Si hemos sufrido un incidente de seguridad en nuestra empresa, un ataque de virus que ha podido afectar o comprometer los archivos y datos que tenemos almacenados muchos no saben cómo actuar o si tienen que informar del problema de seguridad en la empresa a la AEPD. Para ello la Agencia Española de Protección de Datos ha publicado una herramienta que ayude a los responsables a discriminar si es necesario informar o no a los afectados.
Lo cierto es que el responsable de protección de datos tendría que poner en conocimiento de la AEPD el incidente si se han visto afectados y comprometidos datos personales. Pero también tenemos la obligación de informar a las personas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos.
Y esta cuestión es algo comprometido para muchas empresas, puesto que implica en muchos casos un problema de reputación y puede derivar en la pérdida de confianza de sus propios clientes. En muchos casos hay datos personales, financieros, médicos, etc. de especial sensibilidad por lo que es muy delicado y las empresas tratan de evitarlo a toda costa.
Se trata de un cuestionario sencillo que en función del tipo de incidente, cómo se han visto afectados los datos, qué datos personales tenemos recogidos y se han visto comprometidos, si los hemos podido recuperar o no... nos va a indicar si estamos obligados a comunicar a nuestros clientes el incidente o no.
Independientemente del uso de esta herramienta tenemos que actuar para solucionar el problema en dos vías. Por un lado determinar por dónde se ha producido la brecha de seguridad y tratar de solucionarlo. Por otro recuperar los datos afectados lo antes posible. La comunicación a la AEPD es obligatoria en las siguientes 72 horas a la detección del incidente.
Si la AEPD considera que no hemos tomado las medidas de seguridad necesarias para el tipo de datos personales que estamos tratando nos podría imponer una sanción, que pueden llegar hasta el 4% de la facturación anual o 20 millones de euros... Las más habituales en España impuestas hasta el momento van de los 120.000 a los 30.000 euros para los casos más graves.