Desde que se aprobara el Reglamento europeo 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos (en adelante RGPD), que es de obligado cumplimiento desde el 25 de mayo de 2018, el temor de las empresas ya no solo es el hecho de que un hacker robe o borre datos de carácter personal  de dicha empresa, sino más bien las sanciones que las autoridades de control pueden imponer por no disponer de medidas de seguridad adecuadas: sanciones desde 10 a 20 millones de euros o el 4% de la facturación anual del ejercicio anterior, imponiendo siempre la de mayor cuantía.

Los datos personales como un verdadero activo financiero, ¿para quién?

Desde hace algún tiempo los datos que las empresas disponen de sus clientes o usuarios componen un activo muy importante, pero la cuestión estriba en saber para quién suponen un activo financiero, ¿para la empresa o para el hacker? Las formas delictivas a la hora de robar datos de carácter personal ya no se limitan al famoso phising, robo de datos bancarios, cuentas de usuario, etc. Acceder a los datos de una empresa y amenazar con publicarlos es más sencillo e incluso más rentable para los ladrones de la red. Esto es así debido al miedo de los empresarios de que el robo de datos se filtre y llegue a conocimiento de las Autoridades de Control, que sancionarán con multas de más de 10 millones de euros como cuantía mínima.

Ejemplo más utilizado para estos casos : imaginemos un hacker que accede a los datos de los pacientes de un centro de sanidad. Amenaza con publicarlos si no se le paga una cantidad. La cantidad exigida es mínima en comparación con las sanciones que puede imponer la Autoridad, que irá aumentando en función de la mayor puja ofrecida por aseguradoras que busquen esos datos u otras entidades interesadas para lucrarse.

Todo problema tiene una solución

Basta hacer una lectura rápida del RGPD para darse cuenta de la protección que se pretende ofrecer a las personas físicas en cuanto al tratamiento de sus datos personales. El hecho de que los hackers puedan beneficiarse por las elevadas sanciones que las Autoridades impondrán a la empresas cuando sufran robos o fugas de datos, no implica que la solución esté en no disponer de ellos. El RGPD es claro a la hora de imponer medidas preventivas y correctoras: disponer de códigos éticos y de conducta, cumplir con las medidas de seguridad adecuadas y pertinentes en función de los datos tratados, revisión periódica de las medidas, nombramiento del Delegado de Protección de Datos cuando corresponda, formación de los empleados en el tratamiento idóneo de datos personales y, sobre todo, disponer de un Código de Cumplimiento penal o normativo. Esto último se debe a la reforma del Código Penal de 2010 y la responsabilidad penal de las personas jurídicas. El sometimiento de la entidad y sus integrantes a un Código de cumplimiento penal o Compliance Penal atenuará e incluso eximirá de responsabilidad penal a la empresa. Obligatorio es llevar a cabo un Registro de las actividades del tratamiento de datos personales y disponer de un Protocolo de Actuación en el que se establecerán las medidas a tener en cuenta a la hora de tratar datos personales, como por ejemplo, la obligación de informar a las Autoridades de Control por las violaciones de las medidas de seguridad.

Las empresas deben tener muy en cuenta la adopción de las medidas exigidas por el RGPD, así como otras normas vigentes y que son de obligado cumplimiento: la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, la Ley del Servicio de Sociedades de la Información y Comercio Electrónico, entre otras. Es evidente que el cumplimiento de la Ley y la aplicación de medidas de seguridad adecuadas no va a evitar que podamos sufrir un robo o fuga de datos, pero conocer la manera de actuar y haber hecho las cosas bien desde el principio, podrá evitar que suframos  sanciones  reducir la imagen de nuestra Entidad.

Basta recordar que en España 3 de cada 4 PYMES sufren un ataque cibernético.