Els experts d’ARAG revelen les pautes a seguir en cas de rebre un ciberatac
Els ciberatacs a empreses són cada vegada més habituals. Aquests delictes informàtics pretenen usurpar dades de la companyia o dels seus clients per a treure lucre econòmic, ja sigui venent-los, fent-los xantatge o suplantant la seva identitat. Llavors … Què han de fer les corredories davant aquests ciberatacs? I com han de prevenir-los? ARAG ens ho aclareix.
Què fer com a corredoria si ens ciberataquen
Si ens trobem davant aquesta situació, hem de seguir aquests 4 punts:
- Denunciar els fets davant la policia.
- Tractar la recuperació de les dades compromeses per a poder restaurar la normalitat de l’organització.
- Notificar la bretxa de seguretat a l’Autoritat de control (abans que passin 72 hores des que tenim constància), sempre que pugui suposar un risc per als drets i llibertats de les persones. Excepte a Catalunya, País Basc i Andalusia, que tenen autoritats de control pròpies, l’autoritat de control a nivell estatal és l’Agència Espanyola de Protecció de Dades (AEPD).
- Comunicar el problema als interessats que hagin vist compromesos les seves dades.
En aquest sentit, l’AEPD ja informa que les organitzacions que sofreixin una bretxa de dades personals han de centrar-se en evitar i minimitzar les possibles conseqüències que pugui tenir sobre drets fonamentals i llibertats públiques de les persones afectades.
Responsabilitat de les corredories en la protecció de dades
Les empreses han de responsabilitzar-se de la protecció de dades dels seus clients. Per a això, han de complir una sèrie de mesures:
- Comunicació ràpida i clara. Si a més fos necessària la comunicació a l’interessat, aquesta haurà de fer-se en un llenguatge clar i senzill descrivint la naturalesa de la violació de la seguretat de les dades personals i contindrà com a mínim la informació i les mesures notificades a l’autoritat de control. Si això arribés a suposar un esforç desproporcionat o es desconeix amb precisió qui ha pogut veure’s afectat, es pot realitzar un comunicat públic.
- Mesures tècniques i organitzatives. Cal recordar, que les corredories, com a responsables de tractament de dades personals, són els qui han d’aplicar les mesures tècniques i organitzatives apropiades en tot moment per a garantir i poder de mostrar, a requeriment de l’AEPD, que es compleix amb la llei i el reglament de dades personals i que aquestes mesures són efectives.
- Ser responsables proactius, des del disseny. És important que es realitzi pensant en la protecció de dades des del disseny i per defecte. La Privacitat des del Disseny, està basada en el fet que hem de ser responsables proactius, no reactius i les mesures aplicades han de ser preventives no correctives. La idea principal és que la privacitat aquest incorporada des de l’inici, en la fase de disseny i a més durant tota la vida de la dada personal. Ha d’haver-hi transparència.
- Tractar les dades només per al fi obtingut. La protecció de dades per defecte es basa a aplicar mesures tècniques i organitzatives per a garantir que les dades personals només siguin tractats per al fi obtingut.
