Recientemente se ha conocido un incidente de seguridad que habría afectado a datos personales de personas clientas de Endesa, presuntamente accedidos de forma indebida por un tercero externo. Este episodio vuelve a poner sobre la mesa una cuestión que muchas organizaciones prefieren no mirar de frente: ningún negocio ni profesional está completamente libre de sufrir una incidencia de ciberseguridad, con independencia de su tamaño o de la actividad que desarrolle.
Más allá de la repercusión pública que tiene un caso de este tipo cuando afecta a una gran compañía, lo verdaderamente relevante es que permite entender con claridad qué se considera una brecha de seguridad a efectos del RGPD, cómo debe reaccionar una organización y qué riesgos reales pueden derivarse cuando se manejan datos personales como el DNI o la información bancaria.
El artículo 4.12 del Reglamento General de Protección de Datos define la brecha de seguridad como cualquier vulneración que provoque la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales, ya sea de forma accidental o ilícita.
«cualquier vulneración de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra manera, o la comunicación o acceso no autorizados a estos datos».
En este caso, la propia compañía ha comunicado que el acceso no autorizado habría podido afectar a datos identificativos, datos vinculados al contrato y datos bancarios. Se trata de información especialmente delicada desde el punto de vista práctico, porque puede facilitar intentos de fraude, suplantación de identidad o campañas de phishing, incluso aunque no se hayan visto comprometidas contraseñas.
Las personas afectadas han recibido una comunicación informando de lo sucedido. Desde una perspectiva jurídica, este paso resulta especialmente relevante porque encaja con varias de las exigencias previstas en el RGPD para la gestión de incidentes de seguridad.
Entre las actuaciones esperables en una situación así se encuentran:
Este último punto merece especial atención. No todas las brechas obligan a comunicar el incidente a la clientela o a las personas afectadas. Sin embargo, cuando el riesgo es elevado —por ejemplo, porque se han visto expuestos datos bancarios, documentos identificativos o información que pueda facilitar fraudes— la comunicación deja de ser una opción y pasa a ser una obligación legal conforme al artículo 34 del RGPD.
Todavía es frecuente pensar que las obligaciones en materia de protección de datos afectan sobre todo a grandes empresas. Sin embargo, cualquier organización o profesional que trate datos personales debe cumplir con el RGPD, ya sea en la gestión de clientes, personal, proveedores, formularios web o redes sociales.
Por tanto, una pyme o una persona autónoma también debe estar preparada para actuar si se produce una brecha. Los pasos esenciales serían los siguientes:
Es fundamental cerrar accesos indebidos, aislar los sistemas afectados y evitar que la incidencia siga ampliándose.
Debe determinarse qué datos se han visto comprometidos, a cuántas personas afecta la incidencia y si existían medidas de protección como cifrado, restricciones de acceso o trazabilidad.
Aunque finalmente no sea necesario notificar el incidente a la AEPD, el RGPD exige dejar constancia interna de lo ocurrido y de las decisiones adoptadas.
Si la brecha puede suponer un riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control en un plazo máximo de 72 horas desde que se tiene conocimiento del incidente.
Si el incidente puede generar consecuencias graves, la comunicación debe hacerse de forma clara, comprensible y útil, para que las personas afectadas puedan adoptar medidas de protección.
Este tipo de casos pone de manifiesto que ninguna estructura está completamente blindada. Aun así, sí existen medidas que ayudan a reducir tanto la probabilidad de sufrir un incidente como su impacto legal, operativo y reputacional.
En los últimos años se ha incrementado notablemente el número y la sofisticación de los ciberataques, lo que convierte esta cuestión en un riesgo real para empresas, profesionales y administraciones. Ahora bien, en muchos expedientes sancionadores el problema no deriva únicamente de la brecha en sí, sino de una mala gestión posterior: retrasos en la notificación, falta de documentación o comunicaciones insuficientes a las personas afectadas.
Grupo empresarial dedicado a la prestación de servicios integrales de consultoría, asesoría y gestión para la pequeña y mediana empresa. Áreas generales: fiscal-tributario, contable, laboral, legal e inmobiliario. Especialidades en extranjería, protección de datos y herencias.
Calle Còrsega 381, 1ª Planta
08009 Barcelona (Barcelona)
Tel.: 934674467
Formar parte de este portal es una garantía de calidad y de confianza
Llegamos mensualmente a más de 80.000 empresas de todo el territorio español8
Mantente al día con las últimas tendencias y noticias del ámbito legal.
