¿Son los ataques a servidores de correo = incidentes de protección de datos notificables?

A principios de marzo de 2021, Microsoft anunció que Microsoft Exchange tenía vulnerabilidades de seguridad. Microsoft Exchange es un producto de servidor de correo que se utiliza millones de veces en todo el mundo, por lo que se trataba de una amenaza para los servidores que se utilizan millones de veces y a los que se puede acceder desde Internet, que a menudo ya estaban infectados / atacados activamente por esta vulnerabilidad.

Aunque Microsoft proporcionó rápidamente actualizaciones de seguridad que podían instalar los afectados y también un script de comprobación para Exchange Server con el que los afectados podían comprobar si sus servidores habían sido pirateados, ya era demasiado tarde para algunos de los afectados: numerosas empresas fueron víctimas de un ataque de piratas informáticos.

Para las empresas afectadas, se plantea ahora la cuestión de saber cuándo existe un incidente de protección de datos notificable y a qué obligaciones de información están entonces sujetas y si existe tal incidente en el caso concreto de Microsoft Exchange.

¿Cuándo se produce un incidente de protección de datos notificable?

El momento en que un incidente de protección de datos está sujeto a notificación se regula en el artículo 33 del RGPD. En consecuencia, existe una obligación de notificación "en caso de violación de los datos personales [...] a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y libertades de las personas físicas".

Por tanto, la primera pregunta es cuándo existe realmente una "violación de datos personales". El artículo 4 nº 12 del RGPD ofrece una definición. Según ésta, una violación de datos personales es "una violación de la seguridad que provoque la destrucción, pérdida o alteración, [...] o la comunicación o acceso no autorizados a datos personales [...]".

Según el artículo 4 nº 1 del RGPD, los datos personales son toda información relativa a personas físicas identificadas o identificables.

Según el artículo 4 nº 12 del RGPD, se produce una violación de la seguridad de estos datos si se destruyen, pierden, alteran, divulgan sin autorización o se hacen accesibles sin autorización. Por lo tanto, esto incluye, en primer lugar, todos los percances y fugas de datos. También se incluyen los problemas técnicos y las caídas del sistema con sus correspondientes consecuencias, así como los ataques de piratas informáticos y el robo de datos.

Para obtener una mejor visión de conjunto de los incidentes notificables, existen posibilidades de información en los distintos Estados federales a través de las autoridades de supervisión. Además, la Directriz del Consejo Europeo de Protección de Datos de 19.01.2021 ofrece muchos ejemplos y una buena visión de conjunto.

¿Cuáles son los requisitos de información?

Si se produce un incidente de protección de datos notificable, la siguiente pregunta que se hacen las empresas afectadas es: ¿A quién hay que informar?

En primer lugar, existe la obligación de notificarlo a la autoridad de control competente de conformidad con el artículo 33 de la DSGVO.

Además, sin embargo, los interesados, como clientes o empleados, también deben ser notificados individualmente si se supone que existe un alto riesgo para los derechos y libertades personales de las personas físicas (Art. 34 I GDPR). Suele ser el caso excepcional y se produce cuando cabe esperar consecuencias o perjuicios graves para el interesado (por ejemplo, usurpación de identidad o violación de la confidencialidad del secreto profesional). El hecho de que las personas afectadas deban ser notificadas individualmente es especialmente cierto en el caso de la pérdida de datos bancarios o de datos de pacientes. Sin embargo, el caso individual siempre es decisivo y siempre debe consultarse al responsable de la protección de datos.

¿Existe un incidente de protección de datos notificable en el caso de Microsoft Exchange?

No está claro si se trata de un incidente denunciable. Mientras que la autoridad supervisora de Hamburgo afirma que la obligación de informar sólo existe si se ha demostrado realmente que se han filtrado datos, la autoridad supervisora de Baden-Württemberg afirma que existe una obligación general de informar y las autoridades supervisoras de Baja Sajonia y Baviera afirman que incluso la instalación tardía de actualizaciones de Microsoft da lugar a una obligación de informar.

Por lo tanto, las empresas que descubran que se han visto afectadas deben informar de ello inmediatamente a la autoridad supervisora. Si, por el contrario, no se ha podido detectar ninguna fuga de datos, probablemente no sea necesario un informe, pero siempre debe ser evaluado por expertos caso por caso. En cualquier caso, todas las incidencias y medidas deben documentarse y los sistemas informáticos deben ser revisados periódicamente por expertos.

El asesoramiento y la ayuda profesional son esenciales en este caso.