En mi columna titulada “5 consejos legales para pymes que venden por internet” ya os mencionaba la importancia de utilizar medidas de seguridad en vuestras páginas web. En esta ocasión os traigo una resolución de la Agencia Española de Protección de Datos (en adelante AEPD), organismo encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal en España, donde sanciona con 1000 euros al titular de una web por utilizar un protocolo de seguridad “http//”, carente de un nivel mínimo de seguridad, entre otros motivos.

La historia comenzó cuando un usuario de esa web decidió denunciarla a la AEPD al detectar que carecía de medidas de seguridad para proteger los datos personales como HTTPS. La AEPD al acceder a la web constató que utilizaba un protocolo de seguridad “http”, posibilitando así, que otros usuarios pudiesen interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se transfiere de forma segura (encriptada).  

Por lo tanto, las actuaciones practicadas acreditaron que la web recopilaba datos personales de los usuarios utilizando un protocolo de seguridad carente de un nivel mínimo de seguridad, viéndose así vulnerado el artículo 32 del Reglamento General de Protección de Datos (en lo sucesivo RGPD) respecto de la política de seguridad. Lo anterior supuso una sanción económica de 1000 euros y un requerimiento al responsable de la web para que, en el plazo de un mes desde la notificación, tomase las medidas adecuadas para modificar la política de seguridad de su web mediante la instalación de protocolos de seguridad que garantizaran la transmisión de datos personales de forma segura entre el terminal del usuario y el servidor web. 

Llegados aquí, es normal que nos preguntemos por qué utilizar un protocolo carente de un nivel mínimo de seguridad vulnera el artículo 32.2 del RGPD. Pues bien, este precepto en su apartado segundo hace referencia a la seguridad del tratamiento y, aunque no diga nada expresamente sobre medidas de seguridad en páginas web, o sobre la aplicación de protocolos de comunicación segura, sí que nos dice que:

  • Es obligación del responsable del tratamiento aplicar medidas técnicas y organizativas suficientes para proteger los datos personales, en función del nivel de riesgo que su tratamiento soporte.
  • Entre otras medidas, debe valorar la posible necesidad de aplicar las comprendidas entre las letras a) y d), donde las más específicas son la seudonimización y el cifrado de los datos. Esto no quiere decir que sea obligatorio aplicar esas medidas, sino que debe valorarlas por ser especialmente óptimas, en términos generales, bajo el criterio del Reglamento.
  • A la hora de valorar el nivel de seguridad que debe alcanzar, el Responsable del tratamiento tendrá en cuenta especialmente, entre otros aspectos, la posibilidad del acceso no autorizado a los datos (art. 32.2 RGPD).

Por tanto, la interpretación que podemos hacer del mencionado apartado 2 del artículo 32 RGPD es que la AEPD ha considerado que es un riesgo evidente, y evitable, el que un tercero no autorizado pueda acceder a los datos que se comparten, en claro, con la página web en cuestión. Y, al no aplicar protocolos de seguridad HTTPS, el riesgo del acceso no autorizado se puede ver materializado con un alto grado de probabilidad, cuestión que evidencia la vulneración del precepto por parte de la web al carecer de un nivel mínimo de seguridad y confirma la necesidad de sancionar económicamente casos como el comentado. 

Como vemos, es importante utilizar conexiones cifradas mediante el protocolo de comunicaciones HTTPS (Hypertext Transfer Protocol), al ser una herramienta necesaria para la privacidad de la información, puesto que permite el cifrado de extremo a extremo de las comunicaciones. Asimismo, se desarrolló el protocolo SSL (Secure Socket Layer), el cual permite realizar el cifrado de la información transmitida, asegurando la integridad y la confidencialidad de la misma.

El estándar de facto en el cifrado de comunicaciones en Internet es a través de la integración de HTTPS y SSL, denominado TLS (Transport Layer Security) que, a fecha de hoy, se encuentra en la versión TLS1.3, no siendo recomendadas versiones anteriores a TLS1.2, por considerarse inseguras.

Otras recomendaciones a destacar son: a) realizar auditorías técnicas de seguridad de la página web antes de publicarla, b) facilitar o poner a disposición medios de pago seguros como PayPal, Amazon Pay, pasarelas de pago, pago contra reembolso o transferencia bancaria, c) utilizar sistemas de autenticación reforzada para accesos de administrador o d) comprobar las vulnerabilidades de TLS, pudiendo los usuarios emplear herramientas, ya sean online o locales (testssl.sh), para auditar la seguridad del servidor en relación a HTTPS. A todo lo anterior, hemos de añadir que la AEPD pone a disposición de los usuarios, pautas de configuración de los navegadores más comunes.

En conclusión, si tu web carece de un nivel mínimo de seguridad puede exponerse como hemos visto a una sanción económica, por tanto la recomendación es que utilices siempre medidas de seguridad como por ejemplo un protocolo seguro como HTTPS; certificados TLS, protocolo SET, entre otros. La Ley no contempla expresamente las medidas de seguridad que debemos adoptar en nuestras páginas web, por esa razón es importante consultar con un abogado especialista en protección de datos y seguridad de la información que pueda hacer una interpretación correcta del artículo 32.2 del RGPD.