• Menu
  • Menu

Cómo reclamar por una filtración de datos en un ciberataque

Cada se da con mayor frecuencia que se notifiquen a los usuarios registrados en diferentes plataformas brechas de seguridad que provocan una filtración de datos, habitualmente como consecuencia de un ataque informático. En este tipo de ocasiones, una duda frecuente entre todos los afectados es la de saber cómo reclamar por una filtración de datos en un ciberataque.

Cómo reclamar por una filtración de datos en un ciberataque

Para que los usuarios que han sido afectados por ello tengan derecho a una indemnización deben cumplirse una serie de supuestos, como es el hecho de demostrar que ha habido una infracción por parte de la empresa.

Con los datos personales de un usuario, los ciberdelincuentes pueden acabar haciendo diferentes acciones fraudulentas, como puede ser la solicitud de créditos o haciendo compras. En cualquier caso, debes saber que para poder reclamar solo se podrá realizar si se consigue demostrar que hay causa/efecto entre el perjuicio que se ha sufrido y la infracción.

Habitualmente los datos filtrados se centran en información sensible como DNI, nombre y apellidos, número de cuenta bancaria o tarjetas de crédito, domicilios…, siendo frecuente que algunos de estos datos sean publicados, mientras que los ciberdelincuentes amenazan con dar más información de datos personales de usuarios si la empresa no accede a pagar un rescate para que no lo hagan.

¿Es posible reclamar una indemnización en estos casos?

En el artículo 82 del Reglamento General de Protección de Datos (RGPD) se establece que toda aquella persona que haya sufrido daños y perjuicios inmateriales y materiales a causa de una infracción de dicho reglamento tiene derecho a percibir una indemnización por parte del responsable o el encargado del tratamiento por los daños y perjuicios sufridos.

No obstante, para que esta indemnización pueda darse, tiene que darse lo siguiente:

  • Que la brecha de seguridad haya venido dada por una infracción por parte de la empresa, y que sea esta la causa de que el ataque haya podido prosperar. Esto se da, por ejemplo, si la empresa no ha tomado las medidas de precaución y seguridad necesarias para la protección de los datos de los usuarios.
  • Que exista una causa/efecto entre el perjuicio que ha sufrido el usuario y la infracción. Es decir, que se esté realizando un uso inadecuado de los datos filtrados, llevando a cabo la apertura de cuentas bancarias, contrato de suministros, compras fraudulentas, solicitud de un crédito, etcétera.

En el caso de que se den estos dos supuestos, el afectado podrá reclamar una indemnización contra la empresa que ha sido objeto del ataque.

Cómo actuar una empresa que es víctima de un ataque de ransomware

Cuando se dan ataques virtuales que afectan de forma directa a los datos personales de los usuarios nos encontramos con las llamadas brechas de seguridad. Una brecha de seguridad se trata de un problema que afecta a los datos de carácter personal del usuario. Estos son el DNI, nombre y apellidos, domicilio, número de teléfono móvil, datos bancarios, dirección de correo electrónico, etcétera.

En algunas ocasiones este tipo de incidentes no vienen dados por un ataque, ya que podría provocarse de manera accidentada, pero toda empresa que sea responsable del tratamiento de datos personales, tiene que hacer frente a diferentes obligaciones.

Procedimiento de actuación

De acuerdo a lo contemplado en el Reglamento General de Protección de Datos, se establece la obligación de organizaciones públicas y privadas que sean responsables de tratamiento de datos que efectúen las siguientes notificaciones en el caso de que se encuentren ante una brecha de seguridad:

  • Notificar el ataque a la Autoridad de Control competente, en el caso de España, la Agencia Española de Protección de Datos o las autonómicas, según corresponda. Para ello, debe informarse de la brecha de seguridad que pueda afectar a los derechos y libertades de los usuarios en un plazo máximo de 72 horas desde el momento en el que tengan conocimiento de esta circunstancia.
  • Notificar a las personas que se han visto afectadas por la brecha de seguridad en el caso de que se trate de daños graves, de forma que puedan adoptar las medidas pertinentes para protegerse del ataque.

El hecho de comunicar a la Agencia de Protección de Datos no implica que, con motivo de la brecha de seguridad, la empresa vaya a ser sancionada. No obstante, el responsable del tratamiento de los datos tendrá que cumplir con el procedimiento de comunicación del incidente y su correspondiente gestión. Además, tendrá que demostrar que empleó todas las medidas organizativas y técnicas necesarias para prevenir estos accidentes. Para ello tendría que haber seguido el principio de responsabilidad proactiva recogido en el RGPD.

De esta forma, ya sabes si podrás o no reclamar una indemnización en el caso de que una empresa sufra una brecha de seguridad, con la cual tus datos personales estén a disposición de otras personas, y, además haya un efecto a causa de esa filtración.

Etiquetas:
Categorías:

¿Alguna duda? Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *