Las brechas de seguridad no es un asunto que solo deba preocupar a las grandes compañías. Cada vez son más los ciberataques que afectan a Administraciones públicas y también a las pequeñas y medianas empresas -las conocidas PYMES- porque en muchas ocasiones no cuentan con las medidas de seguridad adecuadas frente a los riesgos informáticos.

A finales de 2019 salieron a la luz distintos casos de ciberataques y brechas de seguridad en conocidas empresas, como BiciMAD, la empresa de bicicletas eléctricas del Ayuntamiento de Madrid, que sufrió un ataque informático en 13 estaciones con exposición de datos de los usuarios; o PROSEGUR, que confirmaba en un comunicado oficial publicado en Twitter que había tenido un incidente de seguridad informática en sus plataformas de telecomunicaciones.

Incluso Twitter, pocas semanas más tarde, admitía que había detectado una vulneralibilidad para los usuarios de la red social en Android por la cual se permitía que “una persona malintencionada viera información de la cuenta que no es pública o controlara tu cuenta (es decir, que enviara Tweets o Mensajes Directos)”. Anteriormente, el propio Sindicato de Mossos d’Esquadra (SME), que tuvo también un hackeo que dejó al descubierto información personal de más de 5.000 agentes y a quien la AEPD sancionó con una multa de 22.000 euros, además del acuerdo de indemnización a 10 agentes con 4.500 euros a cada uno.

La vulnerabilidad de PYMES y autónomos es aún mayor, pero los ataques apenas se conocen. Estas acciones llegan mediante diversos medios y, en la mayoría de los casos, su objetivo es bloquear o sustraer información que supuestamente se entregará a cambio un rescate, habitualmente en criptomonedas. Incluso algo tan habitual como una cuenta de la empresa en Twitter, con la que se trata información personal de muchos usuarios, puede generar una brecha de información en caso de hackeo, quedando al descubierto y a merced de cualquier persona malintencionada. Por no hablar de los riesgos en caso de acceso a sus servidores, bases de datos, programas de contabilidad, etc.

Protocolo para cumplir con la protección de datos

¿Qué dice el Reglamento General de Protección de Datos (RGPD)? Señala que las empresas deben notificar la violación de la seguridad de los datos personales a la autoridad de control -en el caso español, la Agencia Española de Protección de Datos (AEPD)- sin dilación indebida y, a más tardar, en 72 horas. Si las pequeñas y medianas empresas no cuentan con un protocolo de actuación en caso de incidentes de seguridad, no serán capaces de cumplir con dicha obligación, añadiendo un incumplimiento más a los posibles cometidos en la violación de la seguridad.

Además, hay casos en los que es necesario notificar de estos acontecimientos a los propios interesados (clientes, usuarios, empleados, etc.). Es decir, cuando de la violación de la seguridad de los datos personales se derive un alto riesgo para los derechos y libertades de personas físicas, deben comunicarlo sin dilación indebida.

Es incuestionable el impacto de las sanciones y de los costes derivados de los daños informáticos, pérdida de información, etc. Pero todas estas notificaciones también afectan negativamente a la reputación y nombre de la propia empresa.

Como es mucho lo que está en juego, resulta muy recomendable contar con un buen programa de seguridad, además de impartir formación continua a los empleados para prevenir, por ejemplo, situaciones de negligencia que faciliten el acceso indebidos por parte de ciberdelincuentes. También es aconsejable trabajar en la nube, que ofrece garantías de actualización de las medidas de protección frente a eventuales ataques y que también facilita la recuperación de la información mediante copias de seguridad. Para que pueda afrontar con seguridad jurídica cualquier situación de riesgo de los datos, resulta indispensable contar con un equipo de abogados de confianza, especializado en el ámbito tecnológico, que pueda asesorarle en la gestión de de crisis causadas por este tipo de vulneraciones.

Alejandro Álvarez Serrano, abogado del Área de Derecho Tecnológico y Telecomunicaciones del Bufete Mas y Calvet