El RGPD no contempla ninguna infracción por haber sido víctima de una brecha de seguridad.
Air Europa, tras haber recibido una sanción de 600.000 €, argumentó que la AEPD la estaba sancionando por el mero hecho de haber sido víctima de una brecha de seguridad en sus sistemas. Pero, ¿supone esto una verdadera infracción del RGPD? No, y así lo ha negado la propia AEPD, que ha aclarado que lo que penalizaba era la falta de prevención y su actuación inadecuada.
De cara a aclarar en más profundida los casos en los que un incidente de seguridad puede suponer una infracción del RPGD, analizaremos la resolución de la AEPD sobre una brecha de seguridad sufrida por MAPFRE que, a pesar de haber sufrido un incidente similar, no ha sido sancionada por la AEPD. La entidad aseguradora salió indemne de la investigación realizada por la AEPD, ya que actuó de manera diligente, rápida y demostrando el cumplimiento del principio de responsabilidad proactiva, así como de varias medidas de seguridad.
Cronología de los hechos
Como ya hicimos con la resolución de Air Europa, en este caso también haremos una cronología a fin de hacer una comparación. Y lo primero que sucedió fue un acceso ilegítimo el 1 de agosto. Este se detectó el 14 de agosto, en un período de dos semanas, frente a los meses del anterior caso.
En este caso, el objetivo del atacante no era extraer datos a través de un acceso ilegítimo sino desplegar un ransomware a través de la red de MAPFRE. Es al desplegar el ransomeware cuando se detecta el ciberataque e, inmediatamente, MAPFRE activa su protocolo establecido para esta clase de incidencias. Gracias a ello, en cuestión de minutos se despliega un comité de crisis, se activa el protocolo de continuidad de negocio y se realiza una llamada con el personal de seguridad.
Constituyen así, una serie de actuaciones muy rápidas. Precisamente lo necesario en estos casos: ser diligente y rápido. De este modo, se realizan actividades para controlar el ciberataque como apagar todos los servidores y cortar las conexiones. Todo ello permite impedir el despliegue del malware.
Se contacta también (en la misma noche del ciberataque) con una empresa para la gestión del incidente y, posteriormente, con otra para prestar apoyo adicional a la primera. También, MAPFRE comunica el ciberataque la misma noche tanto al INCIBE como al CCN-CERT. 48 horas después, se notifica a la AEPD, y a lo largo del tiempo pues se van estableciendo medidas hasta que, finalmente, se tiene controlado el ciberataque. A diferencia de Air Europa que demoró 41 días para hacer lo mismo.
Los datos afectados
En cuanto a los datos afectados, fueron simplemente las credenciales de los usuarios privilegiados de la red de MAPFRE. Los cuales fueron datos locales inservibles en un entorno externo, siendo inutilizados y convirtiendo el ataque en irrelevante. Todo, debido a las actuaciones diligentes de MAPFRE para contener el ciberataque.
A pesar de esto, es resaltable que la aseguradora comunicó públicamente su situación y el ciberataque, una actitud diligente que permitió que tanto clientes como trabajadores colaborasen a la hora de resolver el incidente.
Basta con estos detalles para observar cómo estamos ante ante una actuación muy distinta a la que se desarrolló con Air Europa, de manera que pese a encontrarnos con dos casos de incidentes de seguridad, la AEPD no consideró que, en el caso de MAPFRE, esta incidencia constituyese una vulneración del RGPD, por lo que se puede comprobar que el mero hecho de sufrir una incidencia de seguridad no implica que estemos incumpliendo ningún artículo del Reglamento.