Ciberatacs i tractament de dades personals
- 20 desembre 2021
- Assessoria
Els ciberatacs a empreses, organitzacions i institucions estan en auge, així ho reflecteixen les últimes estadístiques en ciberdelinqüència. Cap organització està exempta de veure compromesos els seus sistemes, circumstància que anirà en auge degut a la tendència a la digitalització de les organitzacions i la consolidació del teletreball en les empreses.
Ens estem acostumant a veure en els mitjans informacions sobre ciberatacs a empreses, universitats, o fins i tot a organismes estatals que paralitzen la seva activitat unes hores, o fins i tot dies. En el rerefons sempre queda el dubte de si hi ha hagut una transacció econòmica que ha possibilitat la resolució de la incidència.
Però si bé és cert que en un primer moment el que pot preocupar-nos més són les conseqüències econòmiques d'aquests ciberatacs, hem de recordar que una fallada o feblesa en el nostre sistema permet l'accés il·lícit de tercers a totes les nostres bases de dades, i que això indirectament també pot suposar pèrdues econòmiques, en primer lloc perquè genera desconfiança en els nostres clients i en segon lloc perquè si la bretxa de seguretat és imputable a una negligència per part nostra, pot comportar una possible sanció de l'Agència Espanyola de Protecció de Dades.
La prevenció dels ciberatacs és fonamental, així com la instauració de procediments que ens permetin recuperar de la manera més ràpida possible les dades compromeses. Destaquem en aquest sentit la guia publicada per Incibe (Institut Nacional de Ciberseguretat) i que es pot consultar aquí.
La correcta implementació de la normativa sobre Protecció de Dades Personals ha d'anticipar-se en la mesura que sigui possible a aquestes situacions. Un bon protocol de seguretat que inclogui la descripció detallada dels riscos i amenaces per a la seguretat del sistema, la utilització d'antivirus, l'actualització constant dels sistemes operatius, o un bon disseny de la política de contrasenyes, poden ajudar-nos a acreditar davant l'AEPD la nostra diligència i pro activitat en la matèria. El RGPD imposa als responsables del tractament l'obligació de notificar a l'Agència Espanyola de Protecció de Dades qualsevol incidència de seguretat en el tractament de les dades personals quan sigui probable que constitueixin un risc per als drets i llibertats de les persones.
El responsable del tractament ha de valorar el nivell de risc de la bretxa de dades personals, i quan el risc sigui alt també haurà de comunicar aquesta bretxa a les persones afectades. Podeu ampliar la informació aquí.
