Seguridad, fugas de datos y ransomware: ataques que deben tomarse en serio.

Vigilancia Legal No. 32 – Febrero de 2021

Seguridad, fugas de datos y ransomware: ataques que deben tomarse en serio. La prensa se hizo eco a finales de febrero de una Fuga masiva de datos en el sector médico.

Información sensible sobre más de 500.000 personas, incluidos tipos de sangre y números de seguridad social, fue vendida en un foro especializado antes de ser publicada libremente en Internet.

En esta lista de datos también se incluyen los nombres de usuario y contraseñas que permitieron a estos pacientes conectarse a los centros médicos y laboratorios de análisis afectados por la fuga de datos.

Se ha abierto una investigación judicial y tanto la ANSSI como la CNIL se han hecho cargo del caso.

La gravedad de la violación de datos radica tanto en el número de personas afectadas como en la naturaleza sensible de los datos.

Esta es una oportunidad para hacer un balance de las medidas que debemos adoptar para responder a estos ataques y, sobre todo, para protegernos de ellos con antelación.

La CNIL, la ANSSI y el Ministerio de Justicia han publicado varias guías para ayudar a los responsables del tratamiento de datos a protegerse de estas violaciones de seguridad., ya sea un fallo interno o un ataque de ransomware.

Las recomendaciones publicadas en particular por la CNIL enumeran las diferentes etapas de la gestión de la seguridad del tratamiento de datos.

En esencia, conviene:

• Identificar el tratamiento de datos y sus soportes (hardware, software, canales de comunicación, soportes papel):

• Evaluar los riesgos generados por cada tratamiento e identificar los posibles impactos en los derechos y libertades de las personas interesadas, en caso de acceso ilegítimo a los datos, modificación no deseada de los mismos o desaparición de los mismos.

Cuando se procesan categorías especiales de datos, como datos de salud, el impacto de una violación de datos en los interesados es aún mayor.

Por lo tanto, este tipo de tratamiento requiere una evaluación de riesgos exhaustiva.

• Identificar fuentes de riesgo (fuentes humanas y no humanas).
• Analizar las amenazas factibles, es decir, los posibles eventos desencadenantes (por ejemplo, vandalismo, degradación por desgaste natural, unidad de almacenamiento llena, ataque de denegación de servicio).
• Identifique las medidas existentes o previstas para abordar cada riesgo (p. ej., copias de seguridad, cifrado). Las medidas deben ser proporcionales a los riesgos. Cuando los datos procesados sean sensibles, se debe garantizar un nivel de seguridad especialmente alto. Por lo tanto, debe prohibirse el almacenamiento de contraseñas en texto plano en los archivos del responsable del tratamiento: la información debe estar cifrada y se deben adoptar medidas de autenticación robusta.
• Evaluar la gravedad y probabilidad de los riesgos, a la luz de los elementos anteriores.

En caso de una violación de datos, se deben tomar inmediatamente las medidas adecuadas para detenerla y limitar el impacto en las personas afectadas.

El responsable también debe notificar la infracción a la CNIL dentro de las 72 horas siguientes a que tenga conocimiento de ella.

También tiene la obligación de informar individualmente a los interesados cuando la fuga de datos pueda suponer un alto riesgo para sus derechos y libertades.  Este es el caso cuando están en juego datos sensibles, como por ejemplo datos de salud.

En el contexto de la fuga masiva de datos ocurrida a finales de febrero, se requiere información de los afectados.

El daño puede ser extremadamente grave para los pacientes, cuya atención médica puede verse afectada, pero también para los responsables del tratamiento de datos, cuya reputación y su propio negocio están en juego.

La CNIL señala que el número de notificaciones de violaciones de datos aumentó en 24% en 2020, y que el número de violaciones relacionadas con ataques de cryptolockers en establecimientos de salud (hospitales, EPHAD, residencias de ancianos, laboratorios, etc.) se triplicó en un año.

Además, dos tercios de las sanciones impuestas por la CNIL se refieren a violaciones de las obligaciones en materia de seguridad de los datos, una tendencia que se refleja en toda Europa.

Y también

Francia:

La aplicación “tousanticovid” está evolucionando para integrar un sistema de alerta a los usuarios ante la posible reapertura de pabellones deportivos, restaurantes o salas de espectáculos. 

La CNIL, que recibió el proyecto de decreto, hizo una evaluación general positiva, aunque solicitó que el sistema de registro de visitas solo sea obligatorio en los lugares que presenten un riesgo elevado (medidas de barrera difíciles de implementar) y que no sea obligatorio en los lugares en los que la asistencia pueda revelar datos sensibles (como los lugares de culto).

Tras la publicación de su directrices sobre el uso de cookies El pasado mes de octubre, la CNIL recordó que el plazo de conformidad expiraba a finales de marzo.

Ha enviado una carta a doscientos entes públicos así como a los principales actores privados, subrayando en particular la necesidad de permitir al usuario aceptar o rechazar las cookies con el mismo grado de simplicidad (el botón "configurar" a menudo presente en los banners no responde a este requisito).

Europa:

• Bélgica: La Autoridad de Protección de Datos publica una guía detallada sobre Técnicas de limpieza de datos y destrucción de medios de datos, un reflejo que a menudo se descuida al deshacerse de una herramienta informática.

• Reino Unido: La Comisión Europea publica un proyecto de decisión considerando la nivel de protección garantizado por el Reino Unido al tratamiento de datos personales equivalente al de la Unión Europea.

Si el Comité Europeo de Protección de Datos y los representantes de los Estados miembros respaldan esta evaluación, las transferencias de datos al Reino Unido podrán continuar sin condiciones adicionales.

Cabe señalar también que el Supervisor Europeo de Protección de Datos emitió un dictamen el 22 de febrero en el que reiteró que, como derecho fundamental, la protección de datos no es negociable en el contexto de los acuerdos comerciales entre la Unión Europea y el Reino Unido.

• Europa – Privacidad electrónica Tras cuatro años de negociaciones, los Estados miembros de la UE han adoptado finalmente una posición común sobre la protección de las comunicaciones electrónicas.

Se espera que el Reglamento sobre privacidad electrónica actualice la directiva actual especificando, entre otras cosas, las reglas sobre la confidencialidad de las comunicaciones, la protección de metadatos y las reglas aplicables a las cookies y otros rastreadores.

El texto aún debe ser discutido en el Parlamento Europeo y su versión final entrará en vigor dos años después de su publicación.

• Europa – pasaporte sanitario :La Comisión Europea anunció el 1 de marzo que estaba preparando un proyecto de pasaporte común para los Estados miembros, que facilitaría la circulación de personas en el contexto actual de la pandemia.

Este pasaporte incluiría datos personales sobre vacunación, inmunidad adquirida o pruebas realizadas por el interesado.

La Comisión asegura que se adoptarán medidas para evitar cualquier discriminación o abuso relacionado con la privacidad de las personas afectadas.

Internacional :

ESTADOS UNIDOS : Después de California, unos diez estados estadounidenses están preparando una legislación sobre la protección de datos personales, incluidos el estado de Nueva York y el estado de Washington.

En términos generales, estas leyes otorgan derechos menos amplios a los usuarios que el RGPD y prefieren otorgarles el derecho a oponerse al procesamiento de sus datos en lugar de solicitar su consentimiento previo.

En cualquier caso, tienen el mérito de mejorar la transparencia del tratamiento de datos y de garantizar recursos a los consumidores estadounidenses.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.