Quizá las fiestas navideñas y deAño Nuevo han supuesto un pequeño apagón informativo en la rutina habitual dela mayoría de las personas y empresas, pero en estas últimas semanas de 2019han salido a la luz distintos casos de brechas de seguridad en conocidasempresas, lo que pone la voz de alarma en las pequeñas y medianas empresasfrente a los ciberataques y riesgos informáticos.
Diciembre comenzó con la noticia y la comunicación de la EMT y del portal web del Ayuntamiento de Madrid de que BiciMAD, la empresa de bicicletas eléctricas del Consistorio madrileño, había sufrido un ataque informático en 13 estaciones, lo que –además de una caída del servicio- también ha provocado que datos de los usuarios (identificador de la tarjeta, nombre y apellido e información del saldo disponible) hayan podido quedar expuestos.
Poco antes, PROSEGUR anunciaba en Twitter mediante un comunicado oficial que había tenido un incidente de seguridad informática en sus plataformas de telecomunicaciones.
Es más: la propia red social en la que PROSEGUR anunciaba el ciberataque, Twitter, pocas semanas más tarde también ha sido objeto de los medios al detectarse una vulneralibilidad para los usuarios de la red social en Android por la cual se permitía que “una persona malintencionada viera información de la cuenta que no es pública o controlara tu cuenta (es decir, que enviara Tweets o Mensajes Directos)”, y no solo eso, sino que también “podría haber tenido acceso a información (por ejemplo, Mensajes Directos, Tweets protegidos, información de ubicación) de la aplicación”. En este caso, han optado por comunicarlo personalmente por email a los usuarios de la conocida red social, además de publicarlo en su blog.
Y si retrocedemos en el tiempo pocos meses, hasta agosto de 2019, veremos las noticias de que los perfiles de Twitter de los Ayuntamientos de Pamplona, Albacete o Valencia han sufrido ataques informáticos. O el propio Sindicato de Mossos d’Esquadra (SME), que tuvo también un hackeoque dejó al descubierto información personal de más de 5.000 agentes y a quien la AEPD sancionó con una multa de 22.000 euros, además del acuerdo de indemnización a 10 agentes con 4.500 euros a cada uno.
Si grandes empresas de seguridad,entidades municipales y policiales o conocidas redes sociales son víctimas deestos ataques, la vulnerabilidad de PYMESy autónomos frente a este tipo de actividades es aún mayor. Y es que,aunque no son conocidos, son muchos los ataques que reciben, mediante diversosmedios, y con los que bloquean o sustraen información a cambio de la cualexigen un rescate, habitualmente en criptomonedas.
Si el trabajador autónomo, o suempresa, tiene una cuenta de Twitter, está tratando información personal demuchos usuarios que, en caso de hackeo,quedaría al descubierto, provocándose una temida brecha de información. Por nohablar de que el incidente de seguridad se diese por una entrada en susservidores, bases de datos, programas de contabilidad, etc.
Protocolo de actuación frentea violaciones de seguridad de datos personales
¿Qué dice el Reglamento Generalde Protección de Datos (RGPD) ante esta situación? Señala que hay que notificarla violación de la seguridad de los datos personales a la autoridad de control -enel caso español, la Agencia Española de Protección de Datos (AEPD)- sindilación indebida y, a más tardar, en 72 horas. Esto significa que, o laspequeñas y medianas empresas cuentan con un protocolo de actuación en caso deincidentes de seguridad, o no serán capaces de cumplir con dicha obligación,añadiendo un incumplimiento más a los posibles cometidos en la violación de laseguridad.
Hay que tener claro también quehay casos en los que es necesario notificar de estos acontecimientos a losinteresados (clientes, usuarios, empleados, etc.): de nuevo, cuando de laviolación de la seguridad de los datos personales se derive un alto riesgo paralos derechos y libertades de personas físicas, deberemos proceder a comunicarlosin dilación indebida.
Además de las sanciones y de los costes derivados de los daños informáticos, pérdida de información, etc., todas estas notificaciones afectan, evidentemente, de modo negativo a la reputación y nombre de nuestra entidad. Por eso, nuestra recomendación siempre se sitúa en tener un buen programa de seguridad, formación constante de los empleados –para evitar que por negligencia suya accedan los ciberataques- y trabajar en la nube, que suele ser garantía de actualización frente a los ataques y de recuperación de la información (copias de seguridad), así como contar con un buen equipo de abogados especialistas en el ámbito tecnológico que puedan ayudarle a gestionar situaciones de crisis causadas por este tipo de vulneraciones.
- Alejandro Álvarez Serrano, abogado del bufete Mas y Calvet,área de Derecho Tecnológico y Telecomunicaciones.