La nostra empresa pot ser víctima d’un ciberatac (atac informàtic) que impedeixi el funcionament normal i l’explotació del nostre negoci. És molt habitual que el virus (malware) encripti les dades i ens sol·licitin un rescat en criptomonedes. Els ciberatacs cada cop són més habituals i, entre altres problemes, afecten la disponibilitat de les dades personals de les quals som responsables. Per exemple, molts proveïdors de hosting s’estan veient afectats, ja que en els seus servidors posseeixen ingents quantitats de dades.
Davant d’un atac informàtic, per complir amb la normativa de protecció de dades la nostra entitat hauria de:
1- Coordinar la resposta a l’incident convocant d’urgència la comissió de seguretat de protecció de dades (gabinet de crisi).
2- Obtenir tots els detalls de l’atac remetent el registre d’incidències al proveïdor TIC o al departament intern corresponent.
3- Analitzar el contracte d’encarregat/ada del tractament signat amb el proveïdor TIC, si la bretxa de seguretat s’ha produït al sistema d’informació.
4- Determinar el volum de dades afectades; el caràcter intern o extern de la fuita d’informació i la possible exposició de les dades a Internet; el tipus de dades compromeses.
5- Si la bretxa de seguretat constitueix un alt risc per als drets i les llibertats de les persones físiques, s’haurà de notificar a l’autoritat de protecció de dades en el termini de 72 hores. L’empresa també ho comunicarà a les persones afectades.
En conclusió, per actuar correctament davant d’una bretxa de seguretat, el primer que cal és saber què és i ser capaç de detectar-la i identificar-la. Si es produeix, el responsable de tractament ha de posar en marxa un pla d’actuació, concretant tasques específiques que permetin resoldre la bretxa, minimitzar-ne les conseqüències i evitar que torni a succeir en el futur.