- Para que los usuarios afectados tengan derecho a una indemnización, se deberán cumplir algunos supuestos, como demostrar una infracción por parte de la empresa.
- Con los datos personales de una persona, los ciberdelincuentes podrían hacer un mal uso de ellos haciendo compras fraudulentas, o solicitado un crédito a su nombre, entre otros ejemplos.
- Solo se podrá reclamar si se demuestra que hay una “causa/efecto” entre el perjuicio sufrido y esa infracción.
Cada vez es más frecuente que se notifiquen brechas de seguridad sufridas por empresas, generalmente consecuencia de un ataque informático.
El más reciente ha sido a The Phone House, que en estos momentos está siendo víctima de un ataque por parte de una organización cibercriminal, la cual ha tenido acceso y “robado” los datos personales de unos 3.000.000 de personas.
Entre los datos filtrados se encuentran algunos tan sensibles como el DNI, nombre y apellidos cuenta bancaria o el domicilio. Algunos de estos datos ya han sido publicados, mientras que los ciberdelincuentes amenazan con seguir dando a conocer datos personales de miles de usuarios si la compañía no accede a pagar un rescate.
Desde Legálitas, explicamos a continuación qué implican legalmente este tipo de ataques y qué deberán hacer tanto los usuarios afectados como las empresas víctimas de un ciberataque de estas características.
Estoy entre los afectados por el ciberataque y mis datos han sido filtrados. ¿Puedo reclamar una compensación?
El artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
Para recibir una indemnización, se deber dar estos dos supuestos:
- Que la brecha haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos), siendo esta la causa de que el ataque haya prosperado.
- Que haya una “causa/efecto” entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).
En el caso de que se cumplan ambos supuestos anteriores, estos se deberán ejercitar mediante un procedimiento civil con la ayuda de un abogado.
¿Qué se debe hacer si, como empresa, se es víctima de un ciberataque de ransomware como este?
Este tipo de ataques que afectan a los datos personales se denominan violaciones o brechas de seguridad. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal (DNI, datos bancarios, nombre y apellidos, móvil, correo electrónico…). No siempre una brecha tiene su origen en un ataque, ya que podría deberse a un accidente, pero siempre que afecte a los datos personales la empresa responsable de su tratamiento tiene una serie de obligaciones legales si la sufre.
El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) establece la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de realizar dos tipos de notificaciones si se encuentran ante esta situación:
- Notificar a la Autoridad de Control competente (Agencia Española de Protección de Datos o las autonómicas en su caso) las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento de la brecha.
- Notificar a las personas cuyos datos se han visto afectados, si los daños son graves, para que puedan tomar medidas a fin de protegerse.
Si bien la mera comunicación a la AEPD de haber sufrido una brecha no implica que vaya a ser sancionada, el responsable del tratamiento de los datos no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD.