Fin a la ocultación de ciberataques en la Unión Europea: las empresas deberán comunicarlos en 72 horas
Todo lo que tenga que ver con datos personales va a cambiar en la Unión Europea a partir del próximo 25 de mayo, día en el que entra en vigor el Reglamento General de Protección de Datos. Los usuarios tendrán que dar su consentimiento inequívoco para que las empresas puedan usar sus datos y estas, entre otras obligaciones, tendrán que comunicar los ciberataques en un plazo de 72 horas siempre que afecten a los derechos y las libertades de sus usuarios.
Este reglamento europeo de aplicación directa en todos los países miembros incluye la ciberseguridad como un ámbito de especial interés para la seguridad nacional. Es por ello que en su artículo 33 explica cuáles puede ser algunas de las causas de una violación de la seguridad de los datos personales y señala la obligación de los responsables de informar sobre ellas en cuanto tenga noticia.
En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. [...]
Esta comunicación con la autoridad competente, en el caso de España sería con la Agencia Española de Protección de Datos, podría no realizarse si el responsable puede demostrar que no supone un riesgo.
El nuevo reglamento también prevé que no pueda realizarse la comunicación en el plazo de 72 horas, indicándose que en ese caso deben comunicarse los motivos, e igualmente señala la obligación de comunicación con los afectados "tan pronto como sea razonablemente posible".
El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.
La violación de la seguridad de los datos personales se entiende, por el también conocido como GDPR o RGPD, por sus siglas en inglés y español, como "toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos".
Lo sucedido con anteriores grandes ataques como WannaCry, en el que únicamente unas pocas empresas como Telefónica comunicaron oficialmente que estaban afectadas aunque se diversas fuentes asegurasen que muchas más lo estaban, no sería de extrañar que las noticias sobre brechas de seguridad se sucedan con más frecuencia e iguales a las informaciones sobre hechos similares ocurridos en Estados Unidos, donde ya existía la obligación de comunicación.