Implicaciones jurídicas y consecuencias de una violación de datos 

Una filtración de datos puede tener consecuencias desastrosas para cualquier empresa. La perspectiva de cuantiosas multas y daños a la reputación son sólo la punta del iceberg. Si no se gestiona con rapidez y cuidado, una violación de datos puede tener otros efectos negativos a largo plazo para una empresa, dificultando su recuperación comercial y su posición en el mercado.

Pero prepararse para un incidente tan desalentador puede ayudar a reducir los daños y acelerar el proceso de recuperación si ocurre lo peor.

Entré en el sector de la informática en una época en la que los ordenadores personales empezaban a aparecer en escena. El primer PC de IBM acababa de salir de los establos y las empresas que enviaban sus datos a una oficina de ordenadores centrales se planteaban el paso a una solución interna para sus cuentas y nóminas.

Con la generalización de los ordenadores personales y las redes de área local, lo peor que podía ocurrir no era un fallo del hardware, sino la pérdida de datos valiosos, lo que podía provocar el colapso total de una empresa, ¡y a menudo ocurría!

Se podría pensar que un sistema eficaz de copias de seguridad de los datos es la máxima prioridad de cualquier empresa. Lamentablemente, innumerables empresas han sufrido las dolorosas consecuencias de políticas y procedimientos de copia de seguridad inadecuados. Incluso algunas empresas que hacían copias de seguridad de sus datos a diario no guardaban las cintas de seguridad en una caja fuerte ignífuga o, mejor aún, fuera de sus instalaciones. Como era de esperar, las empresas que sufrieron un incendio vieron cómo sus datos se esfumaban con el edificio.

Afortunadamente, hoy en día la mayoría de las empresas son más diligentes con sus procedimientos de copia de seguridad.

Sin embargo, las cosas han cambiado en nuestro mundo comercial, que avanza rápidamente. Dirigir una empresa hoy en día es muy distinto a como era en los años 80. Internet ha traído consigo no sólo una oferta cada vez mayor de soluciones digitales para procesar la información, sino también amenazas mucho mayores para los datos que procesamos. Internet no solo ha traído consigo una oferta cada vez mayor de soluciones digitales para procesar la información, sino también amenazas mucho mayores para los datos que procesamos.

Ya no son sólo "nuestros" datos

Los datos que las empresas procesan hoy en día implican mucha más información personal que antes. Y estos datos pueden incluir a menudo información muy sensible sobre las personas.

La privacidad y la protección de datos representan el mayor cambio para las empresas en los tiempos modernos. Las leyes nuevas y revisadas para proteger los datos personales y las personas a las que afectan se han convertido en sacrosantas.

Cualquier organización que recopile, almacene y procese información personal está ahora obligada a responder de la protección de esos datos, así como de la protección de la intimidad y los derechos de las personas. La falta de protección frente a ciberataques cada vez más sofisticados, o incluso las acciones negligentes, pueden acarrear cuantiosas sanciones económicas y afectar negativamente a la reputación de una empresa.

Pero ni siquiera las defensas más rigurosas pueden ser impermeables a un ciberataque y al inevitable robo de datos que suele acompañar a un incidente de este tipo.

¿Qué es una violación de datos?

Una violación de datos, según Technopedia, es un incidente que implica la visualización, el acceso o la recuperación no autorizados o ilegales de datos por parte de una persona, una aplicación o un servicio. Es un tipo de brecha de seguridad diseñada específicamente para robar y/o publicar datos en un lugar no seguro o ilegal.

Una violación de datos puede provocar la pérdida de datos, incluida información financiera, personal y sanitaria. Un pirata informático también puede utilizar los datos robados para suplantar su identidad y obtener acceso a un lugar más seguro. Por ejemplo, la violación de datos por parte de un hacker de las credenciales de inicio de sesión de un administrador de red puede dar lugar al acceso a toda una red.

No se equivoque. Una violación de datos puede tener consecuencias devastadoras. En 2018 la Instituto Ponemon ha realizado un estudio que revela que el coste medio mundial de una violación de datos es de $3,86 millones, con un coste medio de $148 por cada registro perdido o robado.

Una violación de datos también puede dañar la cotización de las acciones de las grandes multinacionales. Por ejemplo, la multa impuesta por la ICO a British Airways Las acciones cayeron un 2%. Pero el daño reputacional sufrido puede tener un efecto a largo plazo en la lealtad de los consumidores y reducir la confianza en el mercado.

Mientras tanto, los resultados para las pequeñas empresas pueden ser fatales, ya que la mayoría de las PYME son incapaces de mantener sus operaciones comerciales durante no más de seis meses tras un ciberataque.

Consecuencias de una filtración de datos

Las organizaciones que recogen y almacenan digitalmente información personal están obligadas por ley a aplicar medidas "razonables" de protección de datos. Dependiendo de dónde haga negocios una empresa, estará sujeta a la legislación que cubre la protección de datos y la privacidad de los datos. Las empresas que venden productos y servicios a países de la Unión Europea deben cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE, mientras que en Estados Unidos, donde aún no existe una ley federal de privacidad, las leyes estatales individuales ofrecen diversos grados de protección a los consumidores.

California, Nueva York y Nevada han liderado el campo de la privacidad del consumidor a nivel estatal, con la Ley de Privacidad del Consumidor de Nevada que se promulgará el 1 de octubre de 2019, y la CCPA de California y la Ley de Privacidad de Nueva York que entrará en vigor el 1 de enero de 2020.

Las empresas cubiertas están obligadas a ser francas y transparentes en caso de ciberataque y deben demostrar su compromiso de resolver el problema legalmente. Cumplir la ley de esta manera puede ayudar a recuperar una posición positiva y mitigar daños mayores.

En caso de que se produzca una violación de datos, hay cuatro implicaciones legales consagradas en las leyes de protección de datos en todas las jurisdicciones. Estas son:

NOTIFICACIÓN Una empresa que haya sufrido una violación de datos está obligada a notificarlo lo antes posible a todas las personas afectadas. En la mayoría de los casos, la empresa también debe notificarlo a su autoridad reguladora. Con arreglo al RGPD, la Oficina del Comisario de Información (OCI) debe ser notificada en un plazo de 72 horas desde el descubrimiento de la violación.

En Estados Unidos, el fiscal general del estado correspondiente debe ser informado de un incidente de violación de datos. Otros organismos reguladores son la Comisión Federal de Comercio (FTC), la Comisión de Bolsa y Valores, la Comisión Federal de Comunicaciones (FCC) y la Oficina de Protección Financiera del Consumidor.

Scott Watnik, socio de litigios del bufete de abogados estadounidense Wilk Auslander, aconseja a las empresas que

Solicite inmediatamente el asesoramiento de un abogado para determinar cuándo y a quién hay que notificar el ataque una vez descubierto,

Las empresas que no informan de una violación de datos pueden sufrir graves consecuencias. Grupo hotelero Marriott fue multado con $124 millones por la ICO cuando se produjo una filtración de datos en la empresa rival Starwood -que Marriott adquirió en 2016- que afectó a los registros de unos 30 millones de europeos.

La enorme multa se impuso porque Marriott se retrasó dos meses en informar de la brecha en su sistema en noviembre de 2018. En realidad, la brecha se descubrió en septiembre de 2018.

  1. RESPUESTA

La respuesta de una empresa a una violación de datos influirá directamente en su credibilidad a los ojos del regulador. Por lo tanto, es fundamental contar con un plan de respuesta eficaz.

El departamento de TI de la empresa debe investigar todos los aspectos de la violación, en particular el grado en que se ha accedido a los datos personales o se han visto comprometidos, así como el origen de la violación, si se puede identificar. El personal informático debe trabajar bajo la dirección del responsable de la protección de datos (RPD) de la empresa y transmitir toda la información pertinente sobre la violación.

También es importante trabajar con el asesor de protección de datos de la empresa, ya que es probable que las obligaciones de divulgación varíen en función de los tipos de datos que se hayan visto comprometidos.

Disponer de un "plan de respuesta a incidentes de seguridad" es la mejor medida, aconseja Watnik. El plan de respuesta debe incluir las siguientes medidas:

  1. Personal de operaciones para atender cualquier necesidad de información de los consumidores, incluida la creación de centros de atención telefónica al consumidor en caso necesario.
  2. Asesoramiento jurídico externo con experiencia para ayudar a navegar por el panorama legal.
  3. Expertos en relaciones públicas que puedan gestionar los contactos con la prensa en caso de que el hackeo se haga público.
  4. Corredores de seguros y personal para ayudar a notificar a cualquier compañía de seguros, presentar avisos de reclamaciones de pérdidas e identificar los beneficios de la póliza aplicables.

dijo Watnik:

Después de un ataque, puede ser necesario tomar medidas extremas, como el cierre de todos los sistemas informáticos de la empresa durante varios días y la suspensión efectiva de todas las operaciones comerciales en su totalidad, ... Es posible que haya que restablecer todas las contraseñas de los empleados y que haya que hacer una copia de seguridad de todos los sistemas para preservar su estado actual para la investigación forense.

  1. SANCIONES

Dado que las sanciones económicas son impuestas por cada jurisdicción regional, las multas varían mucho y suelen depender de la gravedad de la infracción, así como del número de personas afectadas y de la naturaleza de los datos comprometidos.

La empresa afectada también será juzgada por sus medidas preventivas y de respuesta y por la rapidez con que notificó el incidente a las personas afectadas y a las autoridades.

La forma en que una empresa demuestre que cumple la ley, disponiendo de un plan de respuesta y notificando a tiempo, puede ayudar potencialmente a reducir el número de multas y otros costes derivados de un ciberataque.

Contar con un equipo de respuesta a incidentes de seguridad puede reducir el coste de una brecha de ciberseguridad hasta en US$14 por registro comprometido, respecto al coste medio per cápita de US$148, según el Estudio Ponemon 2018.

  1. LITIGIOS

En términos generales, las acciones legales relacionadas con un ciberataque se inician cuando una empresa cubierta incumple sus obligaciones:

  1. notificar oportunamente la infracción, tal como lo exige la legislación de protección de datos correspondiente;
  2. responder al incumplimiento y esforzarse por remediar o mitigar el daño causado;
  3. aplicar medidas razonables de seguridad de los datos

En algunos casos, dependiendo de las leyes regionales aplicables, una empresa afectada también podría ser objeto de demandas privadas presentadas por clientes y accionistas.

  1. PREVISIÓN DE CUESTIONES JURÍDICAS

Para que las empresas se protejan, Watnik sugiere que todos los asuntos relacionados con la ciberseguridad se debatan primero en el consejo de administración, concentrándose en comprender el panorama general.

Un recurso útil es la guía de 2018 de la Comisión de Seguridad e Intercambio de los Estados Unidos para las empresas públicas sobre las revelaciones de ciberseguridad (la "Guía"). Este documento contiene un buen ejemplo de lo que debería ser el centro de las discusiones.

La Guía aconseja que los miembros del consejo de administración sepan lo siguiente:

  1. La naturaleza y eficacia de su sistema de ciberseguridad y en qué medida se ha puesto a prueba;
  2. Las políticas y procedimientos de ciberseguridad que deben seguirse;
  3. Cómo almacena la empresa los datos;
  4. Las medidas adoptadas para probar el sistema de ciberseguridad y la suficiencia de los procedimientos actuales de la empresa;
  5. La naturaleza y el alcance de la cobertura del seguro de ciberseguridad de la empresa; y
  6. Cómo las prácticas y operaciones comerciales de la empresa tienen en cuenta el riesgo de ciberataques.

Otra sugerencia de Watnik es formar una comunidad de consejos de ciberseguridad, contratar a expertos para formar a los empleados y establecer procedimientos de actuación, junto con un plan de comunicación, para que haya un punto de referencia en caso de violación de datos. afirma Watnik:

Por último, los responsables de la empresa deben asegurarse de contar con personal informático que les informe regularmente sobre los esfuerzos de protección de datos y las vulnerabilidades,

Conclusión: Esté siempre preparado

Vivimos en una época en la que la potencia de los ciberataques aumenta casi semanalmente. Los piratas informáticos destructivos son cada vez más sofisticados en su forma de irrumpir y robar -o destruir- la información almacenada en los dispositivos de las redes corporativas y los sitios web. Lamentablemente, la ciberdelincuencia es un hecho en la sociedad conectada actual.

Desgraciadamente, estos hechos no proporcionan a las empresas afectadas inmunidad frente a las acciones judiciales. Por ello, es vital que las empresas comprendan sus obligaciones legales en materia de protección de datos y privacidad de los mismos, así como la forma de hacer frente a las consecuencias de una violación de datos.

Una planificación cuidadosa y meticulosa para la peor posibilidad podría significar la diferencia entre una gran vergüenza, multas punitivas y pérdida de prestigio en el mercado, ...y minimizar el impacto financiero y operativo de uno de los mayores temores del mundo comercial.

Si quiere saber más sobre cómo ayudamos a las empresas, por favor ponte en contacto con nuestro amable equipo hoy mismo. También puede obtener más información sobre nuestro Marca de Servicios de Emergencia de Datos aquí.

NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda a las empresas que contraten los servicios de un profesional con experiencia en privacidad y protección de datos cuando se preparen para cumplir con la legislación sobre protección de datos y privacidad.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.