Solo en 2021 se han gestionado en España más de 700 brechas de datos notificadas

700-notificaciones-brecha-seguridad-AEPD

En el tercer aniversario del comienzo de la aplicación del Reglamento General de Protección de Datos (RGPD), la Agencia Española de Protección de Datos (AEPD) ha hecho público un comunicado en el que informa de que solo en lo que llevamos de 2021 ha gestionado más de 700 brechas de datos notificadas.

A pesar de que hace ya tres años, en 2018, que comenzó a aplicarse el RGPD, los usuarios siguen sufriendo importantes riesgos. Según la AEPD, la mayoría de estas brechas se producen “por un ataque externo e intencionado”, siendo los ataques con virus informáticos tipo ransomware -aquellos que restringen la entrada a parte del sistema y piden un rescate por liberar los archivos- la amenaza más frecuente.

¿Es el RGPD eficiente? 36 meses después la puesta en marcha real de una de las legislaciones más estricta del mundo en materia de privacidad y seguridad algunos expertos opinan que no ha mostrado la efectividad esperada.

Casi la mitad de las empresas europeas -un 43%- cree que puede ser objetivo de un ciberataque y, sin embargo, muchas de ellas ignoran sus obligaciones para informar de ellos: se supone que las empresas tienen que informar de brechas en sus bases de datos a la autoridad pertinente en 72 horas desde que el ataque es descubierto, pero un estudio de CrowdStrike revela que tres de cada diez empresas que ha sido víctima de un ciberataque no informa a tiempo.

En cuanto a la prevención, según dicho estudio poco más de la mitad -un 55%- de esas empresas se consideran preparadas ante un evento de seguridad, pero solo un 34% cuenta con protocolos específicos en caso de ser atacada.

La AEPD ha dado a conocer este martes los datos de los cinco primeros meses de 2021 con motivo de la publicación de una actualización de su ‘Guía para la notificación de brechas de datos personales’

Un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales: es su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados.

“El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones”, ha detallado la AEPD.

Asimismo, ha recordado que “cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada”.

Comunicación a los afectados

Como complemento a la presente guía, la agencia recuerda que dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control.

Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha.

El RGPD, un reglamento exhaustivo

Según el estudio de CrowdStrike antes mencionado, la entrada en vigor del reglamento europeo supuso verdaderos ‘quebraderos de cabeza’ para una de cada cinco empresas, pero la misma cifra de organizaciones cree que era una norma necesaria.

Un tercio cree que, gracias al nuevo reglamento, los datos de los europeos están más protegidos y una importante proporción -un 58%- afirma que ahora están más preparadas ante una ciberintrusión. De hecho hasta un 28% de organizaciones confirma que gracias a la aplicación del reglamento pudo minimizar los efectos de ataques sufridos.

Lo que sigue llamando la atención, sin embargo, es que un 8% de las empresas cree que ese reglamento no les afecta y dos de cada diez ni siquiera saben si tienen que cumplirlo.

¿Qué datos persiguen los cibercriminales?

Según señala Chema Cuadrado, especialista en ciberseguridad en Hiberus, normalmente los ciberdelincuentes intentan hacerse con datos introducidos por los usuarios, cuentas de correo electrónico, números de teléfono, tarjetas de crédito, ubicaciones de por dónde nos movemos, gustos y aficiones… , apunta.

Para intentar vivir con un poco más de tranquilidad, desde Aixa Corpore, nuestra recomendación es tener sentido común, usar aplicaciones oficiales con un programa de seguridad y mantener el sistema o dispositivos actualizados. Esta medida básica es eficaz y pones alguna barrera más de dificultad para los ciberdelincuentes», subraya.

Compartir:

Te podría interesar:

Contacto rápido
Archivos
Scroll al inicio