Novedades en impuestos: guía sobre las reformas anunciadas para 2020
13 enero, 2020
Algunas respuestas sobre la necesidad del compliance penal en las empresas
27 enero, 2020Ciberataques a empresas: el valor estratégico de un protocolo de actuación
Las últimas semanas de 2019 estuvieron marcadas por el descubrimiento de distintos casos de brechas de seguridad en grandes corporaciones. Sin embargo, la ciberseguridad es un reto constante que no entiende de calendarios ni de fechas especiales, por lo que en 2020 los ciberataques y riesgos informáticos, así como la privacidad y la protección de datos,seguirán siendo uno de los principales desafíos a los que las empresas en general deben dedicar atención y recursos, sin importar si se trata de grandes compañías o pymes, aunque sin duda las pequeñas y medianas empresas están en una posición de mayor vulnerabilidad.
- Lee también: Los riesgos de la protección de datos «a coste cero» para las empresas
- Lee también: Primer año del RGPD, ¿cumplimos la normativa de protección de datos?
Para el abogado Alejandro Álvarez Serrano, del área de Derecho Tecnológico del Bufete Mas y Calvet, resulta fundamental que las empresas cuenten con un protocolo de actuación frente a las violaciones de seguridad de datos personales que les permita saber los pasos que deben dar en cada caso para cumplir con las obligaciones legales. Y es que el propio Reglamento General de Protección de Datos (RGPD) señala que ante situaciones de este tipo se debe notificar la violación de la seguridad de los datos personales a la autoridad de control -en el caso español, la Agencia Española de Protección de Datos (AEPD)- sin dilación indebida y en un plazo máximo de 72 horas. Si las pequeñas y medianas empresas no cumplen con dicha obligación, estarían sumando un incumplimiento más a los posibles cometidos en la violación de la seguridad.
Adicionalmente, en determinados casos existe la obligación de notificar estos acontecimientos a los interesados (clientes, usuarios, empleados, etc.). Es decir, cuando de la violación de la seguridad de los datos personales se derive un alto riesgo para los derechos y libertades de personas físicas, será necesario comunicarlo sin dilación indebida.
Sanciones y daños en la reputación de la empresa
Además de las sanciones y de los costes derivados de los daños informáticos, de la pérdida de información, etc., todas estas notificaciones afectan, evidentemente, de modo negativo a la reputación y nombre de nuestra entidad.
“Nuestra recomendación siempre se sitúa en tener un buen programa de seguridad, formación constante de los empleados –para evitar que por negligencia suya accedan los ciberataques– y trabajar en la nube, que suele ser garantía de actualización de los protocolos de seguridad frente a los ataques y de recuperación de la información (copias de seguridad)”, explica nuestro especialista. Y añade que para cumplir con todas las obligaciones que recoge la normativa, también se debe contar con un buen equipo de abogados con amplia experiencia en el ámbito tecnológico, que dé apoyo en la gestión de situaciones de crisis causadas por este tipo de vulneraciones.
Casos emblemáticos de brechas de seguridad en los datos
Nuestro abogado Alejandro Álvarez lo comentaba recientemente en una tribuna titulada «Ciberataques y datos personales: claves para las pymes en 2020», que publicó el portal Escudo Digital, especializado en información sobre ciberseguridad. En ella, el especialista en privacidad y protección de datos de nuestro despacho recordaba algunos casos emblemáticos de 2019, como el que afectó a la Empresa Municipal de Transporte de Madrid (EMT), que tuvo que publicar una comunicación -también lo hizo la web del Ayuntamiento de Madrid– confirmando que se había producido un ataque informático en 13 estaciones de BiciMAD, la empresa de bicicletas eléctricas del Consistorio madrileño. ¿Las consecuencias? Por una parte, la caída del servicio; por otra, que los datos de los usuarios, como el identificador de la tarjeta, nombre y apellido e información del saldo disponible habían podido quedar expuestos.
En el sector privado también se dieron casos de interés. Un ejemplo es el de PROSEGUR, que publicó un comunicado en Twitter en el que informaba de que sus plataformas de comunicaciones habían protagonizado un incidente de seguridad informática. Por su parte, dicha red social también anunció una vulnerabilidad para los usuarios de la red social en Android. La información de cuentas que no fuesen públicas podría ser vista por alguna persona malintencionada, así como controlar la cuenta, enviar tuits o mensajes directos y acceder a información como el contenido de dichos mensajes, tuits protegidos, información de ubicación. Twitter asegura que lo ha comunicado personalmente por email a los usuarios afectados, además de publicarlo en su blog.
En agosto de 2019, las cuentas de Twitter de los Ayuntamientos de Pamplona, Albacete o Valencia han sufrido ataques informáticos. O el propio Sindicato de Mossos d’Esquadra (SME), que tuvo también un hackeo que dejó al descubierto información personal de más de 5.000 agentes y a quien la AEPD sancionó con una multa de 22.000 euros, además del acuerdo de indemnización a 10 agentes con 4.500 euros a cada uno.
Aunque no son tan conocidos, son numerosos los ataques que reciben las pequeñas y medianas empresas, llegando incluso a bloquear o sustraer información que se devuelve a cambio de un rescate. Las cuentas de Twitter, en las que se puede tratar información personal de muchos usuarios, pueden quedar al descubierto en caso de hackeo, provocándose una temida brecha de información. Pero también se pueden dar incidentes causados por accesos no autorizados a servidores propios, bases de datos de la empresa, programas de contabilidad, etc.
Saber cómo actuar en cada caso y cumplir con lo que le exige la normativa es fundamental para el buen funcionamiento del negocio. Si necesita asesoramiento legal sobre el cumplimiento y protocolos de actuación frente a brechas de seguridad, contacte con el Bufete Mas y Calvet y le ayudaremos a resolverlo.