Todas las organizaciones, de cualquier tamaño, tienen una responsabilidad con los datos de sus clientes y trabajadores, que deben proteger ante cualquier amenaza. Pero, qué sucede cuando, a pesar de las barreras de protección, estas compañías son víctimas de un robo de datos. Cómo deben reaccionar y qué responsabilidades tienen las empresas ante los ciberataques.

Ciberataque a Comisiones Obreras

Esta vez le ha tocado a Comisiones Obreras. El sindicato ha sido una de las últimas entidades conocidas en sufrir un ciberataque que ha afectado a sus sistemas de información. El ransomware con el que ha sido atacado encriptó y filtró parte de los datos personales que manejaba. Dejando expuesta información relevante de casi 700.000 archivos en la Darkweb, que CCOO no ha podido recuperar al negarse a pagar el rescate que el grupo de hackers le exigía.

Antecedentes de fallos en la ciberseguridad

No es la primera vez que el sindicato se ve afectado por un ataque informático. En noviembre de 2023 tuvo su página web inhabilitada durante horas. Pero sí es la ocasión en la que la amenaza puede suponer un daño notable a la institución, tanto de carácter reputacional como en términos económicos. Si se detecta que el sindicato ha cometido alguna infracción en sus barreras de protección y seguridad.

Tampoco es la primera vez que una organización de este calibre, que maneja tantos datos de carácter personal, se ve afectada por un ataque informático que acaba con información sensible en la Darkweb. Es un riesgo con el que todas las empresas y entidades conviven a diario. Y que deben afrontar con ciertas medidas establecidas desde las normativas vigentes para paliar, en todo lo posible, los graves perjuicios de estos incidentes. De no ser así, es decir, de no cumplirse con las reglas de ciberseguridad, pueden enfrentarse a sanciones económicas importantes y a reclamaciones de indemnizaciones por parte de aquellos particulares cuyos datos se hayan filtrado.

Cumplimiento con las normativas de ciberseguridad

Comisiones Obreras, en este caso, afirma que ha cumplido con todas las directrices que marcan las normativas actuales y dice haber abierto una investigación interna para aclarar lo sucedido. Según el sindicato, está trabajando desde el primer momento para resolver la vulnerabilidad que provocó este incidente y ha informado a todas las personas afectadas por correo electrónico. Al margen del golpe que haya supuesto para su prestigio y de las consecuencias reputacionales que deriven de este ataque, la entidad asegura haber cumplido con las responsabilidades que marca la directiva NIS2, que obliga a las empresas de servicios esenciales y a las entidades importantes a establecer medidas para prevenir y minimizar el impacto de los incidentes en caso de producirse, y de notificar, en un plazo de entre 24 y 72 horas sobre incidentes graves que hayan sufrido. Una norma que también influye en los proveedores de ciberseguridad de estas organizaciones, que deben de cumplir con sus reglas.

Otras obligaciones de NIS2

NIS2 contempla otras obligaciones, como el uso de cifrado de extremo a extremo o la asistencia a formaciones a los miembros de dirección de las compañías en sectores esenciales, y a sus empleados de forma periódica.

Comisiones Obreras, en su caso y según cuenta, ha cumplido con las directrices de la norma y dispone de una persona delegada de Protección de Datos en cada una de sus organizaciones confederadas, y de un equipo de expertos en ciberseguridad. Además, y según han informado, también han notificado la brecha de seguridad sufrida a la Agencia Española de Protección de Datos y al Instituto de Ciberseguridad (INCIBE).

Multas por no cumplir con las normativas de ciberseguridad

Con estas actuaciones, el sindicato se parapeta ante las posibles consecuencias económicas que puedan derivar del incumplimiento de la normativa en ciberseguridad. Unas sanciones que pueden variar, en función de la categoría de la compañía, desde los siete millones de euros o un máximo de un 1,4% del volumen del negocio anual total a nivel mundial del ejercicio financiero anterior si se trata de una entidad importante, hasta los 10 millones de euros o un máximo de un 2% del volumen de negocio anual total a nivel mundial del ejercicio financiero anterior, cuando es una entidad esencial.

La protección de los datos es algo básico en estos tiempos en los que esta información se ha convertido en el nuevo ElDorado. Es tan importante contar con medidas de seguridad que prevengan de un posible ciberataque, o que minimicen sus consecuencias, como adoptar una política adecuada para el uso de los datos que una organización posee. También para evitar reclamaciones por parte de los particulares afectados por un mal uso de sus datos o por una filtración de su información.

Consecuencias económicas y legales por no cumplir con la responsabilidad

LaLiga, por ejemplo, ya ha sido multada en dos ocasiones precisamente por vulnerar el Reglamento General de Protección de Datos (RGPD). La última ha sido hace unos días, cuando la Agencia Española de Protección de Datos ha decidido sancionar a la institución con un millón de euros por utilizar datos biométricos de los asistentes a los estadios de fútbol. Y ha ordenado paralizar los sistemas de reconocimiento facial hasta verificar que se ajustan a la legalidad.

Aunque LaLiga alega que estas medidas son necesarias para llevar un control sobre los aficionados violentos. Tanto el rostro como la huella dactilar son datos personales con una consideración especial que requieren un tratamiento muy cuidadoso. Porque, qué pasaría si esta institución fuera víctima de un ransomware que pudiera acceder a esta información biométrica. Qué tipo de sanción tendría que asumir en ese caso.

Otras empresas de sectores tan relevantes como la banca, la distribución o los servicios también han tenido que asumir multas millonarias. Por utilizar los datos de sus clientes para acciones de marketing sin su consentimiento, por instalar sistemas de reconocimiento facial en sus establecimientos sin una base legal adecuada o por transferir datos de geolocalización y valoración de sus trabajadores. Sanciones que rondan desde los 450.o00 euros hasta los 6 millones, en los casos más controvertidos.

Reclamaciones de los particulares por incumplimiento de la RGPD

Aunque estas multas pueden parecer desmesuradas, no lo son tanto. Porque estamos hablando de los datos sensibles de personas que pueden acabar en las manos equivocadas. Información personal delicada de un usuario (DNI, dirección de correo electrónico y, en los casos más graves, su rostro o su huella dactilar). Los ciberdelincuentes pueden utilizar esta información para realizar compras fraudulentas o solicitar créditos a su nombre, por poner sólo un par de ejemplos. Por eso mismo, estos usuarios tienen derecho a reclamar indemnizaciones por daños y perjuicios. Y deben conocer todo lo que pueden hacer cuando se les informa de que sus datos han quedado expuestos en la Darkweb.

Sin embargo, no todas las reclamaciones derivarán en indemnizaciones. Este tipo de compensaciones sólo se darán cuando la brecha de seguridad que haya sufrido una empresa se haya producido como consecuencia de una infracción por parte de la compañía. O que los datos del usuario ya estén siendo utilizados por ciberdelincuentes. En este último caso, cualquier indemnización no compensa el complicado proceso que deberá atravesar ese usuario. Lo ideal, cuando una empresa notifica un ciberataque y una filtración de datos es: cambiar las contraseñas de los correos electrónicos afectados, ponernos en contacto con nuestro banco en caso de que los datos sean financieros para solicitar bloqueos de tarjeta o de cuenta bancaria y estar especialmente atentos de cualquier movimiento y/o cargo sospechoso.

Las normativas sobre protección de datos y ciberseguridad todavía están por demostrar su valía. Pero lo que está claro es que tanto el uso indebido de los datos personales de clientes y trabajadores, como su nula protección deben traer consecuencias.