Pablo Fdez. Burgueño

Multa de 180.000 € por ransomware: por qué la víctima también es responsable según la AEPD

por

Pablo F Burgueño
en ,

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 180.000 euros a una empresa que sufrió un ataque de ransomware. La resolución es clara: ser víctima no exime de responsabilidad.

¿Por qué?

El Reglamento General de Protección de Datos (RGPD) no se limita a exigir medidas preventivas. También impone la obligación de supervisar a los proveedores, formalizar contratos claros y gestionar con diligencia cualquier brecha de seguridad. En este caso, la insuficiencia de medidas técnicas y la falta de control efectivo sobre el encargado del tratamiento fueron determinantes para la sanción.

La analogía del autobús

Imagina que subes a tus clientes a un autobús sin pasar la ITV, sin cinturones, circulando a 300 km/h, con neumáticos desgastados, sin aceite, con la correa defectuosa y la dirección casi rota. Si el autobús se estrella por un bache, el bache puede ser el detonante, pero el accidente no habría ocurrido —o no con ese impacto— si se hubieran tomado las medidas oportunas.
En protección de datos ocurre lo mismo: eres víctima, sí, pero también responsable por no garantizar unas condiciones mínimas de seguridad. Y, por supuesto, responsable de atender a los afectados después, ayudarlos y mitigar el daño.

El deber de diligencia

El RGPD exige prevenir, supervisar y reaccionar con eficacia. Lo contrario es negligencia. Y detrás de cada incumplimiento suele esconderse un problema de cultura organizativa. El llamado tone at the top marca la diferencia: sin un respaldo real de la alta dirección al CISO y al CCO, la empresa corre el riesgo de caer en el “paper compliance”, aparentando cumplir en documentos mientras rehúye la verdadera responsabilidad.

Cumplir no es un freno: es protección

Cumplir la ley, actuar con ética y dotar de autoridad a quienes velan por la seguridad y el cumplimiento no es un obstáculo para el negocio. Es todo lo contrario: protege a los empleados, a los clientes y a la reputación de la compañía.
Ignorarlo solo genera fricciones internas, pérdida de talento, desconfianza de los clientes y un negocio permanentemente en la cuerda floja.

¿Y en tu empresa?
¿La dirección actúa con la responsabilidad que el negocio, los empleados y los clientes merecen?

Comparte:

Dibujo de un ordenador portátil con la pantalla en rojo

Contacta con Pablo

Volver

Se ha enviado tu mensaje

Pablo te atenderá. Puedes ejercer tus derechos como se indica en Privacidad.

Suscríbete al blog

Tus datos serán tratados por Pablo. Puedes darte de baja en cada envío y como se indica en el aviso de privacidad.