Recientemente, la Agencia Española de Protección de Datos (AEPD) ha dictado una resolución de especial interés en materia de seguridad y distinción de roles en el tratamiento de datos personales.
Concretamente, ha impuesto una multa de 500.000 euros, reducida a 300.000 euros por reconocimiento de responsabilidad y pago voluntario, a la entidad KONECTA BTO, S.L. (KONECTA). La resolución resulta de especial interés no sólo por la cuantía de la sanción, sino por la forma en la que autoridad recalifica el rol asumido por la entidad a efectos sancionadores.
El origen del procedimiento se sitúa en un incidente de seguridad con afectación a los sistemas de dos compañías energéticas pertenecientes a un mismo grupo empresarial.Este grupo empresarial tenía externalizados los servicios de call center con un grupo especializado en la prestación de servicios Multicanal de Contact Center llamado KONECTA. El acceso ilícito a los sistemas de las compañías energéticas se realizó a través de credenciales comprometidas de dos empleados de una subcontrata chilena del propio grupo KONECTA permitiendo el acceso no autorizado a sus sistemas y la exfiltración de un número masivo de datos personales de clientes, incluyendo datos identificativos y de contacto de los mismos.
Curiosamente, el incidente no fue detectado por KONECTA, sino por el centro de operaciones de seguridad de una de las empresas afectadas, al identificar un volumen anómalo de accesos a su CRM.
Una vez identificado el incidente, ambas compañías energéticas, en su condición de responsables del tratamiento, notificaron la brecha de datos personales a la AEPD. De forma paralela, y reforzando la gravedad del incidente, la AEPD recibió varias reclamaciones individuales de clientes afectados, que habían sido informados por las compañías energéticas de la existencia de la brecha.
La AEPD inició un procedimiento que concluye con una resolución cuyo aspecto más relevante es la aplicación del artículo 28.10 RGPD.
Aunque KONECTA actuaba formalmente como encargado del tratamiento de las dos empresas afectadas por el incidente de seguridad, la AEPD la considera responsable porque (i) incumple las instrucciones de seguridad incluidas en los contratos suscritospor las empresas responsables del tratamiento, determinando por sí misma los medios del tratamiento y (ii) no ha actuado bajo el estándar mínimo de diligencia exigible en su sector.
La AEPD destaca deficiencias graves en las medidas técnicas y organizativas de KONECTA, en un contexto de acceso remoto y tratamiento intensivo de datos.
Entre ellas destacan la ausencia de doble factor de autenticación, la inexistencia de mecanismos eficaces de monitorización y detección de incidentes, así como deficiencias el registro, trazabilidad y respuesta temprana a los mismos. La AEPD hace énfasis en estos riesgos al considerar que los mismos eran previsibles tratándose de una entidad dedicada a los servicios de atención al cliente. Por ello, la AEPD concluye que KONECTA debe ser considerada responsable del tratamiento respecto de la infracción, y la sanciona como tal por vulnerar el principio de integridad y confidencialidad (art. 5.1.f RGPD).
La resolución refuerza así una idea clave: el responsable del tratamiento no responde automáticamente por cualquier brecha sufrida por su encargado si ha actuado con diligencia, ha impuesto medidas adecuadas y ha reaccionado correctamente ante el incidente.