GDPR: ciberseguros ante las exigencias del Reglamento General de Protección de Datos

Posted by media on 11/01/18 9:00

Ciberseguros_Reglamento_General_Protección_Datos.png

Los ciberseguros son un tipo de seguro que sirve para cubrir los daños que pueda causar un delito informático. Entre ellos, el robo de datos personales de clientes, empleados o proveedores.

En caso de que una empresa sea víctima del robo de datos de terceros, o pierda datos de clientes debido a un error informático o humano (descuido en el tratamiento de los datos) se puede enfrentar a sanciones importantes estipuladas en el nuevo Reglamento Europeo de Protección de Datos Personales (GDPR).

En este post vamos a explicar qué es un ciberseguro, qué delitos se pueden cubrir con un ciberseguro, y qué aspectos del nuevo GDPR tienen relevancia en cuanto al tratamiento de datos personales.

 

Ciberseguros, ¿qué son?

Los ciberseguros protagonizarán el gran negocio del sector asegurador en la próxima década: en 2015 las empresas se gastaron 2.500 millones de euros en ciberseguros, y en 2020 se calcula que esa cifra alcanzará los 7.000 millones de euros. (Fuente PwC)

 

El Instituto Nacional de Ciberseguridad (Incibe) señala que hay cuatro maneras de tratar los ciberriesgos: evitarlos, mitigarlos, aceptarlos o transferirlos. Los ciberseguros se enmarcan en esta última opción.

THIBER, organización independiente centrada en el estudio de la seguridad y defensa en el ciberespacio, define los ciberseguros en su estudio ‘Ciberseguros: la transferencia del ciberriesgo en España’ como “productos aseguradores cuyo objetivo es proveer protección ante una amplia gama de incidentes derivados de los riesgos en el ciberespacio, el uso de infraestructuras tecnológicas y las actividades desarrolladas en este entorno”.  

Básicamente, los ciberseguros ofrecen protección frente a reclamaciones de terceros y de empleados, y ante las posibles investigaciones de la Agencia Española de Protección de Datos por un incumplimiento de la legislación en esta materia.

 

Ciberseguros_qué_son.jpeg

 

Ciberseguros, ¿qué ciberriesgos cubren?

Al igual que sucede con todas las pólizas de seguros, los ciberseguros contemplan unas garantías básicas y otras opcionales. Y aunque cada contrato es diferente, los ciberseguros cubren una amplia gama de riesgos que se pueden englobar en dos grandes grupos:

1. Daños propios  

Son los derivados de la pérdida de ingresos como resultado de una vulneración de seguridad o de un ataque de denegación de servicio.

¿Qué ciberriesgos se cubren?

    1. La cobertura para los datos alojados en la nube.
    2. Gastos de gestión y comunicación de la crisis (a través de consultoras tecnológicas).
    3. Asistencia técnica y gastos de investigación del siniestro (informes forenses).
    4. Gastos de reparación y restauración de los datos borrados y de los equipos dañados.
    5. Pago de rescates.
    6. Defensa jurídica y protección contra multas o sanciones de organismos reguladores.

2. Daños de terceros

¿Qué ciberriesgos se cubren?

    1. Coberturas de responsabilidad civil por pérdida de datos de carácter personal.  
    2. Gastos de notificación de vulneraciones de privacidad a los dueños de los registros o a terceros que estén interesados.
    3. Protección frente a reclamaciones de terceros por incumplimiento en casos de custodia de datos, difamación en medios corporativos o infección por malware.
    4. Cobertura de delitos cibernéticos: estafas de phishing (suplantación de identidad), hacking telefónico, fraude electrónico y extorsión cibernética.

   Sanciones de la Agencia Española de Protección de Datos

   Indemnizaciones por las cantidades a las que resulten las empresas legalmente obligadas     a pagar como resultado de una sanción impuesta por la AEPD, consecuencia de una                 investigación iniciada a instancias de la solicitud de un tercero.

(Artículo 83 Condiciones generales para la imposición de multas administrativas)

Además, algunas compañías aseguradoras ofrecen coberturas adicionales en sus ciberseguros para  la prevención, como las auditorías de seguridad.

Con este servicio, expertos en seguridad de la compañía aseguradora analizarán el estado de protección de los sistemas e implementarán herramientas para la adecuada adaptación al nuevo Reglamento Europeo de Protección de Datos.

 

Ciberseguros, ¿prevención o solución?

Las aseguradoras tienen la difícil tarea de valorar el impacto de los ciberriesgos, con pocos datos en la mayoría de los casos.

Debido a este motivo, para conceder una póliza de ciberseguro, las aseguradoras exigen llevar cabo la adaptación de las empresa a las exigencias de la legislación vigente en materia de protección de datos de carácter personal.

Para ello, las empresas deben cumplir con una serie de medidas de seguridad que demuestren cierta madurez y responsabilidad en la gestión para mitigar los riesgos. 

Con lo cual, podemos decir que los ciberseguros funcionan también como un método de prevención, porque conllevan tener que adoptar medidas de protección y procedimientos de gestión de incidentes para el cumplimiento legal. De lo contrario, no se concede el ciberseguro.

Los ciberseguros contribuyen así a mejorar la seguridad de las empresa en cuanto a sistemas de información y tratamiento de los datos, y por extensión la de todos los sujetos con los que se relacionan (clientes, partners, colaboradores, proveedores, suministradores, etc.).

Y al mismo tiempo, los ciberseguros son la solución, ya que cuando ocurre un ciberataque, si la empresa está asegurada se transfieren los daños a la aseguradora.

 

Ciberseguros y el tratamiento de datos según el GDPR

Prácticamente a diario se publican noticias de empresas a las que han robado su información, los datos personales de sus clientes o que han sido objeto de alguna extorsión por internet, como por ejemplo el ciberataque conocido como ransomware.

Estos ataques son especialmente delicados para los abogados ya que, en caso de que no se respete ni proteja el secreto profesional y la información de los clientes, el código deontólogico contempla hasta la inhabilitación.

Incluso en el Código Penal español se tipifica el quebranto de la obligación de guardar secreto profesional con penas de prisión de uno a cuatro años.

 

   Importantes bufetes de abogados han sido víctimas de ciberataques que se han utilizado        para sacar a la luz información confidencial de clientes, como sucedió con los Papeles de      Panamá o con Football Leaks, filtrándose numerosa documentación de personajes                  conocidos procedente de despachos de abogados.

 

 víctimas_ciberataques.jpeg

 

Dado este escenario, la UE ha impulsado una importante reformas legislativas para proteger la privacidad de las personas. Se trata del nuevo Reglamento Europeo de Protección de Datos, que entrará definitivamente en vigor el 25 de mayo de 2018.

Este Reglamento contiene nuevas obligaciones y sanciones, y exigirá cambios que las empresas deberán aplicar, tanto en lo que respecta al diseño de los procesos para tratar datos personales, como en el propio tratamiento y gestión de datos.

 

¿Cuáles son los tres aspectos principales del GDPR?

Tres de los principales aspectos de este reglamento son:

1. La subida de las sanciones respecto de la LOPD. 

Se elevan las sanciones de 600.000 a 20 millones de euros, o el 4% de la facturación. 

2 La obligación de las empresas a comunicar cualquier fallo de seguridad a los organismos reguladores.

Éstos vigilarán muy de cerca la actividad de las empresas, investigando cualquier incumplimiento en materia de protección de datos, por lo que se prevé que se disparen las reclamaciones en este sentido. Se exige así un mayor nivel de control para detectar cualquier brecha de seguridad.  

3. La exigencia de obtener una declaración del interesado o una acción positiva que manifieste su conformidad de forma inequívoca para el tratamiento de sus datos. 

Esta diferencia respecto a la LOPD es fundamental, ya que bajo el nuevo GDPR no se permitirá el consentimiento tácito.

Por todo ello, en caso de que una empresa sea víctima de un ciberataque, el robo de datos de sus clientes, empleados o proveedores puede suponer altas sanciones bajo el nuevo Reglamento de Protección de Datos.

De ahí también surge la necesidad de contratar pólizas de seguro para cubrir ataques cibernéticos y brechas de seguridad en los sistemas de información.

 

Conclusión

El ciberseguro es sin duda la póliza que va a ser protagonista en los próximos años, sobre todo para sectores profesionales como los despachos jurídicos, financieros, tecnológicos, sanitarios y empresas de retail, que suelen ser los más afectados por los delitos informáticos.

Así, entendemos que el nuevo Reglamento General de Protección de Datos será un aliciente para que las empresas se interesen por la seguridad de sus datos, tanto por el impacto en la reputación que conllevará comunicar una brecha en sus sistemas, como por las elevadas sanciones establecidas en este nuevo GDPR.


New Call-to-action

 

Topics: GDPR

Subscríbete al blog

Últimos posts