Especialmente en tiempos de digitalización avanzada y redes más complejas, las empresas que procesan datos personales deberían situar el tema de la protección de datos en la cima de la lista de prioridades. Sin embargo, el trabajo conforme al RGPD sigue planteando grandes desafíos para muchas empresas. Sin embargo, una infracción o incumplimiento de la normativa GDPR puede conllevar multas elevadas.

La experta en protección de datos Annika Fuchs-Langanke, abogada y propietaria del bufete Fuchs & Coll. Rechtsanwaltsgesellschaft mbH en Potsdam, explica en una entrevista con Perseus qué debe considerarse en particular

La introducción del RGPD en Alemania es hace ya dos años. ¿Existe una evaluación general de cómo las empresas las han aceptado e implementado?

Desde luego, no hay una respuesta general a esta pregunta. Las grandes empresas, en particular, han hecho esfuerzos considerables para cumplir con el RGPD. Pero aquí también, algunas empresas probablemente tendrán que ponerse al día en algún lugar – pienso, por ejemplo, en el tema de la «eliminación».

Para empresas medianas y especialmente pequeñas, la situación probablemente será mucho más diferenciada. Aquí también hay numerosas empresas que han hecho un esfuerzo y ahora están en una buena posición. Desafortunadamente, también hay empresas que han hecho relativamente poco en términos de GDPR. Sin duda, todavía es necesario implementarlo aquí. Sin embargo, esto no puede generalizarse.

¿La protección de datos y la ciberseguridad van de la mano o se interponen mutuamente?

La protección de datos y la ciberseguridad van de la mano con la seguridad. Por ejemplo, el RGPD exige que las empresas tomen las medidas adecuadas para proteger los datos personales que procesan. Especialmente en tiempos en los que los datos personales se procesan predominantemente de forma digital, medidas como cortafuegos, mecanismos de cifrado, gestión de parches y copias de seguridad están desempeñando un papel cada vez más importante. Solo hay que pensar en el tema de la «oficina en casa», que cada vez es más relevante y no sería concebible sin medidas de ciberseguridad.

En cuanto a la protección de datos, ¿qué tipos de ciberataques son particularmente peligrosos? ¿Y qué datos resultan especialmente interesantes para los ciberdelincuentes?

Por supuesto, todos los ataques que involucran datos personales son especialmente peligrosos, y aquellos que pueden provocar destrucción, pérdida, alteración y, lo más importante, divulgación no autorizada. Es probable que los ciberdelincuentes tengan como objetivo datos bancarios, entre otras cosas. Pero no siempre tiene por qué ser así. Por ejemplo, los ciberdelincuentes también pueden atacar datos de acceso o contraseñas y causar daños considerables.

Una empresa ha sido víctima de un ciberataque. ¿Cuándo debe consultarse a un responsable de protección de datos y cuáles son exactamente los pasos que debe seguir?

No hay una respuesta general a esta pregunta. Por supuesto, siempre depende de cómo se haya organizado una empresa, ya sea que tenga un responsable de protección de datos interno o externo. Aunque ciertamente tiene sentido que las empresas pequeñas tengan un responsable de protección de datos, esto no siempre es obligatorio por ley.

En cualquier caso, las empresas —sean pequeñas o grandes— deberían saber qué hacer en caso de un ciberataque o una brecha de datos que probablemente resulte de él, y proporcionar un proceso adecuado para ello.

Desde la perspectiva de la protección de datos, lo más importante aquí es primero conocer el ciberataque y luego no perder tiempo. Por supuesto, hay que tomar medidas correctivas de inmediato. Además, debe determinarse si la brecha de datos probablemente supondrá un riesgo o incluso un alto riesgo para los afectados. Si es necesario, se debe informar a la autoridad supervisora y notificar a los afectados. Por supuesto, la brecha de datos y las medidas tomadas también deben documentarse en consecuencia.

Suponiendo que la autoridad supervisora debe ser informada, ¿existen requisitos legales sobre cuándo debe realizarse esta notificación?

Sí las hay. El RGPD exige que las brechas de datos que probablemente supongan un riesgo para los sujetos de los datos sean notificadas a la autoridad supervisora de inmediato y, si es posible, en un plazo de 72 horas desde que se haya dado conocimiento de ellas.

¿Cuáles son las posibles consecuencias si se ignora esta obligación de informe?

En primer lugar, una violación de la obligación de reporte puede conllevar una multa de hasta 10 millones de euros o hasta un 2 por ciento de la facturación del año anterior. Aunque las autoridades supervisoras tengan un marco de multas aquí, es decir, no necesariamente tengan que imponer una multa de esta magnitud, el riesgo de una multa severa debe tomarse en serio en cualquier caso.

Pero no se pueden descartar reclamaciones por daños y, por supuesto, una pérdida considerable de imagen si se intenta tapar una brecha de datos.

Puedes leer todo lo que necesitas saber sobre seguridad de datos aquí.

Puedes leer cómo comportarse correctamente en una emergencia cibernética en nuestra guía «Qué hacer en una emergencia cibernética».

Puedes leer sobre las infracciones que se castigan con multas y lo altas que pueden ser en un artículo del Süddeutsche Zeitung.