Este domingo 28 de enero se celebra el Día Europeo de la Protección de Datos, una fecha establecida por el Consejo de Europa para concienciar y sensibilizar sobre la importancia del tratamiento de datos personales y el derecho a la protección de nuestra privacidad.
En nuestro país existen dos normativas fundamentales que regulan la protección de datos personales: el Reglamento General de Protección de Datos (RGPD), que se aplica en todos los países que forman parte de la Unión Europea y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que adapta el modelo europeo contenido en el RGPD a nuestro ordenamiento jurídico.
La LOPDGDD establece la obligación de adoptar una serie de medidas de seguridad a las empresas para que hagan un uso responsable y mantengan la confidencialidad de los datos que manejan. En caso de no cumplirlas, pueden aplicar multas y sanciones de hasta 20 millones de euros o aportar el 4 % del volumen de facturación anual.
El email, una de las principales brechas de seguridad
En este sentido, una de las brechas de seguridad más comunes en las compañías es el correo electrónico, una herramienta especialmente atractiva para los ciberdelincuentes, ya que le permite acceder a datos que, de revelarse, pueden comprometer la seguridad y reputación de una empresa y de sus clientes.
En caso de que se produzca una brecha de datos debido a un incidente de seguridad, los responsables del tratamiento de dicha información tienen la obligación de notificar este problema a la autoridad de control competente si constituye un riesgo para los derechos y libertades de las personas afectadas.
La LOPDGDD establece tres tipos de multas para aquellas firmas que no cumplen con las obligaciones de seguridad relacionadas con el correo electrónico:
- Multas leves. Se aplican cuando en el envío de un email a más de un destinatario no se utiliza el campo “con copia oculta” (CCO), de forma que cada usuario no pueda visualizar el resto de direcciones electrónicas. Esta práctica se considera una infracción pequeña, con cuantías que pueden ir desde los 900 a los 40.000 euros.
- Multas graves. Pueden alcanzar desde los 40.001 hasta los 300.000 €. Las infracciones en este caso incluyen el envío de comunicaciones comerciales sin consentimiento expreso de los interesados o la difusión de currículos de un empleado en una red social profesional sin su consentimiento.
- Multas muy graves. Pueden llegar hasta los 20 millones de euros por la transferencia de datos de manera temporal o definitiva, a países que no cuentan con un nivel de protección de datos equiparable al español sin la autorización expresa de la AEPD.
Cómo proteger el correo corporativo
La AEPD menciona la adopción de varias medidas por parte de las compañías para minimizar posibles amenazas a través del correo electrónico:
- Elegir soluciones y prestadores de servicio confiables y con garantías.
- Establecer procedimientos y recomendaciones de acceso a las herramientas corporativas en movilidad o teletrabajo.
- Establecer políticas restrictivas de acceso a las herramientas de productividad corporativas para uso personal o desde dispositivos no corporativos.
- Emplear contraseñas robustas.
- Comprobar los accesos indebidos y las redirecciones en los buzones de correo.
- Usar un segundo factor de autenticación.