Los ciberataques a empresas son cada vez más comunes. Estos delitos informáticos pretenden usurpar datos de la compañía o de sus clientes para sacar lucro económico, ya sea vendiéndolos, chantajeándoles o suplantando su identidad. Entonces … ¿Qué deben hacer las corredurías ante estos ciberataques? ¿Y cómo deben prevenirlos? ARAG nos lo aclara.

Qué hacer como correduría si nos ciberatacan

Si nos encontramos ante esta situación, debemos seguir estos 4 puntos:

1. Denunciar los hechos ante la policía.
2. Tratar la recuperación de los datos comprometidos para poder restaurar la normalidad de la organización.
3. Notificar la brecha de seguridad a la Autoridad de control (antes de que pasen 72 horas desde que tenemos constancia), siempre que pueda suponer un riesgo para los derechos y libertades de las personas. Excepto en Cataluña, País Vasco y Andalucía, que tienen autoridades de control propias, la autoridad de control a nivel estatal es la Agencia Española de Protección de Datos (AEPD).
4. Comunicar el problema a los interesados que hayan visto comprometidos sus datos.

En este sentido, la AEPD ya informa que las organizaciones que sufran una brecha de datos personales deben centrarse en evitar y minimizar las posibles consecuencias que pueda tener sobre derechos fundamentales y libertades públicas de las personas afectadas.

Responsabilidad de las corredurías en la protección de datos

Las empresas deben responsabilizarse de la protección de datos de sus clientes. Para ello, deben cumplir una serie de medidas:

1. Comunicación rápida y clara. Si además fuera necesaria la comunicación al interesado, esta deberá hacerse en un lenguaje claro y sencillo describiendo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las medidas notificadas a la autoridad de control. Si esto llegara a suponer un esfuerzo desproporcionado o se desconoce con precisión quién ha podido verse afectado, se puede realizar un comunicado público.
2. Medidas técnicas y organizativas. Cabe recordar, que las corredurías, como responsables de tratamiento de datos personales, son quienes deben aplicar las medidas técnicas y organizativas apropiadas en todo momento para garantizar y poder de mostrar, a requerimiento de la AEPD, que se cumple con la ley y el reglamento de datos personales y que esas medidas son efectivas.
3. Ser responsables proactivos, desde el diseño. Es importante que se realice pensando en la protección de datos desde el diseño y por defecto. La Privacidad desde el Diseño, está basada en que debemos ser responsables proactivos, no reactivos y las medidas aplicadas deben ser preventivas no correctivas. La idea principal es que la privacidad este incorporada desde el inicio, en la fase de diseño y además durante toda la vida del dato personal. Tiene que haber transparencia.
4. Tratar los datos solo para el fin obtenido. La protección de datos por defecto se basa en aplicar medidas técnicas y organizativas para garantizar que los datos personales solo sean tratados para el fin obtenido.