ciber ciberataque hacker kackeoCada vez es más frecuente que se notifiquen brechas de seguridad sufridas por empresas, generalmente consecuencia de un ataque informático y, en este caso, la más reciente ha sido Phone House. Los ciberatacantes han cumplido su amenaza y, tras solicitar un rescate, los responsables del ransomware Babuk han filtrado una primera parte con los datos obtenidos. Una hoja de cálculo con los datos de 1.048.575 personas, que es el máximo filas de Excel por archivo y que pertenecen técnicamente a clientes y empleados de Phone House.

El procedimiento que marca la ley cuando ocurre una filtración de este estilo es que la compañía afectada se ponga en contacto con la Agencia Española de Protección de Datos (AEPD) para que inicie una investigación. Aunque por el momento ni Phone House ni la AEPD se han pronunciado sobre el caso, desde Legálitas sus expertos contestan las dudas sobre qué se puede hacer al respecto y qué implicaciones legales tiene este tipo de ataques.

Por la enorme cantidad de datos personales cabe preguntarse qué se puede hacer. Tanto por la parte de los usuarios que han visto como se han visto filtrados sus datos hasta por parte de Phone House, quien podría exponerse a una sanción por parte de la AEPD.

La situación

Phone House es la última víctima de un ataque por parte de una organización cibercriminal, la cual ha tenido acceso y “robado” los datos personales de unos 3.000.000 de personas.

Entre los datos filtrados se encuentran algunos tan sensibles como el DNI, nombre y apellidos, la cuenta bancaria o el domicilio. Algunos de estos datos ya han sido publicados, mientras que los ciberdelincuentes amenazan con seguir dando a conocer datos personales de miles de usuarios si la compañía no accede a pagar un rescate.

El procedimiento

Estoy entre los afectados por el ciberataque y mis datos han sido filtrados. ¿Puedo reclamar una compensación?

El artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

Para recibir una indemnización, se deber dar estos dos supuestos:

  • Que la brecha haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos), siendo esta la causa de que el ataque haya prosperado.
  • Que haya una “causa/efecto” entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).

En el caso de que se cumplan ambos supuestos anteriores, estos se deberán ejercitar mediante un procedimiento civil con la ayuda de un abogado.

¿Qué se debe hacer si, como empresa, se es víctima de un ciberataque de ransomware como este?

Este tipo de ataques que afectan a los datos personales se denominan violaciones o brechas de seguridad. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal (DNI, datos bancarios, nombre y apellidos, móvil, correo electrónico…). No siempre una brecha tiene su origen en un ataque, ya que podría deberse a un accidente, pero siempre que afecte a los datos personales la empresa responsable de su tratamiento tiene una serie de obligaciones legales si la sufre.

El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) establece la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de realizar dos tipos de notificaciones si se encuentran ante esta situación:

  • Notificar a la Autoridad de Control competente (Agencia Española de Protección de Datos o las autonómicas en su caso) las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento de la brecha.
  • Notificar a las personas cuyos datos se han visto afectados, si los daños son graves, para que puedan tomar medidas a fin de protegerse.

Si bien la mera comunicación a la AEPD de haber sufrido una brecha no implica que vaya a ser sancionada, el responsable del tratamiento de los datos no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD.

¿Cómo puedo protegerme si me notifican que mis datos han sido filtrados?

Dependiendo del tipo de datos que se hayan visto afectados, desde Legálitas recomendamos tomar medidas distintas:

  • En el caso del correo electrónico, además de cambiar las contraseñas o activar verificaciones en dos pasos, deberemos estar especialmente pendientes de los correos que recibimos, por si nos entran correos de remitentes desconocidos que nos solicitan que pulsemos algún enlace o nos descarguemos un archivo.
  • Si el dato afectado es nuestra tarjeta de crédito, en especial si también se ha filtrado el CVV, lo más aconsejable es ponernos en contacto con nuestra entidad bancaria y solicitar su bloqueo.
  • En cuanto a nuestra cuenta bancaria, igualmente es importante avisar a nuestra entidad y estar muy pendientes de algún cargo sospechoso, presentando además la correspondiente denuncia.