(+34) 91 563 36 12 info@ubtcompliance.com

Ransomware, spoofing, phising… son términos que se han convertido en sinónimos de amenazas, formas de cibercrimen que atacan las vulnerabilidades de seguridad de las organizaciones para sustraer datos de carácter personal con los que lucrarse de forma ilegal. Sólo en España se producen 400 incidentes de seguridad al día, según el Instituto Nacional de Ciberseguridad. En un mundo totalmente digitalizado e hiperconectado, ¿cómo protegemos los datos, evitamos perjuicios y reducimos el riesgo de la empresa?

La mejor forma es implantar un procedimiento de organización y gestión junto con un seguimiento continuo.

El Reglamento Europeo de Protección de datos (RGPD), exige a las organizaciones la obligación de garantizar la seguridad de los datos de carácter personal tratados, aplicando las medidas necesarias para evitar cualquier daño (Responsabilidad proactiva o Accountability) y respondiendo por todos daños que sufran esos datos (Obligación de resultado). Para lograrlo, el responsable tiene la obligación de nombrar un Delegado de Protección de Datos (DPO) con la función de supervisar el cumplimiento del RGPD.

El Órgano de administración está obligado al deber de diligencia y a desempeñar sus funciones bajo el principio de responsabilidad personal con libertad de criterio o juicio e independencia respecto de instrucciones y vinculaciones de terceros y se responsabiliza del daño que causen por actos u omisiones contrarios a la ley (Arts. 225, 228 y 236 de la Ley de Sociedades de Capital).

Es muy recomendable, que en el marco de Compliance, el Órgano de administración exija el DPO establecer un sistema de gestión del tratamiento de los datos, centrándose en garantizar que el DPO sea asistido en su labor por el resto de responsables de la empresa, en particular por el CISO (Responsable de seguridad de la información), el CIO (Responsable de sistemas o tecnología de la información), y el CEO (Director ejecutivo) como representante del Consejo de administración.

En conclusión, la mejor forma de reducir al mínimo el riesgo derivado de los ciberataques es implantar un procedimiento de organización y gestión junto con un seguimiento continuo en la línea del artículo 31bis del Código Penal y la norma UNE-ISO 19601, que permita no sólo evitar daños sino también que actúe como acreditación de la actuación proactiva de la empresa.