{"id":9809,"date":"2021-11-30T15:25:44","date_gmt":"2021-11-30T13:25:44","guid":{"rendered":"https:\/\/auris.bcntic.com\/?p=9809"},"modified":"2021-11-30T15:33:38","modified_gmt":"2021-11-30T13:33:38","slug":"contratar-un-seguro-para-prevenir-ciberataques-y-sanciones-de-la-aepd","status":"publish","type":"post","link":"https:\/\/auris.bcntic.com\/ca\/contratar-un-seguro-para-prevenir-ciberataques-y-sanciones-de-la-aepd\/","title":{"rendered":"\u00bfContratar un Seguro para prevenir ciberataques y sanciones de la AEPD?"},"content":{"rendered":"

El pilar fundamental sobre el que se apoya la de protecci\u00f3n de datos, ya sea la espa\u00f1ola LOPDGDD (Ley Org\u00e1nica 3\/2018, de 5 de diciebre, de Protecci\u00f3n de Datos y garant\u00eda de los derechos digitales) o el Reglamento Europeo General de Protecci\u00f3n de Datos (R (UE) 2016\/679); es la obligaci\u00f3n del Responsable de Tratamiento de los datos de aplicar, desde el dise\u00f1o y por defecto<\/strong>, todas las medidas t\u00e9cnicas y organizativas apropiadas a fin de garantizar y demostrar que todos los tratamientos de datos que efect\u00faa son conforme a los estandares normativos<\/u><\/strong>. Los art\u00edculos 24 y 25 del RGPD son claros en este sentido.<\/p>\n

Determinar qu\u00e9 medidas t\u00e9cnicas y organizativas son las \u2018medidas apropiadas\u2019 no es tarea f\u00e1cil. Si bien con la normativa anterior dispon\u00edamos de una especie de \u201cgu\u00eda\u201d de lo que deb\u00edamos hacer, con la normativa actual queda en la esfera del empresario definir cu\u00e1les son las medidas adecuadas para mantener indemne la informaci\u00f3n de ataques y\/o incidentes, internos o externos.<\/p>\n

La experiencia nos dice, por otro lado, que garantizar la protecci\u00f3n de los datos personales sin margen de error, siempre y en todo caso, es una imposibilidad material. Los elementos de riesgo son muchas veces impredecibles y a pesar de actuar con la diligencia debida y adaptarnos al RGPD, es muy posible que, tarde o temprano, topemos con una brecha de seguridad de los datos.<\/p>\n

A ello debemos sumar una complejidad m\u00e1s, la obligatoriedad de notificar a la AEPD determinadas brechas de seguridad en un plazo de 72 horas desde que se conoc\u00edo la brecha.<\/p>\n

\u00bfC\u00f3mo sabe el empresario que ha tomado las medidas adecuadas?<\/h2>\n

Es importante tener en cuenta que recae sobre el empresario y responsable de tratamiento la obligaci\u00f3n de garantizar la plena seguridad de los datos personales de clientes, trabajadores, proveedores, usuarios, etc. Inclusive cuando estos datos son tratados por nuestros proveedores de servicios. Disponemos de herramientas que la propia legislaci\u00f3n define a tal efecto, como el an\u00e1lisis de riesgos o las evaluaciones de impacto, para ayudarnos a definir cuales son las medidas adecuadas, pero a\u00fan as\u00ed, en la mayor\u00eda de tratamientos, esto no nos garantizar\u00e1 nada.<\/p>\n

Garantizar la custodia y seguridad de los datos que se encuentran dentro de nuestra esfera de control es dif\u00edcil; garantizar su indemnidad cuando son tratados por nuestros proveedores, es una misi\u00f3n imposible. Cualquier fallo en la cadena de custodia de nuestros datos puede ser interpretada por la autoridad competente, la AEPD, como una consecuencia de una falta de diligencia sancionable. Siempre que los derechos y libertades de las personas de las tengamos datos se vean comprometidos, la AEPD nos considerar\u00e1 sancionables. Y las sanciones de la Agencia en materia de protecci\u00f3n de datos son, como bien saben, de importes muy elevados.<\/p>\n

Es imprescindible la firma de un contrato cuando delegamos el tratamiento a un tercero.<\/h3>\n

Es por ello, que resulta absolutamente imprescindible concertar con todos nuestros proveedores de servicios y subcontratas el preceptivo acuerdo de Encargo de Tratamiento de los datos. Un contrato de \u2018ET\u2019 bien planteado a nuestra estructura empresarial y que sea suficientemente garantista. En el evento de una brecha, debemos poder utilizarlo para \u00a0depurar responsabilidades.<\/p>\n

Los seguros que protegen incidencias de Ciberseguridad y sanciones de la AEPD.<\/h3>\n

Al auxilio de DPDs, aut\u00f3nomos y PYMEs, se han lanzado las aseguradoras. En la actualidad, empiezan a ser comunes las p\u00f3lizas de responsabilidad civil espec\u00edficas en materia de protecci\u00f3n de datos. Concretamente, muy relevantes son aquellas destinadas a la protecci\u00f3n de las empresas frente a ciber ataques y que llegan inclusive a cubrir el coste de las sanciones de la AEPD.<\/p>\n

La mayoria de las compa\u00f1\u00edas aseguradoras cuentan hoy en d\u00eda con \u201cCiber Seguros\u201d, y algunas lo ampl\u00edan a las contingencias que puedan surgir por una vulneraci\u00f3n de la normativa de Protecci\u00f3n de Datos. Los\u00a0seguros de protecci\u00f3n de datos\u00a0son un tipo de\u00a0seguro\u00a0destinado a cubrir los da\u00f1os econ\u00f3micos que puedan resultar de una brecha de seguridad u otros ciberataques que pongan en riesgo o produzcan filtraciones de los\u00a0datos\u00a0personales que una empresa puede tener en su poder para su tratamiento. Pueden cubrir desde da\u00f1os a terceros hasta las multas de la AEPD, y cubrir incluso los costes de defenderse ante una sanci\u00f3n. Es importante, antes de contratar un seguro de este tipo ver bien qu\u00e9 incluye y que no, puesto que las contingencias ante una brecha de seguridad pueden ser variadas y de \u00edndoles muy diferentes.<\/p>\n

\u00bfRecomendamos en Auris contratar este tipo de Seguros?<\/h2>\n

La respuesta es un s\u00ed rotundo<\/strong>.<\/p>\n

Estos seguros se ofrecen a empresas que acreditan cumplir con la normativa, pero como hemos dicho el cumplir con la normativa no garantiza que no suframos ataques. Lo vemos con empresas que, aun cuando cumplen perfectamente con la normativa, y tienen elevadas medidas de seguridad, son vulnerables porque reciben constantes ataques, bien por tener una cierta cantidad de datos, bien por tener cierta notoriedad, bien porque los datos que tienen pueden resultar atractivos a terceros.<\/p>\n

En Auris Advocats, tras a\u00f1os de especializaci\u00f3n en materia de Protecci\u00f3n de Datos, compaginamos el servicio de Delegado de Protecci\u00f3n de Datos externalizado para PYMES y empresas con la contrataci\u00f3n en distintas compa\u00f1\u00edas de este tipo de seguros.<\/p>\n

La experiencia nos dice que, de forma complementaria a un correcto cumplimiento, se gana mucho en tranquilidad contrat\u00e1ndolo.<\/p>\n

Estamos a vuestra disposici\u00f3n por si precis\u00e1is de informaci\u00f3n desarrollada sobre nuestro cat\u00e1logo de servicios en cuesti\u00f3n de protecci\u00f3n de datos, quer\u00e9is saber qu\u00e9 tipo de seguro os interesa o quer\u00e9is informaci\u00f3n sobre qu\u00e9 compa\u00f1\u00edas ofrecen los seguros m\u00e1s completos.<\/p>\n

Xavi Saula<\/strong>
\nAbogado, Socio Cofundador y DPD.<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

El pilar fundamental sobre el que se apoya la de protecci\u00f3n de datos, ya sea la espa\u00f1ola LOPDGDD (Ley Org\u00e1nica 3\/2018, de 5 de diciebre, de Protecci\u00f3n de Datos y garant\u00eda de los derechos digitales) o el Reglamento Europeo General de Protecci\u00f3n de Datos (R (UE) 2016\/679); es la obligaci\u00f3n del Responsable de Tratamiento de […]<\/p>\n","protected":false},"author":6,"featured_media":9810,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":""},"categories":[1007,1159],"tags":[],"_links":{"self":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9809"}],"collection":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/comments?post=9809"}],"version-history":[{"count":4,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9809\/revisions"}],"predecessor-version":[{"id":9816,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/posts\/9809\/revisions\/9816"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/media\/9810"}],"wp:attachment":[{"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/media?parent=9809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/categories?post=9809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/auris.bcntic.com\/ca\/wp-json\/wp\/v2\/tags?post=9809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}