AUDIDAT, consultora experta en protección de datos, explica
como cada vez es más frecuente que las empresas sufran ataques de ransomware;
un programa dañino que “secuestra” datos restringiendo el acceso a archivos del
sistema operativo.
Estos ataques no solo afectan a las empresas en el aspecto productivo,
sino que ponen en peligro su reputación ante sus clientes. Cuando ocurren este
tipo de problemas, se llegan a cifrar archivos y datos personales de los
clientes y es obligatorio notificarles que sus datos han sido expuestos.
¿Tenemos que notificar siempre una brecha de seguridad?
Lo cierto es que hay diferentes circunstancias y no en todos tendríamos que
notificar a la AEPD ni a los propios clientes cuyos datos tratamos. Pero en el
caso de que un ataque de ransomware se haya producido y logrado cifrar archivos
que contengan datos personales, la cosa cambia. El RGPD define una brecha como:
toda violación de la seguridad que ocasionen la destrucción, pérdida o
alteración accidental o ilícita de datos personales transmitidos, conservados o
tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos
En este caso, además de informar a la AEPD vamos a tener que notificar a
aquellos clientes cuyos datos hayan estado expuestos de dicha vulneración de
nuestra seguridad y del grado de penetración que ha tenido el ataque. Lo ideal
es ser lo más transparentes posibles. Es mejor comunicarse con ellos, informar
del incidente y de las consecuencias que puede tener para ellos. Lógicamente,
no va a ser igual que solo se hayan visto afectados datos como dirección o NIF,
que si datos bancarios o financieros están en poder de ciberdelicuentes.
Qué información debe incluir la notificación al cliente
En la comunicación a los afectados se debe detallar: cuáles son las
obligaciones legales y contractuales; qué riesgos comporta para los derechos y
libertades de las personas la pérdida de confidencialidad, integridad o
disponibilidad de sus datos personales, de los servicios asociados a dichos
datos personales, así como del compromiso de la identidad o identificación de los
interesados. En particular, los perjuicios a sus derechos fundamentales, los
daños físicos, daños reputacionales, fraudes, etc; hasta qué punto los daños
producidos serán irreversibles, se puede evitar o mitigar los daños inmediatos
y los posibles perjuicios posteriores.
No existe una obligación de un plazo legal para
realizar esta comunicación, como si tenemos de hacerlo ante la AEPD en las 72
horas siguientes al incidente. Pero si se expone que debe realizarse con la
máxima diligencia posible.
Leer más