 78 mensuales. Desde entonces esa cifra no ha parado de aumentar año a año. Con las 1.751 notificaciones de 2022, con una media de 145 mensuales, y una previsión para 2023 de estar cerca de las 2.000 notificaciones, la evolución muestra claramente que algo ha cambiado.
Irene Robledo de Castro, Head of Data Protection (DPO) en Ferrovial, nos confirma que las cifras reflejan cómo la comunicación de las brechas de datos, “ha cambiado positivamente, no sólo porque los ataques han aumentado en los últimos años, sino porque la concienciación y el conocimiento del proceso han aumentado mucho”.
Las regulaciones y las circunstancias
La regulación establece que las empresas deben comunicar las brechas de seguridad en base a tres variables. Por un lado, el volumen de datos expuestos. Por otro, la sensibilidad de dichos datos y, en tercer lugar, el perímetro de exposición de los datos. Dependiendo de estos tres factores, se determina si es o no necesario notificar la brecha a la AEPD, nos señala María Eugenia López.
La circunstancia inicial para que se produzca la fluidez y normalización de las denuncias tiene su principal origen en “el crecimiento exponencial del nivel de digitalización de las organizaciones en los últimos años, al que contribuyó la pandemia, y el reto que esto ha supuesto en materia de la gestión de la protección de datos, cuando los datos personales ya prácticamente solo se manejan a nivel digital”, puntualiza Luis de Salvador.
Para el portavoz de la AEPD, también pueden haber contribuido al cambio “varias brechas de datos personales de alto impacto que hemos conocido en los últimos años, como las causadas por ciberincidentes de tipo ransomware, que han sido capaces de paralizar la actividad normal de las organizaciones”.
Según Robledo de Castro, hay múltiples factores para esa evolución positiva: “Primero, que el modelo impuesto por GDPR exige una aproximación a riesgos, y por tanto una monitorización y supervisión de los mismos, también en brechas de seguridad”. Con la Ley 15/1999, anterior a GDPR, con una auditoría bienal y la implantación de medidas del nivel requerido, las organizaciones se despreocupaban. “Ha cambiado la forma de entender la privacidad de las compañías de forma muy positiva. La responsabilidad proactiva ha supuesto un avance muy reseñable”.
En segundo factor sería “que las vulnerabilidades para sufrir una brecha también han aumentado; más teletrabajo, la pandemia, nueva tecnología que permite profesionalizar los ataques como las IA generativas de lenguaje que se usan, por ejemplo, para hacer mucho más creíbles intentos de phishing o ataques dirigidos”, explica la DPO de Ferrovial, y añade el tercer factor: “Un cambio social; la protección de datos siempre ha estado, en mayor o menor medida, en el conocimiento del ciudadano medio. GDPR ha supuesto un impulso y una mayor concienciación, y ha obligado también a las compañías a adaptarnos a esas exigencias de los terceros con los que nos relacionamos, para preservar sus derechos y libertades”.
Avances en transparencia y cumplimiento
Previo a GDPR ocurrían brechas de datos personales, pero no se conocían, se conocían muy pocas o se conocían tarde, incluso años después, cuando las personas afectadas ya podían haber sufrido las consecuencias negativas y tal y como argumenta Luis de Salvador. Las medidas preventivas, reactivas y obligaciones que incluía GDPR, “que exige responsabilidad proactiva a las entidades, ha supuesto que haya más transparencia en estos procesos”.
La norma establece la obligación de notificar brechas a autoridades de control y también el contenido mínimo que deben tener; las categorías y número aproximado de personas afectadas y de registros de datos personales afectados, un punto de contacto en el que obtener información, posibles consecuencias de la brecha para los afectados, medidas adoptadas o propuestas por el responsable para remediar la brecha y mitigar los posibles efectos negativos sobre las personas. “Además, incluye la obligación de comunicar las brechas a las personas afectadas en los casos en los que exista un riesgo alto para sus derechos y libertades, y la información mínima que debe contener. Ambas obligaciones han contribuido de forma considerable a que haya más transparencia en estos procesos”, detalla De Salvador.
Como DPO, Robledo de Castro reconoce que “hay menos temor por las empresas a notificar una brecha y mayor transparencia, porque la incertidumbre inicial cuando la obligación entró en vigor, las empresas fueron proactivas. Ahora se tiene mayor conocimiento del proceso de notificación y gestión de incidentes”. También señala que “ahora se entiende que la empresa que sufre un ciberataque es una ‘víctima’ más, y no un agente al que culpar del mismo. El nivel de madurez de los programas de cumplimiento en privacidad o de ciberseguridad es cada vez mayor, y las empresas se sienten más cómodas a la hora de notificar incidencias y de ser absolutamente trasparentes con la AEPD”.
Además, se ha facilitado, y mucho, el proceso de notificación. “La agencia ha elaborado un formulario electrónico para notificar las brechas, que es realmente útil para evaluar el riesgo, para facilitar que las entidades puedan tener la seguridad de que proporcionan el contenido mínimo necesario, sin que tengan que hacer esfuerzos innecesarios para aportar información que en muchos casos puede resultar excesiva”, señala el representante de la AEPD.
La institución cada mes informa no solo de los datos, si no también claves para los DPO, recomendaciones sobre tipos de incidentes más habituales y cualquier otra información relevante y útil para la industria, “que se elabora a partir de las notificaciones de brechas y de las investigaciones para, en definitiva, hacer partícipe a la industria de los beneficios de una gestión transparente y contribuir a aumentar el nivel de resiliencia en las organizaciones y de protección a los ciudadanos”.
La concienciación, la clave del éxito
Para la AEPD, la gestión de riesgos en los tratamientos debe y empieza a estar integrada dentro de la cultura de gestión de riesgos de la organización. “Pero si la notificación a la autoridad de control es importante, todavía lo es más la comunicación de brechas a las personas afectadas, para que sean conscientes de los riesgos y puedan adoptar las medidas que consideren apropiadas para protegerse”, explica De salvador y añade que “la comunicación debe hacerse sin dilación indebida, a la mayor brevedad posible y, en cualquier caso, antes de que los daños se materialicen sobre los afectados”.
En su opinión, “tradicionalmente las organizaciones han sido reticentes a comunicar las brechas de datos personales a los afectados, pero GDPR establece cuándo se debe informar a los ciudadanos y las organizaciones empiezan a ver los beneficios que les reporta la gestión efectiva y transparente y cómo repercute positivamente en su reputación”. Según los informes publicados y las notificaciones recibidas, aproximadamente 30 millones de personas habrían sido informadas de una brecha de datos personales en España. “Esto ha cambiado también la percepción de la ciudadanía, que hoy en días es más consciente de los riesgos que suponen”, confirma Luis de Salvador.
También entiende Robledo que cada vez hay más conciencia entre los ciudadanos. “Probablemente por el gran régimen sancionador asociado, pero también porque, cada vez más, los eventos en privacidad o ciberseguridad generan un gran impacto en las vidas de las personas, por lo que el ciudadano pone el foco en esta normativa”. Según datos de la memoria de la AEPD, en 2020 hubo 11.215 reclamaciones de ciudadanos ante esta autoridad de control, 14. 571 en 2021 y 15.822 en 2022, es decir, hablamos de un crecimiento del 41,1% en 2022 respecto a 2020.” Esto muestra claramente el mayor conocimiento por los ciudadanos tanto de sus derechos como de los canales de comunicación y reclamación con la AEPD”, señala la DPO.
Para la DPO de Ferrovial “la concienciación es una tendencia al alza. En todo lo que tenga que ver con ciberseguridad, la compañía es tan robusta ante un ataque como lo sea su eslabón más débil; se ha entendido que no sirve de nada la inversión en ciberseguridad sin la creación de una cultura de ciberseguridad a través de acciones de formación y concienciación, que doten a todos los usuarios de los sistemas de información de los medios necesarios para identificar (para poder notificar) o reaccionar ante los principales eventos de seguridad que pueden presenciar”. Según explica, en las organizaciones, “cada día es más frecuente que a todos nos lleguen formaciones obligatorias sobre estas temáticas, que fomentan un mayor nivel de concienciación corporativo. Actualmente, se persigue generar “cultura corporativa de privacidad y ciberseguridad”, evolución que entiende como ‘el verdadero cambio’”.
Mejoras en prevención y gestión del riesgo
El RGPD establece que la notificación de una brecha de datos debe ser “sin dilación indebida, esto es sin ningún tipo de retraso injustificado; en cuanto se sepa”, tanto para notificar a la autoridad de control como en la comunicación a las personas afectadas, “para evitar perjuicios y alcanzar un objetivo más general, que es generar confianza en la economía digital y permitir al usuario mantener el control de sus datos personales”, asevera De Salvador.
En opinión de la agencia, las organizaciones deben hacer un trabajo previo de preparación, porque la gestión del riesgo en los tratamientos tiene que estar integrada dentro de la cultura de gestión de riesgos de la organización: “Deben conocer los tratamientos y los datos personales que tratan, y cuando sucede un incidente de seguridad, identificar rápidamente qué datos personales se han visto afectados. Por ejemplo, en muchas ocasiones las organizaciones no son capaces de determinar con certeza si un incidente ha afectado a datos personales, a qué datos y a qué personas físicas. Deben conocer también de antemano cuál es su rol en los tratamientos: si son responsables, corresponsables o encargados del tratamiento, y sus obligaciones en cada caso”, apunta el portavoz de la AEPD.
Desde la agencia señalan como especialmente complejas las brechas que ocurren en encargados del tratamiento, es decir, entidades que llevan a cabo tratamientos de datos personales por cuenta de otras entidades (responsables). “En ese caso el encargado debe informar de la brecha a todos los responsables, y quien tiene que notificar las brechas a la AEPD y a los afectados es el responsable del tratamiento”.
Ante esta obligatoriedad, Robledo de Castro confirma que uno de los factores de mejora pasaría por certificaciones de proveedores que hagan a las compañías, adicionalmente a sus procedimientos de homologación, y tener información previa de la confiabilidad, en materia de seguridad de la información y privacidad, de las empresas que va a contratar. “Es sorprendente la cantidad de incidentes que se originan, actualmente, en el proveedor o ‘encargado del tratamiento’. Deben ponerse medidas no sólo en el perímetro de la compañía, sino en todos aquellos activos o terceros con los que se generen interdependencias respecto a la información que manejamos las empresas. Hay que seguir creciendo en este sentido”, dice Irene Robledo.
Por su parte, De Salvador pone en valor a los profesionales como la DPO de Ferrovial, al insistir en que “las organizaciones que hayan designado un DPO deben mejorar en su participación en la gestión de las brechas. El DPO debe ser consultado y tenido en cuenta para la evaluación del riesgo, respuesta y, por supuesto, la notificación y comunicación, y debe trabajar estrechamente con el responsable de seguridad”, argumenta.
Desde INCIBE, María Eugenia López pone el foco de mejora en las pymes, para las que la ciberseguridad y la protección de datos sigue siendo una asignatura pendiente. “La ciberdelincuencia avanza en métodos y técnicas, que cada vez son más sofisticados. Una empresa que no esté concienciada y, por tanto, no aumente su protección, va a ser más vulnerable y posible foco de ataques. Según López, “en ocasiones, el presupuesto es un freno para la inversión en ciberseguridad para las pequeñas organizaciones. Sin embargo, invertir en soluciones de ciberseguridad es más rentable que la mitigación de las consecuencias de un incidente”.
La responsable de INCIBE coincide con sus compañeros expertos en que la herramienta más poderosa que puede tener una empresa es la concienciación, tanto de su equipo directivo como de todos sus empleados, “que son el motor que maneja la tecnología donde se alberga el activo principal de cualquier empresa: la información”. En algunos casos, apunta López, una empresa puede no saber si la brecha de seguridad que se ha producido debe ser reportada o no.
Para aclarar estas dudas, la AEPD cuenta con la “Guía para la notificación de brechas de datos personales” en la que se explica cuándo es necesario y cómo se debe notificar, así como los casos en los que, además, se tiene que comunicar a los afectados por la brecha. Desde el INCIBE, “tenemos un canal habilitado para ayudar a las pymes y a los autónomos, Protege tu Empresa, con herramientas y recursos informativos, así como preventivos para concienciar sobre la importancia de implantar medidas de ciberseguridad en sus organizaciones”.
La concienciación, la implicación de las organizaciones y el acompañamiento y guía institucional siguen creciendo claramente en una sociedad española con cada vez más altos niveles de digitalización, y más consciente de cuáles son sus derechos y deberes ante los nuevos paradigmas tecnológicos.
