Qué debes hacer si han filtrado tus datos en el ciberataque a The Phone House
El pasado lunes la compañía comercial de telefonía The Phone House fue vítctima de un ataque ransomware por parte de una organización cibercriminal que ha robado datos personales de cerca de tres millones de clientes de la compañía.
Entre los datos robados se encuentran el DNI, nombre y apellidos cuenta bancaria o el domicilio. «Algunos de estos datos ya han sido publicados, mientras que los ciberdelincuentes amenazan con seguir dando a conocer datos personales de miles de usuarios si la compañía no accede a pagar un rescate», explican desde la asesoría jurídica online Legalitas.
Estoy entre los afectados por el ciberataque y mis datos han sido filtrados. ¿Puedo reclamar una compensación?
«El artículo 82 del RGPD establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales (morales) como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos», asegura Legalitas.
En este sentido, aclaran, que para recibir una indemnización, se deber dar estos dos supuestos:
Que la brecha haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos), siendo esta la causa de que el ataque haya prosperado.
Que haya una ‘causa/efecto’ entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).
En el caso de que se cumplan ambos supuestos anteriores, estos se deberán ejercitar mediante un procedimiento civil con la ayuda de un abogado.
Qué se debe hacer si, como empresa, se es víctima de un ciberataque de ransomware como este
«Este tipo de ataques que afectan a los datos personales se denominan violaciones o brechas de seguridad» explican los expertos legales de la asesoría jurídica. Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal (DNI, datos bancarios, nombre y apellidos, móvil, correo electrónico…).
El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) establece la obligación para las organizaciones (públicas y privadas) que actúen como responsables de tratamiento de realizar dos tipos de notificaciones si se encuentran ante esta situación:
Notificar a la Autoridad de Control competente (Agencia Española de Protección de Datos o las autonómicas en su caso) las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento de la brecha.
Notificar a las personas cuyos datos se han visto afectados, si los daños son graves, para que puedan tomar medidas a fin de protegerse.
Si bien la mera comunicación a la AEPD de haber sufrido una brecha no implica que vaya a ser sancionada, el responsable del tratamiento de los datos no solo deberá cumplir el procedimiento de comunicación del incidente y su gestión, sino que tendrá que demostrar que había implementado todas las medidas técnicas y organizativas necesarias para evitar este tipo de incidentes, siguiendo con el principio de responsabilidad proactiva que recoge el RGPD.
¿Cómo puedo protegerme si me notifican que mis datos han sido filtrados?
Desde el portal jurídico relatan que en el caso de que te notifiquen que han filtrado tus datos, en el caso del correo electrónico debes cambiar las contraseñas o activar verificaciones en dos pasos, «deberemos estar especialmente pendientes de los correos que recibimos, por si nos entraran correos de remitentes desconocidos que nos solicitan que pulsemos algún enlace o nos descarguemos un archivo» detallan.
Si el dato afectado es nuestra tarjeta de crédito, en especial si también se ha filtrado el CVV, lo más aconsejable es ponernos en contacto con nuestra entidad bancaria y solicitar su bloqueo. «En cuanto a nuestra cuenta bancaria, igualmente es importante avisar a nuestra entidad y estar muy pendientes de algún cargo sospechoso, presentando además la correspondiente denuncia» concluyen desde Legalitas.