En este artículo te contamos cuáles son las probabilidades y casos de multas en ciberataques
La conectividad es uno de los pilares de nuestra sociedad actual. Usamos Internet para casi todo, pero lo realmente preocupante es que en esta red, compartimos datos de carácter sensible y personal como contraseñas, nuestro DNI, nuestra ubicación o incluso nuestras caras.
Además, también lo hacemos con datos más irrelevantes, quizá, para nuestra persona pero imprescindibles para nuestra empresa que pueden ser hackeados y robados en cualquier momento, suponiendo una cantidad muy elevada de pérdidas a todos los niveles.
La realidad es que, actualmente en España, se producen 400 ciberataques cada día a empresas. Y no es que se trate de algo muy complicado, si no que con un simple email, pueden alcanzar tu nube de datos y arrasarla. Esta es la forma más común de hacerlo.
El robo de datos de carácter personal a empresas es una realidad que ocurre en presente, pero otra que está sucediendo es que, además, este hackeo puede resultar la victima doblemente caro, ya que no solamente puede ocasionar pérdidas por el daño causado tras el ciberataque, sino que además conlleva multas, ya que es responsabilidad de cada empresa mantener bien resguardados los datos a salvo y saber cómo reaccionar si se produce un ataque.
Es muy conocido el caso de Air Europa, cuando el marzo del 2021, la Agencia Española de Protección de Datos (AEPD) multó a la empresa con 600.000 euros por un ciberataque del que fue víctima en 2018. En este, se robó información personal así como datos bancarios a sus clientes. Lo mismo ocurrió con British Airways, a quien además le salió más caro, tuviendo que hacer frente a una multa de 22 millones de euros. Pero, ¿por qué?
Estos casos en los las empresas son sancionadas por la Ley Orgánica de Protección de Datos (LOPD) se originan porque tras un ataque cibernético de este tipo, es decir, cuando se ven involucradas personas contra las que se ha atentado a u intimidad y datos personales, las empresas deben notificarlo , ya que se han comprometido datos personales de cualquier tipo. Si por cualquier cosa la empresa no llega a comunicarlo dentro del plazo establecido, es decir, unas 72 horas desde que se tuvo conocimiento, más o menos, puede quedar sancionada, aunque esta haya sido la víctima principal. Los organismo pertinentes quieren y necesitan esta información para poder hacer frente al ciberataque y ser conscientes de cuáles son los datos que se han robado, para así asegurarse y evitar cualquier filtración. Si la empresa no lo comunica, por miedo a la respuesta de consumidores o personal superior, se llega, casi sin querer, a la conclusión de que la empresa no ha hecho todo lo que estaba en su mano para colaborar y es así como se inicia esta sanción. Así que si tu empresa sufre cualquier tipo de ataque en la red, es imprescindible comunicarlo para que aquellos que han atentado contra ella sufran las consecuencias pertinentes.
Pero, ¿qué ocurre con los atacantes?
En realidad las multas por robo de material sensible por vía informática varía bastante según la cantidad de los datos. También depende de la intención posterior a ese robo, así como los beneficios que se hayan podido obtener con ellos. Todas estas sanciones son impuestas por la LOPD.
Las multas pueden calificarse en varias franjas. Por ejemplo, las infracciones leves poseen multas que oscilan entre 600 € y 60.000 €. En ellas están incluidos actos como:
- Recoger datos de carácter personal sin el conocimiento y autorización del usuario
- No prestar atención a las consultas emitidas por la Agencia Española de Protección de Datos (AEDP)
Encontramos, más allá de estas a infracciones graves que tiene sanciones mucho más elevadas, ya que su delito es mayor también. Pueden llegar a alcanzar entre 60.101,21 € y 300.506,25 € y son actos como:
-Utilizar los ficheros con distinta finalidad con la se crearon.
– No tener el consentimiento del interesado para recabar sus datos personales
– Tratar datos especialmente protegidos sin la autorización del afectado
– No remitir a la AGPD las notificaciones previstas en la LOPD.
– Mantener los ficheros sin las debidas condiciones de seguridad.
Pero van más allá, se califican como acciones muy graves el crear ficheros para almacenar datos que revelen datos especialmente protegidos, la recogida de datos de manera engañosa o fraudulenta, recabar datos especialmente protegidos sin la autorización del afectado, no atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación, vulnerar el secreto sobre datos especialmente protegidos o la comunicación o cesión de datos cuando ésta no esté permitida. También, el tratamiento de los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación o la transferencia temporal o definitiva de estos datos de carácter personal. Estas se califican como infracciones muy graves llegando a una cuantía de más de 600.000 €
Por ello, es imprescindible saber actuar ante cualquier ciberataque y poder contar siempre con la protección de un seguro de ciberprotección que se pondrá a tu disposición y se hará cargo de cualquier problema mientras te acompaña en cualquier proceso.