Los ciberataques son cada día más crecientes, y los datos de este año 2024 revelan que España es uno de los países de Europa que sufre un mayor número de ataques, y que el impacto económico de las acciones de los ciberdelincuentes en nuestro país se estima en 30.000 millones de euros cada año, según un último informe de la Secretaría de Estado de Presupuestos y Gastos del Ministerio de Hacienda. El ciberataque sufrido por una cadena de gimnasios dejó al descubierto los datos de miles de usuarios.

El pasado día 8 de mayo de este año 2024, el diario digital “vozpópuli” publicó esta noticia:

La Policía investiga un ciberataque que deja al descubierto los datos de miles de usuarios de gimnasios en España.

En declaraciones a ese periódico digital, la dirección de la cadena confirmó que fue el 23 de abril cuando fueron informados de esta posible filtración. “Uno de nuestros clientes, así como un experto independiente en seguridad digital, nos informaron sobre este incidente“.

Siguiendo la información del citado diario digital, desde la empresa de gimnasios se ha detallado que el ciberataque se ha notificado a la Agencia Española de Protección de Datos, tal y como exige la normativa aplicable. Además, se ha presentado la correspondiente denuncia en la Policía Nacional. y adicionalmente, se está llevando a cabo una auditoría de ciberseguridad y el compromiso de implementar todas las recomendaciones fruto de dicha auditoría.

Esta noticia fue posteriormente recogida también por el diario “El Mundo” con fecha 10 de mayo, comprobando la veracidad de la noticia y ampliándola con declaraciones de la cadena de gimnasios afectada, en las que informaba que la encargada de almacenar los datos personales de sus clientes era una empresa externa.

Ciberataques y tipos de datos

Este caso, nos hace poner el foco de atención en esos riesgos silenciosos y crecientes que son los ciberataques.

El ataque a la información almacenada en los sistemas informáticos de las empresas en general y de los gimnasios y centros deportivos en particular, es un hecho conocido desde hace ya bastantes años.

Pero conviene diferenciar la información en general de la información que contiene datos personales.

Ambos tipos de información son muy importantes para la dirección y responsables de los gimnasios y centros deportivos, porque son parte de sus bienes intangibles y consecuentemente de su patrimonio empresarial.

La información que no contenga datos personales es muy relevante, porque puede tener datos referentes a objetivos empresariales, planes de promoción y desarrollo, encuestas, balances de resultados de campañas promocionales, análisis de la competencia, marketing digital, datos económicos y otras muchas cuestiones.

La información que contenga datos personales es doblemente importante, porque además de constituir datos fundamentales para un gimnasio o centro deportivo sobre los destinatarios del objeto de su actividad, afecta de forma directa a la privacidad e intimidad de dichos destinatarios, y porque además estos tienen el derecho a que sus datos estén protegidos y a que los responsables del tratamiento de dichos datos les proporcionen la debida seguridad.

Obligación de protección de los datos personales

A estas alturas todos los gimnasios y centros deportivos conocen sobradamente su obligación de proteger los datos personales de sus clientes, y la existencia de la legislación que regula y obliga a disponer de dicha protección:

  • El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo) de 27 de abril de 2016) (en adelante RGPD).
  • La Ley Orgánica 3/2018, de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (en adelante LOPDGDD)

Y un gran número de dichos gimnasios y centros deportivos confían el cumplimiento de sus deberes en materia de protección de datos personales a empresas especializadas en dicho tipo de protección.

Todo eso es así, pero ¿porque a pesar de confiar en empresas especializadas en la protección de datos personales se siguen produciendo ciberataques que consiguen el objetivo de los atacantes?

¿Los ciberdelincuentes van por delante de las medidas de protección de datos? ¿En materia de ciberseguridad el riesgo cero no existe? Si es así, se haga lo que se haga ¿no es posible una ciberseguridad total ni permanente?

Lo cierto es que los ciberataques cada día son más crecientes, y los datos de este año 2024 es que España es uno de los países de Europa que es víctima de un mayor número de ciberataques, y que el impacto económico de las acciones de los ciberdelincuentes en nuestro país se estima en 30.000 millones de euros cada año, según un último informe de la Secretaría de Estado de Presupuestos y Gastos del Ministerio de Hacienda.

Quienes tienen que proteger el tratamiento de datos personales

La protección de datos personales les corresponde a dos figuras en las empresas:

  • El responsable del tratamiento que es la persona que determina los fines y los medios relacionados con el tratamiento de los datos personales. Los empleados que realizan el tratamiento de los datos personales en la organización del gimnasio o centro deportivo lo hacen en cumplimiento de las funciones que ejerce el responsable del tratamiento. Por lo tanto, en el caso de los gimnasios y centros deportivos la persona que decide “por qué“ y “cómo“ deberán tratarse los datos personales es el responsable del tratamiento.
  • El encargado del tratamiento que es la persona que trata los datos personales por cuenta del responsable del tratamiento.

(NOTA: Recordamos que tratamiento de datos personales es: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción).

El responsable del tratamiento de datos personales de un gimnasio o centro deportivo, de acuerdo con el artículo 24 del RGPD, tiene las obligaciones siguientes:

Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento (valga la redundancia), en aplicación del articulo 28 del RGPD, este elegirá un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD y garantice la protección de los derechos del interesado.

Todo lo cual, es de aplicación en el caso de que como encargado del tratamiento se contrate a una empresa externa.

En este sentido, respecto al caso de la cadena de gimnasios que ha sido afectada por un ciberataque, aunque la encargada de almacenar los datos personales de sus clientes era una empresa externa, a reserva de lo que considere la AEPD u otros órganos de justicia competentes, pudiera ser aplicación respecto a los posibles daños que pudieran sufrir las personas por la afectación a sus datos personales lo que establecen los artículos 1902 y 1903 del Código Civil:

Art. 1902: El que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado.

Art. 1903: La obligación que impone el artículo anterior es exigible, no sólo por los actos u omisiones propios, sino por los de aquellas personas de quienes se debe responder.

Además, respecto a la contratación de servicios externos, hay que tener en cuenta las dos responsabilidades: “in eligendo” (culpa en la elección) e “in vigiando” (culpa en la vigilancia).

No obstante, teniendo en cuenta que el riesgo cero no existe, si se ha cumplido con lo establecido por el RGPD y por la LOPDGDD y se ha hecho todo lo razonablemente posible, el Código Civil en su artículo 1105 dice:

“Fuera de los casos expresamente mencionados en la ley, y de los en que así lo declare la obligación, nadie responderá de aquellos sucesos que no hubieran podido preverse o que, previstos, fueran inevitables”.

Pero para ello habrá que poder acreditar que se hizo todo lo reglamentario, y todo lo necesario teniendo como base de referencia la Evaluación del riesgo.

¿Cómo proteger los datos personales?

Por parte de los gimnasios y centros deportivos:

  • Medidas preventivas 
  1. Conocer las obligaciones (la ignorancia de las leyes no excusa de su cumplimiento (Art. 6.1 Código Civil)
  2. Conocer las responsabilidades “in eligendo” e “in vigilando”.
  3. Informar a los interesados a los que se soliciten datos personales de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.
  4. Solicitar de forma explícita el consentimiento al tratamiento de los datos personales a quienes se les solicitan.
  5. Informar a quienes se solicitan los datos personales de sus derechos de acceso, rectificación, supresión (“derecho al olvido”), limitación, portabilidad, oposición, no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  6. Realizar una Evaluación del riesgo.
  7. Adoptar las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
  • Medidas reactivas
  1. Notificación de la brecha de datos personales a la AEPD.
  2. Denuncia a la policía.
  3. Comunicación de la brecha de datos a los poseedores de los datos afectados. (Herramienta Comunica-Brecha RGPD)
  4. Efectuar las correcciones precisas
  5. Asumir las consecuencias derivadas del ciberataque.

Por parte de los usuarios:

  • Medidas preventivas
  1. Conocer sus derechos de acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad, oposición y a no ser objeto de decisiones individuales automatizadas (incluida la elaboración de perfiles).
  2. Conocer ante quien y como ejercitar los derechos.
  3. Ejercer los derechos en la medida que proceda.
  4. Consentir el tratamiento de los datos de forma explícita cuando proceda.
  • Medidas reactivas: Una vez conocido el ciberataque,
  1. Proceder a cambiar las contraseñas.
  2. Comprobar los movimientos bancarios y avisar a la entidad o entidades bancarias del ciberataque.
  3. Ejercitar los derechos que establece la legislación que sea de aplicación.

Consideración final

El que un gimnasio o centro deportivo contrate a una empresa externa para el tratamiento y protección de los datos personales de sus usuarios, actuando esta como encargado del tratamiento de datos, no le exime del deber que puede tener como “responsable de los datos”, y de las posibles responsabilidades civiles “in eligendo” e “in vigilando” respecto a la citada empresa externa en los casos en que proceda.

Por José Luis Gómez Calvo
Analista de riesgos
Experto en seguridad de instalaciones y actividades deportivas.

Etiquetas:
0 veces compartido