Las multas en España por robo de datos de datos por internet

16 ene. 2022

Dos tendencias actuales en el ámbito de la tecnología están creando un nuevo riesgo de seguridad para negocios de todo tipo.

Dos tendencias actuales en el ámbito de la tecnología están creando un nuevo riesgo de seguridad para negocios de todo tipo. Por una parte, las empresas utilizan la nube en busca de servicios flexibles y conectados. Por otra, deben almacenar y gestionar los datos de carácter personal de los usuarios, acceder a ellos en tiempo real y mantenerlos actualizados.

Gracias a la introducción de estas dos necesidades de negocio, surge un nuevo riesgo que debemos entender para poder prevenir: el robo de datos de carácter personal a empresas. Y es que actualmente en España, se producen 400 ciberataques cada día a empresas, y la vía más común es el email.

Estos ciber riesgos no solo puede ocasionar pérdidas por el daño causado a la operativa, sino que además conlleva multas. Es responsabilidad de cada empresa mantener bien resguardados los datos a salvo y saber cómo reaccionar si se produce un ataque.

En primer lugar, tenemos que abordar la pregunta fundamental:

 

¿Qué es un dato de carácter personal?

¿El nombre y apellidos de un usuario es un dato de carácter personal? ¿O tiene que estar asociado a algún tipo de información sensible, como los datos bancarios o el historial médico?

Según la LOPD, Ley de Protección de Datos, un dato de carácter personal es toda información numérica, alfabética, fotográfica, acústica o u otro tipo que se refiera a personas físicas y sirva para identificarlas. Pueden ser datos relativos a su identidad (nombre, apellidos, domicilio, imagen o vídeo, etc.) o a su actividad (nivel de estudios, ocupación, información médica, etc.).

Algunos datos que se consideran de carácter personal son las direcciones de email, las direcciones, el DNI, el número de la Seguridad Social, los informes médicos, la información fiscal y la afiliación religiosa o política. Desde la entrada en vigor de la nueva Ley de Protección de Datos Personales en 2018, también entran en esta definición los datos biométricos y genéticos.

Los datos referidos a entidades jurídicas, como la sede social de una empresa, su CIF o similar, no entran dentro de la definición de datos de carácter personal y quedan fuera de este ámbito de protección.

La siguiente pregunta, lógicamente, es:

 

¿Quién es responsable de los datos de carácter personal almacenados en una empresa?

¿Es responsable el equipo técnico? Y en ese caso, ¿quién en particular, el jefe de departamento, la persona que manipula los datos, el responsable del almacenamiento, el de la seguridad? Existen muchas maneras de enfocar este problema, pero solo una solución. Debemos hacer todo lo posible para que nadie robe datos de nuestra empresa y tener un plan para reaccionar si de todas formas acaba ocurriendo.

 

¿Es seguro almacenar datos de carácter personales en la nube?

Existen muchas medidas preventivas para protegernos de un ataque informático. Sin duda es recomendable dedicar tiempo y recursos a la seguridad digital, pero a través de la prensa hemos conocido casos de robos de datos a Yahoo o Dropbox, que afectaron a centenares de millones de cuentas de correo electrónico, y en España tuvo mucho eco el ciberataque de ransomware que sufrió Telefónica en 2017. Si estos gigantes tecnológicos están expuestos al robo de datos por internet, ¿es posible garantizar la seguridad de nuestros datos?

Esto nos lleva al siguiente punto.

 

¿Qué pasa si te roban tus datos personales por internet?

El marco legal ha cambiado con la activación del nuevo Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018. La nueva Ley de Protección de Datos Personales (LOPD) considera falta grave “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen”.

Esto significa que en España es totalmente obligatorio registrar los datos de carácter personal.

 

Las multas por robo de datos informáticos

La cuantía de las infracciones y sanciones que impone la LOPD varían en función del volumen de datos interceptados, la intencionalidad, los beneficios obtenidos y los perjuicios causados, entre otros factores.

Las infracciones leves, con multas de entre 601,21 € y 60.101,21 € incluyen actos como:

  • No haber solicitado alta en la Agencia Española de Protección de Datos (AEDP)
  • Recoger datos de carácter personal sin el conocimiento y autorización explícitos del usuario
  • No actuar frente a una solicitud de rectificación o eliminación de dato
  • No prestar atención a las consultas emitidas por la Agencia Española de Protección de Datos (AEDP)

Las infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 €

  • No inscribir los ficheros en la AGPD.
  • Utilizar los ficheros con distinta finalidad con la se crearon.
  • No tener el consentimiento del interesado para recabar sus datos personales
  • No permitir el acceso a los ficheros.
  • Mantener datos inexactos o no efectuar las modificaciones solicitadas
  • No seguir los principios y garantías de la LOPD
  • Tratar datos especialmente protegidos sin la autorización del afectado
  • No remitir a la AGPD las notificaciones previstas en la LOPD.
  • Mantener los ficheros sin las debidas condiciones de seguridad.

Son infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €

  • Crear ficheros para almacenar datos que revelen datos especialmente protegidos.
  • Recogida de datos de manera engañosa o fraudulenta.
  • Recabar datos especialmente protegidos sin la autorización del afectado.
  • No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
  • Vulnerar el secreto sobre datos especialmente protegidos.
  • La comunicación o cesión de datos cuando ésta no esté permitida.
  • No cesar en el uso ilegítimo a petición de la AGPD.
  • Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación.
  • No atender de forma sistemática los requerimientos de la AGPD.
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización

 

Contrata un seguro de Ciberprotección para empresas

Reaccionar de manera inmediata ante un caso de ciberataque siguiendo un protocolo primordial de ciberseguridad. Según la Guía de para gestión y notificación de brechas de seguridad, tienes un plazo de 72 horas para comunicar a Agencia Española de Protección de Datos (AEPD) para denunciar un ataque cibernético. Pero lo mejor es contar siempre con la protección de un seguro de ciberprotección como el que ofrecemos, que no solo se limita a compensarte por los daños que se hayan podido producir, sino que ponemos a tu disposición un servicio integral de acompañamiento en tu seguridad digital.

seguros de ciberprotección Zurichempresas.es
Seguro de Ciberriesgo

En España se producen 400 ciberataques cada día a las empresas.
Por lo que mantén tu negocio siempre protegido contra cualquier imprevisto que pueda surgir.

Contrata 100% online, en ¡solo 3 minutos!