Booking sancionada con 475.000 euros

La compañía Booking ha sido sancionada por la Autoridad de Control de Protección de Datos en Holanda con una multa de 475.000 euros por comunicar una brecha de seguridad fuera de plazo.





¿Qué es una brecha de seguridad? Cualquier incidente que provoque una pérdida, destrucción, alteración o acceso no autorizado de datos personales.


En este caso, unos hackers, haciéndose pasar por empleados de Booking consiguieron engañar a los auténticos empleados para que les revelaran sus credenciales de acceso, consiguiendo así datos personales de más de 4.000 clientes y datos de tarjetas de crédito de 283 clientes.





Este tipo de incidentes puede ocurrir en las compañías más seguras, aunque hay que procurar implantar las técnicas más fiables para evitarlo. Sin embargo, la sanción impuesta a Booking viene dada por el incumplimiento del artículo 33.1 del RGPD, que establece lo siguiente:

"1. En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación."





Así lo reconoce expresamente Monique Verdier, Vicepresidenta de la autoridad de control holandesa:

“Desafortunadamente, una brecha de seguridad de datos personales puede ocurrir en cualquier lugar, incluso si se tienen las debidas medidas de precaución. Sin embargo, para evitar daños a los clientes y futuros ataques, es necesario informar de la brecha de seguridad a tiempo”.

“Es fundamental actuar con rapidez, sobre todo para proteger a las víctimas de la infracción. Después de recibir una comunicación de brecha de seguridad, la DPA puede ordenar a una empresa que advierta inmediatamente a los afectados. Esto puede evitar que los delincuentes tengan semanas para intentar defraudar a los clientes”.





Por tanto, dado que hay situaciones que, incluso con la máxima diligencia no podemos evitar, sí hemos de intentar paliar sus efectos, con un cumplimiento proactivo del RGPD es posible.


La manera de cumplir proactiva y efectivamente con la normativa de protección de datos europea y española, y así evitar sustos y sanciones tan cuantiosas, es tener implantado un correcto plan de protección de datos personales y contar con un DPD (delegado de protección de datos), especialista en la materia.



gif

#proteccióndedatos #brechadeseguridad #ciberseguridad