La Comisión de Protección de Datos de Irlanda ha dictaminado que las empresas pueden infringir las leyes de privacidad europeas a través de la destrucción inadvertida de datos

La Comisión de Protección de Datos de Irlanda (DPC) ha dictaminado que las empresas pueden infringir las leyes de privacidad europeas si tratan incorrectamente los datos personales después de un ciberataque. El fallo se produjo en respuesta a una queja presentada por la DPC irlandesa contra varias compañías de seguros que trataron incorrectamente los datos de los clientes después de sufrir un ataque de ransomware. La decisión está causando un gran impacto porque amplía el alcance de las leyes de privacidad europeas. Obliga a las empresas a reevaluar cómo manejan los datos de los clientes y cómo gestionan las brechas que ocurren después de que se ha producido un ataque.

Si una empresa sufre un ciberataque y elimina inadvertidamente datos personales, esto puede resultar en una infracción del RGPD

El Reglamento General de Protección de Datos (RGPD) establece directrices para el tratamiento de datos personales, incluyendo la protección de la información personal contra el acceso no autorizado, pérdida, alteración o divulgación. Una infracción del RGPD puede ocurrir si una empresa sufre un ciberataque y elimina inadvertidamente datos personales, especialmente si la organización no tomó las precauciones adecuadas para proteger los datos en primer lugar. Además, las empresas están obligadas bajo el RGPD a notificar a la autoridad de supervisión correspondiente sobre cualquier infracción de datos que suponga riesgo para los derecho y libertades de los interesados dentro de las 72 horas de haberla detectado. Una empresa puede enfrentarse a sanciones significativas y otras medidas por parte de la autoridad reguladora si no informa de una brecha de datos personales o no implementa suficientes medidas de seguridad para proteger los datos personales. Para prevenir ciberataques y reducir el riesgo de destrucción accidental de datos, las empresas deben tener políticas y procedimientos sólidos de protección de datos.

La destrucción inadvertida de datos, especialmente en el caso de datos de salud, puede tener serias implicaciones para los interesados

Bajo el RGPD, los datos de salud requieren un nivel excepcionalmente alto de seguridad. En el caso de Centric Health Ltd (Centric), un grupo médico con sede en Dublín, aparte de los datos que fueron destruidos, los archivos de los pacientes no estaban disponibles tras el ciberataque en aproximadamente 70.000 casos, según el panel irlandés. La provisión de atención médica a los sujetos de datos podría verse obstaculizada por el «borrado no autorizado de tales datos personales», según la Sra. Helen Dixon de la DPC irlandesa, que también mencionó que la compañía Centric contrató a una empresa para hacer una investigación forense del incidente, la cual informó que datos de registro cruciales fueron destruidos mientras se reinstalaba la máquina infectada. Esto dificultó más la determinación de información fundamental, como cuándo fueron atacadas cuentas específicas y si los datos personales fueron robados.

Evaluar la seguridad de sus servidores e implementar suficientes medidas de seguridad para garantizar que las copias de seguridad estén disponibles es necesario para la seguridad de los datos personales

Un representante de la organización de atención médica Centric declaró en un correo electrónico esta semana que tomaron medidas para recuperar los datos de los pacientes destruidos y notificaron al regulador irlandés y a los pacientes afectados. Centric brinda tratamiento a unos 400.000 pacientes en Irlanda. La declaración decía: «Queremos asegurarles que los datos eliminados fueron reconstruidos y que no hubo un impacto negativo en su tratamiento de salud». Según la resolución, el proveedor médico también falló en evaluar la seguridad de sus servidores e implementar suficientes medidas de seguridad para garantizar que las copias de seguridad estuvieran disponibles. Esto es altamente recomendado para la seguridad de los datos personales. El regulador también afirma que Centric se desvió de su procedimiento habitual de almacenar copias de seguridad fuera del sitio.

¿Cuentas con todas las medidas necesarias para garantizar la seguridad de los datos personales que tratas? Aphaia puede ayudarte. Aphaia también ofrece servicios de externalización del Delegado de Protección de Datos, consultoría sobre el RGPD y la LOPDGDD, así como consultoría en regulación de telecomunicaciones. Contacta con nosotros hoy.