¿El sistema caído y el CEO preguntando de quién es la culpa?
La responsabilidad ransomware define tus siguientes pasos legales y determina las consecuencias para tu empresa mucho después de que IT solucione el desastre. Olvídate del pánico técnico por un momento. Cuando los datos de tus clientes están cifrados, acabas de entrar en una crisis legal que exige decisiones rápidas y precisas.
Pagar el rescate no elimina tu responsabilidad
Pongámoslo claro: pagar a los ciberdelincuentes es una pésima idea. No garantiza que recuperes los datos y, lo que es peor, no te exime de ninguna obligación legal. La Agencia Española de Protección de Datos (AEPD) considera el secuestro de datos una fuga de datos personales en toda regla. Pagar no borra la brecha de seguridad.
Tu verdadera responsabilidad ransomware: Notificar y documentar
Aquí es donde te juegas la sanción. Tu principal obligación es analizar el incidente y, si supone un riesgo para los derechos y libertades de las personas, notificarlo a la AEPD. Tienes 72 horas para hacerlo desde que eres consciente del ataque. Cada minuto cuenta.
Actuar con rapidez y transparencia es clave. Demuestra que controlas la situación, incluso en medio del caos. Si no sabes cómo empezar, revisa el proceso para emitir tu alerta de brecha a la AEPD antes de 72 horas. No hacerlo o hacerlo tarde agrava tu situación.
¿Qué datos se han visto comprometidos?
No es lo mismo que secuestren un listado de emails que un historial clínico. Debes evaluar qué información ha sido afectada. Si incluye datos de categorías especiales (salud, ideología, etc.), el riesgo se dispara y la obligación de comunicar la brecha a los propios afectados es casi segura. La AEPD examinará con lupa cómo protegías esa información.
Las medidas previas definen tu defensa
La pregunta que te hará la autoridad de control no es solo qué hiciste después del ataque, sino qué hiciste para evitarlo. ¿Tenías copias de seguridad actualizadas y aisladas? ¿Usabas sistemas de autenticación multifactor (MFA)? ¿Formabas a tu plantilla?
Demostrar que aplicabas medidas de seguridad robustas antes del incidente es tu mejor argumento. Reduce la percepción de negligencia y puede ser el factor que mitigue una posible sanción. La responsabilidad ransomware se mide tanto en la reacción como en la prevención.
Si necesita asesoramiento especialista para su caso particular en esta materia, estaremos encantados de escuchar su necesidad para proponerle un opción de servicio ajustada a su caso. Si está interesado, por favor déjenos su consulta en la sección contactar y en breve le responderemos.