Ciberataques y tratamiento de datos personales
- 20 diciembre 2021
- Asesoría
Los ciberataques a empresas, organizaciones e instituciones están en auge, así lo reflejan las últimas estadísticas en ciberdelincuencia. Ninguna organización está exenta de ver comprometidos sus sistemas, circunstancia que irá en auge debido a la tendencia a la digitalización de las organizaciones y la consolidación del teletrabajo en las empresas.
Nos estamos acostumbrando a ver en los medios informaciones sobre ciberataques a empresas, universidades, o incluso a organismos estatales que paralizan su actividad unas horas, o incluso días. En el trasfondo siempre queda la duda de si ha habido una transacción económica que ha posibilitado la resolución de la incidencia.
Pero si bien es cierto que en un primer momento lo que puede preocuparnos más son las consecuencias económicas de estos ciberataques, debemos recordar que un fallo o debilidad en nuestro sistema permite el acceso ilícito de terceros a todas nuestras bases de datos, y que ello indirectamente también puede suponer pérdidas económicas, en primer lugar porque genera desconfianza en nuestros clientes, y en segundo lugar porque si la brecha de seguridad es imputable a una negligencia por nuestra parte, puede comportar una posible sanción de la Agencia Española de Protección de Datos.
La prevención de los ciberataques es fundamental, así como la instauración de procedimientos que nos permitan recuperar de la manera más rápida posible los datos comprometidos. Destacamos en este sentido la guía publicada por Incibe (Instituto Nacional de Ciberseguridad) y que se puede consultar aquí.
La correcta implementación de la normativa sobre Protección de Datos Personales debe anticiparse en la medida de lo posible a estas situaciones. Un buen protocolo de seguridad que incluya la descripción detallada de los riesgos y amenazas para la seguridad del sistema, la utilización de antivirus, la actualización constante de los sistemas operativos, o un buen diseño de la política de contraseñas, pueden ayudarnos a acreditar ante la AEPD nuestra diligencia y proactividad en la materia.
El RGPD impone a los responsables del tratamiento la obligación de notificar a la Agencia Española de Protección de Datos cualquier incidencia de seguridad en el tratamiento de los datos personales cuando sea probable que constituyan un riesgo para los derechos y libertades de las personas. El responsable del tratamiento debe valorar el nivel de riesgo de la brecha de datos personales, y cuando el riesgo sea alto también deberá comunicar dicha brecha a las personas afectadas. Puedes ampliar la información aquí.