La seguridad informática se ha convertido en un pilar en las sociedades modernas. Tanto empresas como particulares han hecho de la privacidad en internet su caballo de batalla. Una lucha que ha llegado a las instituciones y ha provocado la actualización de las leyes de protección de datos tanto a nivel nacional como europeo.
El Reglamento General de Protección de Datos (RGPD) aprobado a nivel europeo regula el tratamiento de datos personales que deben seguir las instituciones y las empresas, incluidos los autónomos y pymes. No hacerlo implica enfrentarse a sanciones económicas importantes.
Si eres autónomo, te interesa leer este artículo porque te explicaremos todo lo relativo a la protección de datos y las consecuencias de no alertar a los afectados en tiempo y forma. Porque Previsión Mallorquina tiene los seguros para autónomos que cuidan su estabilidad económica en caso de accidente o convalecencia.
Contents
Cómo actuar en caso de ciberataque
Cualquiera puede ser víctima de un ciberataque, a pesar de las medidas preventivas que se puedan tomar, los virus informáticos son cada vez más sofisticados y las posibilidades de sufrir una brecha de seguridad con la consecuente fuga de información son muy altas.
Si has sufrido un ciberataque, lo primero que debes hacer es informar a las partes afectadas y comunicar públicamente que has sufrido un ataque.
De cuánto tiempo dispongo para informar del ciberataque
Según el RGPD, los afectados por un ciberataque disponen de un plazo de 72 horas para notificar que han sido víctimas de un ataque, así como de las características de este. En el ámbito privado, el aviso se deberá remitir a las siguientes instituciones:
- La Agencia Española de Protección de Datos (AEPD): es obligatorio avisar a esta institución en el plazo debido y con los requisitos que marca la ley.
- Instituto Nacional de Ciberseguridad (Incibe): Aunque no es obligatorio comunicarlo a este organismo, si es altamente recomendable para recibir orientación técnica sobre los pasos a seguir y minimizar el impacto.
- Clientes afectados: es igualmente obligatorio avisar a los clientes afectados, salvo que se den ciertas circunstancias. Si has tomado medidas que impidan que los datos sean legibles (mediante técnicas de encriptado) o has corregido errores de forma que no sea posible la publicación de la información privada robada, no será necesaria la comunicación. También puedes omitir la comunicación cuando suponga un esfuerzo desproporcionado, pero deberás emitir un comunicado público por el cual los interesados se pueda enterar de la brecha de seguridad.
- La Policía Nacional o la Guardia Civil: si se ha tratado de un ataque con delito como fraude o extorsión.
Cómo se debe informar del ciberataque
Cuando vayas a informar del ataque a los afectados, el aviso deberá contener el siguiente contenido mínimo:
- Datos de contacto del Delegado de Protección de Datos o un punto de comunicación en el que obtener más información.
- Descripción general del incidente y la fecha en la que se ha producido
- Consecuencias de la filtración de datos y qué tipo de datos han sido robados
- Qué medidas se han implementado para reducir el impacto
- Recomendaciones de seguridad a los afectados (cambio de contraseñas, claves de acceso, etc.)
La comunicación se debe realizar de forma directa al afectado a través de SMS, correo electrónico, mensajería postal o cualquier otro medio que garantice que información llega directamente a la persona afectada. Si esto supone un sobreesfuerzo, se puede optar por el aviso público.
Como comunicar la brecha a la AEPD
Para comunicar el incidente a la Agencia Española de Protección de Datos deberás dirigirte a la sede electrónica de la AEPD y rellenar el formulario en el que transmitirás la información relativa al incidente: descripción del hecho, naturaleza de los datos extraídos, personas afectadas, fecha del incidente, etc.
Es obligatorio notificar la brecha de seguridad a la AEPD si cumples con los siguientes requisitos:
- Tu empresa está ubicada en España.
- Si tienes varios establecimientos en Europa, pero el principal está en España.
- Si no tienes sede en Europa, pero cuentes con un representante en España.
- Si no tienes establecimientos en España, pero la brecha de seguridad afecta a ciudadanos españoles.
Sanciones por no avisar de un ciberataque
Actualmente, la AEPD está imponiendo multas que van de los 3.000 a los 50.000 euros a pequeñas empresas por no cumplir con los protocolos de seguridad, aunque el reglamento contempla sanciones que van desde los 40.000 euros hasta los 20 millones de euros.
La cuantía de la sanción cambia en función de la gravedad de la brecha de seguridad, el número de personas afectadas y el nivel de negligencia de los responsables. En las empresas más grandes, las multas pueden afectar al 4% de su volumen total de negocios.
Conclusiones
Proteger los datos de tus clientes es sumamente importante y no hacerlo acarrea consecuencias que pueden afectar a tu negocio. El hecho de no notificar una brecha de seguridad en tus sistemas informáticos pude suponer la imposición de multas que van de los 3.000 a los 50.000 euros en función de la gravedad y extensión del incidente.
Cuando detectes un robo de datos, dispondrás de 72 horas para avisar a las personas afectadas y también a la Agencia Española de Protección de Datos. En el aviso debes recoger la descripción del incidente, la fecha en la que se ha producido, la naturaleza de los datos obtenidos y un punto de contacto para obtener más información.
Previsión Mallorquina siempre está a tu lado para ofrecerte los mejores seguros de baja laboral y hospitalización y que tus ingresos no se vean afectados por ninguna enfermedad o accidente.
