La Vanguardia (Català) - Diners
Llum i protecció a la privacitat
La nova llei de dades obliga les empreses a blindar amb urgència la informació de clients i treballadors
Segons Warren Buffet, els ciberatacs són “l’amenaça més important a què s’enfronta la humanitat; moltmésgran, fins i tot, queles armes nuclears”. Cal tenir en compte que avui dia “hi ha un autèntic negoci al seu voltant, ambautèntiques empreses dedicades a aquesta activitat”, afirma Albert Agustinoy, soci del bufet Cuatrecasas i especialista en aquestes qüestions. En aquest context, el proper 25 de maig entra en vigor, definitivament, el reglament general de protecció de dades( R GP D ). Aquesta norma “modifica alguns aspectes del règim actual i conté obligacions noves que h andes er analitzadesi aplicades perca da organització tenint en compt eles seves pròpies circumstàncies ”, esdiudesde l’Agència Espanyola de Protecció de Dades (AEPD). La probabilitat que qualsevol empresa pateixi un ciberatac no és forassenyada, de manera que convé saber què és el que cal fer, tant a nivell preventiu comreactiu.
La situació de partida
Posem per cas que esperem l’arribada d’un contracte i arriba un correu electrònic que ens informa que ens el podem descarregar mitjançant un enllaç. Hi fem c lici immediatament l’ ordinador es bloqueja i no tenim accés alaba sede dades de clients. Simultàniament, rebem un missatge de WhatsApp en què se’ns exigeix el pagament d’ un rescat. En aquest moment tenim una crisi de seguretat i potser noté gaire importància, però hi ha mesures preventives que tota organització hauria de prendre per tal dese r menys vulnerable i poder demostrar que les coses s’havien fet bé. Am bel nou R GP Dés important demostr arques’ h atingut una actitud pro activa per evitar un robatori d’ informació personal. Coses comara“controlar qui accedeix als sistemes, tenir la seguretat informàtica actualitzada i còpies de seguretat, xifrar els arxius i assegurar-se que s’utilitzen contrasenyes robustes”, tal com explica Albert Agustinoy, que afegeix que també és important protegir-se amb mesures legals –un codi telemàtic per als empleats, procediments adaptats a l’RGPD i protocols de ciberseguretat amb procediments preventius i reactius– “que ajudin a mitigar les conseqüències d’aquesta situació”.
Diagnòstic de l’atac
Es confirma que la infecció s’ha produït en els sistemes del nostre proveïdor de bases de dades. Des de Cuatrecasas aconsellen no trucar a la Policia immediatament. “Idealment seria important demanar al hacker que demostri que la bretxa és real i guanyar temps, de manera que cal mantenir la comunicació”, diu Agustinoy. L’escenari més habitual és que les empreses contractin els serveis tecnològics. Els elements clau que s’han de tenir en compte a l’hora de fer-ho són que el contracte inclogui “un règim de responsabilitat i limitacions del proveïdor, que aquest tingui l’ obligació de col·laborar mentre duri la crisi iquetingui certificacions tècniques i de seguretat (ISO)”.
Quan el treballador n’és la causa
Es confirma que el hac k er ha accedit mitjançant una aplicació que prèviament havia instal·lat unt reballador. Segons un informe de Sirama Consultin g del 2017, e nun 32% dels atacs informàtics a empreses intervé un error o l’acció d’algun treballador. A parer de
Amb el nou reglament és crucial prendre mesures per prevenir una intrusió en els sistemes
Cal exigir als proveïdors tecnològics, i per contracte, que ajudin a solucionar la crisi
Rubén Agote, soci de laboral de Cuatrecasas, “la digitalització creixent farà que aquest tipus de situacionsaugmentidiaadia”. Per aquest motiu Agote creu que és important “formar i informar els treballadors, per després responsabilitzar-los”. En aquest sentit, també és fonamental “tenir protocols de conducta digital, que cada vegada serà més important incloure als contractes de feina com una obligació laboral més”.
La reacció
És fonamental tenir un diagnòstic per poder facilitar la informació que ens demanaran les autoritats per aplicar-nos o no sancions. És el moment de plantejar-se la possibilitat d’assistència forense especialitzada. En capcasnos’hade pagar el hacker per “la falta de garanties que n’hi hagi prou perquè s’ acabi l’ atac, perles conseqüències penals que pot tenir el fetdeferho i per l’ efecte crida que pot tenir ”, explica Agustinoy. Però, a més, hi ha una sèrie d’obligacions legals que cal complir. Ambtota la informació ja recopilada, sí que és el moment d’avisar la Policia i les autoritats. És a l’AEPD a qui –segons l’article 33 de l’RGPD– s’ha d’informar de qualsevol bretxa de seguretat obligatòriament en un termini de 72 hores des de la seva detecció. Aquest procés s’ha de dur a terme sota la supervisió del delegat de Protecció de Dades (DPD), una figura nova que crea l’RGPD específicament per a empreses i entitats que tractin dades de manera massiva o que s’especialitzin en la gestió de dades sensibles. Cal informar l’AEPD del tipus de dades afectades, les conseqüències i les mesures adoptades. Amés, segons el tipus d’activitat a què es dediqui l’empresa també caldrà informar altres autoritats en funció del seu àmbit, comara el Banc d’Espanya, en el cas d’entitats financeres, o la Direcció General d’Ordenació del Joc, en el cas del joc en línia. Finalment, l’article 34 de l’RGPD estableix l’ obligació de comunicar als afectats quan s’hagi produït un “alt risc” en relació als seus drets, i que es farà en un termini que els permeti ser conscients de la situació i prendre mesures. S’haurà de fer servir un llenguatge clar i senzill i s’hi haurà d’incloure, almenys, el següent: naturalesa de l’ incident que ha provocat l abretxa, descripció d eles possibles conseqüències pera l’ afectat, el contacte del D PD i les mesures adoptades. L’RGPD estableix la possibilitat que aquesta comunicació es dugui a terme mitjançant un anunci públic quan la tramesa personalitzada a cada afectat impliqui un “esforç desproporcionat”.
Les multes
Uncop solucionada la crisi, cal estar preparats per a tres tipus de contingències. D’una banda les multes, que si es refereixen a una infracció en l’ àmbit dela protecció dedadespersonals i a l’emparadel que estipula l’RGPD poden ser o bé un 4% de la facturació global o bé 20 milions d’euros. De l’altra, les reclamacions dels nostres clients i, per descomptat, els danys reputacionals. Segons Juan Antonio Ruiz, soci de litigació de Cuatrecasas, els clients ens poden demandar tant per danys patrimonials com morals: “Els patrimonials hauran de ser definits i acreditats, cosa que pot ser complicada i, en tot cas, el grau de diligència de la companyia serà un element rellevant a l’hora de determinar-ne una eventual responsabilitat”. Per contra, la reclamació per danys morals és on pot produir-se un “augment de la litigiositat, per bé que, de vegades, de manera inversemblant”, assenyala Ruiz.
Els codis telemàtics hauran de ser una obligació laboral més, a causa de la digitalització Els clients poden exigir-nos danys econòmics, però sobretot morals