Antes de analizar si pueden sancionarte por tener una web no segura, vamos a explicarte como identificar una web segura y que son los protocolos http y https.

¿Cómo saber si una web es segura?

Como usuario de internet, cuando entres a una página web es importante que te fijes si la URL empieza por https:// o si al lado aparece el símbolo de un candado, sobretodo si a través de dicha página web vas a proporcionar datos personales (tu nombre, apellidos, DNI, nº de tarjeta, domicilio, etc.).

La dirección o URL de todas las páginas web disponibles en internet siempre empieza con las siglas http:// o https://. Estas siglas hacen referencia al protocolo HTTP, en español, Protocolo de Transferencia de Hipertexto, que utiliza el servidor donde se encuentra alojada la web para comunicarse con el navegador de tu dispositivo. 

                  

¿Cuál es la diferencia entre http y https?

Las páginas web que utilizan tecnología http no cifran las transferencias de datos entre tu navegador y el servidor donde se encuentra alojada dicha página web. Por lo tanto, dichos datos podrían ser interceptados por terceros.

Por el contrario, las páginas web que utilizan el protocolo htttps cifran o encriptan las transferencias de datos entre tu navegador y el servidor donde se encuentra alojada dicha página web, de modo que resulta prácticamente imposible que estos datos puedan ser interceptados por terceros.

En consecuencia, si utilizas una página web con protocolo http y no https debes tener en cuenta que todos los datos que introduzcas en la misma (tu nombre, apellidos, DNI, nº de tarjeta, domicilio, etc.) se enviarán al servidor donde dicha web se encuentra alojada sin cifrarse, hecho que facilita la interceptación de dichos datos por parte de terceros.

Consecuencias de utilizar protocolos http en tu página web

La primera consecuencia es, tal y como se comentaba en el punto anterior, el riesgo de que los datos de tus usuarios web sean interceptados por terceros, con las implicaciones y perjuicios que este riesgo puede conllevar tanto a los titulares de los datos como al responsable de la página web, al tratarse, según lo establecido en el RGPD, de un brecha de seguridad .

 

Sobre lo anterior, no resultaría extraño que más de un usuario web decida no poner en riesgo sus datos y opte por no comprar un determinado servicio o producto si la página web que lo oferta no utiliza una tecnología o protocolo de cifrado de datos https. Sobretodo, si tenemos en cuenta que la mayoría de los navegadores web advierten a sus usuarios si las páginas web a las que están accediendo son seguras o no. Es decir, si utilizan un certificado o protocolo no seguro (http) o bien, si utilizan un certificado o protocolo seguro (https).

La segunda consecuencia, podría llegar en forma de requerimiento o sanción de la Agencia Española de Protección de Datos (AEPD), por infracción de lo establecido en el artículo 32, sobre seguridad del tratamiento de datos personales, del Reglamento General de Protección de Datos – EU 675/2016- (RGPD).

Y es que, el artículo 32 del RGPD, dedicado a la seguridad del tratamiento de datos personales, establece que los encargados o responsables del tratamiento de datos personales deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para los derechos y libertades de los titulares de los datos, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento.

Según dicho artículo, algunas de las medidas técnicas y organizativas consideradas como apropiadas para garantizar un nivel de seguridad adecuado al riesgo (cuya implementación corresponde a los responsables del tratamiento) son:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Como vemos el legislador no establece un listado de medidas a implementar en cada caso, limitándose a recomendar algunas consideradas como apropiadas. Y es que, el RGPD se basa en el principio de responsabilidad activa , es decir, el deber de los responsables de cumplir con la normativa sobre protección de datos y ser capaces de demostrarlo.

Por lo tanto, el responsable del tratamiento, en este caso el responsable de una página web, debe analizar el riesgo que implica, para el interesado, el tratamiento de datos que realiza a través de su web y, en consecuencia, adoptar las medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento.

¿Pueden sancionarte por tener una web no segura (que use http y no https)?

Antes de preguntarte si pueden sancionarte por no usar un protocolo o certificado https en tu web, es decir, que encripte o cifre la información que se transmite entre los dispositivos de tus usuarios web y el servidor donde se encuentra alojada tu web. Debes preguntarte qué datos de tus usuarios web tratas, recoges o almacenas a través de tu página web y en que país está ubicado el servidor en el que se encuentra alojada tu web, pues podría estarse produciendo una transferencia internacional de datos, hecho que según el RGPD implica mayores obligaciones para el responsable. 

No es lo mismo tener una página web meramente informativa donde no se permita a los usuarios introducir datos personales, que tener una tienda online, donde los usuarios que quieran comprar productos o servicios deban facilitar sus datos de contacto y/o datos bancarios (nº de cuenta o de tarjeta).

Por lo tanto, si tu página web no permite la recogida de ningún dato personal de los usuarios que accedan a esta, en principio no estarías expuesto a una posible sanción al no transmitirse datos personales o confidenciales entre el navegador de tus usuarios y el servidor donde se almacena tu web.

Si por el contrario, tu página web permite el tratamiento de datos personales de tus usuarios web, ya sea por que contiene un formulario de contacto, permite el registro de usuarios o por tratarse de una tienda online, por poner algunos de los ejemplos más frecuentes, sí que deberías utilizar certificados o protocolos de seguridad que encripten la transferencia de datos entre los dispositivos de tus usuarios web y el servidor donde se encuentra alojada tu web (https). Si no lo haces, debes tener en cuenta que tu conducta puede considerarse como una infracción del artículo 32 del RGPD, tal y como veremos a continuación.

La AEPD sanciona a una empresa por no utilizar el protocolo https en su página web

En fecha reciente la AEPD ha impuesto una sanción de 1.000€ a una sociedad mercantil que no utilizaba un protocolo de seguridad https en su página web, por considerar que su conducta infringe el artículo 32 del RGPD.

A continuación detallamos los aspectos más relevantes de dicho procedimiento sancionador:

– Procedimiento Sancionador nº: 00185/2020

– Antecedentes:

PRIMERO: Con fecha 01/05/19, tuvo entrada en esta Agencia, denuncia presentada por la reclamante en la que indicaba, entre otras, lo siguiente:

“El pasado 20 de abril detecte que la web carecía de medidas de seguridad para proteger los datos personales como (HTTPS). Además, la web carece de información respecto al procesado de los datos personales y su finalidad, así como, el periodo en el cual se almacenan. He contactado con el vendedor instando a que mejore y adapte la seguridad de su web a la legislación vigente y no ha respondido a ningún email”.

TERCERO: Con fecha 15/06/20, consultada la página web ***URL.1, se pudo constatar las siguientes características respecto a sus protocolos de seguridad, su “política de privacidad” y su “política de cookies”:

“La web denunciada comercializa placas de matrícula de vehículos, para su venta online. Para adquirir un juego de placas de matrícula, los usuarios deben introducir sus datos personales en la hoja de pedido: nombre y apellidos; DNI; matrícula del vehículo e incluso número de bastidor. Además, deben escanear y enviar en ficheros adjuntos tos, el permiso de circulación del vehículo; el DNI por ambas caras y el justificante de pago”.

Respecto de los protocolos de seguridad utilizados:

Al acceder a la página web denunciada, se comprueba que se accede a la dirección: ***DIRECCIÓN.1, con protocolo de seguridad “http”, posibilitando así, que otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se trasfiere de forma segura (encriptada).

– Hechos probados:

1º.- La página web denunciada comercializa placas de matrícula de vehículos, para su venta on-line. Para adquirir un juego de placas, los usuarios deben introducir sus datos personales en la hoja de pedido: nombre y apellidos; DNI; matrícula del vehículo e incluso número de bastidor. Además, deben escanear y enviar en ficheros adjuntos, el permiso de circulación del vehículo; el DNI por ambas caras y el justificante de pago.

2º.- Respecto de los protocolos de seguridad utilizados:

Al acceder a la página web denunciada, se comprueba que se accede a la dirección: ***DIRECCIÓN.1, con protocolo de seguridad “http”, posibilitando así, que otros usuarios puedan interceptar la información que se transfiere desde el terminal del cliente al servidor web, ya que la información que proporcionan los usuarios no se trasfiere de forma segura (encriptada).

– Fallo:

PRIMERO: IMPONER a la entidad MIGUEL IBÁÑEZ BEZANILLA S.L., con CIF.: B39730973 titular de la página web ***URL.1 por Infracción de los artículos 32 y 13 del RGPD respecto de la política de seguridad y respecto de la política de privacidad respectivamente y por la infracción del artículo 22.2) de la LSSI, respecto de su Política de Cookies, una sanción de 3.000 euros (tres mil euros= 1.000 euros (art. 32 RGPD) + 1.000 euros (art. 13 RGPD) + 1.000 euros (art. 22.2 LSSI).

Esperamos que este artículo te haya sido de utilidad. Si deseas leer la sanción completa puedes hacerlo siguiendo este enlace, y si prefieres consultar más artículos como este, puedes hacerlo a través de nuestra web o a través de nuestras redes sociales:  LinkedIn, Facebook y Twitter.

Si te ha quedado alguna duda o necesitas asesoramiento sobre cómo cumplir la normativa de protección de datos vigente  contacta con nosotros.