Casi un año después de su entrada en vigor, la mayoría de las empresas ya están familiarizadas con las formas en que la recopilación de datos sobre usuarios de Internet se ha visto afectada por el Reglamento General de Protección de Datos de la UE (RGPD). Sin embargo, no todas saben cómo responder a un robo de datos bajo el RGPD.
La mayoría de empresas ya deben haber revisado sus cookies y confirmado sus listas de correo en base a la norma. Pero el impacto de la nueva regulación es más profundo y de mayor alcance. Por ejemplo, ¿qué exige RGPD si una empresa descubre que un delincuente ha violado sus sistemas y ha robado información de identificación personal, como direcciones de correo electrónico, detalles de tarjetas de crédito o documentos de identidad?
Contenidos
La importancia de comunicar un robo de datos bajo el RGPD
Las empresas deben saber que hay un plazo límite de 72 horas desde el descubrimiento de un robo de datos bajo el RGPD hasta que se informe a las autoridades competentes en materia de protección de datos. Pero, en realidad, no tiene que producirse el robo para que haya que comunicar un incidente de seguridad de forma obligatoria.
Si la Información personalmente identificable (PII) se corrompe o se destruye, por ejemplo, en un ataque de ransomware, las autoridades competentes deben ser informadas.
No es necesario informar sobre todos los incidentes de seguridad, pero si sobre aquellos que comprometen la seguridad de los datos personales. Si, en el curso de una investigación relacionada con una violación de la PII, las autoridades descubren problemas anteriores que se ignoraron o no se investigaron por completo, es probable que cualquier sanción que se tome sea algo más grave.
La multa por no informar correctamente de un incidente de seguridad que involucra datos personales es de 10 millones de euros, o el 2% de la facturación total de la empresa.
¿Qué medidas se han tomado para rectificar una infracción?
Informar de una violación de los datos a las autoridades es solo una parte del proceso después del incidente. En virtud del artículo 33, las empresas también deben proporcionar información sobre las medidas correctivas adoptadas para contener y reparar cualquier daño causado.
Hay que tener en cuenta que las autoridades consideran muy importante tener un plan de continuidad del negocio sólido, con copias de seguridad actualizadas de las bases de datos. Esto ayudará a mantener las operaciones en funcionamiento sin permitir que los efectos del ataque se propaguen.
También hay condiciones estrictas según las cuales las personas cuya información estuvo involucrada en la violación deben ser informadas.
Todo esto es, por supuesto, mucho con lo que lidiar mientras se lucha contra el problema fundamental de que alguien ha estado en los servidores de una empresa y aún puede estar allí.
Esta es la razón por la que RGPD también exige que las organizaciones realicen una evaluación exhaustiva del impacto de los datos y cuenten con procedimientos y líneas de autoridad claras para hacer frente a las consecuencias de una infracción.
Estos documentos son increíblemente importantes, y no solo para el cumplimiento de la norma. Ayudan a las empresas a enfrentarse los ataques de manera racional, tranquila y correcta.
Asegurando el cumplimiento del RGPD
Para lograr y mantener el cumplimiento del RGPD, es importante que las empresas puedan demostrar que las políticas de protección de datos se implementaron antes de la violación y que fueron eficaces para contenerla y comunicarla.
No hay ninguna expectativa de que todas las empresas puedan estar 100% seguras siempre; las violaciones pueden ocurrir, y ocurrirán.
No todas las infracciones resultarán en una multa, siempre que una empresa pueda demostrar el cumplimiento de la ley. Esta debe ser la principal respuesta a un robo de datos bajo el RGPD.
