Las empresas afrontan crecientes responsabilidades legales y económicas tras un ciberataque
- Seguridad
El aumento de incidentes de ransomware y filtraciones masivas de datos está elevando la presión regulatoria sobre organizaciones de todos los tamaños. La directiva NIS2 y el RGPD endurecen las obligaciones de prevención, notificación y protección de la información.
Las organizaciones conviven con el riesgo constante de que un ciberataque exponga los datos de clientes y trabajadores. Según recuerda Panda Security, todas las organizaciones, de cualquier tamaño, tienen una responsabilidad con los datos de sus clientes y trabajadores, que deben proteger ante cualquier amenaza. Sin embargo, cuando las barreras de protección fallan, las consecuencias pueden ser graves tanto en términos económicos como reputacionales.
El reciente ataque a Comisiones Obreras ilustra esta situación. El sindicato sufrió un ransomware que encriptó y filtró parte de los datos personales que manejaba, dejando expuesta información relevante de casi 700.000 archivos en la Darkweb. Al negarse a pagar el rescate, la organización no pudo recuperar la información comprometida. Aunque CCOO afirma haber cumplido con las directrices de seguridad y haber notificado el incidente a los organismos correspondientes, el caso reabre el debate sobre las responsabilidades que asumen las empresas cuando gestionan datos sensibles.
Un marco regulatorio más estricto
La directiva NIS2 obliga a empresas esenciales y entidades importantes a establecer medidas de prevención, minimizar el impacto de incidentes y notificar brechas graves en un plazo de entre 24 y 72 horas. También exige cifrado de extremo a extremo, formación periódica y la existencia de delegados de protección de datos. El incumplimiento puede derivar en sanciones que oscilan entre 7 millones de euros o el 1,4% del volumen de negocio, y 10 millones o el 2% para entidades esenciales.
A estas obligaciones se suma el RGPD, que continúa generando sanciones relevantes. Panda Security recuerda que LaLiga ha sido multada en dos ocasiones, la última por un millón de euros por el uso de datos biométricos en estadios, y se le ha ordenado paralizar sus sistemas de reconocimiento facial hasta verificar su legalidad. Otros sectores como banca, distribución o servicios también han afrontado multas de entre 450.000 y 6 millones de euros por uso indebido de datos personales.
Impacto directo en los usuarios y derecho a indemnización
Las filtraciones de datos no solo afectan a las empresas. Los usuarios cuyos datos quedan expuestos pueden sufrir consecuencias graves, ya que los ciberdelincuentes pueden utilizar esta información para realizar compras fraudulentas o solicitar créditos a su nombre. En estos casos, los afectados tienen derecho a reclamar indemnizaciones, siempre que se demuestre que la brecha se produjo por una infracción de la empresa o que los datos ya están siendo utilizados de forma fraudulenta.
Panda Security recuerda que, ante una notificación de filtración, los usuarios deben actuar con rapidez: cambiar contraseñas, contactar con su banco si hay datos financieros comprometidos y vigilar movimientos sospechosos en sus cuentas.
El análisis concluye que las normativas de ciberseguridad aún deben demostrar su eficacia, pero el mensaje es que, tanto el uso indebido de los datos personales de clientes y trabajadores, como su nula protección deben traer consecuencias. En un contexto donde los datos son un activo crítico y los ciberataques se multiplican, las empresas deben reforzar sus políticas de seguridad, mejorar sus capacidades de respuesta y garantizar el cumplimiento normativo para evitar sanciones y proteger su reputación.
