(34) 928 228 151 info@gemed.es

He recibido la desagradable sorpresa de recibir un sms en mi móvil informándome que mi tarjeta  de crédito había realizado una compra por un importe de 2.250 €. Y que en caso de no ser correcta dicha compra me pusiera en contacto con el número de teléfono que figura en el reverso de mi tarjeta… Cuando llamo a este número, me dicen que la operación es correcta, que se ha realizado de acuerdo a todos los procedimientos de seguridad establecidos para realizar dicha compra. Ante tal indefensión y en vista que el tiempo pasaba y no podía parar dicha operación comercial, me veo obligado a acudir a la Policía y poner una denuncia con los hechos que me están ocurriendo. Pregunto a la Policía como puede esto posible. Me preguntan que cuales han sido las últimas operaciones que he realizado, y que trate de identificar en que  establecimientos he realizado las últimas operaciones de pago.

Repasando las últimas operaciones realizadas, de repente menciono un hotel en el que estuve hospedado hacía 3 semanas y la Policía me dice que ese hotel está en la relación de empresas que el CCN-CERT (https://www.ccn-cert.cni.es/ ) les ha pasado como damnificado en el último ciberataque dirigido al sector hotelero español.

Además la Policía me indica que no sólo se ha producido el robo de datos e identidades de los clientes de varios hoteles de diferentes cadenas hoteleras, sino que los ciberdelincuentes suplantando las identidades de los responsables financieros de las empresas ciberatacadas habían realizado transferencias de sumas de dinero muy importantes a cuentas de estos ciberdelincuentes en paraísos fiscales, y que estas transferencias fraudulentas, fueron las que pusieron sobre la pista a los ejecutivos de estas cadenas hoteleras y les obligó a presentar denuncia ante las autoridades competentes.

La cuestión es que, además del robo de identidades de miles de clientes de estas cadenas hoteleras y el daño causado a estas personas/clientes anónimos, de las cuantiosas pérdidas de utilidades financieras de las sociedades a las que pertenecen los hoteles ciberatacados, la inspección realizada por la administración española, pudo comprobar que esos hoteles no habían tomado las medidas técnicas y organizativas dirigidas a garantizar los derechos y libertades de sus clientes, que en su mayoría eran ciudadanos de la Unión Europea en materia e protección de datos. Por lo que además de los daños del ciberataque, fueron sancionados con multas que supusieron el 4% de su facturación y en algún caso llegó a 20.000.000 €, dado que el 4% de su cifra de negocio era menor que los 20.000.000 €

Ante mi sorpresa por lo que la Policía me estaba comentando, les pregunté que como podía ser que además de las pérdidas cuantificadas en dinero por estas empresas, de las pérdidas en imagen y reputación, además, eran sancionadas con estas tremendas multas.

La respuesta fue clara y categórica. Porque no cumplían el nuevo Reglamento General de Protección de Datos; (RGPD); ley que ha hecho el Parlamento Europeo y que ha sido traspuesta al ordenamiento jurídico de todos los países de la Unión.

Y esta ley en sus artículos 25, 42, entre otros y por citar alguno, determinan de manera clara qué tipo de medidas técnicas y organizativas deben tomar en materia de protección de datos todas las administraciones públicas y empresas sin excepción que trabajan dentro de la Unión Europea. Y en caso de no hacerlo, cuál es el régimen y cuantía de las sanciones a las que se exponen. Definido en su artículo 83 del RGPD:

(http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php ).

Este artículo, es una ficción. No tengo constancia de que esto haya pasado aún. Ahora bien, puede pasar en cualquier momento que una empresa sea ciberatacada con los objetivos antes descritos. En este caso, además de los perjuicios generados en el ciberataque, debemos sumar las sanciones a las que se exponen en caso de no cumplimiento del nuevo RGPD y que es obligatorio a cumplir desde el 26 de mayo de 2018. Después de dos años que ha concedido el Parlamento Europeo para que todas las empresas y administraciones de la Unión se adaptaran al mismo. Y esto no es una ficción.

Deberíamos hacernos preguntas al respecto. Se me ocurren varias. Por ejemplo:

La empresa que me ha llevado hasta ahora la LOPD; ¿me ha informado de la publicación del reglamento y han adaptado mi empresa a este nuevo RGPD?

¿Puedo fiarme de esta empresa a la que pago regularmente para que me siga presentado este servicio y que no ha hecho nada para que mi empresa cumpla con sus obligaciones en materia de protección de datos?

¿Es una empresa responsable y solvente técnica y comercialmente hablando?

En caso de ser sancionado por la AEPD por incumplimiento grave, ante un incidente de ciberseguridad; ¿tengo capacidad para pagar la sanción?.

¿Pone en riesgo la continuidad de mi negocio?

Fuente: www.agpd.es

Fuente: https://www.boe.es/doue/2016/119/L00001-00088.pdf

Pin It on Pinterest

Share This