En los últimos días se ha conocido públicamente que la multinacional Endesa ha sido objeto de un incidente de seguridad que habría expuesto datos personales de su clientela, presuntamente accedidos de forma indebida por un tercero ajeno a la organización. Este episodio vuelve a poner de relieve una realidad que incomoda, pero que resulta incuestionable: ninguna empresa ni profesional está completamente a salvo de una brecha de seguridad, con independencia de su tamaño o del sector en el que desarrolla su actividad.
Más allá de la repercusión mediática que adquieren este tipo de sucesos cuando afectan a grandes corporaciones, el caso de Endesa resulta especialmente ilustrativo desde el punto de vista jurídico. Permite entender qué se considera una brecha de seguridad conforme al RGPD, cómo debe reaccionar una organización ante un incidente de este tipo y cuáles son los riesgos reales cuando se manejan datos personales sensibles, como documentos de identidad o información bancaria.
El artículo 4.12 del Reglamento General de Protección de Datos define la brecha de seguridad como:
«cualquier vulneración de la seguridad que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».
En relación con el incidente comunicado por Endesa, la propia compañía ha reconocido un acceso no autorizado de carácter ilícito que podría haber afectado a datos identificativos (nombre, apellidos, DNI, teléfono), información contractual y datos bancarios.
Este tipo de datos incrementa de forma significativa el riesgo de fraudes, intentos de suplantación de identidad o campañas de phishing, incluso en aquellos supuestos en los que no se hayan visto comprometidas credenciales de acceso.
Las personas potencialmente afectadas han recibido una comunicación por parte de Endesa informando del incidente. Esta actuación resulta relevante porque se ajusta a varias de las exigencias previstas en el RGPD:
Este último aspecto es especialmente importante. No todas las brechas obligan a informar a la clientela, pero cuando existe un riesgo elevado para los derechos y libertades de las personas —como ocurre cuando se ven comprometidos datos identificativos o bancarios— la comunicación resulta obligatoria.
Sigue siendo habitual pensar que el RGPD solo afecta a grandes empresas. Sin embargo, cualquier organización o profesional que trate datos personales está sujeto a sus obligaciones, ya sea en la gestión de clientes, personal, proveedores o a través de páginas web y redes sociales.
En este sentido, una pyme o una persona autónoma debe actuar con el mismo rigor, adaptando las medidas a su realidad. Ante un incidente de seguridad, los pasos esenciales son los siguientes:
Sigue leyendo en SELLARES ASSESSORS
