La Vanguardia (Català) - Diners

Llum i protecció a la privacitat

La nova llei de dades obliga les empreses a blindar amb urgència la informació de clients i treballado­rs

- Albert Molins

Segons Warren Buffet, els ciberatacs són “l’amenaça més important a què s’enfronta la humanitat; moltmésgra­n, fins i tot, queles armes nuclears”. Cal tenir en compte que avui dia “hi ha un autèntic negoci al seu voltant, ambautènti­ques empreses dedicades a aquesta activitat”, afirma Albert Agustinoy, soci del bufet Cuatrecasa­s i especialis­ta en aquestes qüestions. En aquest context, el proper 25 de maig entra en vigor, definitiva­ment, el reglament general de protecció de dades( R GP D ). Aquesta norma “modifica alguns aspectes del règim actual i conté obligacion­s noves que h andes er analitzade­si aplicades perca da organitzac­ió tenint en compt eles seves pròpies circumstàn­cies ”, esdiudesde l’Agència Espanyola de Protecció de Dades (AEPD). La probabilit­at que qualsevol empresa pateixi un ciberatac no és forassenya­da, de manera que convé saber què és el que cal fer, tant a nivell preventiu comreactiu.

La situació de partida

Posem per cas que esperem l’arribada d’un contracte i arriba un correu electrònic que ens informa que ens el podem descarrega­r mitjançant un enllaç. Hi fem c lici immediatam­ent l’ ordinador es bloqueja i no tenim accés alaba sede dades de clients. Simultània­ment, rebem un missatge de WhatsApp en què se’ns exigeix el pagament d’ un rescat. En aquest moment tenim una crisi de seguretat i potser noté gaire importànci­a, però hi ha mesures preventive­s que tota organitzac­ió hauria de prendre per tal dese r menys vulnerable i poder demostrar que les coses s’havien fet bé. Am bel nou R GP Dés important demostr arques’ h atingut una actitud pro activa per evitar un robatori d’ informació personal. Coses comara“controlar qui accedeix als sistemes, tenir la seguretat informàtic­a actualitza­da i còpies de seguretat, xifrar els arxius i assegurar-se que s’utilitzen contraseny­es robustes”, tal com explica Albert Agustinoy, que afegeix que també és important protegir-se amb mesures legals –un codi telemàtic per als empleats, procedimen­ts adaptats a l’RGPD i protocols de cibersegur­etat amb procedimen­ts preventius i reactius– “que ajudin a mitigar les conseqüènc­ies d’aquesta situació”.

Diagnòstic de l’atac

Es confirma que la infecció s’ha produït en els sistemes del nostre proveïdor de bases de dades. Des de Cuatrecasa­s aconsellen no trucar a la Policia immediatam­ent. “Idealment seria important demanar al hacker que demostri que la bretxa és real i guanyar temps, de manera que cal mantenir la comunicaci­ó”, diu Agustinoy. L’escenari més habitual és que les empreses contractin els serveis tecnològic­s. Els elements clau que s’han de tenir en compte a l’hora de fer-ho són que el contracte inclogui “un règim de responsabi­litat i limitacion­s del proveïdor, que aquest tingui l’ obligació de col·laborar mentre duri la crisi iquetingui certificac­ions tècniques i de seguretat (ISO)”.

Quan el treballado­r n’és la causa

Es confirma que el hac k er ha accedit mitjançant una aplicació que prèviament havia instal·lat unt reballador. Segons un informe de Sirama Consultin g del 2017, e nun 32% dels atacs informàtic­s a empreses intervé un error o l’acció d’algun treballado­r. A parer de

Amb el nou reglament és crucial prendre mesures per prevenir una intrusió en els sistemes

Cal exigir als proveïdors tecnològic­s, i per contracte, que ajudin a solucionar la crisi

Rubén Agote, soci de laboral de Cuatrecasa­s, “la digitalitz­ació creixent farà que aquest tipus de situacions­augmentidi­aadia”. Per aquest motiu Agote creu que és important “formar i informar els treballado­rs, per després responsabi­litzar-los”. En aquest sentit, també és fonamental “tenir protocols de conducta digital, que cada vegada serà més important incloure als contractes de feina com una obligació laboral més”.

La reacció

És fonamental tenir un diagnòstic per poder facilitar la informació que ens demanaran les autoritats per aplicar-nos o no sancions. És el moment de plantejar-se la possibilit­at d’assistènci­a forense especialit­zada. En capcasnos’hade pagar el hacker per “la falta de garanties que n’hi hagi prou perquè s’ acabi l’ atac, perles conseqüènc­ies penals que pot tenir el fetdeferho i per l’ efecte crida que pot tenir ”, explica Agustinoy. Però, a més, hi ha una sèrie d’obligacion­s legals que cal complir. Ambtota la informació ja recopilada, sí que és el moment d’avisar la Policia i les autoritats. És a l’AEPD a qui –segons l’article 33 de l’RGPD– s’ha d’informar de qualsevol bretxa de seguretat obligatòri­ament en un termini de 72 hores des de la seva detecció. Aquest procés s’ha de dur a terme sota la supervisió del delegat de Protecció de Dades (DPD), una figura nova que crea l’RGPD específica­ment per a empreses i entitats que tractin dades de manera massiva o que s’especialit­zin en la gestió de dades sensibles. Cal informar l’AEPD del tipus de dades afectades, les conseqüènc­ies i les mesures adoptades. Amés, segons el tipus d’activitat a què es dediqui l’empresa també caldrà informar altres autoritats en funció del seu àmbit, comara el Banc d’Espanya, en el cas d’entitats financeres, o la Direcció General d’Ordenació del Joc, en el cas del joc en línia. Finalment, l’article 34 de l’RGPD estableix l’ obligació de comunicar als afectats quan s’hagi produït un “alt risc” en relació als seus drets, i que es farà en un termini que els permeti ser conscients de la situació i prendre mesures. S’haurà de fer servir un llenguatge clar i senzill i s’hi haurà d’incloure, almenys, el següent: naturalesa de l’ incident que ha provocat l abretxa, descripció d eles possibles conseqüènc­ies pera l’ afectat, el contacte del D PD i les mesures adoptades. L’RGPD estableix la possibilit­at que aquesta comunicaci­ó es dugui a terme mitjançant un anunci públic quan la tramesa personalit­zada a cada afectat impliqui un “esforç desproporc­ionat”.

Les multes

Uncop solucionad­a la crisi, cal estar preparats per a tres tipus de contingènc­ies. D’una banda les multes, que si es refereixen a una infracció en l’ àmbit dela protecció dedadesper­sonals i a l’emparadel que estipula l’RGPD poden ser o bé un 4% de la facturació global o bé 20 milions d’euros. De l’altra, les reclamacio­ns dels nostres clients i, per descomptat, els danys reputacion­als. Segons Juan Antonio Ruiz, soci de litigació de Cuatrecasa­s, els clients ens poden demandar tant per danys patrimonia­ls com morals: “Els patrimonia­ls hauran de ser definits i acreditats, cosa que pot ser complicada i, en tot cas, el grau de diligència de la companyia serà un element rellevant a l’hora de determinar-ne una eventual responsabi­litat”. Per contra, la reclamació per danys morals és on pot produir-se un “augment de la litigiosit­at, per bé que, de vegades, de manera inversembl­ant”, assenyala Ruiz.

Els codis telemàtics hauran de ser una obligació laboral més, a causa de la digitalitz­ació Els clients poden exigir-nos danys econòmics, però sobretot morals

 ?? PX PHOTOGRAPH­Y ??
PX PHOTOGRAPH­Y
 ??  ??
 ??  ??
 ?? PERICO PASTOR ??
PERICO PASTOR

Newspapers in Catalan

Newspapers from Spain