A principios de esta semana saltó la noticia que la compañía ZURICH, con sede en Suiza, ha sufrido un ciberaatque por parte de determinados ciberdelincuentes en los que se habría robado información relevante y referente a clientes, trabajadores y proveedores. La compañía de seguros ha afirmado que actualmente cuenta con una base de datos de cerca de los 5.000.000 de registro, de los cuales, el ciberataque sufrido, habría afectado en torno a 30.000 personas.

Desde la compañía se indica que ya ha notificado esta brecha de seguridad tanto a la Policía Nacional como a la Agencia Española de Protección de Datos (AEPD) para solventar el problema y sobre todo para cumplir con lo establecido en el artículo 33 del Reglamento General de Protección de Datos donde se establece que en caso de violación de la seguridad de los datos personales, el responsable del tratamiento, en este caso ZURICH, la notificará a la  autoridad de control competente sin dilación indebida y, de ser posible, a más tardar  72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad  constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control  no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

Lo más grave de esta filtración de datos es que los hackers y ciberdelincuentes que han sustraido los datos de clientes, trabajadores y proveedores de la compañía de seguros los han puesto a la venta en determinadas «darks webs» a cambio del pago de ciertas criptomonedad, entre ellas el BITCOIN. Esta situación ya está siendo investigada por parte de las autoridades de control. No obstante, en medio de dicha investigación, se puede fiscalizar y observar si desde la compañía se hubiera podido vulnerar cualquier obligación establecida en el RGPD entre ellas los artículo 32 (seguridad en el tratamiento) y el 5.1-F (principio de integridad y confidencialidad)

Entre los datos robados por parte de los hackers se encuentran los siguientes:

  • Nombre y apellidos
  • DNI
  • Vehículo asegurado: modelo, matrícula y prestaciones
  • Teléfono
  • Dirección de su domicilio
  • Correo electrónico
  • Fecha de la póliza de seguros
  • Agente de Zurich que lleva su póliza

Esta filtración de información supone una injerencia y un peligro que pone en riesgo el derecho fundamental a la Protección de Datos de numerosos ciudadanos españoles con seguros y servicios en Zurich Insurance Plc Sucursal En España. Para evitar este tipo de incidentes y consecuencias negativas para los posibles interesados, Zurich Insurance Plc Sucursal En España como responsable del tratamiento, debe de adoptar las medidas de seguridad oportunas para proteger, velar y salvaguardar los datos de carácter personal de todos sus usuarios, conforme a los principios establecidos en el artículo 5 del RGPD 2016/679.

Los responsables del tratamiento deben de ser consciente de la importancia y consecuencias que conlleva guardar y proteger un bien tan esencial, como son los datos de los ciudadanos. Los datos son el oro del Siglo XXI. Los responsables tienen la obligación de proteger y salvaguardar un derecho constitucional y humano como es el derecho a la protección de datos de los ciudadanos y ciudadanas. Para ello, deben de poner en marcha todas las medidas técnicas y organizativas necesarias para proteger la confidencialidad, integridad y disponibilidad de los datos almacenados y guardados tanto en sus servidores como base de datos.

La indisponibilidad y pérdida de la información por parte de las entidades y administraciones públicas pueden suponer un grave perjuicio para los ciudadanos. Entre los riesgos asociados a destacar estarían la suplantación de identidad, la contratación fraudulenta, fishing, engaño y en casos extremos incluso hasta la extorsión.

 

 

GONZALO OLIVER MARTÍN

OZONIA CONSULTORES