Abanca é sancionada polo Banco Central Europeo con 3,145 millóns de euros por non informar no prazo establecido dun ciberataque sufrido no ano 2019.
O motivo da sanción, non é haber sufrido o ciberataque ou non dispoñer das medidas de seguridade oportunas, posto que o risco cero non existe, senón que, independientemente do motivo ou natureza do ataque, as entidades financieiras deben de comunicar o mesmo ao BCE no prazo máximo de 2 horas, facendoo Abanca, neste caso, casi dous días despois, 46 horas.
Como decimos, esta comunicación ten que facerse independientemente da natureza e circunstancias, polo que, as alegacións da entidade, respecto a que non se comunicou porque non houbo consecuencias económicas para os seus clientes nin brecha de seguridade dos datos dos mesmos, foron desestimadas.
O motivo e obligatoriedade de realizar esta comunicación tan urxente ao BCE é que, este organismo necesita toda a axilidade posible para valorar e, no seu caso, tratar de evitar que a mesma ameaza se replique a outras entidades financieiras de toda Europa.
A maiores desta obriga respecto ás brechas de seguridade en relación co BCE, tamén existe outra respecto á normativa en protección de datos, RGPD e LOPDGDD. Si ben, hai que diferenciar si se ven afectados datos de carácter persoal ou non, posto que da resposta a esta cuestión derivaranse distintas obrigas.
Polo que, o fundamental, é analizar si se viron comprometidos datos de carácter persoal e, en concreto, a Confidencialidade (acceso á información solo mediante autorización e de forma controlada), Integridade (modificación da información solo mediante autorización) e Dispoñibilidade (a información do sistema debe permanecer accesible).
O artigo 33 do RGPD, establece a obriga de notificar á Agencia Española de Protección de Datos, AEPD, calquera violación de seguridade de datos persoais nas primeiras 72 horas dende que se produzca ou se teña coñecemento da mesma, a menos que sexa improbable que a violación de seguridade sexa un risco para os dereitos e das persoas físicas.
En todo caso, tense que recoller nun informe a incidencia, analizala e determinar si se viron afectados datos de carácter persoal. Se concluimos, que non se viron afectados datos de carácter persoal ou en caso afirmativo, a pesar delo, non existe risco para os dereitos e libertades das persoas físicas, será suficiente con documentar a incidencia.
Si, polo contrario, sí que se viron afectados datos de carácter persoal e existe risco para os dereitos das persoas físicas, debemos de notificar este informe á AEPD antes de 72 horas e ademáis aportar a seguinte información sobre a brecha de seguridade: a) describir a natureza da violación de seguridade e, cuando sexa posible, as categorías e o número aproximado de afectados. b) comunicar o nome e datos de contacto do delegado de protección de datos DPD. c) describir as posibles consecuencias. d) describir as medidas adoptadas ou propostas para poñer remedio e para mitigar os posibles efectos negativos.
