Robo de datos: cuando el ladrón está dentro de la empresa

Si soy una empresa turística, sufro una brecha de seguridad y se filtran datos al exterior, ¿me expongo a recibir sanciones con el nuevo Reglamento General de Protección de Datos?

Hay sanciones administrativas; sanciones graves, que pueden llegar hasta 10 millones de euros o el 2% del volumen de negocio total del ejercicio financiero anterior (lo que puede afectar no sólo a una empresa sino a todo su grupo); y las sanciones muy graves, que prevén multas de hasta 20 millones de euros o el 4% del volumen de negocio, lo que sea el máximo.

¿Si alguien me ha robado los datos, puedo decir que no es culpa mía y por tanto evitar así el pago de sanciones?

Lo que hace la autoridad competente es abrir una investigación para determinar hasta qué punto llega la responsabilidad de la empresa. Nadie, por muchas medidas que tenga, está exento de recibir un ciberataque. Por eso, en esa investigación lo que se valora es cómo ha actuado la empresa y qué medidas había tomado antes, durante y después de la filtración de datos.

"La empresa tiene que comunicar el incidente a las autoridades en las primeras 72 horas desde que descubre la filtración"

¿Qué elementos se valoran especialmente a la hora de fijar las sanciones?

La empresa tiene que comunicar el incidente a las autoridades en las primeras 72 horas desde que descubre la filtración. Y dependiendo del tipo de fuga de datos o brecha de seguridad, debes comunicarlo también a los afectados y terceros implicados. Igualmente tienes que hacer un seguimiento de las acciones que estás tomando a nivel técnico, jurídico y organizativo. Y todo esto mientras estás en constante comunicación con la autoridad competente, que en el caso de España es la Agencia de Protección de Datos.

Además de los piratas informáticos ¿se descubren también casos en los que un empleado de la propia empresa robe datos, simplemente por el procedimiento de copiarlos en un pendrive, transferirlos fuera por correo electrónico, subirlos a la nube…?

Sí, esto está pasando. De hecho, de manera habitual recibimos peticiones de empresas, en un número bastante elevado, para llevar a cabo análisis forenses.

¿Análisis forenses, dice?

Es cuando las empresas nos piden que hagamos un estudio para determinar qué empleados se han llevado datos, o que hayan borrado datos. Esto se está detectando cada vez más, seguramente porque ahora hay herramientas para detectarlo. Un análisis forense sirve para determinar qué robo de datos ha habido y sobre todo para determinar qué persona concreta lo hizo, para poder demandar posteriormente a ese empleado.

"Un análisis forense sirve para para determinar qué empleados se han llevado datos, o que hayan borrado datos"

Así que esto sucede, no solo pasa en las películas…

Sí, sí… y tanto que sucede. Ya pasaba antes, lo que pasa es que ahora hay más medios y las empresas están más sensibilizadas. Aunque también sigue pasando que en muchos casos es muy difícil determinar quién ha sido el autor del robo interno de datos porque las empresas no se dotaron de los medios suficientes. Algunas empresas ven esto como un coste, pero cuando pasan cosas de este tipo, es fácil determinar la autoría del robo y tiene un retorno de la inversión.

Xavier Ferretjans, abogado especialista en nuevas tecnologías del bufete Monlex Hispajuris.

¿Algún consejo esencial para las empresas turísticas?

Aquí cada compañía tendrá su nivel de cumplimiento, incumplimiento y presupuesto. Pero lo primero es que haya un nivel de concienciación a nivel de dirección que estos temas pasan, constantemente.

Y las repercusiones serán cada vez más serias, imagino, con el nuevo Reglamento…

En efecto. Ya no es solo un tema que te hayan robado los datos y que puedas tener un impacto comercial y para la imagen de la empresa. Es que además ahora hay unas sanciones importantes. Y no solo eso, el artículo 82 del Reglamento abre una ventana que no existía antes

¿A qué se refiere?

Antes la empresa pagaba sanciones al Estado, mientras el afectado no veía un duro. Pero el artículo 82 abre la posibilidad que el afectado te pueda reclamar por daños y perjuicios. Así que, de repente, puedes encontrarte frente a demandas, aparte de la sanción que te pueda aplicar la autoridad competente. Un bufete de abogados del Reino Unido, por ejemplo, a raíz del robo de datos que ha sufrido la aerolínea este verano, acaba de poner sobre la mesa una demanda colectiva contra la compañía, de clientes afectados que reclaman indemnizaciones por valor de 650 millones de euros.

"El cumplimiento del RGPD es muy bajo entre las empresas españolas. Si se ponen a hacer inspecciones…"

¿Cuál es el nivel de cumplimiento en España del Reglamento General europeo de Protección de Datos hasta ahora?

Debemos recordar que el RGPD entró en vigor en 2016 pero hasta mayo de 2018 convivió con una antigua directiva europea, ya derogada. Es decir, hubo dos años para adaptarse. Sin embargo, el cumplimiento es muy bajo entre las empresas españolas. Algunas estadísticas lo sitúan entre el 30% y el 35%, a pesar de todo lo que se ha hablado de este tema en los medios de comunicación. Si se ponen a hacer inspecciones…Sería un auténtico desastre.