España

La nueva ley de Datos obligará al Ibex 35 a comunicar los ciberataques antes de 72 horas

Las empresas cotizadas estarán bajo la lupa con la nueva normativa que entra en vigor el 25 de mayo

Usuario con un ordenador
Usuario con un ordenador Santiago Zavala

A partir del 25 de mayo cualquier empresa de este país, ya sea una micropyme o una gran corporación que sufra un ciberataque tendrá la obligación de comunicarlo antes de 72 horas tanto a la Agencia Española de Protección de Datos (AEPD) como a los usuarios afectados.

Es algo especialmente relevante en el caso de los bancos y otras empresas cotizadas en el Ibex 35 por la crisis reputacional que implica este tipo de incidentes. En el caso de que se desconozcan los usuarios afectados, las entidades tendrán que hacer un comunicado público, aseguran fuentes tanto jurídicas y como del sector financiero.

Episodios como el del virus WannaCry no se volverán a repetir. No hablamos de los ciberataques, que están a la orden del día y en crecimiento, sino del hecho de reconocer el incidente. Sólo Telefónica lo hizo, mientras otras empresas del Ibex 35 como Iberdrola, Banco Santander o Gas Natural negaban la mayor.

Tan pronto como el responsable del tratamiento de los datos tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después, comunicarlo a la autoridad competente"

Reglamento General de Protección de Datos que entra en vigor el 25 de mayo

Esta es una de las imposiciones que refleja la nueva regulación europea. Bautizada como GDPR (RGPD en español, Reglamento General de Protección de Datos), emana de Europa y cada uno de los estados miembros debe trasponerla a la regulación local.

"Tan pronto como el responsable del tratamiento de los datos tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas", explica el texto legal de la GDPR. 

Políticas de uso más claras

El nuevo marco regulatorio establece también la obligación de informar al usuario de una forma más clara sobre lo que se hace con sus datos personales y deberá darse mediante un formulario con un acto afirmativo claro, que no lleve a errores.

Compañías como Google o Facebook tendrán que describir sin ambigüedades este extremo en sus textos de políticas de uso. La medida afectará a cualquier corporación, sea del tamaño que sea, siempre y cuando trate datos de carácter personal.

Quienes vulneren en algún sentido la GDPR estará expuestos a sanciones de hasta 20 millones de euros o un 4% del volumen de negocio de la compañía que haya infringido la norma. La Agencia Española de Protección de Datos establecía hasta ahora una sanción máxima de 600.000 euros.

Es algo nuevo pero tampoco tanto, ya que desde 2014 la regulación española obliga a los llamados ISP (Internet Service Provider o Proveedor de Servicios de Internet) como Telefónica, Orange o Vodadone a informar sobre ciberataques"

Las telecos ya estaban obligadas

"Es algo nuevo pero tampoco tanto, ya que desde 2014 la regulación española obliga a los llamados ISP (Internet Service Provider o Proveedor de Servicios de Internet) como Movistar,Orange, Vodafone o MásMóvil a informar sobre ciberataques", explica Eduard Blasi, experto en derecho digital, cofundador de Nepcom y abogado de Marimón Abogados.

De esta forma, Movistar, Orange, Vodafone o MásMóvil informan pertinentemente al INCIBE (Instituto Nacional de Ciberseguridad en España) cuando se produce cualquier tipo de incidente de este tipo.

El objetivo de esto es conocer más qué tipo de amenazas son las que se están produciendo y disponer de más información para abordar la problemática con mayor conocimiento de causa, así como alertar e informar a otras empresas y corporaciones de los riesgos más inminentes para que los aborden mejor.



Comentar | Comentarios 0

Tienes que estar registrado para poder escribir comentarios.

Puedes registrarte gratis aquí.

  • Comentarios…

Más comentarios

  • Mejores comentarios…
Volver arriba