La nueva ley de Datos obligará al Ibex 35 a comunicar los ciberataques antes de 72 horas

A partir del 25 de mayo cualquier empresa de este país, ya sea una micropyme o una gran corporación que sufra un ciberataque tendrá la obligación de comunicarlo antes de 72 horas tanto a la Agencia Española de Protección de Datos (AEPD) como a los usuarios afectados.

Es algo especialmente relevante en el caso de los bancos y otras empresas cotizadas en el Ibex 35 por la crisis reputacional que implica este tipo de incidentes. En el caso de que se desconozcan los usuarios afectados, las entidades tendrán que hacer un comunicado público, aseguran fuentes tanto jurídicas y como del sector financiero.

Episodios como el del virus WannaCry no se volverán a repetir. No hablamos de los ciberataques, que están a la orden del día y en crecimiento, sino del hecho de reconocer el incidente. Sólo Telefónica lo hizo, mientras otras empresas del Ibex 35 como Iberdrola, Banco Santander o Gas Natural negaban la mayor.

Es algo nuevo pero tampoco tanto, ya que desde 2014 la regulación española obliga a los llamados ISP (Internet Service Provider o Proveedor de Servicios de Internet) como Telefónica, Orange o Vodadone a informar sobre ciberataques"

Esta es una de las imposiciones que refleja la nueva regulación europea. Bautizada como GDPR (RGPD en español, Reglamento General de Protección de Datos), emana de Europa y cada uno de los estados miembros debe trasponerla a la regulación local.

Su objetivo es defender más la utilización de los datos que empresas y organismos públicos poseen de los ciudadanos europeos, toda vez que el entorno digital se ha convertido en un caladero de información personal del que se nutren muchas empresas.

Políticas de uso más claras

El nuevo marco regulatorio establece también la obligación de informar al usuario de una forma más clara sobre lo que se hace con sus datos personales y deberá darse mediante un formulario con un acto afirmativo claro, que no lleve a errores.

Compañías como Google o Facebook tendrán que describir sin ambigüedades este extremo en sus textos de políticas de uso. La medida afectará a cualquier corporación, sea del tamaño que sea, siempre y cuando trate datos de carácter personal.

Quienes vulneren en algún sentido la GDPR estará expuestos a sanciones de hasta 20 millones de euros o un 4% del volumen de negocio de la compañía que haya infringido la norma. La Agencia Española de Protección de Datos establecía hasta ahora una sanción máxima de 600.000 euros.

Las telecos ya estaban obligadas

"Es algo nuevo pero tampoco tanto, ya que desde 2014 la regulación española obliga a los llamados ISP (Internet Service Provider o Proveedor de Servicios de Internet) como Movistar,Orange, Vodafone o MásMóvil a informar sobre ciberataques", explica Eduard Blasi, experto en derecho digital, cofundador de Nepcom y abogado de Marimón Abogados.

De esta forma, Movistar, Orange, Vodafone o MásMóvil informan pertinentemente al INCIBE (Instituto Nacional de Ciberseguridad en España) cuando se produce cualquier tipo de incidente de este tipo.

El objetivo de esto es conocer más qué tipo de amenazas son las que se están produciendo y disponer de más información para abordar la problemática con mayor conocimiento de causa, así como alertar e informar a otras empresas y corporaciones de los riesgos más inminentes para que los aborden mejor.