Si una empresa gestiona bien una brecha de seguridad, se puede librar de una sanción. Esta es la lección que hemos aprendido esta semana. La empresa PromoFarma, dedicada a vender medicamentos por Internet, sufrió una brecha de seguridad y cumplió paso por paso con el protocolo recogido en el Reglamento General de Protección de Datos. El resultado: la Agencia Española de Protección de Datos (AEPD) los eximió de una sanción por brecha de seguridad.
PromoFarma descubrió la existencia de una brecha de seguridad por una noticia en un medio. Revisó sus sistemas y confirmó la incidencia. Tardó menos de 72 horas en notificarlo a la AEPD. Al mismo tiempo, presentó denuncia ante la policía e informó también a los afectados instándoles al cambio de contraseña. Una actuación de manual que tiene premio.
Otros factores que favorecieron a PromoFarma: los datos personales comprometidos no eran datos sensibles. Además, la empresa había tomado precauciones protegiendo las contraseñas con un hash. Todo esto contribuyó a la resolución positiva de la AEPD.
La brecha de seguridad de PromoFarma afectó a 1,3 millones de usuarios. A pesar de su gran magnitud, la AEPD ha archivado el procedimiento. Consideran que Promofarma ha cumplido escrupulosamente con la normativa. No hay nada que sancionar.
Lo que dice la ley sobre brechas de seguridad
¿Quieres saber qué pasos seguir ante una brecha de seguridad? La AEPD publicó el año pasado su guía sobre brechas de seguridad. En el RGPD este tipo de incidentes se denominan “violaciones de seguridad” y están recogidos en el Artículo 33 “Notificación de una violación de la seguridad de los datos personales a la autoridad de control” y 34 “Comunicación de una violación de la seguridad de los datos personales al interesado”.
Las sanciones por una brecha de seguridad pueden ser millonarias
Las consecuencias de una brecha de seguridad pueden ser muy graves. Un ejemplo: la agencia de protección de datos británica (Information Commissioner) impuso una multa de 218 millones de euros a British Airways por una brecha de seguridad el pasado mes de julio.
El factor determinante: la autoridad británica consideró que las medidas de seguridad de la aerolínea eran deficientes. La multa supuso el 1.5% de la facturación anual de la empresa.
Según un estudio reciente de Kinston Technology, el 73% de las empresas españolas ha sufrido al menos una brecha de seguridad en el último año. Es crucial conocer los pasos a seguir ante un problema de este tipo.
Imagen de Blogtrepreneur bajo licencia Creative Commons 2.0