Ana Isabel Caballero Ferrer - HispaColex
Qué hacer ante un hackeo de datos personales a consecuencia de un ciberataque
Muy sonado ha sido el ciberataque sufrido por la compañía de electricidad de ENDESA a principios de Enero de este año en el cual la propia compañía emitió un comunicado alertando de la brecha de seguridad sufrida por dicha compañía consistente en el acceso no autorizado e ilegítimo de un ciberdelincuente a datos personales de sus clientes: datos identificativos, DNIs y cuentas corrientes, entre otros.
A ello se suma la investigación que está llevando a cabo la Agencia Española de Administración Tributaria (AEAT) de otro posible ciberataque producido a principios de este mes de Febrero, a raíz de la alerta lanzada por la agencia de ciberseguridad Hackmanac en la que advierte de un supuesto hackeo de datos personales atribuido a un supuesto ciberdelincuente denominado ‘HaciendaSec’.
Según dicha agencia de ciberseguridad, como consecuencia del acceso no autorizado de ciberdelincuentes a sus sistemas informáticos, se habrían obtenido datos personales e información financiera de unos 47,3 millones de contribuyentes tales como números de DNI/NIF, datos identificativos, teléfonos, correos electrónicos y datos bancarios, que los ciberdelincuentes han procedido a “vender” a terceros con fines eminentemente delictivos.
Todo ello genera una patente inseguridad y alarma social en todos los afectados cuyos datos personales necesariamente han debido facilitar tanto a la citada Administración Pública para el cumplimiento de sus respectivas obligaciones fiscales como en el caso de la empresa de energía eléctrica para la oportuna prestación de servicios y su consiguiente facturación.
¿Qué actuaciones deben llevar a cabo las empresas/instituciones/administraciones implicadas?
Ante cualquier brecha de seguridad en la que se pueda tener constancia de un alto riesgo de que se puedan haber visto comprometidos datos personales de su clientes/administrados, el artículo 34 del RGPD impone a los responsables de tratamiento la obligación de comunicar a las personas afectadas aquellas brechas de datos personales que puedan entrañar un riesgo alto para sus derechos y libertades.
La primera medida a adoptar es minimizar el riesgo procediendo de manera inmediata a comunicar a los afectados la brecha de seguridad. Ahora bien, cuando en este caso, la comunicación a los afectados supondría un esfuerzo desproporcionado, nuestra AEPD permite realizar una comunicación indirecta a través de avisos públicos a los afectados en medios destacados de forma que en ningún caso pueda pasar desapercibidos. (medios sociales, cadenas televisivas, espacios radiofónicos etc).
Y ello, sin perjuicio de comunicar a la AEPD (Agencia Española de Protección de Datos) en un plazo no superior a 72 horas desde que haya tenido conocimiento del ciberataque, de la brecha de seguridad y de las medidas implantadas hasta el momento para controlar los posibles daños y prevenir ulteriores.
¿Qué puede hacer cualquier persona cuyos datos personales se puedan haber visto comprometidos por una brecha de seguridad o hackeo?
1.- Adopción de medidas precautorias.-
Lo primordial para cualquier posible afectado es minimizar los riesgos de un posible uso fraudulento e inconsentido de datos personales como DNI o cuentas bancarias, que los ciberdelincuentes podrían utilizar para suplantar la identidad y cometer actuaciones ilícitas. Para evitarlo, las principales medidas a tener en consideración serían:
- Recopilar cualquier comunicación de Endesa o de Hacienda sobre la brecha de seguridad (noticias de prensa, radiofónicas, redes sociales…)
- Recopilar cualquier prueba de un posible uso indebido de sus datos (correos de phishing, llamadas sospechosas, movimientos bancarios no reconocidos, etc.).
- Enviar una solicitud formal al Delegado de Protección de Datos de Endesa o de la AEAT para conocer el alcance exacto de la información personal comprometida en su caso particular.
Se ha de responder en el plazo de un mes. En caso negativo, o si la respuesta no es satisfactoria, se puede presentar una reclamación de tutela de derechos ante la AEPD.
- Cambiar contraseñas de servicios online (especialmente si se reutilizan), vigilar los movimientos bancarios y estar alerta ante posibles intentos de phishing que utilicen la información filtrada
2.- Presentar una denuncia ante la AEPD: En el supuesto de que se tenga constancia de haber sufrido un uso ilegítimo y no autorizado de datos personales como consecuencia de las citadas brechas de seguridad se puede formular una denuncia ante la AEPD, la cual puede culminar con la incoación de un procedimiento sancionador que culmine con una sanción. Para el caso de la compañía eléctrica sería pecuniaria si bien en el caso de Administraciones Públicas son sancionadas con apercibimientos, medidas correctoras obligatorias, publicación de la sanción y amonestaciones a cargos responsables, especialmente por no atender requerimiento, pero en ningún caso pueden ser multas pecuniarias.
3. Reclamar en vía judicial ordinaria: Paralelamente a la anterior medida, se pueden reclamar por vía civil los perjuicios económicos sufridos pues así lo contempla el artículo 82 del RGPD que reconoce el derecho de toda persona que haya sufrido daños materiales a consecuencia de una brecha de seguridad (ej. cargos fraudulentos en cuentas bancarias, costes de gestión para anular tarjetas, etc.) o daños morales (angustia, ausencia de control sobre los propios datos personales) a recibir una indemnización del responsable del tratamiento.
Si bien los daños morales son de más difícil acreditación y cuantificación, la jurisprudencia viene reconociendo cada vez más la procedencia de indemnizaciones por daños morales, al margen de los daños materiales cuya determinación y acreditación ofrece menor dificultad de probanza.
Para cualquier duda, aconsejamos el asesoramiento de profesionales especializados de los que dispone nuestro despacho para poder llevar a cabo cualquiera de las medidas a adoptar en su caso.
Si tiene dudas sobre como aplicar este artículo a su caso, puede realizarnos una consulta a través de nuestro formulario