Derecho y empresa en entornos digitales

¿Publicas fotos de tus trabajadores en la web o en las redes sociales?

por

Pues hay que tener cuidado. La AEPD ha sancionado a una empresa con 9.000 euros por publicar en su web y redes sociales fotos de un trabajador sin su consentimiento.

Porque publicar imágenes de un trabajador sin permiso es sancionable pero no hacer caso a las peticiones para retirarlas aún más. Esto es lo que le ha pasado a una empresa de formación que ha sido sancionada con 9.000 € por tratar los datos del trabajador sin consentimiento (6.000 €) y no atender a las demandas para eliminar las imágenes de las redes sociales (Facebook e Instagram), otros 3.000€. Además del coste reputacional, por supuesto. No es ninguna broma.

Así lo ha entendido la AEPD en su Resolución de Procedimiento Sancionador. La empresa publicó fotografías de la trabajadora sin consentimiento. La trabajadora pidió a la empresa, al menos en dos ocasiones, que retiraran las fotografías en las que aparecía, sin que la empresa atendiera su petición. Tras intentarlo una segunda vez, de nuevo sin éxito, la trabajadora afectada presentó una reclamación, en noviembre de 2020, ante la AEPD.

La Agencia intentó ponerse, por distintas vías, en contacto con la empresa sin conseguirlo. Quedó acreditado que la empresa había llevado a cabo un tratamiento de datos consistente en haber subido las fotografías a su página web y sus redes sociales. No consta que la exhibición de las imágenes estuviera amparada por ninguna base legitimadora del arte. 6 RGPD (por ejemplo, el consentimiento), quedando acreditada la comisión de la infracción.

Para agravarlo más si cabe, la empresa no atendió el derecho de supresión de la interesada, amparado por el artículo 17 RGPD, y no excluyó los datos personales de su tratamiento. Según este artículo “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”. Y el responsable estará obligado a suprimir sin tardar los datos personales cuando, entre otras condiciones, se dé la recogida en el apartado “d) los datos personales hayan sido tratados ilícitamente”.

Para graduar las sanciones, la Agencia considera que los tratamientos vienen de lejos -desde 2017 a 2020-, la cantidad no es escasa y el alcance es importante ya que figuran en dos redes sociales y la propia web de la empresa. Respecto a la infracción por no atender el derecho de supresión del artículo 17 RGPD, la Agencia relata que se solicitó en dos ocasiones, sin obtener ninguna respuesta, lo que pone de manifiesto una falta de cumplimiento en los deberes que le corresponden a la empresa.

Aprendamos la lección. No se pueden publicar imágenes de los trabajadores sin su consentimiento. Atendamos las peticiones de supresión que nos hagan. La carencia de diligencia es imperdonable. Y un recordatorio. Cuando un trabajador deja la empresa (despedido o por voluntad propia), recordemos suprimir las imágenes en las que aparece (web, redes, folletos, anuncios, etc.). Salvo, claro, que no tengamos su consentimiento expreso.

Como siempre, ¡Cuidados!

FanPages, cumplimiento obligado del RGPD

por

A raíz de una consulta empresarial, hacemos este post para aclarar conceptos sobre la relación entre las FanPages y el RGPD. La respuesta corta es que sí, las empresas que las usan tienen que cumplir con la normativa de protección de datos.

Empezaremos para explicar, para quien no lo sepa, qué es una FanPage. Las fanpages son una funcionalidad que Facebook introdujo ya hace años. Es una página creada especialmente para ser un canal de comunicación con fans dentro de la red social.

A diferencia de los perfiles, son espacios que reúnen a personas interesadas sobre un asunto, empresa, causa o algún rasgo en común sin la necesidad de la aprobación de la solicitud de amistad. Es el fan el que elige si seguirá o no las actualizaciones de una determinada página.

Son canales de comunicación muy apreciados por las empresas porque es una forma económica, rápida, sencilla y cuantificable de comunicar en tiempo real con clientes potenciales. Una especie de televisión o radio pero con unos costes infinitamente más económicos.

La consulta que nos hacía el empresario era básicamente sobre dos puntos ¿Estamos obligados a cumplir con el RGPD? y, si es así, ¿Qué tenemos que hacer?

A efectos de la normativa de protección de datos, estas páginas funcionan como una página web. Recogen datos personales de los usuarios y, por lo tanto, se tiene que aplicar la misma normativa, es decir, proporcionar acceso al Aviso legal, a la Política de Privacidad y a la Política de Cookies de la empresa. Y naturalmente que toda la documentación cumpla la normativa vigente. Si además, como es frecuente, la empresa instala el píxel de seguimiento de Facebook, con más motivo. Pero del píxel ya hablaremos otro día.

Dicho esto y entienden que es una página situada en una plataforma en la que la empresa tiene muy poco margen de maniobra, conviene establecer quién es realmente el responsable de los datos personales, la empresa o Facebook. Pues bien, lo son los dos.

Una sentencia de junio de 2018 del Tribunal de Justicia de la Unión Europea resolvió que el concepto de responsable del tratamiento comprendía también al administrador de un página web alojada en una red social. Según la sentencia, a pesar de que Facebook trata los datos personales mediante cookies sin informar a la empresa, no es menos cierto que FB pone a disposición de la empresa estadísticas (anónimas) de los visitantes y que la empresa puede definir criterios a partir de los cuales se tienen que elaborar las estadísticas e, incluso, designar las categorías de personas los datos de las cuales serán objeto de explotación por parte de FB. La sentencia concluye que el administrador de la página tiene que ser calificado como responsable del tratamiento conjuntamente con FB.

Por lo tanto tenemos que cumplir con lo siguiente: informar de los datos y su finalidad, recoger el consentimiento explícito para el tratamiento, pedir solo los datos necesarios, no usar los datos con una finalidad diferente a la pedida, no conservar los datos más tiempos del necesario, implementar medidas organizativas adecuadas, atender las solicitudes de ejercicio de los derechos de los usuario y crear la correspondiente actividad en el Registro.

Como siempre, atentos a todos los detalles de cumplimiento. Y si tenéis dudas, consultadnos.

Y lo más importante, cuidaos!

Competencia desleal, ¡cuidado que vienen curvas!

por

Poco a poco, sin prisa pero sin pausa, la legislación se va poniendo a tono en cuanto a Internet. Ante nuevos retos, el legislador, a pesar de que con retraso, va ajustando el derecho a las conductas que necesitan regulación. Y este es el caso con el nuevo Real decreto ley 24/2021 que, entre otras cosas, introduce nuevas medidas para prohibir la publicidad encubierta en redes sociales y evitar las reseñas falsas en los bienes o servicios en la venta a través de Internet.

El Decreto, que traspone varias directivas de la Unión Europea, modifica tanto la Ley General por la Defensa de los Consumidores y Usuarios como la Ley 3/1991, de 10 de enero, de Competencia Desleal. Las modificaciones entrarán en vigor el 28 de mayo de 2022, a excepción del apartado decimosexto del artículo 82 relativo a los datos personales del consumidor o usuario, la entrada en vigor del cual está prevista para el 1 de enero de 2022.

En cuanto a la primera, defensa de consumidores y usuarios, se añaden dos nuevos apartados en el artículo 20, relativo a la Información necesaria en la oferta comercial de bienes y servicios. El primero hace referencia a nuevos requisitos de transparencia en los motores de investigación puesto que será obligado facilitar los criterios que se han tenido en cuenta para posicionar los resultados y su relevancia. La información tiene que mostrarse junto a los propios resultados.

El segundo se refiere a las reseñas e indica que se tendrá que informar al consumidor si se garantiza que han sido hechas por compradores validados del producto y hay que explicar cómo se procesan.

Por lo que se refiere a las modificaciones en la Ley de Competencia Desleal se reforma el artículo 26 que hace referencia a las Prácticas comerciales encubiertas. A partir de ahora lo serán aquellas que no especifiquen que se trata de un contenido publicitario las informaciones destinadas a promocionar un producto o servicio pagando el empresario o el profesional encargado de la promoción. Y en el artículo siguiente, se añaden como prácticas engañosas añadir reseñas de consumidores y usuarios sin garantizar que son reales o contratar a terceros para incluir valoraciones de consumidores falsas con el fin de promocionar productos o servicios.

En definitiva, más medidas de seguridad para aumentar la protección del consumidor en Internet. Muchas veces, por prisas o porque tomamos decisiones viendo la información en el móvil, los consumidores y usuarios están desamparados y se equivocan con consecuencias imprevisibles. Y a las empresas y a los profesionales de la promoción enviarlos el mensaje de que, además de cumplir con la legislación vigente, conviene que vayan desestimando prácticas que contradicen la buena fe imprescindible para el tráfico comercial próspero.

Como siempre, ¡Cuidaos!

Registro de Jornada y Datos biométricos, una relación difícil

por

El tratamiento de datos biométricos siempre comporta una dificultad añadida cómo es la de realizar la obligatoria Evaluación de Impacto (EIPD). La identificación biométrica implica el tratamiento de categorías especiales de datos para las cuales el Reglamento requiere garantías reforzadas. Las identificaciones más comunes de este tipo son la facial y la huella digital. De esta última y de las consecuencias de hacerlo mal hablamos en este post.

Y es que la AEPD acaba de sancionar a una empresa por implantar indebidamente un registro de jornada laboral mediante la huella digital. En la resolución se imputa a la reclamada que, al tratarse de datos de categoría especial y existiendo la obligación  de hacer una Evaluación de Impacto, incumplió el artículo 35 RGPD. Este artículo dice que cuando sea probable que el tratamiento, en especial si se usan nuevas tecnologías, puede comportar un alto riesgo para los derechos y libertades de las personas físicas, el responsable realizará, antes del tratamiento, una Evaluación de Impacto de las operaciones de tratamiento en la protección de datos personales.

En la Resolución, la AEPD considera que la empresa trataba datos de categoría especial, datos biométricos, pero la empresa insiste en que la tecnología empleada es la de verificación / autenticación biométrica que no entra en la categoría especial de datos y, en consecuencia, no exigiría la realización de EIPD. Los datos de identificación biométrica que permiten identificar de manera unívoca a una persona física serían las que obligarían a realizar la Evaluación, como es el caso que nos ocupa.

También señala la Resolución que existen medios menos intrusivos para mantener este tipo de registros y que la tecnología empleada no superaba el necesario juicio de proporcionalidad que se tenía que haber hecho y que hay sistemas alternativos como, por ejemplo, tarjetas identificativas.

Desde el punto de vista laboral, la Agencia considera que las empresas no tendrían que ampararse en el consentimiento como base legitimadora del tratamiento, salvo que se trate de casos excepcionales. Esto es porque no se parte de una posición de equilibrio entre las partes ya que en la relación laboral hay una relación de subordinación. El consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad. Además, tiene que ser posible retirarlo en cualquier momento, sin coste ni desventaja para el interesado, y se tienen que ofrecer alternativas. Por último, los interesados tienen derecho a la supresión de los datos cuando el consentimiento se ha retirado.

Como conclusión, decir que la tecnología de reconocimiento biométrico es muy invasiva, que hay que distinguir entre identificación biométrica (requiere Evaluación de Impacto) y autenticación biométrica, menos intrusiva, y que hay sistemas más proporcionados para llevar el control de la jornada horaria de los trabajadores. Importante tener esto en cuenta, porque la sanción asciende a 20.000 € para este caso concreto.

Como siempre, cuidaos!

Octubre: Mes Europeo de la Ciberseguridad (2021)

por

A punto de dejar atrás el proclamado Mes Europeo de la Ciberseguridad (2021), aprovechamos para hacer algunas consideraciones respecto a un tema que, a pesar de las evidencias que tenemos día a día, no acaba de arraigar en la conciencia de los usuarios, de las empresas ni incluso de la Administración Pública.

El lema de la campaña de este año es “Antes de hacer clic, piensa”. Es un eslogan simple pero, precisamente por eso, fácil de recordar y cargado de sentido. La seguridad empieza por conocer todas las consecuencias que puede tener un clic a un enlace que de primeras nos puede parecer inofensivo. A partir de aquí, tenemos que ser conscientes de que la seguridad empieza por un mismo.

“Los ciberataques ponen en riesgo nuestros negocios, nuestras infraestructuras críticas, nuestros datos y el funcionamiento de nuestras democracias”, asegura el Vicepresidente europeo por la Promoción de nuestro Modo de Vida Europeo.

Estamos abocados, cada vez mes, a vivir en un mundo digital (otro día hablaremos de los “metaversos”, entornos donde se interactua social y económicamente con unos avatares, a través de un apoyo lógico en un ciberespacio; al paso que vamos, las películas de ciencia ficción que hemos visto hasta ahora se quedarán muy cortas en sus expectativas) y los ciberdelincuentes aprovechan cualquier vulnerabilidad de nuestro entorno digital para aprovecharse.

Según el último informe de la aseguradora HISCOX, la proporción de víctimas de un ciberataque aumentó del 38% al 43%; una de cada seis empresas víctimas de un ciberataque dicen que su supervivencia está amenazada; los presupuestos de TIC dedicados a la ciberseguridad han subido un 63% y el ransomware se ha convertido en una cosa frecuente: más del 50% de las empresas afectadas pagaron un rescate.

La pandemia ha hecho aumentar los riesgos exponencialmente. El teletrabajo, llevado a cabo de forma precaria obligados por las circunstancias, ha supuesto la exposición de vulnerabilidades de las empresas. Falta de protocolos, de cultura de la ciberseguridad y de recursos TIC han llevado al límite a muchos autónomos, empresas e, incluso, a la Administración Pública (recordamos el ataque al SEPE del marzo pasado que se repitió el junio).

Y todavía tenemos que ser más cautelosos que nunca con el teléfono móvil dado que ya son la principal vía de entrada de ciberataques corporativos en España (aproximadamente el 41% del total de los producidos en el 2021).

Los ataques son de diversa naturaleza: desde el clásico virus informático hasta el cada vez más presente ransomware, pasando para comprometer el mail corporativo, ataques DDoS y pérdidas de datos. Y el phishing continúa siendo la estrella.

En España, INCIBE, el CCN (Centro Criptològico Nacional), la OSI (Oficina de Seguridad del Internauta) y is4k (Internet Segura for KIDS) son los principales recursos públicos en materia de ciberseguridad. En Cataluña, además, disponemos de la Agencia de Ciberseguridad de Cataluña.

Como siempre, y ahora más que nunca, cuidaos!

¿Facebook? ¿Qué sorpresa?

por

Frances Haugen, de 37 años, que trabajaba como responsable de producto en el equipo de integridad cívica de Facebook (FB), fue entrevistada domingo por CBS. Dijo que los documentos que filtró demostraban que Facebook priorizaba repetidamente el «crecimiento por encima de la seguridad«. Facebook dijo que las filtraciones eran engañosas y que habían pasado por alto las investigaciones positivas realizadas por la compañía.

Cómo dice el titular, ¡qué sorpresa! Ya hace muchos años que FB es fuente de controversia por sus prácticas que se pueden calificar, como poco, de oscuras o de delictivas directamente. Recordamos el famoso escándalo de Cambridge Analytica con el uso de información de millones de usuarios sin su consentimiento para comercializarlos ilegalmente con terceros. Desde tratar a las personalidades de manera diferente según sesgos interesados hasta ser acusado de dar una respuesta “débil” a las preocupaciones de sus trabajadores sobre el tráfico de personas, pasando por afrontar demandas de sus propios accionistas o hacerse autopublicidad a través de los feeds de noticias de los usuarios para mejorar su imagen. Todo son ejemplos de mala praxis como poco. Whatsapp, compartiendo información de los usuarios con FB, y Instagram acusada por las adolescentes de hacerlas sentir mal con su cuerpo, tampoco se libran. 

Y, mientras tanto, el penúltimo susto lo hemos sufrido esta misma semana con la caída simultánea de toda la red de FB (además de FB, cayeron Whatsapp, Instagram, Messenger y Oculus) y la interrupción de los servicios que ha afectado a millones de usuarios. Incluso a trabajadores de FB que no se podían comunicar entre ellos y que tuvieron que usar herramientas alternativas de la competencia. Está claro que esto deber una cuestión del karma. No hay otra.

Y decía penúltimo susto porque, y todavía no ha acabado la semana, ayer se publicaban informaciones que aseguran que están a la venta datos personales de más de 1.500 millones de usuarios de FB en foros de hackers. Si la noticia se confirma, ya que siempre conviene ser cauteloso con este tipo de información, definitivamente, esta no es la semana de Marck Zuckerberg.

A propósito de todo esto, podemos hacer un par de reflexiones sobre la marcha. La primera, obvia, es que el modelo de negocio de FB necesita regularse. Parece evidente que la autoregulación por parte de las big-tech (no hablamos solo de FB) no funciona. Estas compañías han experimentado, en veinte años, unos crecimiento exponenciales que se los ha proporcionado unos poderes y una influencia (sobre usuarios, empresas y, incluso, gobiernos) extraordinarios, sustentados con unos rendimientos económicos fabulosos. No había estado nunca al alcance de nadie poder dirigirse simultánea e instantáneamente a miles de millones de habitantes con cualquier mensaje sin ninguna traba. Y, además, poder hacer con los datos personales, literalmente, lo que les interese en cada momento.

La segunda reflexión, también obvia, es que, en este estado de la cuestión y a modo individual, tenemos que poner nuestros medios para preservar nuestra privacidad. Conductas adecuadas, protocolos, herramientas y todo aquello que esté a nuestro alcance lo tenemos que poner en marcha por nuestra cuenta.

Como siempre, cuidaos!

Videovigilancia, despido y protección de datos

por

En una reciente sentencia, el Tribunal Supremo ha admitido que un despido se pruebe con un video que vulnera la protección de datos. El Supremo afirma que la grabación puede ser admisible en un procedimiento laboral aunque en otro procedimiento se establezca que atenta contra la normativa de privacidad. Esta diferenciación tiene importantes consecuencias, como veremos a continuación.

El caso se dio cuando una empresa de seguridad despidió a un guardia de seguridad por transgresión de la buena fe contractual, fraude, abuso de confianza y deslealtad al no llevar a cabo las tareas encomendadas (revisión de vehículos en la entrada del recinto) por la empresa y firmar y librar los registros diarios como que efectivamente se habían hecho.

Según la resolución conocida días atrás, lo relevante es que el trabajador conocía la existencia del sistema de videovigilancia y que la grabación es válida como prueba, sin perjuicio que la empresa pueda tener otras responsabilidades en el ámbito de la normativa de protección de datos. En consecuencia, el Supremo obliga a repetir el juicio en el que las imágenes no fueron admitidas como prueba.

La Sala de lo Social del Supremo recuerda que el artículo 89.1 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) establece que, en el supuesto de comisión flagrante de un acto ilícito por parte del trabajador, y siguiendo la sentencia del TEDH conocida cómo López Ribalda II, se entenderá cumplido el deber de informar cuando exista un dispositivo informativo con datos pertinentes y claramente visible. No es obligado especificar “la finalidad exacta que se ha asignado al control en cuestión”.

Al empresario, pero, es a quien le corresponde aportar las pruebas necesarias para demostrar la veracidad de los hechos imputados a la carta de despido. En esta línea, el Supremo añade que, de acuerdo con el artículo 24.2 de la Constitución, el empresario tiene derecho a utilizar “los medios de prueba pertinentes para su defensa”.

Dice también la sentencia que el hecho de que las cámaras fueran de Ifema y no de Securitas puede ser relevante desde el punto de vista de la protección de datos pero no tiene que llevar a impedir que Securitas aporte en un juicio laboral unas grabaciones que pueden ser necesarias para satisfacer la carga de la prueba que sobre ella recae.

En este caso, el Supremo entiende que la prueba era “una medida justificada, idónea, necesaria y proporcionada al fin perseguido” satisfaciendo así las exigencias de proporcionalidad que imponen la jurisprudencia del constitucional y el TEDH.

Por todo el expuesto, el Supremo admite el recurso de casación planteado por la empresa y devuelve el asunto al juzgado de lo Social que resolvió en primera instancia, mandando que celebre un nuevo juicio admitiendo las grabaciones como prueba.

Esta resolución abre una puerta interesante cuando asegura que “nuestro examen se ha de ceñir a si la prueba debió o no admitirse, sin que deba extenderse a si se cumplieron todos los requerimientos de la legislación de protección de datos, tanto desde la perspectiva de la relación de la empresa con el trabajador despedido, como de la relación entre Securitas e Ifema”.

Como siempre, cuidaos!

¿Es obligatorio contestar a las demandas de empleo?

por

Estamos en unas circunstancias económicas que hace que las demandas de empleo sean bastante elevadas. Las empresas reciben un número creciente de currículums, muchos de ellos no solicitados, que se tienen que gestionar, entre otros, desde el punto de vista de la Protección de Datos. A raíz de una resolución de la AEPD, hoy nos ocupamos de uno de ellos: la obligatoriedad de la empresa de informar sobre que hará con el CV.

Hasta ahora, no responder a los candidatos que se inscriben a una oferta de trabajo ni informarle del tratamiento que tendrán sus datos personales es un práctica habitual en las empresas por diferentes razones: falta de protocolos, de información, desinterés o, simplemente, saturación de trabajo.

Pero esta situación puede cambiar radicalmente porque la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a una empresa con 2.000€ de multa por no identificar de forma apropiada al responsable del tratamiento, ni comunicar al candidato la posibilidad de ejercer sus derechos ante el responsable del tratamiento, ni el destino que iban a tener sus datos. Además, la entidad reclamada no disponía de Delegado de Protección de Datos (DPD).

El trámite se efectuó por WhatsApp, lo cual nos pone en alerta porque cuando abrimos un canal de comunicación nuevo, como puede ser un sistema de mensajería frente al convencional correo electrónico, tenemos que ser cuidadosos e implantar un protocolo en la empresa que tenga en cuenta las particularidades y especificaciones del canal para evitar sorpresas posteriores. En el presente caso, el candidato contactó por teléfono y remitió el CV por WhatsApp, sin recibir acuse de recibo.

El candidato remitió a la AEPD los pantallazos con los mensajes intercambiados por WhatsApp, en las que no aparece ninguna información relativa al tratamiento de los datos. La empresa reclamada no procedió a presentar alegaciones ni pruebas en el plazo de audiencia por lo cual la Agencia continuó con el procedimiento.

La AEPD considera que se ha infringido el artículo 13 del RGPD que hace referencia a la información sobre el tratamiento que se tiene que facilitar a los interesados cuando los datos personales provienen de él mismo, así como el resto de información necesaria para garantizar un tratamiento de datos leal y transparente.

Otro día hablaremos del resto de obligaciones que tenemos hacia los candidatos como la manera y el tiempo de conservación de los currículums y de los protocolos que la empresa tiene que tener implantados para dar respuesta a las candidaturas. Pero lo que nos tiene que quedar claro es que tenemos que estar bien asesorados y cumplir con nuestras obligaciones. De otro manera, podemos ser sancionados y, lo que es peor, sufrir una pérdida reputacional que puede costar mucho de recuperar.

Mientras tanto, ¡cuidaos!

¿Smishing?

por

INCIBE alertaba ayer de una nueva amenaza de smishing, es decir, SMS que suplantan la identidad para capturar tus datos. La entidad afectada en este caso es el BBVA. Se ha detectado una campaña de envío masivo de SMS fraudulentos que, simulando provenir del BBVA, informan que la cuenta ha sido desactivado y piden al empresario o trabajador que pinche sobre un enlace para verificar la información.

Naturalmente, si sigues el enlace te piden tus credenciales de acceso a la cuenta a fin de “verificarlas”. A partir de aquí, tenemos un problema.

Entre las muchas amenazas que nos rodean en el ámbito de la Ciberseguridad, el smishing puede ser del que menos se habla. Y, curiosamente, la media de usuarios desconfía menos de un SMS que, por ejemplo, un correo electrónico que, como ya sabemos a estas alturas, puede ser malicioso (phishing). Y estas no son las únicas, ni mucho menos. Recientemente, Microsoft alertaba de una nueva estafa que usa archivos de Excel maliciosos. Correos electrónicos falsos, llamadas que se hacen desde centros ilegales y código que incluye malware en las hojas de Excel forman parte de la estrategia para llevar a cabo el ataque.

Y las empresas, ¿Qué tienen que hacer para gestionar los incidentes de seguridad?

La gestión de incidentes de seguridad es una tarea capital para poder minimizar cualquier amenaza que pueda vulnerar la seguridad de nuestra empresa. Conviene recordar aquí que vulnerabilidad es una debilidad o fallo en un sistema de información que puede permitir un ataque. Y amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Nuestra obligación, por lo tanto, es conocer las amenazas (cuestión externa) y evitar las vulnerabilidad (cuestión interna).

Cuando hablamos de incidentes de seguridad y su gestión, tenemos que considerar, como mínimo, las siguientes cuestiones:

  • Definir una Política de gestión de los incidentes que incluya un plan de respuesta.
  • Conocer els Diferents tipus d’incidents per poder identificar-los i preparar-nos
  • Conocer los Pasos para la gestión de los incidentes, para ofrecer una respuesta adecuada y minimizar los posibles efectos adversos en la organización
  • Aprender sobre Medidas preventivas adicionales que aumenten nuestras posibilidades de éxito
  • Preparar un Plan de contingencia y continuidad, asegurando una respuesta rápida y poder recuperar rápidamente la actividad del negocio

En temas de Ciberseguridad no podemos bajar la guardia. Tanto a nivel personal como profesional y empresarial, tiene que ser una de nuestras prioridades. Tengamos presente que un incidente de seguridad puede arruinar nuestra reputación y todos nuestros esfuerzos.

Como siempre, ¡cuidaos mucho!

Revisión Textos Legales Web