La protección de datos personales: un deber y un dilema para las empresas

By:
Hiscox España
Hiscox España

El sistema de protección de los datos personales de uno de los principales bancos de nuestro país ha sido el último protagonista de una brecha de seguridad significativa en España. Según ha confirmado la entidad bancaria y ha reportado la Agencia Española de Protección de Datos (AEPD), a principios del mes de mayo se detectó una vulnerabilidad que expuso información privada de miles de clientes a través de un fallo en su sistema de gestión de datos. Este error permitía, mediante un acceso no autorizado, consultar datos sensibles como nombres, apellidos, números de cuenta, saldos y transacciones recientes de clientes aleatorios.

El Banco actuó con rapidez, solucionando la vulnerabilidad en menos de 48 horas y notificando correctamente a las autoridades competentes. No obstante, para diversas organizaciones de consumidores y expertos en ciberseguridad, este incidente ha puesto de manifiesto las continuas debilidades en la protección de la información financiera de los usuarios y la necesidad urgente de mejorar las medidas de seguridad en el sector bancario.

¿Qué es el derecho a la protección de datos personales?

El derecho a la protección de datos personales en España es un derecho fundamental que garantiza la privacidad y seguridad de la información personal de los individuos. Este derecho está arraigado en la Constitución Española y se desarrolla a través de diversas leyes y reglamentos, siendo el más relevante el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, aplicado directamente desde el 25 de mayo de 2018, y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El derecho a la protección de datos personales en España ha sido objeto de recientes actualizaciones legislativas. La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) fue modificada por la Ley 11/2023, de 8 de mayo. Estas modificaciones responden a la necesidad de adaptar la normativa española a las nuevas directivas de la Unión Europea y corregir ciertos aspectos del Reglamento General de Protección de Datos.

Una de las modificaciones más destacadas es la introducción de un nuevo procedimiento de apercibimiento independiente, establecido en el artículo 64.3 de la LOPDGDD. Este procedimiento permite a la Agencia Española de Protección de Datos (AEPD) dirigir un apercibimiento a los responsables o encargados del tratamiento de datos, como una medida correctiva alternativa al procedimiento sancionador. Este cambio busca agilizar los procedimientos y mejorar el control que los titulares tienen sobre sus datos personales​​.

Asimismo, se han introducido nuevas disposiciones relativas a la actuación de la AEPD, incluyendo la posibilidad de realizar investigaciones e inspecciones mediante videoconferencia, garantizando siempre la comunicación segura y la captura de evidencias​.

Estas actualizaciones reflejan un esfuerzo continuo por mantener la legislación española en consonancia con los estándares europeos y garantizar una protección eficaz de los datos personales en un entorno digital en constante evolución.

¿Cómo sé si mi empresa sufre una brecha en la protección de datos personales?

El Reglamento General de Protección de Datos (RGPD) define como brecha de seguridad en los datos personales todo suceso que provoque la pérdida, destrucción o alteración de la información (accidental o ilícita) o el acceso no autorizado a la misma. 

Según la Agencia Española de Protección de Datos (AEPD), es el delegado del tratamiento de esa información el que debe identificar y dar aviso de las brechas de seguridad. Si eres tú el que ostenta este cargo en la empresa, el organismo ofrece una completa guía para la detección, identificación y comunicación del incidente que deberías revisar. Pero te adelantamos que el paso principal es llevar el control adecuado de todos los equipos con acceso a la información. Es decir, la protección permanente de los datos personales de los clientes. La mejor defensa es un buen sistema de seguridad.

¿Cómo puedo prevenir una brecha de seguridad?

Prevenir una brecha de seguridad en el entorno digital es crucial para proteger la información sensible y los datos personales tanto de individuos como de organizaciones. A continuación, te proporcionamos una serie de consejos para que puedas prevenir una brecha de seguridad:

  • Encriptar los dispositivos: la encriptación del dispositivo contribuye a la protección de los datos impidiendo el acceso a la información corporativa desde la red.
  • Utilizar doble identificación: otra opción es habilitar la autenticación de dos factores; aunque no es un sistema perfecto, definitivamente incrementará las dificultades para los intrusos.
  • Realiza copias de seguridad: en el caso de que sufras una brecha de seguridad, realizar una copia de seguridad facilita la restauración de la información ante este tipo de situaciones.
  • Usa contraseñas seguras: es de vital importancia que todos tus empleados utilicen contraseñas fuertes y seguras, con combinaciones de números, letras y símbolos. Además de cambiarlas cada cierto tiempo. 
  • Renovación de los sistemas: una actualización del sistema normalmente consiste en incorporar hardware nuevo o en actualizar el software existente para mejorar las capacidades del sistema.

Cuáles son las principales obligaciones de la LOPD y el RGPD

La Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPD), aprobada en 2018 en España, actualiza y complementa el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, adaptando sus disposiciones al contexto nacional. Esta ley impone una serie de obligaciones a las entidades públicas y privadas que manejan datos personales: 

  1. Principio de responsabilidad proactiva: las organizaciones deben garantizar y demostrar el cumplimiento de los principios del RGPD y de la LOPD, adoptando medidas internas y externas necesarias para asegurar que el tratamiento de datos se realiza conforme a la ley.
  2. Consentimiento informado: el consentimiento del titular de los datos debe ser libre, informado, específico e inequívoco. Esto significa que las organizaciones deben obtener el consentimiento explícito de sus empleados para el tratamiento de datos.
  3. Protección de datos desde el diseño y por defecto: las entidades deben integrar medidas de protección de datos en el diseño de cualquier actividad que implique tratamiento de los mismos.
  4. Registro de actividades de tratamiento: se requiere que las organizaciones lleven un registro detallado de las actividades de tratamiento de datos que realizan, incluyendo la finalidad del tratamiento, las categorías de los datos tratados y los destinatarios de los mismos.
  5. Notificación de brechas de seguridad: en caso de que ocurra una violación de seguridad que afecte a datos personales, las organizaciones tienen la obligación de notificarlo a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. Además, si la brecha supone un alto riesgo para los derechos y libertades de las personas, estas también deben ser informadas sin dilación.
  6. Evaluaciones de impacto sobre la protección de datos: cuando ciertos tipos de tratamiento puedan suponer un alto riesgo para los derechos y libertades de las personas, las organizaciones deben realizar evaluaciones de impacto sobre la protección de datos (EIPD) antes de iniciar dichos tratamientos.
  7. Designación de un Delegado de Protección de Datos (DPD): las entidades públicas y aquellas privadas que realicen tratamientos que requieran observación regular y sistemática de datos a gran escala, o traten categorías especiales de datos personales, deben designar un Delegado de Protección de Datos.

 

Estas obligaciones tienen como objetivo garantizar que los datos personales se traten de manera segura, transparente y con respeto a la privacidad de las personas, promoviendo así una mayor confianza en el entorno digital.

Conoce el Seguro de Ciberseguridad de Hiscox

Aunque las empresas ya tengan bien cerrados sus sistemas de protección de datos personales para evitar agujeros de seguridad, los incidentes son una constante. Incluso, en las compañías más preparadas. Por eso, cuanto mayores sean las medidas adquiridas en favor de la custodia de información de los clientes, mejor será la defensa. 

En Hiscox, conocedores de todas estas amenazas, hemos creado un seguro específico para cubrir riesgos cibernéticos. La mejor protección es la prevención pero lamentablemente los incidentes ocurren y por eso debemos estar preparados para mitigar el impacto y volver a la normalidad lo antes posible. Conoce sus coberturas y protege a tu empresa frente ataques malintencionados o brechas de seguridad y mantén a salvo la información de tus clientes.

Las empresas son las grandes perjudicadas por estos tipos de delitos informáticos ya tipificados en España. Para ellas, la mejor solución pasa por una buena prevención. Si tu compañía necesita un ciberseguro para estar cubierto frente a los ataques informáticos cuenta con Hiscox CyberClear, el respaldo que necesitas.

Categories:

  • Ciberseguridad