Además del tiempo que podemos estar parados por un problema de seguridad o como afecta a la continuidad de nuestro negocio perder datos, otro de los graves inconvenientes que podemos sufrir está en nuestra reputación ante los clientes. Porque cuando ocurren este tipo de ataques, y se llegan a cifrar archivos y datos personales de nuestros clientes es obligatorio notificar que sus datos han estado expuestos.
Hace ya tiempo el INCIBE publicó una guía orientada hacia el empresario que da las claves para saber a qué nos estamos enfrentando, cómo intentar prevenirlo y sobre todo, cómo actuar llegado el momento de detectar un ataque de ransomware.
Pero además de recuperar los datos y volver a poner en marcha nuestra empresa tan rápido como nos sea posible vamos a tener que comunicar a la Agencia de Protección de Datos que hemos sufrido una brecha de seguridad, en un plazo máximo de 72 horas tras detectar el incidente.
Además el artículo 34 del RGPD se establece la obligación del responsable de comunicar las brechas de datos personales a los afectados, personas físicas, cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. La notificación de brechas de datos personales es una tarea y una obligación del responsable del tratamiento, en este caso la empresa.
¿Tenemos que notificar siempre una brecha de seguridad?
Lo cierto es que hay diferentes circunstancias y no en todos tendríamos que notificar a la AEPD ni a los propios clientes cuyos datos tratamos. Por ejemplo si recibimos correos electrónicos con malware o sospechosos de malware sin haberlo ejecutado, detectar un sistema infectado con un virus, o sufrir un intento de ciberataque sin que se llegue a materializar, no puede ser considerado en sí mismo como una brecha de datos personales.
Pero en el caso de que un ataque de ransomware se haya producido y logrado cifrar archivos que contengan datos personales, la cosa cambia. El RGPD define una brecha como:
toda violación de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
En este caso además de informar a la AEPD vamos a tener que notificar a aquellos clientes cuyos datos hayan estado expuestos de dicha vulneración de nuestra seguridad y del grado de penetración que ha tenido el ataque. Lo ideal es ser lo más transparentes posibles.
Es mejor comunicarnos con ellos, informar del incidente y de las consecuencias que puede tener para ellos. Lógicamente no va a ser igual que solo se hayan visto afectados datos como dirección o NIF, que si datos bancarios o financieros están en poder de ciberdelicuentes.
Qué información debe incluir la notificación al cliente
En la comunicación a los afectados se debe detallar:
- Cuáles son las obligaciones legales y contractuales.
- Qué riesgos comporta para los derechos y libertades de las personas la pérdida de confidencialidad, integridad o disponibilidad de sus datos personales, de los servicios asociados a dichos datos personales, así como del compromiso de la identidad o identificación de los interesados. En particular, los perjuicios a sus derechos fundamentales, los daños físicos, daños reputacionales, fraudes, etc.
- Hasta qué punto los daños producidos serán irreversibles, se puede evitar o mitigar los daños inmediatos y los posibles perjuicios posteriores.
No existe una obligación de un plazo legal para realizar esta comunicación, como si tenemos de hacerlo ante la AEPD en las 72 horas siguientes al incidente. Pero si se expone que debe realizarse con la máxima diligencia posible.
El problema es que para no sufrir daños en su reputación o la confianza de sus clientes, muchas organizaciones no comunican dichas brechas de seguridad, sobre todo si han podido recuperar y restablecer sus sistemas rápidamente.