Los ciberataques a empresas son cada vez más comunes. Son delitos informáticos en que el infractor pretende usurpar datos de la compañía o de sus clientes para sacar lucro económico, ya sea vendiéndolos, chantajeándoles o suplantando su identidad. Miriam Montero, abogada de ARAG, explica qué hacer como empresa si nos ciberatacan.
Si como empresa nos encontramos ante esta situación, debemos seguir estos 4 puntos:
- Denunciar los hechos ante la policía.
- Tratar la recuperación de los datos comprometidos para poder restaurar la normalidad de la organización.
- Notificar la brecha de seguridad a la Autoridad de control (antes de que pasen 72 horas desde que tenemos constancia), siempre que pueda suponer un riesgo para los derechos y libertades de las personas. Excepto en Cataluña, País Vasco y Andalucía, que tienen autoridades de control propias, la autoridad de control a nivel estatal es la Agencia Española de Protección de Datos (AEPD).
- Comunicar el problema a los interesados que hayan visto comprometidos sus datos.
“La AEPD ya informa que las organizaciones que sufran una brecha de datos personales deben centrarse en evitar y minimizar las posibles consecuencias que pueda tener sobre derechos fundamentales y libertades públicas de las personas afectadas”, explica Montero.
Funciones de la Agencia Española de Protección de datos
El Reglamento General de Protección de Datos (RGPD), establece que una Notificación de una violación de la seguridad de los datos personales, a la autoridad de control deberá, como mínimo:
- Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
- Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
- Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Responsabilidad de las empresas en la protección de datos
“Las empresas deben responsabilizarse de la protección de datos de sus clientes”, señala la abogada de ARAG. Para ello, deben cumplir una serie de medidas:
- Comunicación rápida y clara. Si además fuera necesaria la comunicación al interesado, esta deberá hacerse, sin dilación indebida, en un lenguaje claro y sencillo describiendo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas notificadas a la autoridad de control. La Agencia establece que si esto llegara a suponer un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público.
- Medidas técnicas y organizativas. Cabe recordar, que las empresas, como responsables de tratamiento de datos personales, son quienes deben aplicar las medidas técnicas y organizativas apropiadas en todo momento para garantizar y poder de mostrar, a requerimiento de la Agencia, que se cumple con la ley y el reglamento de datos personales, y que esas medidas son efectivas.
- Ser responsables proactivos, desde el diseño. Debemos ser responsables proactivos, no reactivos, y las medidas aplicadas deben ser preventivas, no correctivas. La idea principal es que la privacidad este incorporada desde el inicio, en la fase de diseño y además durante toda la vida del dato personal. Tiene que haber transparencia.
- Tratar los datos solo para el fin obtenido. La protección de datos por defecto se basa en aplicar medidas técnicas y organizativas para garantizar que los datos personales solo sean tratados para el fin obtenido.
Artículo cedido por ARAG