LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 11:12:52

LegalToday

Por y para profesionales del Derecho

Ciberataque y datos de carácter personal

Founding Partner de MO&MA, Crisis Management Consultants

En mayo de 2018 entra en vigor el Reglamento Europeo de Protección de Datos Personales, de aplicación directa a todos los países de la UE, que se deberá tener en consideración en la redacción de los protocolos de ciberseguridad de las empresas, especialmente en aquellas que recopilan, tratan y gestionan datos de carácter personal para su normal actividad.

Símbolo del euro

La Ley de Seguridad Nacional ( Ley 36/2015 de 28 de septiembre de Seguridad Nacional) en su artículo 10,  incluye la ciberseguridad como uno de los ámbitos de especial interés para la Seguridad Nacional equiparándola a la seguridad económica y financiera, la marítima, la del espacio aéreo y ultraterrestre, la seguridad energética, la sanitaria y la preservación del medio ambiente

La ciberseguridad es clave para el funcionamiento normal de cualquier organización, sea del ámbito y del tamaño que sea. Vivimos en una sociedad totalmente digitalizada donde cualquier aspecto social o individual se ve impactado de una forma u otra por dicha digitalización. De ahí que cuando personas u organizaciones activan ciberataques masivos o individuales, el éxito o fracaso de los mismos depende del nivel de preparación y prevención de los estados, las organizaciones o los individuos frente a dichos ciberataques.

En las empresas, la seguridad de sus sistemas informáticos y la protección de la información que manejan es más que una preocupación para ellas, ya que, en la mayoría de las ocasiones la seguridad de sus sistemas implica intrínsecamente la protección de su actividad. Por ello dichas empresas vienen estableciendo, desde hace ya tiempo, sistemas de protección y /o protocolos de seguridad de la información para blindarse frente a los ataques de terceros. Y dicho blindaje debería extremarse cuando la información que necesitan para su normal funcionamiento, se basa, fundamentalmente, en datos de carácter personal de terceras personas ajenas a ellas que no sólo los ceden a su favor, sino que también autorizan su tratamiento.

Lamentablemente disponemos de muchos ejemplos de vulneración de la seguridad en la protección de los datos de carácter personal que son utilizados por las empresas. En este sentido y aun cuando el Reglamento 2016/679/UE de 27 de abril, Parlamento Europeo sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD ), se publicó en 2017 y entrará en vigor en mayo de 2018, vamos a plantear algunas obligaciones contenidas en el mismo de cara a tenerlo en cuenta en la prevención de crisis de cualquier empresa y especialmente a la hora de elaborar o revisar los protocolos de ciberseguridad de las mismas. Dicho Reglamento es de directa aplicación sin necesidad de desarrollo nacional y nace con la voluntad de ser una norma integral e igual para todos los miembros de la UE.

El RGPD regula toda una serie de obligaciones para las empresas respecto a la seguridad de la protección de los datos de carácter personal que tratan. Siempre teniendo en cuenta el enfoque de prevención de crisis y /o gestión de la misma, destacaremos aquellas obligaciones legales fundamentales a incluir en el protocolo de ciberseguridad necesario para cualquier organización. Fundamentalmente en dicho protocolo, que debería ser uno de los más transversales de cualquier empresa, destacamos las siguientes obligaciones del RGPD:

    1)        Considerando (39) y artículo 5 del RGPD. Todo tratamiento de datos de carácter personal debe ser lícito y leal, debiendo ser los fines específicos del tratamiento explícitos y legítimos. En la comunicación con las personas físicas propietarias de dichos datos de carácter personal, aplicará siempre el principio de transparencia, debiendo ser los datos personales recogidos, adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados; exactos y si fuera necesario actualizados; mantenidos en el tiempo exacto para que se necesiten; y tratados de forma segura.

    A nuestro entender estas obligaciones no deberían tratarse como simples obligaciones legales, sino que debería generar en las empresas un análisis interno previo de cuáles son los datos de carácter personal necesarios y útiles para el ejercicio de su actividad, eliminando la recogida de aquellos otros que sean totalmente superfluos o innecesarios. Es más, se hace necesario: 1) establecer canales adecuados de comunicación con las personas físicas con el fin de garantizar el principio de transparencia (artículo 12) y 2) establecer medidas de seguridad apropiadas para dichos datos.

    2)        Considerando (75), (76), (83) y artículo 24 del RGPD.  La responsabilidad del responsable del tratamiento deberá quedar claramente establecida. Será el responsable de aplicar las medidas necesarias que acreditan la eficiencia de las mismas en la aplicación del Reglamento. Y además dichas medidas deberán tener en consideración la naturaleza, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas.

    Destacamos en esta parte el concepto de la evaluación del riesgo ya que, desde nuestro punto de vista, esta obligación implica que la protección de los datos de carácter personal que se recojan y se traten, deberá incluirse como un punto clave en el risk mapping de la empresa, puesto que debe identificarse la protección de dichos datos junto con el nivel de riesgo de la misma (Considerando 83). Es más, el riesgo deberá ponderarse sobre la base de una evaluación objetiva (Considerando 76) y (artículo 35).

    Esta obligación es sumamente interesante a la hora de prevenir una crisis y debería integrarse en cualquier documento relativo a la seguridad de la protección de los datos personales. Evaluando los riesgos inherentes a la protección de los datos estamos obligando a las empresas a fijar planes de acción para evitar o minimizar dicho riesgo (artículo 34). Y aún más cuando es el propio responsable de tratamiento quien deberá justificar la eficacia de dichas medidas en la protección de los datos personales.

    Si dicho concepto lo transcribimos en clave de prevención de crisis debemos hablar de nuevo de identificación de riesgos. Cualquier sistema de prevención de crisis en cualquier organización se basa fundamentalmente en la identificación de riesgos, no sólo de comunicación, sino de todos aquellos que puedan afectar a la reputación como por ejemplo los riesgos legales. De ahí que el RGPD sea una norma tan importante a la hora de establecer cualquier mecanismo de prevención de crisis en este escenario, ya que más allá de incluir obligaciones legales, intenta que los responsables asuman determinadas obligaciones de eficiencia y eficacia en las medidas de la protección de los datos personales a las que se encuentran obligados. Y dichos términos, muy habituales en clave empresarial, devienen indeterminados en términos jurídicos y fácilmente interpretables.

    3)        Considerando (85). Cuando a pesar de haber realizado la evaluación objetiva de los riesgos inherentes a la protección de los datos de carácter personal y de haber establecido medidas eficaces de aplicación del RGPD , se produce una violación de la seguridad de los datos personales ( definida en artículo 4.12 ) la empresa encargada del tratamiento dispone de un plazo de no más de 72 horas para comunicar a la autoridad de control de la existencia de dicha violación incluidos los planes de actuación que ha puesto en marcha para minimizar el impacto de esta violación de la seguridad (artículo 33).

    En este sentido, y teniendo en consideración que uno de los asuntos más tratados durante todo el RGPD es el tratamiento y gestión de datos de carácter personal transfronterizos y la cesión internacional de los mismos, se hace muy interesante analizar el posible proceso que se deberá establecer entre las diferentes autoridades de control (artículo 60). Y si se nos permite la analogía dicho proceso podría inspirarse en el que actualmente ya está implementado respecto a las alertas de riesgo en la seguridad alimentaria ( Sistema de alerta alimentaria internacional (INFOSA), sistema de alerta rápida para alimentos y piensos ( RASFF) y Sistema coordinado de intercambio rápido de información ( SCIRI))  donde todos los estados de la UE han establecido mecanismos de colaboración para garantizar la seguridad alimentaria en el territorio de la Unión Europea. En este sentido, y en materia de protección de datos, creemos que el estudio y análisis de este sistema específico del sector alimentario (y que funciona de forma muy eficaz desde hace más de quince años) podría servir de fuente de inspiración para poner en marcha esta obligación de colaboración entre autoridades de control en beneficio de la protección de los datos de carácter personal.

    4)        Considerando (86) Además dicha empresa está obligada también a comunicar al particular afectado que se ha producido dicha violación y lo que la misma puede representar para sus datos de carácter personal (artículo 34). Curiosamente destacamos en dicho artículo dos aspectos a tener en consideración siempre desde un punto de vista de prevención y gestión de crisis: 1) Que no existe plazo legal establecido para la misma (se fija el término sin dilación indebida) y 2) Que puede producirse dicha comunicación en forma pública cuando la individual sea muy costosa.

    En este sentido, dentro del protocolo de actuación en caso de ciberataque deberemos tener debidamente identificadas las formas posibles de interactuar con las personas que nos han cedido sus datos de carácter personal, toda vez que a efectos de generar confianza en aquellas personas que nos han cedido sus datos, y nosotros actuar con la máxima responsabilidad y cuidado, es mejor poder establecer un canal directo y personal de comunicación que una comunicación pública general

    5)        Por último, nos gustaría destacar el importe de las sanciones administrativas previstas en este RGPD. El incumplimiento de cualquier obligación recogida en el RGPD puede ser objeto de sanción administrativa (también penal, pero queda en manos de los estados miembros) y las mismas deberán oscilar, en función de diferentes criterios a considerar establecidos en el artículo 83 y Considerando (90), entre un 2% y 4% del volumen de negocio, o entre 10 y 20 millones de Euros.

En aplicación de lo anterior, si somos una empresa que recopilamos, gestionamos y tratamos datos de carácter personal de terceros debemos tener en cuenta que en nuestros protocolos de ciberseguridad deberemos dedicar especialmente un apartado sólo para la protección y seguridad de los datos de carácter personal posiblemente más amplio de lo que hasta la fecha disponíamos teniendo en consideración todos los aspectos legales que nos aplican y especialmente aquellos relativos a  procedimientos tanto internos como externos, y canales de comunicación. Sólo siendo muy cautelosos en estos protocolos y sensibilizando a todos los departamentos afectados de sus obligaciones, podremos evitar en el futuro una crisis para la empresa, que, en este caso será no sólo económica (elevado importe de las sanciones , llegando incluso a la sanción penal) sino también reputacional (pérdida de confianza de las personas que nos consintieron la recogida y tratamiento de sus datos) y posiblemente de continuidad de negocio (si no la sabemos gestionar de forma correcta).

De esta forma, la protección de los datos de carácter personal en el caso que nos ocupa, al igual que otras obligaciones legales de la normal actividad de la empresa, deberá integrarse como un tema a considerar dentro de nuestro sistema de prevención de crisis y con especial atención tras la entrada en vigor del nuevo Reglamento europeo referido.

En resumen, hemos analizado sólo uno de los posibles aspectos que hay que considerar en un ciberataque para un tipo de empresa en concreto (se hace difícil imaginar actualmente una empresa que no gestiona datos de carácter personal) sin entrar en otros aspectos que pueden verse afectados por esta intrusión ilegal en los sistemas, como por ejemplo  paradas de las plantas de producción, imposibilidad de pago de facturas de clientes, proveedores, imposibilidad de pago de nóminas etc… , lo que nos hace concluir que el ciberataque debería contemplarse como un escenario clave, y hoy en día muy plausible, cuyo tratamiento deber incluirse en cualquier sistema de prevención y gestión de crisis de cualquier empresa cual sea su actividad y tamaño.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.