El fallo de seguridad conocido como Heartbleed ha tenido en vilo durante unos días a la internet mundial.
Por algunas noticias parecía que era como el fin de la seguridad en internet y que toda la web estaba comprometida. Como suele suceder, a medida que se conocen los detalles y la gente que sabe empieza a cuestionar lo que se publica el fallo resulta ser un poco menor.
Por ejemplo, INTECO estimaba que afectaba a poco más del 1% de las webs. Que sigue siendo mucho.
Detalles técnicos al margen, lo cierto es que es un tema recurrente el de la responsabilidad de quien administra una web si hay un fallo de seguridad que resulta en un daño.
El fallo concreto de Heartbleed compromete la comunicación segura mediante el protocolo SSL, permitiendo en última instancia acceder a nombres y contraseñas de usuarios, entre otros datos.
En casos como este, es evidente que tenemos un problema relacionado con la protección de los datos de carácter personal del sistema.
La Ley Orgánica 15/1999 de Protección de Datos, en su artículo 9, obliga a que
El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Resalto especialemente la cuestión del estado de la tecnología, puesto que, como sabemos la informática no es algo exacto y son habituales los errores que resultan en un margen de inseguridad que la ley no pretende obviar.
Por lo tanto, el diligente administrador debe comprobar si su sitio tiene este defecto o no y en su caso aplicar el parche o remedio correspondiente.
En caso de no hacerlo y sufrir una denuncia por un robo de datos, la Agencia podría iniciar un procedimiento de inspección.
El problema es que se considera una infracción grave, artículo 44.3:
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
Así que, en apariencia, no solucionar los problemas de seguridad puede constituir una infracción grave de la normativa de protección de datos
Al margen de la normativa de protección de datos, otro factor es el de los daños que se puedan producir al usuario por el acceso por terceros a contraseñas o identificadores, como por ejemplo en un caso de phising.
Podría nacer una responsabilidad contractual contra el administrador, a pesar de que en el aviso legal sea política habitual excluir la responsabilidad por fallos del software, ya que parece evidente que una vez conocido y difundido el fallo, así como las herramientas para su corrección, el administrador del sitio debe actuar con diligencia para proteger a los usuarios del servicio.
Así que si tienes una web afectada por Heartbleed, deberías estar parcheando OpenSSL para evitar el riesgo de multa por la Agencia de Protección de Datos o una reclamación por daños de tus clientes.
No hay comentarios:
Publicar un comentario