Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

 

Las sanciones contra organizaciones que violan el Reglamento General de Protección de Datos (RGPD) caen una tras otra.

Más de 200 millones de euros o lo que es lo mismo el 1.5% de su facturación en 2017, esta es la sanción impuesta a British Airways compañía perteneciente al grupo IAG (Iberia, British Airways, Level, Vueling Airlines y Aer Lingus) por la Agencia de protección de datos británica (Information Commissioner’s Office o ICO) como consecuencia de una fuga de información y, por tanto, la infracción del RGPD.

Situándonos en contexto, durante un periodo de más o menos 3 semanas del pasado año 2018, unos hackers, conocidos como grupo Magecart, produjeron una brecha de seguridad en la página web y en la app de la compañía, redirigiendo el tráfico de los usuarios que accedían a la página web de British Airways y enviándolos a otra página fraudulenta similar a la original.

Entre los datos de los clientes, se encuentran datos de acceso a su cuenta, su número de tarjeta bancaria, su fecha de caducidad, el código de seguridad (CVV), detalles de su viaje, nombre completo, y la dirección de su casa.

La ICO ha señalado, que la brecha de seguridad sucedió, como consecuencia de los deficientes controles de seguridad de la empresa.

British Airways ha colaborado con la ICO en la investigación y ha realizado mejoras en su sistema de seguridad. Ahora bien, British Airways, tendrá la oportunidad de defenderse contra la sanción.

El Artículo 32.1 del RGPD relativo a la seguridad del tratamiento, nos indica que:

 “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…” y su sanción, aparece comprendida en el baremo indicado en el artículo 83.4 RGPD al decirnos que “tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”, lo cual encaja, ya que la sanción impuesta es del 1.5% de su facturación en el año 2017.

Respecto a los agravantes del artículo 83.2 del RGPD, para el cómputo de las sanciones, tiene especial relevancia el apartado a): “la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido”.

En nuestra opinión, esto se debe al número de personas afectadas: 500.000 aproximadamente, la duración de la brecha y, sobre todo, del tipo de datos personales sustraídos.

Teniendo en cuenta la citada sanción, hemos de prever que en España también puede suceder, y por ello las empresas españolas no están exentas del cumplimiento de la normativa de protección de datos.

De todas maneras, habrá que esperar al desarrollo la sanción, y la cantidad a la que la sanción finalmente asciende.