La cuenta atras en el nuevo Reglamento General de Protección de Datos y su implicación en materia de ciberriesgos
A menos de un año de la efectiva aplicación del nuevo Reglamento General de Protección de Datos (RGPD) en mayo de 2018, es importante evaluar el impacto que este reglamento va a tener en la esfera de los Ciberriesgos. Entre los muchos efectos que va a tener el nuevo RGPD sobre las empresas y en particular sobre los ciberriesgos, el primero que se debe destacar, sin duda, es la mayor publicidad que los ciberataques van a alcanzar a partir de mayo de 2018.
Autora: Irene Robledo de Castro. Abogada de DAC Beachcroft
El nuevo Reglamento establece la obligación de notificar las violaciones de seguridad de los datos que controlan las empresas a la autoridad, en este caso la Agencia Española de Protección de Datos. Además, puede que las empresas tengan también que notificar la violación a los titulares de los datos de carácter personal en caso de que sus derechos se vean afectados.
¿Pero cuáles son las consecuencias que el reglamento, y en concreto esta obligación de notificación van a tener para las empresas y los ciberriesgos a los que se exponen? Veamos las principales:
El hecho de que las violaciones de datos deban ser notificadas hará que los ciberataques no puedan en cierta manera ocultarse por parte de las empresas, puesto que la falta de notificación de la posibilidad a la AEPD de imponer una sanción a la empresa que no lo comunique.
Además, si el ciberataque y consecuente violación de los datos debe comunicarse también a los interesados, se producirán principalmente dos efectos sobre las empresas que se puede adelantar que son, cuanto menos, poco deseados. El primero es el propio coste de la notificación a los interesados que, dependiendo del tipo de ciberataque, puede no ser recomendable hacer por medios electrónicos, lo que llevaría a unos gastos de notificación tradicional u ordinaria bastante elevados. El segundo efecto negativo viene de la puerta que abre el RGPD a las reclamaciones colectivas de interesados que han visto comprometidos sus datos de carácter personal por un ciberataque. El hecho de notificarle a los interesados el ciberataque, unido a la posibilidad de reclamar daños y perjuicios de manera colectiva, probablemente implicará un aumento de este tipo de reclamaciones para las empresas que hayan vulnerado la normativa de protección de datos y en consecuencia conllevara probablemente la obligación de indemnizar los daños y perjuicios que los titulares de los datos puedan probar.
Por lo tanto, la obligación de notificar los ciberataques va a extender el conocimiento de estos por la autoridad y la población en general, lo que va a impedir que, como venía pasando, muchos de los ciberataques que sufrían las empresas, quedasen de alguna forma fuera del conocimiento público.
El aumento del conocimiento de los ciberataques aumenta la exposición al riesgo de las empresas, de cara a las reclamaciones que pueden recibir de los titulares de los datos de carácter personales cuya seguridad se vulnera, así como de cara a un posible procedimiento sancionador que pueda iniciar eventualmente la AEPD contra esa empresa.
Y es este aumento de la exposición al riesgo de las empresas tras la aplicación del nuevo RGPD va a derivar en un aumento de la demanda de seguros de ciberriesgos, ya que muchas empresas no están dispuestas a asumir los riesgos derivados de este tipo de ataques y deciden trasladar el riesgo a un tercero a través de una póliza de Ciberriesgos.
Las opiniones en el mercado son además relativamente unánimes en esta conclusión. Para ilustrar esta tendencia del mercado podemos mencionar la reciente publicación de un informe de AM Best en el que destaca mayor demanda de productos cibernéticos, y la probabilidad de que este aumento se vea reforzado por la repercusión de ciberataques como WannaCry y Petya, que han comprometido la seguridad de grandes volúmenes de datos de carácter persona.
Acerca de la Autora
Irene es Abogada especializada en protección de datos y ciberriesgos. Asesora a empresas nacionales e internacionales en materia de cumplimiento de la normativa de protección de datos de carácter personal, tanto nacional como europea, y en el marco de procedimientos sancionadores ante la Agencia Española de Protección de Datos. Es integrante del departamento de ciberriesgos de DAC Beachcroft.
https://www.dacbeachcroft.com/en/gb/international/europe/spain/