Cada vez es más frecuente que se notifiquen brechas de seguridad sufridas por empresas, generalmente consecuencia de un ataque informático.

El más reciente ha sido a The Phone House, que en estos momentos está siendo víctima de un ataque por parte de una organización cibercriminal, la cual ha tenido acceso y “robado” los datos personales de unos 3.000.000 de personas.

Entre los datos filtrados se encuentran algunos tan sensibles como el DNInombre y apellidos cuenta bancaria o el domicilio. Algunos de estos datos ya han sido publicados, mientras que los ciberdelincuentes amenazan con seguir dando a conocer datos personales de miles de usuarios si la compañía no accede a pagar un rescate.

Desde Legálitas, explicamos a continuación qué implican legalmente este tipo de ataques y qué deberán hacer tanto los usuarios afectados como las empresas víctimas de un ciberataque de estas características.

Estoy entre los afectados por el ciberataque y mis datos han sido filtrados. ¿Puedo reclamar una compensación?

El artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

Para recibir una indemnización, se deber dar estos dos supuestos:

En el caso de que se cumplan ambos supuestos anteriores, estos se deberán ejercitar mediante un procedimiento civil con la ayuda de un abogado.

¿Qué se debe hacer si, como empresa, se es víctima de un ciberataque de ransomware como este?

Este tipo de ataques que afectan a los datos personales se denominan violaciones o brechas de seguridad. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal (DNI, datos bancarios, nombre y apellidos, móvil, correo electrónico…). No siempre una brecha tiene su origen en un ataque, ya que podría deberse a un accidente, pero siempre que afecte a los datos personales la empresa responsable de su tratamiento tiene una serie de obligaciones legales si la sufre.

El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) establece la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de realizar dos tipos de notificaciones si se encuentran ante esta situación:

Si bien la mera comunicación a la AEPD de haber sufrido una brecha no implica que vaya a ser sancionada, el responsable del tratamiento de los datos no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *