La importància del xifrat en pàgines web arran de la recent sanció de l’AEPD a una societat per no utilitzar un protocol “https”


L’Agència Espanyola de Protecció de Dades (AEPD) va imposar la setmana passada una sanció de 1.000.-€ a una entitat mercantil, arran del procediment sancionador núm. PS/00185/2020, per no tenir implementat en la seva pàgina web un protocol de seguretat “https”. Vegem breument en què consisteixen aquests protocols.

1. ¿Qué son los certificados TLS?

Los certificados TLS (por sus siglas en inglés Transport Layer Security), sucesores de los antiguos SLL, sirven para verificar la autenticidad de una página web y encriptar la información que se envía al servidor en la que está alojada la misma. Gracias a estos certificados, los usuarios de páginas web pueden transmitir de forma segura información a través de la red, ya que la misma viajará encriptada hasta el servidor, garantizando por tanto la confidencialidad de la información.

Para navegar en las páginas que tienen instalado en su dominio un certificado TLS, se utiliza el protocolo web “https” lo que facilita el establecimiento de comunicaciones cifradas en sitios web.

Si el certificado TLS funciona correctamente, al consultar la web, el navegador habrá comprobado la integridad del certificado de manera satisfactoria, habrá comprobado su vigencia y habrá confirmado que la autoridad emisora del certificado TLS es de confianza, en caso contrario, el navegador mostrara una advertencia indicando que la conexión no es segura.

2. Riesgos de navegar en páginas web inseguras y ventajas de implementación de certificados TLS:

Por defecto, las páginas web que no utilizan certificados TLS o las que los caducados o son vulnerables, son páginas en las que no deberíamos confiar ya que no protegen la navegación del usuario, lo que es común en webs fraudulentas. Los datos del usuario viajarán de forma insegura por Internet, al no cifrarse y, por tanto, un atacante podría monitorizar la actividad que circule en esas partes de la web y hacerse con la información que se transmita a través de la misma (nombres, emails, direcciones, números de tarjetas de crédito, etc.).

La utilización de certificados TLS conllevará, entre otros, que la confianza de los usuarios en la web aumente significativamente al navegar y transmitir información de forma segura a través de la web y, por lo tanto, se traducirá en una mejor experiencia del usuario, lo que, a su vez, mejorará el posicionamiento web y por lo tanto aumentará del volumen de ventas o “leeds”.

3. Sanción de la AEPD por no tener protocolo de navegación “https”:

Durante la inspección realizada por la AEPD en el procedimiento sancionador indicado, se pudo comprobar que:

“2º.- Respecto de los protocolos de seguridad utilizados:

Al acceder a la página web denunciada, se comprueba que se accede a la dirección: ***DIRECCIÓN.1, con protocolo de seguridad “http”, posibilitando así, que otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se trasfiere de forma segura (encriptada).”

Por ello, la AEPD concluye que la web no cumplía con un nivel mínimo de seguridad por lo que incumple lo establecido en el art. 32 del RGPD que establece: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines  del  tratamiento, así  como riesgos de  probabilidad y  gravedad  variables para  los  derechos y  libertades  de  las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo , que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales (…)

En virtud de lo anterior, la AEPD impuso una sanción de 1.000.-€ a la mercantil por incumplimiento de lo establecido en el art. 32 del RGPD.

4. Conclusiones: Seguridad del tratamiento.

Como hemos visto, el legislador no establece un listado de medidas de seguridad a implantar más allá de las establecidas en el art. 32 del RGPD. A estos efectos, es fundamental analizar el riesgo que implica el tratamiento de datos personales para el interesado. Las medidas que se adopten, por tanto, deben garantizar un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos detectados y a la naturaleza de datos tratados.

Lo anterior forma parte esencial del principio de responsabilidad activa, es decir, el deber del responsable de cumplir con la normativa sobre protección de datos y, además, ser capaz de demostrarlo. La propia AEPD hace referencia a este principio como la necesidad de que, por parte del responsable, se apliquen medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD. A la práctica, este principio requiere que las organizaciones analicen los datos que van a tratar, con que finalidades, e identifiquen el tipo de operaciones a realizar. A partir de ese conocimiento, deben determinar de forma explícita la forma en que aplicarán las medidas que prevé el reglamento, asegurando que las medidas son suficientes y, además, deben poder demostrar esa adecuación ante las autoridades y los interesados.

Así las cosas, no cabe duda que la implementación en las páginas web de certificados TLS es una de las medidas que garantizan la confidencialidad de los datos personales, al estar estos cifrados en su tránsito por la red.

Tanto la falta de adopción como el quebrantamiento de estas medidas son consideradas como una infracción grave y por tanto susceptibles de sanción con multa de hasta 10.000.000 de euros o un 2% sobre el volumen de negocio anual.