Las Tecnologías de la Información y las Comunicaciones se han convertido en una herramienta esencial para el desarrollo empresarial y el progreso de la sociedad. Cada vez más el “Internet de las cosas” atrae a los ciberdelincuentes a usar todos sus conocimientos contra nuestra privacidad y seguridad en el ciberespacio.
Un ejemplo de ello es la reciente modificación del Código penal que recoge una amplia tipología de criminalidad informática. La suplantación o usurpación de identidad o “phishing bancario” (enriquecimiento mediante transferencias bancarias sin consentimiento de los titulares) son ciberdelitos que constituyen nuevas amenazas y vulnerabilidades que pueden convertirse en un problema o en un desastre para nuestra entidad.
No obstante, para nosotros no hay “nada nuevo bajo el sol”, pues la misión de AUDIDAT sigue siendo proteger a clientes, usuarios y activos de la información.
En tal sentido, como profesionales de la protección de datos personales, queremos hacer referencia a la obligatoriedad que tienen todas las empresas de detectar aquellas incidencias relevantes denominadas “anomalías que afectan o pueden afectar a la seguridad de los datos” (art. 5.2. i RLOPD). Algunos de estos riesgos inesperados o eventos perjudiciales pueden ser:
- Técnicos, ataque a la red a través de software malicioso o intrusismo en el sistema.
- Errores, accidentes o fallos en los procesos.
- Eventos físicos, robo de la información confidencial o robo de archivos de información.
- Condiciones ambientales, inundaciones, incendios, terremotos.
Por tanto, es importante tener en cuenta que un incidente cibernético es considerado un hecho relevante que ha de ser notificado al responsable de seguridad y en consecuencia ha de ser reflejado en el Documento de seguridad, así lo expresa el art. 88.2 letra e) del Reglamento que desarrolla la LOPD; “El documento deberá contener, como mínimo los procedimientos de notificación, gestión y respuesta ante las incidencias”.
En su consecuencia, es tan importante determinar el proceso de gestión y respuesta a incidentes como establecer procesos de control que contribuyan a minimizar las posibilidades de que ocurran esos incidentes, pues todo ello forma parte de los planes de continuidad del negocio.
Asimismo, AUDIDAT asume el compromiso de alcanzar el equilibrio perfecto entre la prevención de los riesgos, la mitigación de los incidentes y el restablecimiento del negocio cumpliendo con todas las normas consolidadas en el Código del Derecho al Olvido, y especialmente siguiendo las instrucciones de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos y el Reglamento que la desarrolla (Real Decreto 1720/2007).
