Las consecuencias de la falta de seguridad de su web y cómo ha reaccionado pueden ser denunciables.

Las consecuencias de la falta de seguridad de su web y cómo ha reaccionado pueden ser denunciables.

2019-06-12T09:13:49+00:00

El ciberataque llevado a cabo por “La Nueve”, una organización asociada con el conocido grupo “Anonymous”, obtuvo como resultado la obtención de los datos de 30.000 usuarios de la web de Vox interesados en recibir las últimas novedades del partido político.

Vox restándole importancia al suceso, confirmó el ataque y aseguró que el caso estaba en manos de la Guardia Civil, pero ¿qué hay del Reglamento General de Protección de Datos (RGPD) y la recién parida Ley Orgánica de Protección de Datos y Seguridad Digital (LOPDGDD)?

La noticia corre como la pólvora, se han filtrado los datos de usuario de la web de Vox, y aunque hay muchos detalles que no conocemos del ciberataque, nos preguntamos

¿La actuación de VOX tras el ataque fue la adecuada?

Nos encontramos en un escenario complicado para Vox. La Protección de Datos actualmente no es un tema que deba tomarse a la ligera, y el líder de Vox como ex-director de la Agencia Española de Protección de Datos debería haberlo tenido en cuenta, ya que la multa pude alcanzar grandes cifras en función de lo que la Agencia Española de Protección de Datos (AEPD) interprete tras responder a las múltiples preguntas que se nos plantean al respecto.

Según el tenor literal de estos cuerpos legales, cuando una entidad sufre un ciberataque o hackeo, no basta con la denuncia a la policía o Guardia Civil, sino que el responsable del tratamiento de los datos está obligado a documentar todas las violaciones de seguridad, notificarlas a los usuarios afectados y dar parte de ello a la AEPD dentro de las 72 horas siguientes a que el responsable tenga constancia de ella si procede, como es el caso.

En concreto, el Reglamento Europeo en su art.38.3 considera como una “infracción grave” que una entidad no haya notificado un incidente como este “con efectos perturbadores en el servicio”. Para ello, estas entidades deben contar con planes de contingencia para este tipo de sucesos y protocolos que aborden la gestión, notificación y solución de incidencias de este calibre, pudiendo enfrentarse por dicho incumplimiento a multas de entre 100.001 y 500.000€, por infracción grave, dejando margen para el incremento hasta los 10 millones de € si además se consideraran datos de alta sensibilidad que debían estar especialmente protegidos.

¿Hizo Vox lo suficiente para proteger los datos de los usuarios?

Como decíamos, sería necesario que la entidad contara con medidas de contingencia proporcionales a la sensibilidad y volumen de datos tratados para evitar estos ataques. La Agencia Española de Protección de Datos podría abrir su propia investigación sobre cómo el partido trató los datos de sus usuarios; y a su vez, multar a la organización si considera que no hizo lo suficiente para protegerlos.

IMPORTANTE, la multa no sería por haber sido hackeados, sino por no haber implementado las medidas necesarias para evitar que eso ocurriera.

Según los datos compartidos por los propios atacantes, podría haber motivos para una investigación de la AEPD. La Nueve se jactó de que Vox usaba un servidor de la empresa 1&1 con un cortafuegos muy pobre, medida que Vox debería haber implementado; que las contraseñas almacenadas por Vox no estaban cifradas, que es lo mínimo que cualquier propietario de una web que maneja datos de usuarios debe asegurar a estos, garantizando así como mínimo la dificultad de obtención de dichas contraseñas en un ciberataque.

¿Qué nivel de sensibilidad se considera que tienen los datos robados de la web de Vox?

El ciberataque obtuvo como resultado la obtención de los datos de 30.000 usuarios de la web de Vox interesados en recibir información directa de la entidad, no pudiendo acceder a los de donantes o miembros del partido, que se encontraban guardados en una base de datos diferente, pero si obteniendo nombres completos, número de teléfono y/o correos electrónicos, datos estos suficientes para la total identificación de los interesados.

Aquí nos encontramos ante una de las pocas cuestiones en las que tanto el RGPD como la LOPD son taxativos, y es cuáles son los datos considerados de alta sensibilidad, entre los cuales se encuentran los datos relativos a la ideología política de los interesados; y, por ende, ante la gran cuestión, ¿deberían considerarse en consecuencia datos de alta sensibilidad los robados de la web de Vox?

La realidad es que per se estos datos no son datos especialmente protegidos, son meramente datos de contacto y en consecuencia de sensibilidad baja, pero aquí la AEPD deberá interpretar y decidir cómo considerarlos atendiendo al innegable hecho de que de ellos se desprende inequívocamente la ideología política de los interesados que solicitaban estar al tanto de las novedades de la entidad.

Próximamente descubrimos el desenlace de esta historia, el pasado abril, la ANC y Òmnium fueron multadas con 90.000 € por tener una base de datos de usuarios en EEUU, veremos a cuánto asciende finalmente la sanción para el partido político y el motivo de la falta de asesoramiento por parte del Delegado de Protección de Datos de la entidad, figura que obligatoriamente debían tener integrada y a cargo del cumplimiento del RGPD.

Para más información o consulta, en Safety Iuris estaremos encantados de ayudarte en el telf. 968 93 19 60 o en el correo electrónico info@safetyiuris.com .