¿Sabías que la sanción por una brecha de seguridad puede verse gravemente incrementada si no es notificada en su debido momento?
Diariamente, en todos los lugares del mundo, se producen millones de brechas de seguridad, por lo que es aconsejable contar con un plan de acción previo. No debe cometerse el error de pensar que hay alguien libre de sufrir este tipo de ataques.
El riesgo cero no existe
El pasado mes de diciembre, las autoridades holandesas de protección de datos sancionaron a una empresa online de servicios enfocados a la venta de vuelos, hoteles y paquetes de viaje con casi 500.000 euros por la tardanza en comunicar la violación de datos que había sufrido.
Gracias a la brecha, los delincuentes accedieron a datos personales de más de 4.000 usuarios de esta plataforma de viajes,. Obtuvieron acceso a las tarjetas de crédito de casi 300 de ellos e incluso a los códigos de seguridad de 97 personas. A pesar de la gravedad del asunto, la empresa tardó 22 días en informar a las autoridades y 19 a los usuarios afectados.
El Reglamento General de Protección de Datos define las brechas de seguridad como:
«Todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos”.
La protección de datos personales es un derecho de carácter fundamental, y como tal, está especialmente protegido. En consonancia con esto, el RGPD tutela de mayor manera todos aquellos datos personales cuyo uso puede suponer un riesgo para los derechos y libertades de los afectados.
La regulación de las brechas de seguridad en España
Frente a una situación así, existe la obligación de comunicación de la brecha de seguridad ante la Autoridad de Control competente.
En nuestro país la Agencia Española de Protección de Datos
- Cuanto antes o, a más tardar, en el plazo de 72 horas desde que se ha tenido conocimiento de la misma.
- Cuando haya afectado a derechos y libertades de los interesados. Y en este supuesto, informar también a los usuarios de los perjuicios causados para que puedan tomar las medidas oportunas.
De ello se desprende que, el hecho de poner en conocimiento de las autoridades correspondientes una brecha de seguridad, no implica necesariamente un procedimiento sancionador en todos los casos. No hay que olvidar que cualquier brecha puede suponer un daño reputacional aún más grave que una posible sanción. Sin embargo, en los casos tipificados por la normativa es obligatorio ponerse en contacto con las autoridades (AEPD), y en su caso, con los afectados.
Si además, como la citada empresa de viajes, implica un riesgo alto, debe comunicarse a los usuarios sin dilaciones indebidas, con un lenguaje claro y sencillo.
En aras de la proactividad y la transparencia que defiende el RGPD, debe promoverse una cultura de gestión diligente del tratamiento de datos. Una cultura de seguridad que reduzca el impacto sobre los afectados con mecanismos ágiles y eficaces.
Disminuir las consecuencias negativas
La realidad actual en la que vivimos demuestra que el tráfico de datos se ha convertido en algo habitual y necesario. Por lo que implantar medidas de seguridad adecuadas para evitar fallos de seguridad y mantener mecanismos de rápida respuesta para una gestión eficiente, tiene que plantearse como prioridad en un contexto empresarial.
Con un asesoramiento apropiado, la conveniente planificación y la oportuna gestión de todo ello, conseguiremos disminuir las consecuencias negativas de un problema que toda empresa es susceptible de sufrir. En Sothis podemos ayudarte a hacer frente a estas amenazas. Contáctanos para saber más.