El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es una realidad inevitable. Desde el pasado 25 de mayo, es de obligado cumplimiento para cualquier empresa que gestione datos de ciudadanos europeos. Una de las obligaciones que establece el RGPD pasa por notificar una brecha en la seguridad en las primeras 72 horas. Pero, ¿cómo se hace? ¿Cuál es la letra pequeña, cómo afecta a las empresas y qué soluciones aporta el sector seguros?
El RGPD indica que todas las brechas en la seguridad de los datos deben ser debidamente registradas, aunque aquellas que no entrañan riesgos pueden no notificarse. Para el resto de los casos, en un plazo de tres días después de que el incidente haya sido detectado, los responsables deben notificarlo. El contenido mínimo de esta comunicación, según la Agencia Española de Protección de Datos (AEPD), tiene que incluir:
Si no se cumple con la obligación de notificar a las autoridades competentes, se deja la puerta abierta a que se lleve a cabo una investigación sobre la empresa que puede acabar en medidas correctivas como multas. De momento, de entre los casos que han trascendido de forma pública, la brecha más reciente de Facebook amenaza con acarrear sanciones históricas para la red social, multas de hasta 1.400 millones de euros impensables antes de la entrada en vigor del RGPD.
A modo de comparación, el robo de datos de la agencia Equifax, que tuvo lugar hace algo más de un año, antes de la obligatoriedad del RGPD, concluyó con una multa en Reino Unido de algo más de medio millón de libras. Los cambios, los desafíos y los nuevos riesgos para las empresas con el reglamento europeo de protección de datos son más que evidentes.
“Cualquier organización sujeta al RGPD que sufra una violación de datos personales de la UE debe informar del incidente a las autoridades de protección de datos relevantes dentro de las 72 horas posteriores a su conocimiento”, explica Gamelah Palagonia, Senior Vice President for Network Security, Data Privacy and Technology Errors & Omissions en Willis Towers Watson. “Lo que no queda claro para muchas es que la notificación de una infracción debe ser descriptiva, incluyendo detalles sustanciales sobre la infracción y su impacto en las víctimas, todo dentro del plazo de 72 horas, lo que puede ser difícil de lograr”.
Según la ejecutiva de Willis Towers Watson, no cumplir los requisitos de las autoridades europeas en este aspecto puede acarrear multas de hasta 10 millones de euros o un 2% de los ingresos anuales de la empresa. “Aun así, las autoridades de protección de datos han indicado que las multas máximas se reservarán probablemente para las organizaciones que intentaron encubrir la infracción o que tenían implementadas prácticas, procedimientos o procesos de seguridad de la información indefendibles”, sostiene Gamelah Palagonia.
Cumplir con todos los requisitos informativos, y hacerlo a tiempo y dentro del marco que establece la ley europea, puede ser una tarea demasiado compleja y costosa para algunas organizaciones. En estos casos, las pólizas de ciber seguridad son una de las soluciones disponibles. Cubren los costes de respuesta de primera parte, la notificación a las personas afectadas, los costes de relaciones públicas y pueden incluir acceso a firmas de investigación forense, cuya aportación es requerida en la notificación a las autoridades competentes.
“Aunque no es probable que se lleve a cabo una investigación forense completa dentro de las primeras 72 horas, la evaluación objetiva inicial de un tercero puede contribuir mucho y satisfacer las preocupaciones inmediatas de los reguladores, evitando así posibles multas”, señala Gamelah Palagonia. “Los servicios de asesoramiento de triage legal y de brechas de seguridad también suelen incluirse en las pólizas de ciber seguridad, lo que brinda a los asegurados acceso a expertos que pueden ayudarlos a cumplir con la normativa”.
El RGPD busca reducir las amenazas para la privacidad de las personas y las empresas. Al mismo tiempo, ha incrementado de forma significativa los riesgos a los que se enfrenta una organización en caso de ciber ataque. Ser consciente de las responsabilidades, estar preparado y contar con los recursos necesarios es clave para hacer frente a estos riesgos y minimizar el impacto en las cuentas y la imagen de la compañía.
