O BCE multa con máis de 3 millóns de euros a Abanca

Abanca, é sancionada polo Banco Central Europeo con 3,145 millóns de euros  por non informar no prazo establecido dun ciberataque sufrido no ano 2019.

O motivo da sanción, non é haber sufrido o ciberataque ou non dispoñer das medidas de seguridade oportunas, posto que o risco cero non existe, senón que, independientemente do motivo ou natureza do ataque, as entidades financieiras deben de comunicar o mesmo ao BCE no prazo máximo de 2 horas, facendoo Abanca, neste caso, casi dous días despois, 46 horas.

Como decimos, esta comunicación ten que facerse independientemente da natureza e circunstancias, polo que, as alegacións da entidade, respecto a que non se comunicou porque non houbo consecuencias económicas para os seus clientes nin brecha de seguridade dos datos dos mesmos, foron desestimadas.

O motivo e obligatoriedade de realizar esta comunicación tan urxente ao BCE é que, este organismo necesita toda a axilidade posible para valorar e, no seu caso, tratar de evitar que a mesma ameaza se replique a outras entidades financieiras de toda Europa.

A maiores desta obriga respecto ás brechas de seguridade en relación co BCE, tamén existe outra respecto á normativa en protección de datos, RGPD e LOPDGDD. Si ben, hai que diferenciar si se ven afectados datos de carácter persoal ou non, posto que da resposta a esta cuestión derivaranse distintas obrigas.

Polo que, o fundamental, é analizar si se viron comprometidos datos de carácter persoal e, en concreto, a Confidencialidade (acceso á información solo mediante autorización e de forma controlada), Integridade (modificación da información solo mediante autorización) e Dispoñibilidade (a información do sistema debe permanecer accesible).

O artigo 33 do RGPD, establece a obriga de notificar á Agencia Española de Protección de Datos, AEPD, calquera violación de seguridade de datos persoais nas primeiras 72 horas dende que se produzca ou se teña coñecemento da mesma, a menos que sexa improbable que a violación de seguridade sexa un risco para os dereitos e das persoas físicas.

En todo caso, tense que recoller nun informe a incidencia, analizala e determinar si se viron afectados datos de carácter persoal. Se concluimos, que non se viron afectados datos de carácter persoal ou en caso afirmativo, a pesar delo, non existe risco para os dereitos e libertades das persoas físicas, será suficiente con documentar a incidencia.

Si, polo contrario, sí que se viron afectados datos de carácter persoal e existe risco para os dereitos das persoas físicas, debemos de notificar este informe á AEPD antes de 72 horas e ademáis aportar a seguinte información sobre a brecha de seguridade: a) describir a natureza da violación de seguridade e, cuando sexa posible, as categorías e o número aproximado de afectados. b) comunicar o nome e datos de contacto do delegado de protección de datos DPD. c) describir as posibles consecuencias. d) describir as medidas adoptadas ou propostas para poñer remedio e para mitigar os posibles efectos negativos.

Para más información contacte con nosotros, le informamos sin compromiso en el teléfono 988 609 224 y en [email protected]

Síganos en Facebook y vea nuestro blog de protección de datos, para mantenerse informado de todas las novedades.

Arias Avogados

Comparte este artículo en tus redes
Toll Free
1-885-245-45635
New York
1-455-245-45623
Toronto
1-657-544-45623
Resumen de privacidad

RESPONSABLE 

ARIAS AVOGADOS, S.C.

N.I.F.: J-42.739.680

Dirección: Rúa Concordia, nº1, Entlo A-B, 32003, Ourense.

Teléfono: 988 609 224

Correo Electrónico: [email protected]

FINALIDAD

ARIAS AVOGADOS, S.C. tratará los datos de sus clientes/usuarios con la finalidad de incorporarlos al sistema de tratamiento del que es responsable y llevar a cabo la prestación de los servicios propios de un despacho de abogados.

-No existirán decisiones automatizadas ni se elaborarán perfiles a partir del tratamiento de sus datos.

-Los datos proporcionados a ARIAS AVOGADOS, S.C. se conservarán durante el tiempo que dure la relación profesional.

Dichos datos permanecerán en el sistema de tratamiento del responsable. Una vez finalizada la relación profesional, los datos personales facilitados se destruirán en el plazo de 30 días desde la fecha de finalización, salvo que por imperativo legal se tenga la obligación de conservarlos.

LEGITIMACIÓN

Consentimiento expreso del Cliente (art. 6.1 a) RGPD), y Ejecución contrato prestación de servicios (art. 6.1 a) RGPD).

DESTINATARIOS

El Cliente/Interesado/a consiente expresamente la cesión de sus datos cando sea necesario para la mejor prestación del servicio, siempre que únicamente se cedan los datos imprescindibles para tal fin. Se procederá a ceder datos del  Cliente a las entidades públicas o privadas necesarias (Gestoría e Informático), siempre y cuando sean adecuados y guarden relación con la finalidad que se persigue.

El consentimiento de cesión a terceros podrá ser revocado en cualquier momento con independencia de la prestación de servicios mediante comunicación al Responsable de Tratamiento, de acuerdo al apartado siguiente, DERECHOS.

-No se contemplan transferencias internacionales de los datos.

DERECHOS

El Cliente/Interesado/a tiene derecho a obtener el acceso a sus datos, a su rectificación o supresión, a la limitación de su tratamiento, o a oponerse al mismo, así como a la portabilidad de sus datos, solicitándolo mediante comunicación al Responsable de tratamiento, bien en el domicilio profesional en Rúa Concordia, nº1, Entlo A-B, 32003, Ourense,  en la dirección de correo electrónico: [email protected], y si no se obtiene respuesta, directamente ante la AEPD en www.aepd.es adjuntando, en ambos casos, fotocopia de documento identificativo (D.N.I., N.I.E., o Pasaporte).