España exculpa por primera vez a una compañía por sufrir un ciberataque

La Agencia Española de Protección de Datos (AEPD) ha eximido por primera vez desde la aprobación del Reglamento General de protección de Datos (RGPD) a una empresa por sufrir un ciberataque. Un incidente pudo afectar a más de un millón de personas.

En una decisión histórica, el organismo encargado de preservar la privacidad y los datos de los españoles ha eximido de toda culpa a PromoPharma, empresa dedicada a la venta de fármacos por internet que sufrió una brecha de seguridad que afectó a los datos de sus clientes.

La empresa fue quien notificó a la Agencia Española de Protección de Datos el incidente, que en un principio se estimó que podría haber afectado hasta a 2,6 millones de usuarios, si bien las investigaciones de la AEPD y la propia Promofarma redujeron esta cifra a la mitad, concretamente a 1,3 millones de clientes.

La AEPD ha tomado una decisión histórica al eliminar cualquier responsabilidad sobre Proframa respecto a este incidente. Desde la aprobación del RGPD, nunca antes se había producido una decisión así en el seno de Protección de Datos.

La base de datos de los clientes de Promofarma fue vendida en la Deep Web (Internet Profunda)

"Es la primera resolución que entra a fondo en una brecha de seguridad conforme a la nueva normativa. Viene a introducir los primeros criterios oficiales sobre cómo considerar que una compañía ha sido diligente a la hora de implantar medidas de seguridad y abordar el ataque. Demuestra cómo a pesar de ser una fuga de un gran volumen de datos, la resolución archiva la causa porque se ha acreditado que la empresa llevó a cabo procedimientos de seguridad adecuados y actuó de forma diligente. La resolución establece de esta manera una forma de actuar y unas medidas de seguridad que serán bien vistas por la AEPD si se repite el caso", Alonso Hurtado, socio de IT de Ecija Abogados.

Los hechos

El 6 de agosto del año pasado Promofarma conoció supo por un medio de comunicación especializado que una de sus bases de datos había sido robada y vendida ilegalmente en el mercado negro de internet, conocido como la Deep Web (Internet Profunda). En ese mismo momento puso en marcha un protocolo de vulneración de seguridad basándose en la Guía para la gestión y notificación de brechas de seguridad de la AEPD.

Tres días después alertó a las autoridades competentes del hecho y comenzaron las investigaciones. Ese mismo día se procedió al reseteo de las contraseñas de todos los usuarios registrados en Promofarma. Las pesquisas dieron como resultado que se habían filtrado datos de clientes como el teléfono, dirección de correo electrónico, dirección postal y las contraseñas utilizadas para acceder a la web.

Protección de Datos valoró para archivar el caso, entre otras cosas, el hecho de que "Promofarma disponía de medidas técnicas y organizativas para afrontar un incidente como el ahora analizado y en especial el cifrado y encriptado de contraseñas, lo que ha permitido la detección, análisis y clasificación de la brecha de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, comunicar y minimizar el impacto e implementar las medias razonables oportunas para evitar que se repita en el futuro a través de la puesta en marcha de un plan de actuación previamente definido por las figuras implicadas del responsable del tratamiento".