El pilar fundamental sobre el que se apoya la de protección de datos, ya sea la española LOPDGDD (Ley Orgánica 3/2018, de 5 de diciebre, de Protección de Datos y garantía de los derechos digitales) o el Reglamento Europeo General de Protección de Datos (R (UE) 2016/679); es la obligación del Responsable de Tratamiento de los datos de aplicar, desde el diseño y por defecto, todas las medidas técnicas y organizativas apropiadas a fin de garantizar y demostrar que todos los tratamientos de datos que efectúa son conforme a los estandares normativos. Los artículos 24 y 25 del RGPD son claros en este sentido.
Determinar qué medidas técnicas y organizativas son las ‘medidas apropiadas’ no es tarea fácil. Si bien con la normativa anterior disponíamos de una especie de “guía” de lo que debíamos hacer, con la normativa actual queda en la esfera del empresario definir cuáles son las medidas adecuadas para mantener indemne la información de ataques y/o incidentes, internos o externos.
La experiencia nos dice, por otro lado, que garantizar la protección de los datos personales sin margen de error, siempre y en todo caso, es una imposibilidad material. Los elementos de riesgo son muchas veces impredecibles y a pesar de actuar con la diligencia debida y adaptarnos al RGPD, es muy posible que, tarde o temprano, topemos con una brecha de seguridad de los datos.
A ello debemos sumar una complejidad más, la obligatoriedad de notificar a la AEPD determinadas brechas de seguridad en un plazo de 72 horas desde que se conocío la brecha.
¿Cómo sabe el empresario que ha tomado las medidas adecuadas?
Es importante tener en cuenta que recae sobre el empresario y responsable de tratamiento la obligación de garantizar la plena seguridad de los datos personales de clientes, trabajadores, proveedores, usuarios, etc. Inclusive cuando estos datos son tratados por nuestros proveedores de servicios. Disponemos de herramientas que la propia legislación define a tal efecto, como el análisis de riesgos o las evaluaciones de impacto, para ayudarnos a definir cuales son las medidas adecuadas, pero aún así, en la mayoría de tratamientos, esto no nos garantizará nada.
Garantizar la custodia y seguridad de los datos que se encuentran dentro de nuestra esfera de control es difícil; garantizar su indemnidad cuando son tratados por nuestros proveedores, es una misión imposible. Cualquier fallo en la cadena de custodia de nuestros datos puede ser interpretada por la autoridad competente, la AEPD, como una consecuencia de una falta de diligencia sancionable. Siempre que los derechos y libertades de las personas de las tengamos datos se vean comprometidos, la AEPD nos considerará sancionables. Y las sanciones de la Agencia en materia de protección de datos son, como bien saben, de importes muy elevados.
Es imprescindible la firma de un contrato cuando delegamos el tratamiento a un tercero.
Es por ello, que resulta absolutamente imprescindible concertar con todos nuestros proveedores de servicios y subcontratas el preceptivo acuerdo de Encargo de Tratamiento de los datos. Un contrato de ‘ET’ bien planteado a nuestra estructura empresarial y que sea suficientemente garantista. En el evento de una brecha, debemos poder utilizarlo para depurar responsabilidades.
Los seguros que protegen incidencias de Ciberseguridad y sanciones de la AEPD.
Al auxilio de DPDs, autónomos y PYMEs, se han lanzado las aseguradoras. En la actualidad, empiezan a ser comunes las pólizas de responsabilidad civil específicas en materia de protección de datos. Concretamente, muy relevantes son aquellas destinadas a la protección de las empresas frente a ciber ataques y que llegan inclusive a cubrir el coste de las sanciones de la AEPD.
La mayoria de las compañías aseguradoras cuentan hoy en día con “Ciber Seguros”, y algunas lo amplían a las contingencias que puedan surgir por una vulneración de la normativa de Protección de Datos. Los seguros de protección de datos son un tipo de seguro destinado a cubrir los daños económicos que puedan resultar de una brecha de seguridad u otros ciberataques que pongan en riesgo o produzcan filtraciones de los datos personales que una empresa puede tener en su poder para su tratamiento. Pueden cubrir desde daños a terceros hasta las multas de la AEPD, y cubrir incluso los costes de defenderse ante una sanción. Es importante, antes de contratar un seguro de este tipo ver bien qué incluye y que no, puesto que las contingencias ante una brecha de seguridad pueden ser variadas y de índoles muy diferentes.
¿Recomendamos en Auris contratar este tipo de Seguros?
La respuesta es un sí rotundo.
Estos seguros se ofrecen a empresas que acreditan cumplir con la normativa, pero como hemos dicho el cumplir con la normativa no garantiza que no suframos ataques. Lo vemos con empresas que, aun cuando cumplen perfectamente con la normativa, y tienen elevadas medidas de seguridad, son vulnerables porque reciben constantes ataques, bien por tener una cierta cantidad de datos, bien por tener cierta notoriedad, bien porque los datos que tienen pueden resultar atractivos a terceros.
En Auris Advocats, tras años de especialización en materia de Protección de Datos, compaginamos el servicio de Delegado de Protección de Datos externalizado para PYMES y empresas con la contratación en distintas compañías de este tipo de seguros.
La experiencia nos dice que, de forma complementaria a un correcto cumplimiento, se gana mucho en tranquilidad contratándolo.
Estamos a vuestra disposición por si precisáis de información desarrollada sobre nuestro catálogo de servicios en cuestión de protección de datos, queréis saber qué tipo de seguro os interesa o queréis información sobre qué compañías ofrecen los seguros más completos.
Xavi Saula
Abogado, Socio Cofundador y DPD.