Si tienes un incidente de seguridad, lo pagas. Aunque tengas medidas de seguridad, aunque se demuestre que son efectivas, aunque quede demostrado que el incidente se debe a que una persona concreta ha incumplido la normativa de seguridad establecida... la organización es la culpable. Al menos, en lo referente a la LOPD, según se deduce de una sentencia de la AEPD que he conocido a través de uno de los últimos post de Samuel Parra.
La clave, según parece, es que la vulneración del deber de secreto es una infracción de resultado, es decir, que lo relevante es el resultado del incidente, la vulneración de la confidencialidad, independientemente de los medios dispuestos por la organización para evitar que se produzcan los incidentes. Estos medios permitirán "modular" la sanción, pero siempre dentro del rango que le corresponde, que en este caso es el de "muy grave". Si estuviesemos ante una empresa privada, por mucho SGSI que pudiera tener la empresa, o por muy eficaces que pudieran ser las medidas de seguridad existentes, esa fuga de información llevada a cabo por un empleado concreto le hubiera supuesto pagar como mínimo 300 000 €. Y la verdad es que no me parece justo. Si queda probado que el incidente de seguridad se debe a la responsabilidad personal de un usuario que ha violado, intencionada y conscientemente, las medidas de seguridad dispuestas por la organización, creo que la sanción no es justa. Desde mi punto de vista, esa situación debería poder permitir que la sanción asociada tuviese distinta graduación. De acuerdo con estas consideraciones, la verdad es que la reforma de la LOPD que proponía CiU como enmienda a la famosa Ley Sinde tenía buena pinta. Al menos, tenía en consideración estos aspectos...
Con este artículo tampoco quiero dar la impresión de que las organizaciones no se deben responsabilizar de sus incidentes de seguridad. De hecho, creo que debería ser todo lo contrario, y que deberíamos fijarnos un poco más en nuestros "vecinos" estadounidenses a la hora de asumir responsabilidades por las consecuencias de los incidentes de seguridad sufridos. Pero también creo que esa asunción de responsabilidades debe tener un límite, que debería ser precisamente esa frontera entre la responsabilidad de la organización y la responsabilidad personal de cada uno de sus miembros.
ACTUALIZACIÓN: Por lo que he podido saber, parece que la reforma de la LOPD de la que hablaba ha sido aprobada como la disposición adicional quincuagésimo octava de la Ley de Economía Sostenible.
No hay comentarios:
Publicar un comentario