La autoridad de control

La autoridad de control de los Países Bajos impone una multa por no informar de una brecha de seguridad en plazo

La autoridad de control de los Países Bajos ha impuesto una multa a booking.com por no informar en plazo de una importante brecha de seguridad. 

 

Booking.com, agencia de viajes internacional con base en los Países Bajos, ha sido recientemente multada por no informar a tiempo sobre una brecha de seguridad. La brecha de seguridad fue descubierta el 13 de enero de 2019 y tuvo lugar en diciembre de 2018. Sin embargo, el incidente no se reportó hasta el 7 de febrero de 2019. Las autoridades de control deben ser informadas sobre las brechas de seguridad en un plazo de 72 horas tras descubrirse estas, de modo que en este caso se hizo con 22 días de retraso. Como resultado, la autoridad de control de los Países Bajos ha impuesto una multa de 475.000 € a la empresa. 

 

Dado que booking.com es una empresa internacional con clientes de un amplio rango de países, la investigación sobre la brecha tiene un alcance internacional, pero fue llevada a cabo por la autoridad de control de los Países Bajos dado que es allí donde la empresa se encuentra. 

 

Los ciberdelincuentes se hicieron pasar por personal de booking.com por medio de email y teléfono a fin de robar datos personales. 

 

Los ciberdelincuentes fueron obtuvieron la información haciéndose pasar por personal de booking.com en los emails y por teléfono. Este fraude afectó a 40 hoteles en Emiratos Árabes Unidos en diciembre de 2018. Los hackers utilizaron la información de booking de dichos clientes para parecer más creíbles al hacerse pasar por el personal de booking.com, con el objetivo de recopilar tanta información personal y financiera sobre el mayor número de clientes que fuese posible. Estos datos incluían credenciales de acceso y datos financieros. El alcance de esta brecha era tan amplio que los delincuentes accedieron a datos de más de 4.000 personas, incluyendo información de la tarjeta de crédito de más de 280 usuarios. En 97 de dichos casos, se hicieron incluso con el código de seguridad. 

 

Booking.com no se opone a la multa y ha compensado a sus clientes por las pérdidas financieras sufridas como resultado de la brecha. 

 

Aunque booking.com descubrió la brecha el 13 de enero de 2019, no fue hasta el 4 de febrero de 2019 cuando informaron a los clientes afectados. Y aún más, la compañía esperó hasta el 8 de febrero para informar a la autoridad de control de dicha brecha de seguridad. La empresa ha ofrecido varias soluciones, compensación financiera incluida, por cualquier pérdida sufrida por los clientes. Booking.com no va a presentar ninguna objeción ni solicitar revisión de la multa. 

 

Se ha producido un aumento significativo de los ciberdelitos en los últimos años, lo que hace las medidas de seguridad reforzadas aún más importantes. 

 

En los últimos años, especialmente desde 2020, ha habido un aumento significativo de robos e intentos de robo de datos personales. En concreto durante ese año los casos aumentaron un 30% respecto de los del período anterior, son por tanto muchas las personas que han sido víctimas de este tipo de situaciones y las autoridades de control están alertando sobre ello. Implantar implantar medidas de seguridad reforzadas y reportar a tiempo cualquier brecha de seguridad puede en gran medida reducir el impacto de este tipo de robos en los sujetos.  

 

¿Tus actividades de tratamiento de datos personales cumplen con la Directiva ePrivacy, el RGPD y la LOPDGDD? Nuestros servicios integrales abarcan tanto Evaluaciones de Impacto de Protección de Datos como Evaluaciones de la Ética de la IA, junto con la implementación del RGPD y la LOPDGDD y subcontratación del Delegado de Protección de DatosInfórmate aquí.

Brecha de seguridad

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebro, en Suecia.

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebo, en Suecia, tras publicar datos sensibles en la página web de la región. 

 

La brecha de seguridad de la Comisión de Atención Sanitaria se descubrió después de que la Autoridad de Control de Suecia recibiese múltiples quejas al respecto. Conforme al artículo publicado por el Comité Europeo de Protección de Datos, las denuncias eran relativas a la publicación de los datos personales de un paciente admitido a psiquiatría forense, lo cual se reveló tras llevar a cabo una auditoría. La Autoridad de Control sueca descubrió así que se habían publicado por error categorías especiales de datos, sin una finalidad ni base legítima para ello. Tampoco se aplicaba ninguna de las excepciones recogidas en el Reglamento General de Protección de Datos. Como resultado, la Autoridad de Control multó a la Comisión y ordenó la realización de algunos cambios. 

 

La Autoridad de Control sueca descubrió una falta de instrucciones escritas en relación a la publicación de datos, lo cual incrementaba el riesgo de brecha de seguridad. 

 

La Autoridad de Control sueca inició una auditoría tras recibir una queja sobre la brecha de seguridad en cuestión y descubrió que no se habían elaborado instrucciones para la publicación de información en la página web de la Comisión. La Comisión ha dependido en este sentido únicamente de la comunicación oral cuando se trata de transmitir instrucciones para la publicación, de modo que el incidente se ha derivado de dicha práctica incompleta. Aunque en este caso fue accidental, los hechos evidencian la insuficiencia de sus medidas para asegurar la protección de los datos personales. 

La brecha de Seguridad de la Comisión de Atención Sanitaria ha resultado en una multa de 120.000 coronas suizas y una orden para enmendar sus acciones. 

La Autoridad de Control sueca ha ordenado a la Comisión la elaboración de instrucciones escritas y la implementación de medidas para asegurar el cumplimiento con las mismas de aquellos encargados de publicar datos en la página web. Además de requerir el cumplimiento absoluto con el RGPD, la Autoridad de Control ha impuesto también el pago de 120.000 coronas suizas como multa administrativa (aproximadamente 11.000 euros). El documento que origin la brecha de seguridad ha sido ya eliminado de la página web. 

 

¿Qué debería haber hecho la Comisión de Atención Sanitaria para evitar la brecha? 

 

-Deberían haber contado con una adecuada política de protección de datos interna en la que se ofreciesen instrucciones escritas sobre cómo tratar y proteger los datos personales en poder de la Comisión. 

Conforme al artículo 24 del RGPD “(1) Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario; (2) Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

-Asimismo, tendrían que haber ofrecido formación a sus empleados. La formación es esencial cuando se trata de reducir el riesgo de brechas de seguridad, porque sólo así el personal entenderá los procesos internos y las normas de protección de datos que les afectan. 

¿Por qué son estas medidas especialmente importantes en este caso? 

Los datos afectados por el incidente incluyen información de salud, lo cual es una categoría especial de datos personales, con lo que se deben aplicar medidas de seguridad adicionales y recordar que las bases para el tratamiento se reducen. Sin embargo, en este caso cabe destacar que la brecha habría tenido lugar aunque los datos publicados no hubiesen sido sensibles, porque igualmente no hay base legítima para hacer dicha información pública. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.