Legálitas explica cómo reclamar si es un afectado por el ciberataque a The Phone House

21/04/2021

Legálitas. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del Reglamento General de Protección de Datos tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización.

Cada vez es más frecuente que se notifiquen brechas de seguridad sufridas por empresas, generalmente consecuencia de un ataque informático.

El más reciente ha sido a The Phone House, que en estos momentos está siendo víctima de un ataque por parte de una organización cibercriminal, la cual ha tenido acceso y “robado” los datos personales de unos 3.000.000 de personas.

Entre los datos filtrados se encuentran algunos tan sensibles como el DNI, nombre y apellidos, la cuenta bancaria o el domicilio. Algunos de estos datos ya han sido publicados, mientras que los ciberdelincuentes amenazan con seguir dando a conocer datos personales de miles de usuarios si la compañía no accede a pagar un rescate.

Desde Legálitas, explicamos a continuación qué implican legalmente este tipo de ataques y qué deberán hacer tanto los usuarios afectados como las empresas víctimas de un ciberataque de estas características.

Estoy entre los afectados por el ciberataque y mis datos han sido filtrados. ¿Puedo reclamar una compensación?

El artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

Para recibir una indemnización, se deber dar estos dos supuestos:

  • Que la brecha haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos), siendo esta la causa de que el ataque haya prosperado.
  • Que haya una “causa/efecto” entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).

En el caso de que se cumplan ambos supuestos anteriores, estos se deberán ejercitar mediante un procedimiento civil con la ayuda de un abogado.

 

 

¿Qué se debe hacer si, como empresa, se es víctima de un ciberataque de ransomware como este?

 

Este tipo de ataques que afectan a los datos personales se denominan violaciones o brechas de seguridad. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal (DNI, datos bancarios, nombre y apellidos, móvil, correo electrónico…). No siempre una brecha tiene su origen en un ataque, ya que podría deberse a un accidente, pero siempre que afecte a los datos personales la empresa responsable de su tratamiento tiene una serie de obligaciones legales si la sufre.

 

El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) establece la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de realizar dos tipos de notificaciones si se encuentran ante esta situación:

  • Notificar a la Autoridad de Control competente (Agencia Española de Protección de Datos o las autonómicas en su caso) las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento de la brecha.
  • Notificar a las personas cuyos datos se han visto afectados, si los daños son graves, para que puedan tomar medidas a fin de protegerse.

Si bien la mera comunicación a la AEPD de haber sufrido una brecha no implica que vaya a ser sancionada, el responsable del tratamiento de los datos no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD.

 

 

¿Cómo puedo protegerme si me notifican que mis datos han sido filtrados?

 

Dependiendo del tipo de datos que se hayan visto afectados, desde Legálitas recomendamos tomar medidas distintas:

 

  • En el caso del correo electrónico, además de cambiar las contraseñas o activar verificaciones en dos pasos, deberemos estar especialmente pendientes de los correos que recibimos, por si nos entran correos de remitentes desconocidos que nos solicitan que pulsemos algún enlace o nos descarguemos un archivo.
  • Si el dato afectado es nuestra tarjeta de crédito, en especial si también se ha filtrado el CVV, lo más aconsejable es ponernos en contacto con nuestra entidad bancaria y solicitar su bloqueo.
  • En cuanto a nuestra cuenta bancaria, igualmente es importante avisar a nuestra entidad y estar muy pendientes de algún cargo sospechoso, presentando además la correspondiente denuncia.

¿Te ha parecido interesante?

(Sin votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.