Resumen de las directrices 01/2021 EDPB
Manuel Castilleja Toscano 11/01/2022 El pasado 14 de diciembre el Comité Europeo de Protección de Datos (CEPD/EDPB) ha adoptado una nueva versión sobre directrices con ejemplos relacionados con brechas de seguridad y su notificación a la autoridad de control y/o los interesados, que actualiza con nuevos ejemplos y medidas las ya adoptadas con anterioridad.
Aunque para determinar si es necesario o no la notificación de la brecha, habrá que estar a cada caso concreto, y como no puede ser de otra forma a lo regulado en los artículos 33 y 34 del RGPD, estas directrices serán de gran ayuda tanto para la evaluación del riesgo, y la posible notificación de la brecha, como para la toma de medidas de Seguridad que lo mitiguen.
En esta ocasión se abordan 18 casos que se extraen de la experiencia al respecto de las distintas autoridades de control de los estados miembros, a lo largo de estos años desde la entrada en vigor del RGPD.
En el documento se analizan los siguientes casos de brechas provocadas por:
- Ransomware
- Ataques con sustracción/fuga de datos
- Fuente de riesgo interna y humana
- Dispositivos y documentos en papel perdidos o sustraídos
- Correo
- Otros casos, ingeniería social
MEDIDAS DE SEGURIDAD
Para cada uno de los dieciocho casos reflejados en el documento se exponen las medidas previas y de evaluación de riesgos, así como las medidas de mitigación y obligaciones.
Y para cada uno de los seis grupos de brechas contemplados se aconseja una lista no exhaustiva de medidas técnicas y organizativas para prevenir o mitigar el impacto de la brecha, con el objetivo de proporcionar ideas de prevención y posibles soluciones, pero teniendo en cuenta que cada actividad de tratamiento es diferente, por lo que el responsable debe tomar la decisión sobre qué medidas se ajustan más a cada situación específica.
La seguridad de la TI es un concepto general que abarca la seguridad de las redes, de Internet, de los extremos, de las API, de la nube, de las aplicaciones, etc. Se trata de establecer un conjunto de estrategias de seguridad que funcionen en conjunto para proteger los datos.
De cualquier forma, destacan como medidas de Seguridad esenciales:
- Formación. Hay que destacar la importancia que de nuevo desde el CEPD se le otorga a la formación y concienciación en materia de protección de datos para el personal del responsable y el encargado del tratamiento, en este caso centrada en la gestión de la violación de la seguridad de los datos personales (identificación de un incidente de seguridad de datos personales y otras acciones a tomar, etc.).
El documento refleja que esta formación es esencial para los responsables y encargados del tratamiento, y que debe repetirse periódicamente, en función el tipo de actividad de tratamiento y el tamaño de la entidad responsable del tratamiento, abordando las últimas tendencias y alertas provenientes de ciberataques u otros incidentes de seguridad.
- Cifrado en reposo de bases de datos. El cifrado en reposo está diseñado para evitar que el atacante obtenga acceso a los datos sin cifrar, asegurándose de que los datos se cifran en el disco. Si un atacante obtiene una unidad de disco duro con datos cifrados, pero no las claves de descifrado, el atacante debe anular el cifrado para leer los datos. Este ataque es mucho más complejo y consume más recursos que el acceso a datos no cifrados en una unidad de disco duro. Por este motivo, el cifrado en reposo es muy recomendable y es un requisito de alta prioridad para muchas organizaciones.
- Parches de seguridad. Una adecuada gestión de parches de seguridad que garantice que los sistemas estén actualizados y que todas las vulnerabilidades conocidas de los sistemas implementados estén corregidas, ya que la mayoría de los ataques de ransomware explotan vulnerabilidades conocidas.
- Sistema de copias de Seguridad. Disponer de un sistema de copias de seguridad actualizado, seguro y probado (3-2-1 ó abuelo-padre-hijo.) Los medios para la copia de seguridad a medio y largo plazo deben mantenerse separados del almacenamiento de datos operativos y fuera del alcance de terceros, incluso en caso de un ataque que se materialice (como una copia de seguridad incremental diaria y una copia de seguridad completa semanal).
NOTIFICACIÓN DE LA BRECHA
Durante todo el desarrollo del documento, para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", el CEPD remite al documento del Grupo de trabajo del A. 29 "Directrices sobre la evaluación del impacto de la protección de datos (DPIA) y determinar si el tratamiento es" probable que dé lugar a un alto riesgo "a los efectos del Reglamento 2016/679”, WP248 rev. 01, pág. 9.
En lo referente a la obligación o no de notificar la brecha, destacar que, aunque no sea necesario la notificación a la AC y a los afectados, siempre habrá que documentar el incidente conforme al artículo 33. 5 del RGPD, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento por parte del responsable o encargado.
Otra cuestión a resaltar es que, en ocasiones, incluso si la brecha en sí misma no representa un alto riesgo para los derechos y libertades de las personas afectadas y, por lo tanto, la comunicación a las mismas no es una obligación conforme al artículo 34 del RGPD, la comunicación de la violación a los interesados puede ser recomendable, ya que su cooperación es necesaria para mitigar el riesgo.
También contempla el documento que, si bien en el caso de los datos personales relativos a la salud de las personas, generalmente se asume que es probable que la brecha supone un alto riesgo para el interesado, hay casos particulares en los que no se puede identificar ningún riesgo, ya que no suponen daños físicos, materiales o morales del interesado la divulgación no autorizada de esa información relativa a la salud (caso nº 15 de las Directrices).
Directrices 01/2021 sobre ejemplos relacionados con la violación de la seguridad de datos personales
Notificación
Adoptado el 14 de diciembre de 2021
Versión 2.0
Traducción literal del texto original realizada por Privacy Driver, no válida jurídicamente.
Manuel Castilleja Toscano
10/01/2022
Historial de versiones
Versión 2.0 |
14 12 2021 |
Adopción de las Directrices tras consulta pública |
Versión 1.0 |
14 01 2021 |
Adopción de las Directrices para consulta pública |
Tabla de contenido
1. INTRODUCCIÓN
2. SECUESTRO DE DATOS (RANSOMWARE)
CASO 1: Ransomware con respaldo adecuado y sin exfiltración
CASO 2: Ransomware sin respaldo adecuado
CASO 3: Ransomware con respaldo y sin exfiltración en un hospital
CASO 4: Ransomware sin respaldo y con exfiltración
Medidas organizativas y técnicas para prevenir/mitigar los impactos de los ataques de ransomware
3. ATAQUES DE EXFILTRACIÓN DE DATOS
CASO 5: Exfiltración de datos de solicitud de empleo de un sitio web
CASO 6: Exfiltración de contraseña hash de un sitio web
CASO 7: Ataque de relleno de credenciales en un sitio web bancario
Medidas organizativas y técnicas para prevenir/mitigar los impactos de los ataques de piratas informáticos
4. FUENTE DE RIESGO HUMANO INTERNO
CASO 8: Exfiltración de datos comerciales por parte de un empleado
CASO 9: Transmisión accidental de datos a un tercero de confianza
Medidas organizativas y técnicas para prevenir/mitigar los impactos de las fuentes internas de riesgo humano
5. DISPOSITIVOS Y DOCUMENTOS DE PAPEL PERDIDOS O SUSTRAIDOS
CASO 10: Material sustraído que almacena datos personales encriptados
CASO 11: Material sustraído que almacena datos personales no cifrados
CASO 12: Archivos en papel sustraídos con datos sensibles
Medidas organizativas y técnicas para prevenir/mitigar los impactos de la pérdida o robo de dispositivos
6. CORREO
CASO 13: Error de correo postal manual
CASO 14: Datos personales altamente confidenciales enviados por correo electrónico por error
CASO 15: Datos personales enviados por correo por error
CASO 16: Error de correo postal automatizado
Medidas organizativas y técnicas para prevenir/mitigar los impactos de la publicación incorrecta
7. OTROS CASOS - INGENIERÍA SOCIAL
CASO 17: Suplantación de identidad
CASO 18: Exfiltración de correos electrónicos
EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS
Visto el artículo 70, apartado 1, letra sexta, del Reglamento 2016/679 / UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, que deroga la Directiva 95/46 / EC, (en adelante, "GDPR"),
Visto el Acuerdo EEE y, en particular, su anexo XI y su Protocolo 37, modificado por la Decisión del Comité Mixto del EEE nº 154/2018, de 6 de julio de 2018[1],
Visto el artículo 12 y el artículo 22 de su Reglamento,
Vista la Comunicación de la Comisión al Parlamento Europeo y al Consejo titulada La protección de datos como pilar del empoderamiento de los ciudadanos y el enfoque de la UE para la transición digital: dos años de aplicación del Reglamento general de protección de datos[2],
HA ADOPTADO LAS SIGUIENTES DIRECTRICES
1. INTRODUCCIÓN
- El GDPR introduce, en ciertos casos, el requisito de notificar una violación de la seguridad de los datos personales a la autoridad nacional de control competente (en adelante, "AC") y comunicar la violación a las personas cuyos datos personales se han visto afectados por la misma (Artículos 33 y 34).
- El Grupo de Trabajo del artículo 29 ya preparó una orientación general sobre notificación de violación de la seguridad de los datos personales en octubre de 2017, analizando las Secciones relevantes del GDPR (Directrices sobre notificación de violación de la seguridad de los datos personales según el Reglamento 2016/679, WP 250) (en adelante, "Directrices WP250)[3]. Sin embargo, debido a su naturaleza y momento, no abordó todas las cuestiones prácticas con suficiente detalle. Por tanto, ha surgido la necesidad de una orientación basada en casos específicos y orientada a la práctica, que se base en las experiencias adquiridas por las AC desde que el GDPR está en vigor, o es aplicable.
- Este documento está destinado a complementar las Directrices WP 250 y refleja las experiencias comunes de las AC del EEE desde que el GDPR se hizo aplicable. Su objetivo es ayudar a los responsables del tratamiento a decidir cómo gestionar las brechas de seguridad y qué factores considerar durante la evaluación de los riesgos.
- Como parte de cualquier intento de gestionar una brecha, el responsable y el encargado del tratamiento deben poder reconocerla. El GDPR define una «violación de la seguridad de los datos personales» en su art. 4.12 como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- En el Dictamen 03/2014 sobre notificación de brechas[4] y en las Directrices WP 250, WP29 se explica que las brechas se pueden clasificar de acuerdo con los siguientes tres principios de seguridad de la información:
- “Brecha de confidencialidad”: cuando hay una divulgación o acceso no autorizado o accidental a datos personales.
- “Brecha de integridad”: cuando hay una alteración accidental o no autorizada de datos personales.
- “Brecha de disponibilidad”: cuando hay una pérdida de acceso accidental o no autorizada a los datos personales, o su destrucción.[5]
- Una brecha puede tener una variedad de efectos adversos significativos en las personas, que pueden resultar en daños físicos, materiales o inmateriales. El GDPR explica que esto puede incluir pérdida de control sobre sus datos personales, limitación de sus derechos, discriminación, robo de identidad o fraude, pérdida financiera, reversión no autorizada de la seudonimización, daño reputacional y pérdida de la confidencialidad de los datos personales protegidos por el secreto profesional. También puede incluir cualquier otra desventaja económica o social significativa para esas personas. Una de las obligaciones más importantes del responsable del tratamiento es evaluar estos riesgos para los derechos y libertades de los interesados y aplicar las medidas técnicas y organizativas adecuadas para abordarlos.
- En consecuencia, el GDPR requiere del responsable cuando tiene lugar una brecha que afecte a los datos personales:
- documentarla, incluyendo los hechos relacionados con la misma, sus efectos y las medidas correctivas adoptadas[6];
- notificarla a la autoridad de control, a menos que sea poco probable que suponga un riesgo para los derechos y libertades de las personas físicas[7];
- comunicarla a los interesados cuando sea probable que suponga un alto riesgo para los derechos y libertades de las personas físicas[8].
- Las brechas son problemas en sí mismas, pero también pueden ser síntomas de un sistema de seguridad de los datos vulnerable, posiblemente desactualizado, también pueden indicar debilidades que deben abordarse. Como regla general, siempre es mejor prevenir las brechas preparándose con anticipación, ya que algunas consecuencias de las mismas son por naturaleza irreversibles. Antes de que un responsable pueda completamente evaluar el riesgo que surge de una brecha causada por algún tipo de ataque, se debe identificar la causa raíz del problema, para identificar si las vulnerabilidades que dieron lugar al incidente aún están presentes y, por lo tanto, aún son explotables. En muchos casos, el responsable del tratamiento puede identificar que es probable que el incidente genere un riesgo y, por lo tanto, debe notificarlo. En otros casos, no es necesario la notificación hasta que se haya evaluado por completo el riesgo y el impacto que rodean a la brecha, ya que la evaluación completa del riesgo puede realizarse en paralelo a la notificación, y la información así obtenida se puede proporcionar a la AC de manera gradual sin dilación indebida[9].
- La brecha debe notificarse cuando el responsable del tratamiento considere que es probable que suponga un riesgo para los derechos y libertades del interesado. Los responsables deben realizar esta evaluación en el momento en que se tengan conocimiento de la brecha. El responsable del tratamiento no debe esperar un examen forense detallado y las medidas de mitigación (tempranas) antes de evaluar si es probable que la violación de datos dé lugar a un riesgo y, por lo tanto, debe ser notificado.
- Si un responsable del tratamiento autoevalúa que el riesgo es improbable, pero resulta que el riesgo se materializa, la AC competente puede hacer uso de sus facultades correctivas y puede resolver sancionar.
- Todo responsable del tratamiento y encargado del tratamiento debe tener planes y procedimientos establecidos para manejar eventuales violaciones de datos. Las organizaciones deben tener líneas jerárquicas claras y personas responsables de ciertos aspectos del proceso de recuperación.
- La formación y concienciación en materia de protección de datos para el personal del responsable y el encargado del tratamiento centrada en la gestión de la violación de la seguridad de los datos personales (identificación de un incidente de seguridad de datos personales y otras acciones a tomar, etc.) es esencial para los responsables y encargados del tratamiento. Esta formación debe repetirse periódicamente, en función el tipo de actividad de tratamiento y el tamaño del responsable, abordando las últimas tendencias y alertas provenientes de ciberataques u otros incidentes de seguridad.
- El principio de responsabilidad proactiva y el concepto de protección de datos desde el diseño podrían incorporar un análisis que se incorpore al propio "manual sobre la gestión de la violación de la seguridad de los datos personales" del responsable y el encargado del tratamiento, que tiene como objetivo establecer hechos para cada fase del tratamiento en cada etapa principal de la operación. Un manual de este tipo preparado de antemano proporcionaría una fuente de información mucho más rápida para permitir a los responsables y los encargados del tratamiento mitigar los riesgos y cumplir con las obligaciones sin dilación indebida. Esto garantizaría que, si ocurriera una violación de la seguridad de los datos personales, las personas de la organización sabrían qué hacer, y es más que probable que el incidente se gestione más rápido que si no hubiera un plan implementado.
- Aunque los casos que se presentan a continuación son ficticios, se basan en casos típicos de la experiencia colectiva de AC con notificaciones de violación de datos. Los análisis ofrecidos se relacionan explícitamente con los casos bajo análisis, pero con el objetivo de brindar ayuda a los responsables del tratamiento para evaluar sus propias violaciones de datos. Cualquier modificación en las circunstancias de los casos descritos a continuación puede resultar en niveles de riesgo diferentes o más significativos, requiriendo así medidas diferentes o adicionales. Estas directrices estructuran los casos de acuerdo con determinadas categorías de brechas (por ejemplo, ataques de ransomware). En cada caso, se requieren determinadas medidas correctivas cuando se trata de una determinada categoría de brecha. Estas medidas no se repiten necesariamente en cada caso de análisis perteneciente a la misma categoría de brechas. Para los casos que pertenecen a la misma categoría, solo se exponen las diferencias. Por lo tanto, el lector debe leer todos los casos relevantes a la categoría relevante de una brecha para identificar y distinguir todas las medidas correctoras que deben tomarse.
- La documentación interna de una brecha es una obligación independiente de los riesgos propios de la misma, y debe realizarse en todos y cada uno de los casos. Los casos que se presentan a continuación intentan arrojar algo de luz sobre si se debe notificar o no la brecha a la AC y comunicarlo a los interesados afectados.
2. SECUESTRO DE DATOS (RANSOMWARE)
- Una causa frecuente de notificación de brecha es un ataque de ransomware sufrido por el responsable del tratamiento. En estos casos, un código malicioso cifra los datos personales y, posteriormente, el atacante solicita al responsable un rescate a cambio del código de descifrado. Este tipo de ataque generalmente se puede clasificar como una brecha de disponibilidad, pero a menudo también puede implicar una brecha de confidencialidad.
CASO 1: Ransomware con respaldo adecuado y sin exfiltración
Los sistemas informáticos de una pequeña empresa de fabricación estuvieron expuestos a un ataque de ransomware y los datos almacenados en sus sistemas se cifraron. El responsable del tratamiento utilizó cifrado en reposo, por lo que todos los datos a los que accedió el ransomware se almacenaron en forma cifrada utilizando un algoritmo de cifrado de última generación. La clave de descifrado no se vio comprometida en el ataque, es decir, el atacante no pudo acceder a ella ni usarla indirectamente. En consecuencia, el atacante solo tuvo acceso a datos personales cifrados. En particular, ni el sistema de correo electrónico de la empresa, ni los sistemas clientes utilizados para acceder a él se vieron afectados. La empresa utiliza la experiencia de una empresa de ciberseguridad externa para investigar el incidente. Se encuentran disponibles los registros que rastrean todos los flujos de datos que salen de la empresa (incluido el correo electrónico saliente). Después de analizar los registros y los datos recopilados por los sistemas de detección, la empresa tras una investigación interna, respaldada por la empresa de ciberseguridad externa determinó con certeza que el agresor solo cifró datos, sin exfiltrarlos. Los registros no muestran ningún flujo de datos hacia el exterior en el período de tiempo que duró el ataque. Los datos personales afectados por la brecha se refieren a clientes y personas trabajadoras de la empresa, unas pocas docenas de personas en total. Una copia de seguridad estaba disponible y los datos se restauraron unas horas después de que tuvo lugar el ataque. La brecha no tuvo consecuencias sobre el funcionamiento diario del responsable del tratamiento. No hubo demoras en los pagos de las personas trabajadoras ni en las respuestas de las solicitudes de los clientes. |
- En este caso, se dieron los siguientes elementos de la definición de "violación de la seguridad de los datos personales": una violación de la seguridad condujo a una alteración ilegal y acceso no autorizado a los datos personales almacenados.
Caso 1. Medidas previas y evaluación de riesgos
- Al igual que con todos los riesgos que plantean los agentes externos, la probabilidad de que un ataque de ransomware tenga éxito puede reducirse drásticamente si se refuerza la seguridad del entorno de control de datos. La mayoría de estas brechas se pueden prevenir asegurándose de que se han tomado las medidas de seguridad organizativas, físicas y técnicas adecuadas. Ejemplos de tales medidas son la gestión adecuada de parches y el uso de un sistema de detección antimalware adecuado. Tener una copia de seguridad adecuada y en lugar distinto al CPD ayudará a mitigar las consecuencias de un ataque que culmine con éxito, en caso de que ocurra. Además, un programa de formación, capacitación y concienciación sobre seguridad de las personas trabajadoras ayudará a prevenir y reconocer este tipo de ataques. (Se puede encontrar una lista de medidas recomendables en la sección 2.5.) Entre esas medidas, una adecuada gestión de parches que garantice que los sistemas estén actualizados y que todas las vulnerabilidades conocidas de los sistemas implementados estén corregidas es una de las más importantes, ya que la mayoría de los ataques de ransomware explotan vulnerabilidades conocidas.
- Al evaluar los riesgos, el responsable debe investigar el incidente e identificar el tipo de código malicioso para comprender las posibles consecuencias del ataque. Entre esos riesgos a considerar se encuentra el riesgo de que los datos se hayan exfiltrado sin dejar rastro en los registros de los sistemas.
- En este ejemplo, el atacante tuvo acceso a datos personales y se comprometió la confidencialidad de la información, pero que contenía datos personales cifrados. Por tanto, cualquier dato que pudiera haber sido exfiltrado no pudo ser leído ni utilizado por el atacante, al menos por el momento. La técnica de cifrado utilizada por el responsable del tratamiento se ajusta al estado de la técnica. La clave de descifrado no se vio comprometida y presumiblemente tampoco se pudo determinar por otros medios. En consecuencia, los riesgos de confidencialidad para los derechos y libertades de las personas físicas se reducen al mínimo si se excluyen los avances criptoanalíticos que hagan inteligibles los datos cifrados en el futuro.
- El responsable del tratamiento debe considerar el riesgo para las personas debido a la brecha[10]. En este caso, parece que los riesgos para los derechos y libertades de los interesados resultan de la falta de disponibilidad de los datos personales, ya que la confidencialidad de los datos personales no se vió comprometida[11]. En este ejemplo, los efectos adversos de la brecha se mitigaron en bastante poco tiempo después de que ocurriera la misma. Tener un régimen de respaldo adecuado[12] hace que los efectos de la brecha sean menos graves y aquí el responsable del tratamiento pudo hacer un uso eficaz de la copia de seguridad.
- Sobre la gravedad de las consecuencias para los interesados, solo se pudieron identificar consecuencias menores ya que los datos afectados se restauraron en unas pocas horas, la brecha no tuvo consecuencias en el funcionamiento diario de la actividad del responsable del tratamiento y no tuvo un efecto significativo en los interesados (por ejemplo, pagos de personas trabajadoras o respuestas de solicitudes de clientes).
Caso 1. Mitigación y obligaciones
- Sin una copia de seguridad, el responsable puede adoptar pocas medidas para remediar la pérdida de datos personales, por lo que los datos deben recopilarse nuevamente. Sin embargo, en este caso particular, el impacto del ataque pudo ser efectivamente contenido restableciendo todos los sistemas comprometidos a un estado limpio que se sabía libre de código malicioso, arreglando las vulnerabilidades y restaurando los datos afectados poco después del ataque. Sin una copia de seguridad, los datos se pierden y la gravedad puede aumentar porque los riesgos o impacto para las personas también pueden hacerlo.
- La oportunidad de una restauración de datos eficaz a partir de la copia de seguridad disponible es una variable clave al analizar la brecha. La especificación de un plazo de tiempo adecuado para restaurar los datos comprometidos depende de las circunstancias únicas de la brecha en cuestión. El GDPR establece que una violación de la seguridad de los datos personales se notificará sin demoras indebidas y, cuando sea posible, a más tardar después de 72 horas. Por lo tanto, se podría determinar que exceder el límite de 72 horas es desaconsejable, en cualquier caso, pero cuando se trata de casos de alto nivel de riesgo, incluso el cumplimiento de este plazo puede considerarse insatisfactorio.
- En este caso, tras una evaluación de impacto detallada y un proceso de respuesta a incidentes, el responsable del tratamiento determinó que es poco probable que la brecha suponga un riesgo para los derechos y libertades de las personas físicas, por lo que no es necesaria ninguna comunicación a los interesados, ni tampoco la brecha requiere una notificación para la AC. Sin embargo, como todas las violaciones de datos, debe documentarse de conformidad con el artículo 33, apartado 5. La organización también puede necesitar (o ser requerido posteriormente por la AC) para actualizar y remediar sus medidas y procedimientos organizativos y de seguridad de los datos personales y las medidas y procedimientos de mitigación de riesgos. En el marco de esta actualización y reparación, la organización debe investigar a fondo la brecha e identificar las causas y los métodos utilizados por el atacante para prevenir eventos similares en el futuro.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 2: Ransomware sin respaldo adecuado
Uno de los ordenadores utilizados por una empresa agrícola estuvo expuesto a un ataque de ransomware y el atacante cifró sus datos. La empresa utiliza la experiencia de una empresa de ciberseguridad externa para supervisar su red. Se encuentran disponibles registros que rastrean todos los flujos de datos que salen de la empresa (incluido el correo electrónico saliente). Tras analizar los registros y los datos con los sistemas de detección, la investigación interna ayudada por la empresa de ciberseguridad determinó que el agresor solo cifró los datos, sin exfiltrarlos. Los registros no muestran ningún flujo de datos hacia el exterior en el período de tiempo del ataque. Los datos personales afectados por la violación se refieren a los empleados y clientes de la empresa, unas pocas docenas de personas en total. No se vieron afectadas categorías especiales de datos. No se disponía de copia de seguridad en formato electrónico. La mayoría de los datos se restauraron a partir de copias de seguridad en papel. La restauración de los datos llevó 5 días hábiles y generó pequeños retrasos en la entrega de los pedidos a los clientes. |
Caso 2. Medidas previas y evaluación de riesgos
- El responsable del tratamiento debería haber adoptado las mismas medidas previas mencionadas en la sección 2.1. y 2.9. La principal diferencia con el caso anterior es la falta de una copia de seguridad electrónica y la falta de cifrado en reposo. Esto conduce a diferencias críticas en los siguientes pasos.
- Al evaluar los riesgos, el responsable debe investigar el método de infiltración e identificar el tipo de código malicioso para identificar las posibles consecuencias del ataque. En este ejemplo, el ransomware cifró los datos personales sin exfiltrarlos. Como resultado, parece que los riesgos para los derechos y libertades de los interesados resultan de la falta de disponibilidad de los datos personales, la confidencialidad de los datos personales no se ve comprometida. Un examen exhaustivo de los registros del cortafuegos y sus implicaciones es esencial para determinar el riesgo. El responsable del tratamiento debe presentar los resultados fácticos de estas investigaciones cuando se le solicite.
- El responsable debe tener en cuenta que, si el ataque es más sofisticado, el malware tiene la funcionalidad de editar archivos de registro y eliminar el rastro. Entonces, dado que los registros no se reenvían o replican a un servidor de registro central, incluso después de una investigación exhaustiva que determinó que el atacante no exfiltró los datos personales, el responsable no puede afirmar que la ausencia de una entrada de registro prueba la ausencia de exfiltración, por lo tanto, la probabilidad de una brecha de confidencialidad no puede descartarse por completo.
- El responsable del tratamiento debe evaluar los riesgos de esta brecha[13], si el atacante accedió a los datos. Durante la evaluación de riesgos, el responsable también debe tener en cuenta la naturaleza, la sensibilidad, el volumen y el contexto de los datos personales afectados en la brecha. En este caso, no se ven afectadas categorías especiales de datos personales, y la cantidad de datos y el número de interesados afectados es bajo.
- Recopilar información exacta sobre el acceso no autorizado es clave para determinar el nivel de riesgo y prevenir un ataque nuevo o continuo. Si los datos se hubieran copiado de la base de datos, obviamente habría sido un factor de aumento del riesgo. Cuando no esté seguro de los detalles del acceso ilegítimo, se debe considerar el peor escenario y el riesgo se debe evaluar en consecuencia.
- La ausencia de una copia de respaldo puede considerarse un factor de aumento del riesgo dependiendo de la gravedad de las consecuencias para los interesados resultantes de la falta de disponibilidad de los datos.
Caso 2. Mitigación y obligaciones
- Sin una copia de seguridad, el responsable puede tomar pocas medidas para remediar la pérdida de datos personales, y los datos deben recopilarse nuevamente, a menos que haya otra fuente disponible (por ejemplo, correos electrónicos de confirmación del pedido). Sin una copia de seguridad, los datos se pueden perder y la gravedad dependerá del impacto para las personas.
- La restauración de los datos no debería resultar demasiado problemática[14], si los datos aún están disponibles en papel, pero dada la falta de una copia de respaldo electrónica, se considera necesaria una notificación a la AC, ya que la restauración de los datos llevó algún tiempo y podría causar algunos retrasos en la entrega de los pedidos a los clientes y es posible que no se pueda recuperar una cantidad considerable de metadatos (por ejemplo, registros, marcas de tiempo).
- Informar a los interesados sobre la violación también puede depender del período de tiempo que los datos personales no están disponibles y de las dificultades que podrían causar en el funcionamiento de la actividad del responsable (por ejemplo, retrasos en la transferencia de los pagos de los empleados). Dado que los retrasos en los pagos y entregas pueden suponer un perjuicio económico para las personas cuyos datos se han visto comprometidos, también se podría argumentar que es probable que el incidente genere un alto riesgo. Además, es posible que no sea posible evitar informar a los interesados si su contribución es necesaria para restaurar los datos cifrados.
- Este caso sirve como ejemplo de un ataque de ransomware con riesgo para los derechos y libertades de los interesados, pero que no alcanza un alto riesgo. Debe documentarse de conformidad con el artículo 33, apartado 5, y notificarse a la AC de conformidad con el artículo 33, apartado 1. La organización también puede necesitar (o ser requerida por la AC) para actualizar y corregir sus medidas y procedimientos organizativos y técnicos de gestión de la seguridad de datos personales y de mitigación de riesgos.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 3: Ransomware con respaldo y sin exfiltración en un hospital
El sistema de información de un hospital / centro sanitario estuvo expuesto a un ataque de ransomware y el atacante cifró una proporción significativa de sus datos. La empresa utiliza la experiencia de una empresa de ciberseguridad externa para supervisar su red. Se encuentran disponibles registros que rastrean todos los flujos de datos que salen de la empresa (incluido el correo electrónico saliente). Tras analizar los registros y los datos con los sistemas de detección, la investigación interna ayudada con la ayuda de la empresa de ciberseguridad determinó que el atacante solo cifró los datos sin exfiltrarlos. Los registros no muestran ningún flujo de datos hacia el exterior en el período de tiempo del ataque. Los datos personales afectados por la violación se refieren a los empleados y pacientes, que representan a miles de personas. Las copias de seguridad estaban disponibles en formato electrónico. |
Caso 3. Medidas previas y evaluación de riesgos
- El responsable del tratamiento debería haber adoptado las mismas medidas previas mencionadas en la sección 2.1. y 2.5. La principal diferencia con el caso anterior es la gran gravedad de las consecuencias para una parte sustancial de los interesados[15].
- La cantidad de datos y el número de interesados afectados son elevados, porque los hospitales suelen tratar grandes cantidades de datos. La indisponibilidad de los datos tiene un gran impacto en una parte sustancial de los interesados. Además, existe un riesgo residual de alta gravedad para la confidencialidad de los datos del paciente.
- El tipo de brecha, la naturaleza, la sensibilidad y el volumen de datos personales afectados son importantes. A pesar de que existía una copia de seguridad y se podría restaurar en unos días, aún existe un alto riesgo debido a la gravedad de las consecuencias para los interesados debido a la falta de disponibilidad de los datos en el momento del ataque y los días siguientes.
Caso 3. Mitigación y obligaciones
- Se considera necesaria una notificación a la AC, ya que se trata de categorías especiales de datos personales y su restauración podría llevar mucho tiempo, lo que provocaría importantes retrasos en la atención del paciente. Informar a los interesados sobre la violación es necesario debido al impacto para los pacientes, incluso después de restaurar los datos cifrados. Si bien los datos relacionados con todos los pacientes tratados en el hospital durante los últimos años se han cifrado, solo los pacientes que estaban citados para ser tratados en el hospital durante el tiempo que el sistema informático no estuvo disponible se vieron afectados. El responsable del tratamiento debe comunicar la violación de datos a esos pacientes directamente. La comunicación directa con los demás pacientes, algunos de los cuales pueden no haber estado en el hospital durante más de veinte años, puede no ser necesaria debido a la excepción del artículo 34.3. c). En tal caso, habrá en su lugar una comunicación pública[16] o una medida similar mediante la cual los interesados sean informados de manera igualmente efectiva. En este caso, el hospital debería hacer públicos el ataque de ransomware y sus efectos.
- Este caso sirve como ejemplo de un ataque de ransomware con alto riesgo para los derechos y libertades de los interesados. Debe documentarse de conformidad con el artículo 33, apartado 5, notificarse a la AC de conformidad con el artículo 33, apartado 1, y comunicarse a los interesados de conformidad con el artículo 34, apartado 1. La organización también necesita actualizar y corregir sus medidas y procedimientos técnicos y organizativos de gestión de seguridad de datos personales y de mitigación de riesgos.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
CASO 4: Ransomware sin respaldo y con exfiltración
El servidor de una empresa de transporte público estuvo expuesto a un ataque de ransomware y el atacante cifró sus datos. Según las conclusiones de la investigación interna, el autor no solo cifró los datos, sino que también los exfiltró. El tipo de datos afectados fueron los datos personales de clientes y empleados, y de los varios miles de personas que utilizan los servicios de la empresa (por ejemplo, comprando billetes online). Más allá de los datos de identidad básicos, los números de documentos de identidad y los datos financieros, como los detalles de la tarjeta de crédito, están involucrados en la violación. Existía una copia de respaldo, pero también fue encriptada por el atacante. |
Caso 4. Medidas previas y evaluación de riesgos
- El responsable del tratamiento debería haber adoptado las mismas medidas previas mencionadas en la sección 2.1. y 2.5. Aunque había copia de respaldo, también se vio afectada por el ataque. Este caso por sí solo plantea dudas sobre la calidad de las medidas de seguridad de TI previas del responsable y debe ser examinado más a fondo durante la investigación, ya que, en un sistema de copias de respaldo bien diseñado, múltiples respaldos deben almacenarse de forma segura sin acceso desde el sistema principal, de lo contrario podrían ser comprometidos en el mismo ataque. Además, los ataques de ransomware pueden pasar desapercibidos durante días y cifrar lentamente los datos que se utilizan con poca frecuencia. Esto puede inutilizar múltiples copias de seguridad, por lo que las copias de seguridad también deben realizarse periódicamente y aislarse. Esto aumentaría la probabilidad de recuperación, aunque aumentaría la pérdida de datos.
- Esta violación se refiere no solo a la disponibilidad de datos, sino también a la confidencialidad, ya que el atacante puede haber modificado y / o copiado datos del servidor. Por lo tanto, el tipo de brecha resulta en un alto riesgo[17].
- La naturaleza, la sensibilidad y el volumen de los datos personales aumentan aún más los riesgos, porque el número de personas afectadas y la cantidad total de datos personales afectados es elevado. Más allá de los datos de identidad básicos, también están involucrados los documentos de identidad y los datos financieros, como los detalles de la tarjeta de crédito. Una violación de datos relacionada con este tipo de datos presenta un alto riesgo en sí misma, y si se procesan juntos, podrían usarse para entre otros para suplantación de identidad o fraude.
- Debido a una lógica de servidor defectuosa o controles organizacionales, los archivos de respaldo se vieron afectados por el ransomware, lo que impidió la restauración de datos y aumentó el riesgo.
- Esta violación de datos presenta un alto riesgo para los derechos y libertades de las personas, porque probablemente podría ocasionar daños materiales (por ejemplo, pérdidas financieras debido a que los datos de la tarjeta de crédito se vieron afectados) y daños morales (por ejemplo, suplantación de identidad o fraude a través del documento de identidad que se vio comprometido).
Caso 4. Mitigación y obligaciones
- La comunicación a los interesados es fundamental para que puedan tomar las medidas necesarias para evitar daños materiales (por ejemplo, bloquear sus tarjetas de crédito).
- Además de documentar la brecha de conformidad con el artículo 33.5, en este caso también es obligatoria una notificación a la AC (artículo 33, apartado 1) y comunicar la brecha a los interesados (artículo 34.1). Esto último podría llevarse a cabo persona por persona, pero para las personas en las que los datos de contacto no estén disponibles, el responsable debe hacerlo públicamente, siempre que dicha comunicación no sea susceptible de desencadenar consecuencias negativas adicionales en los interesados, por ejemplo, a través de una notificación en su sitio web. En este último caso, se requiere una comunicación precisa y clara, a la vista en la página de inicio de la web del responsable, con referencias exactas de las disposiciones relevantes del GDPR.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
Medidas organizativas y técnicas para prevenir / mitigar los impactos de los ataques de ransomware
- El hecho de que se haya producido un ataque de ransomware suele ser una señal de una o más vulnerabilidades en el sistema del responsable. Esto también se aplica en los casos de ransomware en los que los datos personales se han cifrado, pero no se han exfiltrado. Independientemente del resultado y las consecuencias del ataque, hay que enfatizar en la importancia de una evaluación integral del sistema de seguridad de datos, con especial énfasis en la seguridad de TI. Las debilidades y los agujeros de seguridad identificados deben documentarse y solucionarse sin demora.
- Medidas aconsejables:
(La lista de las siguientes medidas no es de ninguna manera exclusiva ni exhaustiva. Más bien, el objetivo es proporcionar ideas de prevención y posibles soluciones. Cada actividad de tratamiento es diferente, por lo que el responsable debe tomar la decisión sobre qué medidas se ajustan más a la situación dada.)
- Mantener actualizado el firmware, el sistema operativo y el software de la aplicación en los servidores, las máquinas cliente, los componentes de red activos y cualquier otra máquina en la misma LAN (incluidos los dispositivos Wi-Fi). Asegurarse de que se implementen las medidas de seguridad de TI adecuadas, asegurarse de que sean efectivas y mantenerlas actualizadas periódicamente cuando el tratamiento o las circunstancias cambien o evolucionen. Esto incluye mantener registros detallados de qué parches se aplican y en qué marca de tiempo.
- Diseñar y organizar sistemas de tratamiento e infraestructura para segmentar o aislar sistemas y redes de datos para evitar la propagación de malware dentro de la organización y a sistemas externos.
- Disponer de un sistema de copia de seguridad actualizado, seguro y probado. Los medios para la copia de seguridad a medio y largo plazo deben mantenerse separados del almacenamiento de datos operativos y fuera del alcance de terceros, incluso en caso de un ataque exitoso (como una copia de seguridad incremental diaria y una copia de seguridad completa semanal).
- Disponer / obtener un software anti-malware adecuado, actualizado, eficaz e integrado.
- Contar con un cortafuegos y un sistema de prevención y detección de intrusos adecuado, actualizado, efectivo e integrado.
- Dirigir el tráfico de la red a través del cortafuegos / detección de intrusiones, incluso en situaciones de movilidad como por ejemplo el teletrabajo (por ejemplo, mediante el uso de conexiones VPN a los mecanismos de seguridad de la organización al acceder a Internet).
- Formar y capacitar a los empleados sobre los métodos para reconocer y prevenir ataques de TI. El responsable del tratamiento debe proporcionar los medios para determinar si los correos electrónicos y los mensajes obtenidos por otros medios de comunicación son auténticos y fiables. Los empleados deben estar capacitados para reconocer cuándo se ha producido un ataque de este tipo, cómo determinar el punto final de la red y su obligación de informarlo de inmediato al responsable de seguridad.
- Enfatizar la necesidad de identificar el tipo de código malicioso para ver las consecuencias del ataque y poder encontrar las medidas adecuadas para mitigar el riesgo. En caso de que un ataque de ransomware haya tenido éxito y no haya una copia de seguridad disponible, se pueden aplicar herramientas disponibles como las del proyecto “no more ransom” (nomoreransom.org) para recuperar datos. Sin embargo, en caso de que haya disponible una copia de seguridad segura, es recomendable restaurar los datos a partir de ella.
- Reenvío o replicación de todos los registros a un servidor de registros central (posiblemente incluida la firma o el sello de tiempo criptográfico de las entradas del registro).
- Fuerte cifrado y autenticación de múltiples factores, en particular para el acceso administrativo a los sistemas de TI, la gestión adecuada de claves y contraseñas.
- Pruebas de vulnerabilidad y penetración de forma periódica.
- Designar un Equipo de respuesta a incidentes de seguridad informática (CSIRT) o un Equipo de respuesta ante emergencias informáticas (CERT) dentro de la organización, o unirse a un CSIRT / CERT colectivo. Cree un plan de respuesta a incidentes, un plan de recuperación ante desastres y un plan de continuidad comercial, y asegúrese de que se prueben a fondo.
- Al evaluar las contramedidas, el análisis de riesgos debe revisarse, probarse y actualizarse.
3. ATAQUES DE EXFILTRACIÓN DE DATOS
- Los ataques que aprovechan las vulnerabilidades en los servicios ofrecidos por el responsable a terceros a través de Internet, por ejemplo, cometidos mediante ataques de inyección (por ejemplo, inyección de SQL, cruce de ruta), compromiso de sitios web y métodos similares, pueden parecerse a ataques de ransomware en el sentido de que el riesgo emana de la acción de un tercero no autorizado, pero esos ataques suelen tener como objetivo copiar, exfiltrar y abusar de datos personales para algún fin malicioso. Por lo tanto, se trata principalmente de brechas de confidencialidad y, posiblemente, también de integridad. Al mismo tiempo, si el responsable del tratamiento conoce las características de este tipo de brechas, existen muchas medidas a disposición de los responsables que pueden reducir sustancialmente el riesgo de una ejecución exitosa de un ataque.
CASO 5: Exfiltración de datos de solicitud de empleo de un sitio web
Una agencia de empleo fue víctima de un ciberataque, que introdujo un código malicioso en su sitio web. Este código malicioso hizo que la información personal enviada a través de formularios de solicitud de empleo online y almacenada en el servidor web fuera accesible para personas no autorizadas. 213 de estos formularios posiblemente se vean comprometidos, después de analizar los datos afectados se determinó que no se vieron implicadas categorías especiales de datos en la brecha. El malware instalado tenía funcionalidades que permitían al atacante eliminar cualquier historial de exfiltración y también permitía supervisar el tratamiento en el servidor y capturar datos personales. El kit de herramientas no se descubrió hasta pasado un mes después de su instalación. |
Caso 5. Medidas previas y evaluación de riesgos
- La seguridad del entorno del responsable del tratamiento es extremadamente importante, ya que la mayoría de estos incidentes se pueden prevenir asegurando que todos los sistemas se actualicen constantemente, que los datos sensibles estén cifrados y las aplicaciones se desarrollen de acuerdo con altos estándares de seguridad, como autenticación fuerte, medidas contra la fuerza bruta, ataques, "escape" o "desinfección"[18] entradas de usuario, etc. También se requieren auditorías periódicas de seguridad de TI, evaluaciones de vulnerabilidad y pruebas de penetración para detectar este tipo de vulnerabilidades con anticipación y corregirlas. En este caso particular, las herramientas de supervisión de integridad de archivos en el entorno de producción podrían haber ayudado a detectar la inyección del código malicioso. (En la sección 3.7 se incluye una lista de medidas recomendadas).
- El responsable del tratamiento siempre debe comenzar a investigar la brecha identificando el tipo de ataque y sus métodos, con el fin de evaluar qué medidas deben tomarse. Para hacerlo rápido y eficiente, el responsable debe tener un plan de respuesta a incidentes que especifique los pasos rápidos y necesarios para tomar el control del incidente. En este caso particular, el tipo de violación fue un factor de aumento del riesgo, ya que no solo se redujo la confidencialidad de los datos, sino que el infiltrado también tenía los medios para establecer cambios en el sistema, por lo que la integridad de los datos también se volvió cuestionable.
- La naturaleza, la sensibilidad y el volumen de los datos personales afectados por la brecha deben evaluarse para determinar en qué medida la brecha afectó a los interesados. Aunque no se vieron afectadas categorías especiales de datos personales, los datos a los que se accede contienen información considerable sobre las personas a partir de los formularios en línea, y dichos datos podrían usarse indebidamente de varias maneras (segmentación con marketing no solicitado, suplantación de identidad, etc.), por lo que la gravedad de las consecuencias debería aumentar el riesgo para los derechos y libertades de los interesados[19].
Caso 5. Mitigación y obligaciones
- Si es posible, después de resolver el problema, la base de datos debe compararse con la almacenada en una copia de seguridad segura. Las experiencias extraídas de la brecha deben utilizarse para actualizar la infraestructura de TI. El responsable debe devolver todos los sistemas de TI afectados a un estado limpio conocido, corregir la vulnerabilidad e implementar nuevas medidas de seguridad para evitar violaciones de datos similares en el futuro, por ejemplo, verificaciones de integridad de archivos y auditorías de seguridad. Si los datos personales no solo se extrajeron, sino que también se eliminaron, el responsable debe tomar sistemáticamente medidas para recuperar los datos personales al estado en el que se encontraban antes de la violación. Puede ser necesario aplicar copias de seguridad completas, cambios incrementales y luego posiblemente volver a ejecutar el tratamiento desde la última copia de seguridad incremental, lo que requiere que el responsable pueda replicar los cambios realizados desde la última copia de seguridad.
- A la luz de lo anterior, dado que es probable que la violación dé lugar a un alto riesgo para los derechos y libertades de las personas físicas, los interesados definitivamente deben ser informados al respecto (artículo 34, apartado 1), lo que, por supuesto, significa que también se debe notificar a la AC. La documentación del incidente es obligatoria según el artículo 33.5 del GDPR y facilita la evaluación de la situación.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
CASO 6: Exfiltración de contraseña hash de un sitio web
Se aprovechó una vulnerabilidad de inyección SQL para acceder a una base de datos del servidor de un sitio web de cocina. Los usuarios solo podían elegir seudónimos arbitrarios como nombres de usuario. Se desaconsejó el uso de direcciones de correo electrónico para este fin. Las contraseñas almacenadas en la base de datos se codificaron con un algoritmo sólido y la sal (bits aleatorios) no se vio comprometida. Datos afectados: contraseñas hash de 1.200 usuarios. Por motivos de seguridad, el responsable del tratamiento informó a los interesados sobre la violación por correo electrónico y les pidió que cambiaran sus contraseñas, especialmente si se utilizaba la misma contraseña para otros servicios. |
Caso 6. Medidas previas y evaluación de riesgos
- En este caso particular, la confidencialidad de los datos se ve comprometida, pero las contraseñas de la base de datos se modificaron con un método actualizado, lo que reduciría el riesgo con respecto a la naturaleza, la sensibilidad y el volumen de los datos personales. Este caso no presenta riesgos para los derechos y libertades de los interesados.
- Además, no se vio comprometida ninguna información de contacto (por ejemplo, direcciones de correo electrónico o números de teléfono) de los interesados, lo que significa que no existe un riesgo significativo para los interesados de ser blanco de intentos de fraude (por ejemplo, recibir correos electrónicos de suplantación de identidad o mensajes de texto fraudulentos mensajes y llamadas telefónicas). No se comprometieron categorías especiales de datos personales.
- Algunos nombres de usuario podrían considerarse datos personales, pero el tema del sitio web no admite connotaciones negativas. Aunque debe tenerse en cuenta que la evaluación de riesgos puede cambiar[20], si el tipo de sitio web y los datos a los que se accede pueden revelar categorías especiales de datos personales (por ejemplo, el sitio web de un partido político o sindicato). El uso de cifrado de última generación podría mitigar los efectos adversos de la brecha. Asegurarse de que se permita un número limitado de intentos de inicio de sesión evitará que los ataques de inicio de sesión de fuerza bruta tengan éxito, reduciendo así en gran medida los riesgos que suponen que los atacantes conozcan los nombres de usuario.
Caso 6. Mitigación y obligaciones
- La comunicación a los interesados en algunos casos podría considerarse un factor atenuante, ya que los interesados también están en condiciones de tomar las medidas necesarias para evitar mayores daños por la violación, por ejemplo, cambiando su contraseña. En este caso, la notificación no era obligatoria, pero en muchos casos puede considerarse una buena práctica.
- El responsable del tratamiento debe corregir la vulnerabilidad e implementar nuevas medidas de seguridad para evitar violaciones de datos similares en el futuro, como, por ejemplo, auditorías de seguridad sistemáticas en el sitio web.
- La brecha debe documentarse de conformidad con el artículo 33.5, pero no es necesaria ninguna notificación o comunicación.
- Además, es muy recomendable comunicar una violación que involucre contraseñas, a los interesados en cualquier caso, incluso cuando las contraseñas se almacenaron utilizando un hash salado con un algoritmo conforme al estado de la técnica. Es preferible el uso de métodos de autenticación que eviten la necesidad de procesar contraseñas en el lado del servidor. Los interesados deben tener la opción de tomar las medidas adecuadas con respecto a sus propias contraseñas.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 7: Ataque de relleno de credenciales en un sitio web bancario
Un banco sufrió un ciberataque contra uno de sus sitios web de banca online. El ataque tenía como objetivo enumerar todas las posibles identificaciones de usuario de inicio de sesión utilizando una contraseña trivial fija. Las contraseñas constan de 8 dígitos. Debido a una vulnerabilidad del sitio web, en algunos casos se filtró al atacante información sobre los interesados (nombre, apellidos, sexo, fecha y lugar de nacimiento, código fiscal, códigos de identificación de usuario), incluso si la contraseña utilizada no era correcta o la cuenta bancaria ya no está activa. Esto afectó a alrededor de 100.000 clientes. De estos, el atacante inició sesión con éxito en alrededor de 2.000 cuentas que usaban la contraseña trivial probada por el atacante. Después del incidente, el responsable pudo identificar todos los intentos de inicio de sesión ilegítimos. El responsable del tratamiento podría confirmar que, según las comprobaciones antifraude, estas cuentas no realizaron transacciones durante el ataque. El banco estaba al tanto de la violación de datos porque su centro de operaciones de seguridad detectó una gran cantidad de solicitudes de inicio de sesión dirigidas al sitio web. En respuesta, el responsable deshabilitó la posibilidad de iniciar sesión en el sitio web apagándolo y forzó el restablecimiento de la contraseña de las cuentas comprometidas. El responsable del tratamiento comunicó el incidente solo a los usuarios con las cuentas comprometidas, es decir, a los usuarios cuyas contraseñas se vieron comprometidas o cuyos datos se divulgaron. |
Caso 7. Medidas previas y evaluación de riesgos
- Es importante mencionar que los responsables que tratan datos de naturaleza muy personal[21] tienen una mayor responsabilidad en términos de proporcionar una seguridad de datos adecuada, por ejemplo, tener un centro de operaciones de seguridad y otras medidas de prevención, detección y respuesta a incidentes. No cumplir con estos estándares más altos ciertamente resultará en medidas más serias durante la investigación de una AC.
- La violación se refiere a datos financieros más allá de la identidad y la información de identificación del usuario, lo que la hace particularmente grave. El número de personas afectadas es elevado.
- El hecho de que pueda producirse una brecha en un entorno tan sensible apunta a importantes lagunas en la seguridad de los datos en el sistema del responsable del tratamiento, y puede ser un indicador de un momento en el que la revisión y actualización de las medidas afectadas es "necesaria" de conformidad con los artículos 24.1, 25.1 y 32.1 del GDPR. Los datos afectados permiten la identificación única de los interesados y contienen otra información sobre ellos (incluido el sexo, la fecha y el lugar de nacimiento), además, el atacante puede utilizarlos para adivinar las contraseñas de los clientes o ejecutar una campaña de spear phishing dirigida a los clientes del banco.
- Por estas razones, se consideró probable que la violación de datos tuviera como resultado un alto riesgo para los derechos y libertades de todos los interesados afectados[22]. Por lo tanto, la ocurrencia de daños materiales (por ejemplo, pérdidas financieras) y daños inmateriales (por ejemplo, suplantación de identidad o fraude) es un resultado concebible.
Caso 7. Mitigación y obligaciones
- Las medidas del responsable del tratamiento mencionadas en la descripción del caso son adecuadas. A raíz de la brecha, también corrigió la vulnerabilidad del sitio web y tomó otras medidas para evitar futuras brechas de datos similares, como agregar autenticación de dos factores al sitio web en cuestión y pasar a una autenticación de cliente sólida.
- Documentar el incidente de acuerdo con el artículo 33.5 del GDPR y notificarlo a la AC son obligatorios en este escenario. Además, el responsable del tratamiento debe notificar a los 100.000 interesados (incluidos los interesados cuyas cuentas no se vieron comprometidas) de conformidad con el artículo 34 del GDPR.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
Medidas organizativas y técnicas para prevenir / mitigar los impactos de los ataques de piratas informáticos
- Al igual que en el caso de los ataques de ransomware, independientemente del resultado y las consecuencias del ataque, la reevaluación de la seguridad TI es obligatoria para los responsables en casos similares.
- Medidas aconsejables[23]:
(La lista de las siguientes medidas no es en modo alguno exclusiva ni exhaustiva. Más bien, el objetivo es brindar ideas de prevención y posibles soluciones. Cada actividad de procesamiento es diferente, por lo tanto, el controlador debe tomar la decisión sobre qué medidas se ajustan más a la situación dada.)
- Cifrado y gestión de claves de última generación, especialmente cuando se procesan contraseñas, datos confidenciales o financieros. El hash criptográfico y el procesamiento de información secreta (contraseñas) siempre se prefieren al cifrado de contraseñas. Es preferible el uso de métodos de autenticación que eviten la necesidad de procesar contraseñas en el lado del servidor.
- Mantener el sistema actualizado (software y firmware). Asegurarse de que se implementen todas las medidas de seguridad de TI, asegurarse de que sean efectivas y mantenerlas actualizadas periódicamente cuando el tratamiento o las circunstancias cambien o evolucionen. Para poder demostrar el cumplimiento del artículo 5, apartado 1, letra f), de conformidad con el artículo 5, apartado 2, del GDPR, el responsable del tratamiento debe mantener un registro de todas las actualizaciones realizadas, incluido también el momento en que se aplicaron.
- Uso de métodos de autenticación sólidos, como autenticación de dos factores y servidores de autenticación, complementados con una política de contraseñas actualizada.
- Los estándares de desarrollo seguro incluyen el filtrado de las entradas de los usuarios (utilizando listas blancas en la medida de lo posible), el escape de las entradas de los usuarios y las medidas de prevención de la fuerza bruta (como limitar la cantidad máxima de reintentos). Los "firewalls de aplicaciones web" pueden ayudar en el uso eficaz de esta técnica.
- Se han implementado sólidos privilegios de usuario y una política de gestión de control de acceso.
- Uso de firewall apropiado, actualizado, efectivo e integrado, detección de intrusiones y otros sistemas de defensa perimetral.
- Auditorías sistemáticas de seguridad de TI y evaluaciones de vulnerabilidad (pruebas de penetración).
- Revisiones y pruebas periódicas para garantizar que las copias de seguridad se puedan utilizar para restaurar cualquier dato cuya integridad o disponibilidad se haya visto afectada.
- No hay ID de sesión en la URL en texto sin formato.
4. FUENTE DE RIESGO HUMANO INTERNO
- Debe destacarse el papel del error humano en las violaciones de seguridad de los datos personales, debido a su frecuencia. Dado que este tipo de incidentes pueden ser tanto intencionados como no intencionados, es muy difícil para los responsables identificar las vulnerabilidades y adoptar medidas para evitarlas. La Conferencia Internacional de Comisionados de Protección de Datos y Privacidad reconoció la importancia de abordar tales factores humanos y adoptó la resolución para abordar el papel del error humano en las violaciones de datos personales en octubre de 2019[24]. Esta resolución hace hincapié en que deben tomarse las medidas de salvaguardia adecuadas para prevenir errores humanos y proporciona una lista no exhaustiva de tales salvaguardias y enfoques.
CASO 8: Exfiltración de datos comerciales por parte de un empleado
Durante el período de vigencia de su contrato laboral, el empleado de una empresa copia datos comerciales de la base de datos de la empresa. El empleado está autorizado a acceder a los datos solo para cumplir con sus tareas laborales. Meses después, tras dejar el trabajo, utiliza los datos así obtenidos (datos básicos de contacto) para un nuevo tratamiento de datos del que es responsable del tratamiento con el fin de contactar con los clientes de la empresa para atraerlos a su nuevo negocio. |
Caso 8. Medidas previas y evaluación de riesgos
- En este caso particular, no se tomaron medidas previas para evitar que el empleado copiara información de contacto de la clientela de la empresa, ya que necesitaba - y tenía - acceso legítimo a esta información para sus tareas laborales. Dado que para la mayoría de los trabajos relacionados con los clientes se requiere algún tipo de acceso de los empleados a los datos personales, estas violaciones de datos pueden ser las más difíciles de prevenir. Las limitaciones al alcance del acceso pueden condicionar el trabajo que el empleado determinado puede realizar. Sin embargo, unas políticas de acceso bien pensadas y un control constante pueden ayudar a prevenir tales incidentes.
- Como es habitual, durante la evaluación de riesgos se debe tener en cuenta el tipo de brecha y la naturaleza, la sensibilidad y el volumen de los datos personales afectados. Este tipo de incidentes suelen ser brechas de confidencialidad, ya que la base de datos suele dejarse intacta y su contenido "simplemente" se copia para su uso posterior. La cantidad de datos afectados suele ser también baja o media. En este caso en particular, no se vieron afectadas categorías especiales de datos personales, el empleado solo necesitaba la información de contacto de los clientes para poder ponerse en contacto con ellos después de dejar la empresa. Por tanto, los datos en cuestión no son sensibles.
- Aunque el único objetivo del exempleado que copió maliciosamente los datos puede limitarse a obtener la información de contacto de la clientela de la empresa para sus propios fines comerciales, el responsable del tratamiento no está en condiciones de considerar el riesgo para los interesados afectados como bajo, ya que el responsable no tiene ningún tipo de seguridad sobre las intenciones del exempleado. Por lo tanto, si bien las consecuencias de la brecha podrían limitarse a la exposición a la autocomercialización no deseada del exempleado, no se descarta un abuso mayor y más grave de los datos robados, dependiendo del propósito del tratamiento realizado por el exempleado[25].
Caso 8. Mitigación y obligaciones
- La mitigación de los efectos adversos del incidente en el caso anterior es difícil. Es posible que deba proceder a una acción legal inmediata para evitar que el exempleado abuse y difunda más los datos. Como siguiente paso, el objetivo debería ser evitar situaciones futuras similares. El responsable puede intentar ordenar al exempleado que deje de usar los datos, pero el éxito de esta acción es, en el mejor de los casos, dudoso. Las medidas técnicas adecuadas, como la imposibilidad de copiar o descargar datos en dispositivos extraíbles, pueden ayudar.
- No existe una solución única para este tipo de casos, pero un enfoque sistemático puede ayudar a prevenirlos. Por ejemplo, la empresa puede considerar, cuando sea posible, retirar ciertas formas de acceso a los empleados que han indicado su intención de salir o implementar registros de acceso para que el acceso no deseado se pueda registrar y marcar. El contrato firmado con los empleados debe incluir cláusulas que prohíban tales acciones.
- En definitiva, dado que el incidente no supondrá un riesgo elevado para los derechos y libertades de las personas físicas, bastará con una notificación a la AC. Sin embargo, la información para los interesados también puede ser beneficiosa para el responsable, ya que podría ser mejor que escuchen a la empresa sobre la exfiltración de datos en lugar del exempleado que intenta contactarlos. La documentación sobre violación de datos de conformidad con el artículo 33.5 es una obligación legal.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
X |
CASO 9: Transmisión accidental de datos a un tercero de confianza
Un agente de seguros notó que, gracias a la configuración defectuosa de un archivo de Excel recibido por correo electrónico, pudo acceder a información relacionada con dos docenas de clientes que no pertenecían a su ámbito. Está sujeto al secreto profesional y fue el único destinatario del correo electrónico. El acuerdo entre el responsable y el agente de seguros obliga a este último a advertir de una violación de datos personales sin demora indebida al responsable. Por lo tanto, el agente advirtió instantáneamente el error al responsable, quien corrigió el archivo y lo envió nuevamente, pidiéndole al agente que borrara el mensaje anterior. En base al acuerdo mencionado anteriormente, el agente debe confirmar la eliminación en una declaración por escrito, lo cual hizo. La información obtenida no incluye categorías especiales de datos personales, solo datos de contacto y datos del propio seguro (tipo de seguro, importe). Después de analizar los datos personales afectados por la violación, el responsable no identificó ninguna característica especial por parte de las personas o de él mismo que pueda afectar el nivel de impacto de la violación. |
Caso 9. Medidas previas y evaluación de riesgos
- Aquí el incidnte no se deriva de una acción intencionada de un empleado, sino de un error humano involuntario causado por la falta de atención. Este tipo de incidentes se pueden evitar o disminuir en frecuencia mediante a) la aplicación de programas de capacitación, formación y concienciación donde los empleados comprendan mejor la importancia de la protección de datos personales, b) reduciendo el intercambio de archivos a través del correo electrónico, en lugar de utilizar sistemas dedicados para tratamiento de datos de clientes, por ejemplo, c) doble verificación de archivos antes de enviarlos, d) separación de la creación y el envío de archivos.
- Esta violación de datos se refiere únicamente a la confidencialidad de los datos, ya que la integridad y disponibilidad de los mismos se mantienen intactas. La violación de datos solo afectó a dos docenas de clientes, por lo que la cantidad de datos afectados puede considerarse baja. Además, los datos personales afectados no contienen datos sensibles. El hecho de que el encargado del tratamiento se haya puesto en contacto inmediatamente con el responsable del tratamiento después de tener conocimiento de la violación de datos puede considerarse un factor de mitigación del riesgo. (También se debe evaluar la posibilidad de que los datos se hayan enviado a otros agentes de seguros y, si se confirma, se deben tomar las medidas adecuadas). Debido a las medidas apropiadas tomadas después de la violación de datos, probablemente no tendrá ningún impacto en los interesados, en sus derechos y libertades.
- La combinación del bajo número de afectados, la detección inmediata de la brecha y las medidas tomadas para minimizar sus efectos hacen que este caso en particular no tenga ningún riesgo.
Caso 9. Mitigación y obligaciones
- Además, también están en juego otras circunstancias atenuantes del riesgo: el agente está sujeto al secreto profesional; él mismo informó del problema al responsable; y borró el archivo a solicitud del responsable. Concienciar y posiblemente incluir pasos adicionales en la verificación de documentos que involucran datos personales probablemente ayudará a evitar casos similares en el futuro.
- Además de documentar la brecha de conformidad con el artículo 33.5, no es necesaria ninguna otra acción.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
Medidas organizativas y técnicas para prevenir / mitigar los impactos de las fuentes internas de riesgo humano
- Una combinación de las medidas mencionadas a continuación, aplicadas según las características únicas del caso, debería ayudar a reducir la posibilidad de que se repita una brecha similar.
- Medidas aconsejables:
(La lista de las siguientes medidas no es en modo alguno exclusiva ni exhaustiva. Más bien, el objetivo es brindar ideas de prevención y posibles soluciones. Cada actividad de procesamiento es diferente, por lo tanto, el controlador debe tomar la decisión sobre qué medidas se ajustan más a la situación dada.)
- Implementación periódica de programas de capacitación, formación y concienciación para los empleados sobre sus obligaciones de privacidad y seguridad y la detección y denuncia de amenazas a la seguridad de los datos personales[26]. Desarrolle un programa de concienciación para recordar a los empleados los errores más comunes que conducen a violaciones de datos personales y cómo evitarlos.
- Establecimiento de prácticas, procedimientos y sistemas sólidos y efectivos de protección de datos y privacidad[27].
- Evaluación de prácticas, procedimientos y sistemas de privacidad para asegurar una efectividad continua[28]. Hacer políticas de control de acceso adecuadas y obligar a los usuarios a seguir las reglas.
- Implementar técnicas para forzar la autenticación de usuarios cuando acceden a datos personales sensibles. Deshabilitar la cuenta del usuario relacionada con la empresa tan pronto como la persona deje la empresa. Comprobación de un flujo de datos inusual entre el servidor de archivos y las estaciones de trabajo de los empleados.
- Configurar la seguridad de la interfaz de E / S en el BIOS o mediante el uso de software que controle el uso de las interfaces de la computadora (bloquear o desbloquear, por ejemplo, USB / CD / DVD, etc.).
- Revisar la política de acceso de los empleados (por ejemplo, registrar el acceso a datos confidenciales y solicitar al usuario que ingrese una razón comercial, para que esté disponible para auditorías).
- Deshabilitar los servicios de nube abierta.
- Prohibir e impedir el acceso a servicios de correo abiertos conocidos. Desactivación de la función de impresión de pantalla en el sistema operativo.
- Hacer cumplir una política de escritorio limpio.
- Bloqueo automático de todas las computadoras después de un cierto tiempo de inactividad.
- Utilice mecanismos (por ejemplo, token (inalámbrico) para iniciar sesión / abrir cuentas bloqueadas) para cambios rápidos de usuario en entornos compartidos.
- Uso de sistemas dedicados para la gestión de datos personales que apliquen mecanismos de control de acceso adecuados y que eviten errores humanos, como el envío de comunicaciones al sujeto equivocado. El uso de hojas de cálculo y otros documentos de oficina no es un medio adecuado para administrar los datos del cliente.
5. DISPOSITIVOS Y DOCUMENTOS DE PAPEL PERDIDOS O SUSTRAIDOS
- Un tipo de caso frecuente es la pérdida o robo de dispositivos portátiles. En estos casos, el responsable del tratamiento debe tener en cuenta las circunstancias de la operación de tratamiento, como el tipo de datos almacenados en el dispositivo, así como los activos de apoyo y las medidas tomadas antes de la brecha para garantizar un nivel adecuado de seguridad. Todos estos elementos afectan los impactos potenciales de la violación de datos. La evaluación de riesgos puede resultar difícil, ya que el dispositivo ya no está disponible.
- Este tipo de incidentes siempre se pueden clasificar como brechas de confidencialidad. Sin embargo, si no hay una copia de seguridad para la base de datos robada, el tipo de violación también puede ser una brecha de disponibilidad y de integridad.
- Los escenarios siguientes demuestran cómo las circunstancias antes mencionadas influyen en la probabilidad y gravedad de la violación de datos.
CASO 10: Material sustraído que almacena datos personales encriptados
Durante un allanamiento en una guardería infantil, se robaron dos tablets. Las tablets contenían una aplicación que incluía datos personales de los niños que asistían a la guardería. El nombre, la fecha de nacimiento, los datos personales sobre la formación de los niños estaban comprometidos. Tanto las tablets que estaban apagadas en el momento del robo como la aplicación estaban protegidas por una contraseña segura. Los datos de respaldo estaban disponibles de manera efectiva y rápida para el responsable. Después de darse cuenta del robo, la guardería emitió de forma remota un comando para limpiar las tablets poco después del descubrimiento del robo. |
Caso 10. Medidas previas y evaluación de riesgos
- En este caso particular, el responsable del tratamiento tomó las medidas adecuadas para prevenir y mitigar los impactos de una posible violación de datos mediante el uso de cifrado del dispositivo, la introducción de una protección de contraseña adecuada y la seguridad de la copia de seguridad de los datos almacenados en las tablets. (En la sección 5.7 se incluye una lista de medidas recomendadas).
- Después de tener conocimiento de una violación, el responsable debe evaluar la fuente de riesgo, los sistemas que respaldan el tratamiento de datos, el tipo de datos personales involucrados y los impactos potenciales de la violación de datos en las personas involucradas. La violación de datos descrita anteriormente se habría referido a la confidencialidad, disponibilidad e integridad de los datos en cuestión, sin embargo, debido a los procedimientos apropiados del responsable antes y después de la violación de datos, ninguno de estos ocurrió.
Caso 10. Mitigación y obligaciones
- La confidencialidad de los datos personales en los dispositivos no se vio comprometida debido a la sólida protección con contraseña tanto en las tablets como en las aplicaciones. Las tablets se configuraron de tal manera que establecer una contraseña también significa que los datos en el dispositivo están encriptados. Esto se vio aún más mejorado por la acción del responsable para intentar borrar de forma remota todo lo incluido en los dispositivos robados.
- Debido a las medidas adoptadas, también se mantuvo intacta la confidencialidad de los datos. Además, la copia de seguridad aseguró la disponibilidad continua de los datos personales, por lo que no podría haber ocurrido ningún impacto negativo potencial.
- Debido a estos hechos, es poco probable que la violación de datos descrita anteriormente suponga un riesgo para los derechos y libertades de los interesados, por lo que no fue necesaria ninguna notificación a la AC ni a los interesados en cuestión. Sin embargo, esta violación de datos también debe documentarse de conformidad con el artículo 33, apartado 5.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 11: Material sustraído que almacena datos personales no cifrados
Se robó el portátil de un empleado de una empresa proveedora de servicios. El dispositivo robado contenía nombres, apellidos, sexo, direcciones y fecha de nacimiento de más de 100.000 clientes. Debido a la indisponibilidad del dispositivo robado, no fue posible identificar si otras categorías de datos personales también se vieron afectadas. El acceso al disco duro del portátil no estaba protegido por ninguna contraseña. Los datos personales se pueden restaurar a partir de las copias de seguridad diarias disponibles. |
Caso 11. Medidas previas y evaluación de riesgos
- El responsable del tratamiento no adoptó medidas de seguridad previas, por lo que los datos personales almacenados en el portátil sustraído eran fácilmente accesibles para el delincuente o cualquier otra persona que accediera al dispositivo a partir de ese momento.
- Esta violación de datos se refiere a la confidencialidad de los datos almacenados en el dispositivo sustraído.
- El dispositivo que contenía los datos personales era vulnerable en este caso porque no poseía ninguna protección por contraseña o encriptación. La falta de medidas de seguridad básicas aumenta el nivel de riesgo para los interesados afectados. Además, la identificación de los interesados en cuestión también es problemática, lo que también aumenta la gravedad de la brecha. El número considerable de personas afectadas aumenta el riesgo; sin embargo, ninguna categoría especial de datos personales se vio afectada por la violación de datos.
- Durante la evaluación de riesgos[29] el responsable del tratamiento debe tener en cuenta las posibles consecuencias y efectos adversos de la brecha de confidencialidad. Como resultado de la violación, los interesados pueden sufrir suplantación de identidad basándose en los datos disponibles en el dispositivo robado, por lo que se considera que el riesgo es alto.
Caso 11. Mitigación y obligaciones
- Activar el cifrado del dispositivo y el uso de una fuerte protección por contraseña de la base de datos almacenada podría haber evitado que la violación de datos resultara en un alto riesgo para los derechos y libertades de los interesados.
- Debido a estas circunstancias, se requiere la notificación de la AC, también es necesaria la notificación de los interesados afectados, y por supuesto documentar la brecha.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
CASO 12: Archivos en papel sustraídos con datos sensibles
Un libro de registro en papel fue robado de un centro de rehabilitación de adicciones a las drogas. El libro contenía datos básicos identificativos y relativos a la salud de los pacientes ingresados en el centro. Los datos solo se almacenaron en papel y los médicos que trataban a los pacientes no disponían de una copia de seguridad. El libro no estaba guardado en un cajón o habitación bajo llave, el responsable del tratamiento no tenía un sistema de control de acceso ni ninguna otra medida de salvaguardia para la documentación en papel. |
Caso 12. Medidas previas y evaluación de riesgos
- El responsable no tomó medidas de seguridad previas, por lo que los datos personales almacenados en este libro fueron fácilmente accesibles para la persona que los sustrajo. Además, la naturaleza de los datos personales almacenados en el libro hace que la falta de datos de respaldo sea un factor de riesgo muy serio.
- Este caso sirve como ejemplo de una violación de datos de alto riesgo. Debido a que no se tomaron las precauciones de seguridad adecuadas, se perdieron los datos relativos a la salud, considerados de categoría especial de conformidad con el artículo 9.1 del GDPR. Dado que en este caso se trataba de una categoría especial de datos personales, se incrementaron los riesgos potenciales para los interesados afectados, lo que también debe ser tenido en cuenta por el responsable del tratamiento que evalúe el riesgo[30].
- Esta violación se refiere a la confidencialidad, disponibilidad e integridad de los datos personales en cuestión. Como resultado de la violación, se rompe el secreto médico y terceros no autorizados pueden obtener acceso a la información médica privada de los pacientes, lo que puede tener un impacto severo en la vida personal del paciente. La brecha de disponibilidad también puede perturbar la continuidad del tratamiento de los pacientes. Dado que no se puede excluir la modificación / eliminación de partes del contenido del libro, la integridad de los datos personales también se ve comprometida.
Caso 12. Mitigación y obligaciones
- Durante la evaluación de las medidas de salvaguardia, también se debe considerar el tipo de activo de apoyo. Dado que el libro de registro del paciente era un documento físico, su protección debería haberse organizado de manera diferente a la de un dispositivo electrónico. La seudonimización de los nombres de los pacientes, el almacenamiento del libro en un local custodiado y en un cajón o habitación con llave, y un adecuado control de acceso con autenticación en el momento de acceder al mismo podrían haber evitado la violación de datos.
- La violación de datos descrita anteriormente puede afectar gravemente a los interesados afectados; de ahí que sea obligatoria la notificación de la AC y la comunicación del incidente a los interesados.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
Medidas organizativas y técnicas para prevenir / mitigar los impactos de la pérdida o robo de dispositivos
- Una combinación de las medidas mencionadas a continuación, aplicadas según las características únicas del caso, debería ayudar a reducir la posibilidad de que se repita una brecha similar.
- Medidas aconsejables:
(La lista de las siguientes medidas no es en modo alguno exclusiva ni exhaustiva. Más bien, el objetivo es brindar ideas de prevención y posibles soluciones. Cada actividad de procesamiento es diferente, por lo tanto, el controlador debe tomar la decisión sobre qué medidas se ajustan más a la situación dada.)
- Active el cifrado del dispositivo (como Bitlocker, Veracrypt o DM-Crypt).
- Use código de acceso / contraseña en todos los dispositivos. Cifre todos los dispositivos electrónicos móviles de una manera que requiera la entrada de una contraseña compleja para el descifrado.
- Utilice la autenticación multifactor.
- Encienda las funcionalidades de dispositivos altamente móviles que permitan ubicarlos en caso de pérdida o extravío.
- Utilice el software / aplicación MDM (Gestión de dispositivos móviles) y la localización. Utilice filtros antirreflejos. Cierre todos los dispositivos desatendidos.
- Si es posible y apropiado para el tratamiento de datos en cuestión, guarde los datos personales no en un dispositivo móvil, sino en un servidor central.
- Si la estación de trabajo está conectada a la LAN corporativa, realice una copia de seguridad automática de las carpetas de trabajo siempre que sea inevitable que los datos personales estén almacenados allí.
- Utilice una VPN segura (por ejemplo, que requiere una clave de autenticación de segundo factor separada para el establecimiento de una conexión segura) para conectar dispositivos móviles a servidores back-end.
- Proporcione cerraduras físicas a los empleados para que puedan asegurar físicamente los dispositivos móviles que utilizan mientras permanecen desatendidos.
- Regulación adecuada del uso de dispositivos fuera de la empresa.
- Regulación adecuada del uso de dispositivos dentro de la empresa.
- Utilice el software / aplicación MDM (Gestión de dispositivos móviles) y habilite la función de borrado remoto. Utilice la gestión de dispositivos centralizada con derechos mínimos para que los usuarios finales instalen software. Instale controles de acceso físico.
- Evite almacenar información confidencial en dispositivos móviles o discos duros. Si es necesario acceder al sistema interno de la empresa, se deben utilizar canales seguros como se indicó anteriormente.
6. CORREO
- La fuente de riesgo es un error humano interno también en este caso, pero aquí ninguna acción maliciosa condujo a la brecha. Es el resultado de la falta de atención. El responsable del tratamiento puede hacer poco después de que haya ocurrido, por lo que la prevención es incluso más importante en estos casos que en otros tipos de incidentes.
CASO 13: Error de correo postal manual
Una empresa minorista empaquetó para su envío dos pedidos de zapatos. Debido a un error humano, se mezclaron dos facturas con el resultado de que tanto los productos como las correspondientes facturas se enviaron a la persona equivocada. Esto significa que los dos clientes recibieron los pedidos del otro, incluidas las facturas que contienen los datos personales. Después de tener conocimiento de la violación, el responsable recuperó los pedidos y los envió a los destinatarios correctos. |
Caso 13. Medidas previas y evaluación de riesgos
- Las facturas contenían los datos personales necesarios para una entrega correcta (nombre, dirección, más el artículo comprado y su precio). Es importante identificar cómo pudo haber ocurrido el error humano en primer lugar y, si de alguna manera, podría haberse evitado. En este caso particular, el riesgo es bajo, ya que no se involucraron categorías especiales de datos personales u otros datos cuyo uso podría conducir a efectos negativos sustanciales, la violación no es el resultado de un error sistemático por parte del responsable y solo dos personas están afectadas. No se pudo identificar ningún efecto negativo en las personas.
Caso 13. Mitigación y obligaciones
- El responsable del tratamiento debe prever la devolución gratuita de los artículos y las facturas adjuntas, y también debe solicitar a los destinatarios incorrectos que destruyan / eliminen todas las copias eventuales de las facturas que contengan los datos personales de la otra persona.
- Incluso si la violación en sí misma no representa un alto riesgo para los derechos y libertades de las personas afectadas y, por lo tanto, la comunicación a los interesados no es una obligación conforme al artículo 34 del GDPR, la comunicación de la violación a ellos no puede evitarse, ya que su cooperación es necesaria para mitigar el riesgo.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 14: Datos personales altamente confidenciales enviados por correo electrónico por error
El departamento de empleo de una oficina de la administración pública envió un mensaje de correo electrónico sobre las próximas capacitaciones a las personas registradas en su sistema como solicitantes de empleo. Por error, se adjuntó a este correo electrónico un documento que contenía todos los datos personales de estos solicitantes de empleo (nombre, dirección de correo electrónico, dirección postal, número de seguridad social social). El número de afectados supera los 60000. Posteriormente la oficina se puso en contacto con todos los destinatarios y les pidió que borraran el mensaje anterior y no utilizaran la información contenida en él. |
Caso 14. Medidas previas y evaluación de riesgos
- Deberían haberse implementado reglas más estrictas para enviar tales mensajes. Es necesario considerar la introducción de mecanismos de control adicionales.
- El número de personas afectadas es considerable y la inclusión de su número de seguridad social, junto con otros datos personales más básicos, aumenta aún más el riesgo, que puede identificarse como alto[31]. La eventual difusión de los datos por cualquiera de los destinatarios no puede ser controlada por el responsable del tratamiento.
Caso 14. Mitigación y obligaciones
- Como se mencionó anteriormente, los medios para mitigar eficazmente los riesgos de una brecha similar son limitados. Si bien el responsable del tratamiento solicitó la supresión del mensaje, no puede obligar a los destinatarios a hacerlo y, en consecuencia, tampoco puede tener certeza de que cumplan con la solicitud.
- La ejecución de las tres acciones indicadas a continuación debería ser evidente en un caso como este.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
CASO 15: Datos personales enviados por correo por error
Una lista de los participantes de un curso de inglés legal que se lleva a cabo en un hotel durante 5 días se envía por error a 15 antiguos participantes del curso en lugar del hotel. La lista contiene nombres, direcciones de correo electrónico y preferencias alimentarias de los 15 participantes. Solo dos participantes han completado sus preferencias alimentarias, indicando que son intolerantes a la lactosa. Ninguno de los participantes tiene una identidad protegida. El responsable descubre el error inmediatamente después de enviar la lista e informa a los destinatarios del error y les pide que eliminen la lista. |
Caso 15. Medidas previas y evaluación de riesgos
- Deberían haberse implementado reglas estrictas para el envío de mensajes que contienen datos personales. Es necesario considerar la introducción de mecanismos de control adicionales.
- Los riesgos derivados de la naturaleza, la sensibilidad, el volumen y el contexto de los datos personales son bajos. Los datos personales incluyen datos sensibles sobre las preferencias alimentarias de dos de los participantes. Incluso si la información de que alguien es intolerante a la lactosa son datos de salud, el riesgo de que estos datos se utilicen de manera perjudicial debe considerarse relativamente bajo. Si bien en el caso de los datos relacionados con la salud, generalmente se asume que es probable que la brecha genere un alto riesgo para el interesado[32], en este caso particular, no se puede identificar ningún riesgo de que la brecha dé lugar a daños físicos, materiales o morales del interesado debido a la divulgación no autorizada de información sobre intolerancia a la lactosa. A diferencia de otras preferencias alimentarias, la intolerancia a la lactosa normalmente no se puede vincular a ninguna creencia religiosa o filosófica. La cantidad de datos y el número de interesados afectados también es muy bajo.
Caso 15. Mitigación y obligaciones
- En resumen, se puede afirmar que la violación no tuvo un efecto significativo en los interesados. El hecho de que el responsable del tratamiento se pusiera en contacto inmediatamente con los destinatarios después de tener conocimiento del error puede considerarse un factor atenuante.
- Si se envía un correo electrónico a un destinatario incorrecto / no autorizado, se recomienda que el controlador de datos envíe en CCO un correo electrónico de seguimiento a los destinatarios no deseados disculpándose, indicando que se debe eliminar el correo electrónico ofensivo y advirtiendo a los destinatarios que no tienen el derecho a seguir utilizando las direcciones de correo electrónico identificadas.
- Debido a estos hechos, era poco probable que esta violación de datos tuviera como resultado un riesgo para los derechos y libertades de los interesados, por lo que no era necesaria ninguna notificación a la AC ni a los interesados en cuestión. Sin embargo, esta violación de datos también debe documentarse de conformidad con el artículo 33, apartado 5.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
X |
X |
CASO 16: Error de correo postal automatizado
Un grupo de seguros ofrece seguros de automóviles. Para ello, envía por correo postal las políticas de cotización ajustadas periódicamente. Además del nombre y la dirección del titular de la póliza, la carta contiene el número de registro del vehículo sin dígitos enmascarados, las tarifas de seguro del año de seguro actual y siguiente, el kilometraje anual aproximado y la fecha de nacimiento del titular de la póliza. No se incluyen datos de salud (artículo 9 del RGPD), datos de pago (datos bancarios), datos económicos y financieros.
Las cartas se preparan mediante ensobradoras automáticas. Debido a un error mecánico, se insertan dos cartas para diferentes asegurados en un sobre y se envían a un asegurado por correo postal. El asegurado abre la carta en casa y accede a la información contenida en su carta entregada correctamente, así como a la carta entregada incorrectamente de otro asegurado.
|
Caso 16. Medidas previas y evaluación de riesgos
- La carta entregada incorrectamente contiene el nombre, la dirección, la fecha de nacimiento, el número de matrícula del vehículo desenmascarado y la clasificación de la tasa de seguro del año actual y del próximo. Los efectos sobre la persona afectada deben considerarse medios, ya que la información no disponible públicamente como la fecha de nacimiento, los números de registro del vehículo en claro, y los detalles sobre el incremento en las tarifas del seguro se divulgan al destinatario no autorizado. La probabilidad de uso indebido de estos datos se estima entre baja y media. Sin embargo, aunque muchos destinatarios probablemente tirarán la carta recibida incorrectamente a la basura, en casos individuales no se puede descartar por completo que la carta se publique en las redes sociales o que se contacte al asegurado.
Caso 16. Mitigación y obligaciones
- El responsable del tratamiento debe hacer que se le devuelva el documento original. También se debe informar al destinatario equivocado de que no puede hacer un mal uso de la información accedida indebidamente.
- Probablemente nunca será posible evitar por completo un error de entrega postal en un envío masivo utilizando máquinas totalmente automatizadas. Sin embargo, en el caso de una mayor frecuencia, es necesario verificar si las máquinas de ensobrar están configuradas y mantenidas correctamente, o si algún otro problema sistemático conduce a tal incidente.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
X |
Medidas organizativas y técnicas para prevenir / mitigar los impactos de la publicación incorrecta
- Una combinación de las medidas mencionadas a continuación, aplicadas según las características únicas del caso, debería ayudar a reducir la posibilidad de que se repita una brecha similar.
- Medidas aconsejables:
(La lista de las siguientes medidas no es en modo alguno exclusiva ni exhaustiva. Más bien, el objetivo es brindar ideas de prevención y posibles soluciones. Cada actividad de procesamiento es diferente, por lo tanto, el controlador debe tomar la decisión sobre qué medidas se ajustan más a la situación dada.)
- Estableciendo estándares exactos, sin espacio para la interpretación, para el envío de cartas / correos electrónicos.
- Capacitación adecuada del personal sobre cómo enviar cartas / correos electrónicos.
- Al enviar correos electrónicos a varios destinatarios, se enumeran en el campo "Cco" de forma predeterminada. Se requiere una confirmación adicional cuando se envían correos electrónicos a varios destinatarios, y no se enumeran en el campo "Cco".
- Aplicación del principio de los cuatro ojos.
- Direccionamiento automático en lugar de manual, con datos extraídos de una base de datos disponible y actualizada; el sistema de direccionamiento automático debe revisarse periódicamente para comprobar si hay errores ocultos y configuraciones incorrectas.
- Aplicación de la demora del mensaje (por ejemplo, el mensaje se puede eliminar / editar dentro de un período de tiempo determinado después de hacer clic en el botón de enviar).
- Deshabilitar la función de autocompletar al escribir direcciones de correo electrónico.
- Sesiones de concienciación sobre los errores más comunes que conducen a una violación de la seguridad de los datos personales.
- Sesiones de capacitación y manuales sobre cómo gestionar los incidentes que conducen a una violación de la seguridad de los datos personales y a quién informar (involucrar al DPO).
7. OTROS CASOS - INGENIERÍA SOCIAL
CASO 17: Suplantación de identidad
El centro de contacto de una empresa de telecomunicaciones recibe una llamada telefónica de alguien que se hace pasar por cliente. El supuesto cliente exige a la empresa que cambie la dirección de correo electrónico a la que debe enviarse la información de facturación. El trabajador del contact center valida la identidad del cliente solicitando determinados datos personales, tal como lo definen los procedimientos de la empresa. La persona que llama indica correctamente el número de identificación fiscal y la dirección postal del cliente solicitado (porque tuvo acceso a estos elementos).
Tras la validación, el operador realiza el cambio solicitado y, a partir de ahí, se envía la información de facturación a la nueva dirección de correo electrónico. El procedimiento no prevé ninguna notificación al antiguo contacto de correo electrónico. Al mes siguiente, el cliente legítimo contacta con la empresa, preguntando por qué no está recibiendo facturación a su dirección de correo electrónico, y niega cualquier llamada suya exigiendo el cambio del contacto de correo electrónico. Posteriormente, la empresa se da cuenta de que la información ha sido enviada a un usuario ilegítimo y revierte el cambio.
|
Caso 17. Evaluación de riesgos, mitigación y obligaciones
- Este caso sirve como ejemplo de la importancia de las medidas anteriores. La brecha, desde el punto de vista del riesgo, presenta un alto nivel de riesgo[33], ya que los datos de facturación pueden brindar información sobre la vida privada del interesado (por ejemplo, hábitos, contactos) y podrían provocar daños materiales (por ejemplo, acecho, riesgo para la integridad física). Los datos personales obtenidos durante este ataque también se pueden utilizar para facilitar la toma de control de la cuenta en esta organización o explotar otras medidas de autenticación en otras organizaciones. Teniendo en cuenta estos riesgos, la medida de autenticación "apropiada" debe cumplir con un nivel alto y robusto, dependiendo de qué datos personales se puedan tratar como resultado de la autenticación.
- Como resultado, se necesitan tanto una notificación a la AC como una comunicación al interesado por parte del responsable del tratamiento.
- Es evidente que el proceso de validación anterior del cliente debe perfeccionarse a la luz de este caso. Los métodos utilizados para la autenticación no fueron suficientes. El delincuente pudo hacerse pasar por el usuario previsto mediante el uso de información públicamente disponible e información a la que de otro modo tenía acceso.
- No se recomienda el uso de este tipo de autenticación estática basada en el conocimiento (donde la respuesta no cambia y donde la información no es “secreta” como sería el caso de una contraseña).
- En cambio, la organización debe utilizar una forma de autenticación que dé como resultado un alto grado de confianza en que el usuario autenticado es la persona prevista y no nadie más. La introducción de un método de autenticación de múltiples factores resolvería el problema, por ejemplo, para verificar la demanda de cambio, enviando una solicitud de confirmación al contacto anterior; o agregar preguntas adicionales y requerir información solo visible en las facturas anteriores. Es responsabilidad del responsable del tratamiento decidir qué medidas introducir, ya que conoce mejor los detalles y requisitos de su funcionamiento interno.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
CASO 18: Exfiltración de correos electrónicos
Una cadena de hipermercados detectó, 3 meses después de su configuración, que se habían alterado algunas cuentas de correo electrónico y se habían creado reglas para que cada correo que contenga ciertas expresiones (por ejemplo, "factura", "pago", "transferencia bancaria", "autenticación de tarjeta de crédito", " detalles de la cuenta bancaria”) se moverían a una carpeta no utilizada y también se reenviarían a una dirección de correo electrónico externa. Además, en ese momento, ya se había realizado un ataque de ingeniería social, es decir, el atacante, haciéndose pasar por un proveedor, había modificado los datos de la cuenta bancaria del proveedor por los suyos. Finalmente, en ese momento, se habían enviado varias facturas falsas que incluían el detalle de la nueva cuenta bancaria. El sistema de seguimiento de la plataforma de correo electrónico terminó dando una alerta sobre las carpetas. Para empezar, la compañía no pudo detectar cómo el atacante pudo obtener acceso a las cuentas de correo electrónico.
Debido al reenvío de correos electrónicos basado en palabras clave, el atacante recibió información sobre 99 empleados: nombre y salario de un mes en particular con respecto a 89 interesados; nombre, estado civil, número de hijos, salario, horas de trabajo y restante información sobre el recibo de salario de 10 empleados cuyos contratos fueron rescindidos. El controlador solo notificó a los 10 empleados pertenecientes a este último grupo.
|
Caso 18. Evaluación de riesgos, mitigación y obligaciones
- Incluso si el atacante probablemente no tenía como objetivo recopilar datos personales, ya que la brecha podría provocar daños materiales (por ejemplo, pérdidas financieras) y daños morales (por ejemplo, robo de identidad o fraude), o los datos podrían utilizarse para facilitar otros ataques (por ejemplo, phishing), es probable que la violación de los datos personales genere un alto riesgo para los derechos y libertades de las personas físicas. Por lo tanto, el incidente debe comunicarse a los 99 empleados y no solo a los 10 empleados cuya información salarial se filtró.
- Después de tener conocimiento de la violación, el responsable forzó un cambio de contraseña para las cuentas comprometidas, bloqueó el envío de correos electrónicos a la cuenta de correo electrónico del atacante, notificó al proveedor de servicios del correo electrónico utilizado por el atacante con respecto a sus acciones, eliminó el conjunto de reglas. por el atacante y refinó las alertas del sistema de monitoreo para dar una alerta tan pronto como se cree una regla automática. Alternativamente, el responsable podría eliminar el derecho de los usuarios a establecer reglas de reenvío, necesitando que el equipo de servicio de TI lo haga solo a solicitud o podría introducir una política de que los usuarios deben verificar e informar sobre las reglas establecidas en sus cuentas una vez por semana o más a menudo, en áreas que manejan datos financieros.
- El hecho de que una brecha pudiera ocurrir y pasar desapercibida durante tanto tiempo y el hecho de que, en un tiempo más prolongado, la ingeniería social podría haberse utilizado para alterar más datos, puso de relieve problemas importantes en el control del tratamiento del Sistema de seguridad de TI. Estos deben abordarse sin demora, como enfatizar las revisiones de automatización y los controles de cambio, la detección de incidentes y las medidas de respuesta. Los responsables del tratamiento de datos confidenciales, información financiera, etc. tienen una mayor responsabilidad en cuanto a proporcionar una seguridad de datos adecuada.
Acciones necesarias en función de los riesgos identificados |
Documentación interna |
Notificación a AC |
Comunicación a los interesados |
- |
- |
- |
[1] Las referencias a los “Estados miembros” que se hacen a lo largo del documento deben entenderse como referencias a los “Estados miembros del EEE”.
[2] 2 COM (2020) 264 final, 24 de junio de 2020.
[3] 3 G29 WP250 rev.1, 6 de febrero de 2018, Directrices sobre notificación de violación de datos personales según el Reglamento 2016/679 - respaldado por el EDPB, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052 .
[4] G29 WP213, 25 de marzo de 2014, Opinión 03/2014 sobre Notificación de violación de datos personales, p. 5, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/index_en.htm#maincontentSec4
[5] Directrices WP 250, pág. 7. - Debe tenerse en cuenta que una violación de datos puede afectar a una o más categorías de forma simultánea o combinada.
[6] Artículo 33.5 del GDPR.
[7] Artículo 33.1 del GDPR.
[8] Artículo 34.1 del GDPR.
[9] Artículo 33.4 del GDPR
[10] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", consulte el documento del Grupo de trabajo A. 29 "Directrices sobre la evaluación del impacto de la protección de datos (DPIA) y determinar si el tratamiento es" probable que dé lugar a un alto riesgo "a los efectos del Reglamento 2016/679 ”, WP248 rev. 01, - avalado por EDPB,, https://ec.europa.eu/newsroom/article29/items/611236 , pag.. 9.
[11] Técnicamente, el cifrado de datos implicará "acceso" a los datos originales y, en el caso del ransomware, la eliminación del original; es necesario acceder a los datos mediante un código de ransomware para cifrarlos y eliminar los datos originales. Un atacante puede tomar una copia del original antes de eliminarlo, pero los datos personales no siempre se extraerán. A medida que avanza la investigación de un responsable del tratamiento, es posible que salga a la luz nueva información para hacer que esta evaluación cambie. El acceso que resulte en la destrucción ilegal, pérdida, alteración, divulgación no autorizada de los datos personales o en un riesgo de seguridad para un interesado, incluso sin interpretación de los datos, puede ser tan severo como el acceso con interpretación de los datos personales.
[12] Los procedimientos de respaldo deben ser estructurados, consistentes y repetibles. Ejemplos de procedimientos de respaldo son el método 3-2-1 y el método abuelo-padre-hijo. Siempre se debe probar la efectividad de cualquier método en la cobertura y cuando se deben restaurar los datos. Las pruebas también deben repetirse a intervalos y especialmente cuando ocurren cambios en la operación de tratamiento o sus circunstancias para asegurar la integridad del sistema.
[13] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10.
[14] Esto dependerá de la complejidad y estructura de los datos personales. En los escenarios más complejos, restablecer la integridad de los datos, la coherencia con los metadatos, garantizar las relaciones correctas dentro de las estructuras de datos y verificar la precisión de los datos puede requerir recursos y esfuerzos considerables.
[15] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10.
[16] El considerando 86 del GDPR explica que “Dichas comunicaciones a los interesados deben realizarse tan pronto como sea razonablemente posible y en estrecha cooperación con la autoridad de control, respetando las orientaciones proporcionadas por ella o por otras autoridades pertinentes, como las autoridades policiales. Por ejemplo, la necesidad de mitigar un riesgo inmediato de daño requeriría una comunicación rápida con los interesados, mientras que la necesidad de implementar medidas adecuadas contra violaciones de datos personales similares o continuas puede justificar más tiempo para la comunicación.”.
[17] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[18] Escapar o desinfectar las entradas del usuario es una forma de validación de entrada, que garantiza que solo se ingresen datos formateados correctamente en un sistema de información.
[19] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[20] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[21] Como información de los interesados referida a métodos de pago como números de tarjeta, cuentas bancarias, pago online, nóminas, extractos bancarios, estudios económicos o cualquier otra información que pueda revelar información económica de los interesados.
[22] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[23] Para el desarrollo seguro de aplicaciones web, consulte también: https://www.owasp.org/index.php/Main_Page.
[24] http://globalprivacyassembly.org/wp-content/uploads/2019/10/AOIC-Resolution-FINAL-ADOPTED.pdf
[25] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[26] Sección 2) subsección (i) de la Resolución para abordar el papel del error humano en las violaciones de datos personales.
[27] Sección 2) subsección (iii) de la Resolución para abordar el papel del error humano en las violaciones de datos personales.
[28] Sección 2) subsección (iii) de la Resolución para abordar el papel del error humano en las violaciones de datos personales.
[29] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[30] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[31] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10
[32] Consulte las Directrices WP 250, pág. 23.
[33] Para obtener orientación sobre las operaciones de tratamiento "que probablemente den lugar a un alto riesgo", véase la nota a pie de página 10