Ciberataques y datos personales: claves para las pymes en 2020

353

Quizá las fiestas navideñas y de Año Nuevo han supuesto un pequeño apagón informativo en la rutina habitual de la mayoría de las personas y empresas, pero en estas últimas semanas de 2019 han salido a la luz distintos casos de brechas de seguridad en conocidas empresas, lo que pone la voz de alarma en las pequeñas y medianas empresas frente a los ciberataques y riesgos informáticos.

Diciembre comenzó con la noticia y la comunicación de la EMT y del portal web del Ayuntamiento de Madrid de que BiciMAD, la empresa de bicicletas eléctricas del Consistorio madrileño, había sufrido un ataque informático en 13 estaciones, lo que –además de una caída del servicio- también ha provocado que datos de los usuarios (identificador de la tarjeta, nombre y apellido e información del saldo disponible) hayan podido quedar expuestos.

Poco antes, PROSEGUR anunciaba en Twitter mediante un comunicado oficial que había tenido un incidente de seguridad informática en sus plataformas de telecomunicaciones.

Es más: la propia red social en la que PROSEGUR anunciaba el ciberataque, Twitter, pocas semanas más tarde también ha sido objeto de los medios al detectarse una vulneralibilidad para los usuarios de la red social en Android por la cual se permitía que “una persona malintencionada viera información de la cuenta que no es pública o controlara tu cuenta (es decir, que enviara Tweets o Mensajes Directos)”, y no solo eso, sino que también “podría haber tenido acceso a información (por ejemplo, Mensajes Directos, Tweets protegidos, información de ubicación) de la aplicación”. En este caso, han optado por comunicarlo personalmente por email a los usuarios de la conocida red social, además de publicarlo en su blog.

Y si retrocedemos en el tiempo pocos meses, hasta agosto de 2019, veremos las noticias de que los perfiles de Twitter de los Ayuntamientos de Pamplona, Albacete o Valencia han sufrido ataques informáticos. O el propio Sindicato de Mossos d’Esquadra (SME), que tuvo también un hackeoque dejó al descubierto información personal de más de 5.000 agentes y a quien la AEPD sancionó con una multa de 22.000 euros, además del acuerdo de indemnización a 10 agentes con 4.500 euros a cada uno.

Si grandes empresas de seguridad, entidades municipales y policiales o conocidas redes sociales son víctimas de estos ataques, la vulnerabilidad de PYMES y autónomos frente a este tipo de actividades es aún mayor. Y es que, aunque no son conocidos, son muchos los ataques que reciben, mediante diversos medios, y con los que bloquean o sustraen información a cambio de la cual exigen un rescate, habitualmente en criptomonedas.

Si el trabajador autónomo, o su empresa, tiene una cuenta de Twitter, está tratando información personal de muchos usuarios que, en caso de hackeo, quedaría al descubierto, provocándose una temida brecha de información. Por no hablar de que el incidente de seguridad se diese por una entrada en sus servidores, bases de datos, programas de contabilidad, etc.

Protocolo de actuación frente a violaciones de seguridad de datos personales

¿Qué dice el Reglamento General de Protección de Datos (RGPD) ante esta situación? Señala que hay que notificar la violación de la seguridad de los datos personales a la autoridad de control -en el caso español, la Agencia Española de Protección de Datos (AEPD)- sin dilación indebida y, a más tardar, en 72 horas. Esto significa que, o las pequeñas y medianas empresas cuentan con un protocolo de actuación en caso de incidentes de seguridad, o no serán capaces de cumplir con dicha obligación, añadiendo un incumplimiento más a los posibles cometidos en la violación de la seguridad.

Hay que tener claro también que hay casos en los que es necesario notificar de estos acontecimientos a los interesados (clientes, usuarios, empleados, etc.): de nuevo, cuando de la violación de la seguridad de los datos personales se derive un alto riesgo para los derechos y libertades de personas físicas, deberemos proceder a comunicarlo sin dilación indebida.

Además de las sanciones y de los costes derivados de los daños informáticos, pérdida de información, etc., todas estas notificaciones afectan, evidentemente, de modo negativo a la reputación y nombre de nuestra entidad. Por eso, nuestra recomendación siempre se sitúa en tener un buen programa de seguridad, formación constante de los empleados –para evitar que por negligencia suya accedan los ciberataques- y trabajar en la nube, que suele ser garantía de actualización frente a los ataques y de recuperación de la información (copias de seguridad), así como contar con un buen equipo de abogados especialistas en el ámbito tecnológico que puedan ayudarle a gestionar situaciones de crisis causadas por este tipo de vulneraciones.

  • Alejandro Álvarez Serrano, abogado del bufete Mas y Calvet, área de Derecho Tecnológico y Telecomunicaciones.