Los ciberriesgos y el nuevo Reglamento General de Protección de Datos

La regulación europea sobre protección de datos se ha vuelto más restrictiva y supone un gran cambio en materia de protección de datos para las empresas, como ya adelantamos en nuestro blog. Tras la aprobación del nuevo Reglamento General de Protección de Datos (RGPD) por parte del Parlamento Europeo, que entra en vigor el próximo día 25 de mayo, ha aumentado exponencialmente la obligación de regular la privacidad a cargo de las corporaciones, incluyendo posibles sanciones drásticas para aquellas compañías que violen esta normativa de hasta un 4% de la facturación del Grupo o 20 millones. La importancia del nuevo Reglamento y de una correcta gestión de sus riesgos radica en que puede afectar a cualquier compañía que utilice datos personales europeos dentro o fuera de la UE. Sin embargo, los retos que plantea también son una oportunidad de cambio para las empresas.  

El impacto en el negocio

Para adaptarse a las nuevas obligaciones del derecho a la privacidad del RGPD en cuanto al uso de información personal, las organizaciones deberán:

-        Proporcionar mayor transparencia y notificar el motivo por el que procesan o utilizan datos personales.

-        Obtener el consentimiento para el procesamiento de información de individuos mediante una confirmación afirmativa y clara. El consentimiento debe ser inequívoco. El responsable del tratamiento deberá poder probar que el titular de los datos dio su consentimiento de manera explícita.

-        Crear medios para permitir que las personas ejerzan su “derecho al olvido” y la portabilidad de datos.

-        Realizar evaluaciones del impacto sobre la privacidad, designar a responsables de protección de datos y desarrollar capacidades locales para responder a la violación de datos.

-        Demostrar el cumplimiento del RGPD mediante controles e inspecciones.

La transferencia del ciberriesgo al seguro

Las consecuencias económicas de los incidentes de privacidad se pueden transferir a través de un producto asegurador que formaría parte integrante de la estrategia de ciberseguridad como una protección financiera ante un incidente de privacidad/ seguridad.

Las pólizas de Ciberriesgos cuentan con paneles de expertos que asesoran en materia técnica, legal y de relaciones públicas para resolver el incidente y mitigar el impacto reputacional si procede, además de ofrecer cobertura a:

-        Gastos de notificación, tanto a la Agencia como a los afectados, esencial tras los cambios en el RGPD.

-        Gastos de investigación de la AEPD.

-        Sanciones administrativas asegurables.

-        Gastos de defensa y posibles indemnizaciones por reclamaciones de los afectados.

-        Gastos de restitución de los sistemas y los datos.

En este sentido cabe destacar que las coberturas de protección de datos forman parte integrante de este tipo de pólizas, pero no se limitan a ello. El riesgo sobre el dato es un riesgo parcial del gran universo de los riesgos cibernéticos. Otro tipo de extensiones comunes en este tipo de productos que amplían la cobertura se centran en:

-        Cobertura para la pérdida de beneficios

-        Cobertura para la extorsión cibernética

-        Cobertura a la responsabilidad civil derivada de la publicación en Medios Digitales

La correcta gestión del ciberriesgo debe tener un carácter transversal dentro de la compañía para con ello tener una visión general de la evaluación de la exposición y la consiguiente inversión en las medidas protectoras, valorando la transferencia del riesgo al mercado asegurador para proteger a su organización de la manera más eficaz.