¿Cuáles son las consecuencias de sufrir una violación de seguridad de datos?

¿Cuáles son las consecuencias de sufrir una violación de seguridad de datos?
mayo 12, 2022| Protección de datos

La “violación de la seguridad de los datos personales”, más comúnmente conocida como brecha o quiebra de seguridad es cualquier incidente de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Las violaciones de seguridad, una vez producidas, pueden provocar daños en la organización que las sufre, a veces, de forma irreparable; por ello, es tan importante, adoptar medidas de seguridad técnicas y organizativas apropiadas conforme a los riesgos de cada tratamiento de datos. En el post de hoy explicaremos cuáles son las consecuencias de sufrir una violación de seguridad.

Daños reputacionales

Cuando se produce una violación de seguridad y se hace pública (a través de alguna notica en prensa y/o resolución de la Agencia Española de Protección de Datos, “AEPD”) se daña la imagen de la entidad por el temor de sus clientes, potenciales clientes y proveedores que si se ha producido la brecha es porque la organización no ha adoptado medidas de seguridad técnicas y organizativas suficientes y, por tanto, no es capaz de garantizar de forma efectiva la protección de los datos de carácter personal.

Pérdida de ingresos

La pérdida de ingresos es el efecto inmediato del daño reputacional. Al crear ese malestar entre la clientela, potencial clientela y proveedores, se produce una desconfianza a la hora de contratar o proveer servicios o productos de/a la entidad.

Costes económicos

Cuando se produce una violación de seguridad, se pueden generar algunos costes económicos. Los más habituales son:

  • Invertir en mayor infraestructura tecnológica al poner de manifiesto la brecha que las medidas de seguridad sobre los tratamientos automatizados son insuficientes;
  • Contratar a experto en ciberseguridad y/o una consultora o despacho de abogados especializado en protección de datos – si es que no se hubiera contratado con anterioridad – para que le asesore sobre la gestión de la violación de seguridad, las medidas de seguridad a implantar para evitarlas en un futuro y atender los posibles requerimientos de la autoridad de control en relación a la brecha; e incluso
  • Solicitar un peritaje informático que determine de forma efectiva el alcance de la violación de seguridad en caso de haya tenido lugar sobre tratamientos automatizados.

Sanciones

Como es lógico, lo que suele preocupar más a las organizaciones es en qué supuestos puede la autoridad de control imponerles una sanción

De conformidad con el artículo 83.4 y 5 RGPD, las sanciones en materia de protección de datos, según el tipo de disposición infringida, pueden ser de:

  • Multa de hasta 10 millones de euros o hasta el 2% del volumen del negocio total anual global del ejercicio financiero anterior.
  • Multa de hasta 20 millones de euros o hasta el 4% del volumen del negocio total anual global del ejercicio financiero anterior.

Este sistema dual de cálculo de la multa fue incorporado por el RGPD para evitar que a las entidades con mayor facturación les saliera rentable incumplir la normativa sobre protección de datos. De este modo, la autoridad de control, deberá imponer en todo caso la modalidad de sanción que resulte más gravosa.

En lo que respecta a las violaciones de seguridad, no notificar a la AEPD y no comunicar la violación a los interesados en los supuestos legalmente exigibles, ni registrar la violación de seguridad (artículos 33 y 34 RGPD), conllevaría la multa “menos terrible”, esto es, multa de hasta 10 millones de euros o hasta el 2% del volumen de negocio total. Igualmente, se sanciona con la misma multa, el incumplimiento de la adopción de medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos de carácter personal.

En este sentido, de conformidad con el artículo 32.1 RGPD “ … el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…” continuando el artículo 32.2 RGPD estableciendo que “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Suscribete a nuestra Newsletter