Ciberataque a Repsol: OCU urge la aplicación estricta de la normativa de protección de datos

Total Energies, Banco Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster… y ahora Repsol. A lo largo de este año varias grandes compañías han sido víctimas de ciberataques que podrían haber comprometido los datos personales de miles de clientes. Y es que las filtraciones masivas de información suelen anticipar todo tipo de estafas basadas en la suplantación de la identidad de estas mismas empresas (mediante phishing, smishing, spoofing, wangiri…) para conseguir los datos bancarios del cliente y realizar así cargos a su costa, advierte la Organización de Consumidores y Usuarios (OCU).

Lamentablemente, las empresas afectadas no siempre comunican de manera directa y personalizada a cada cliente los datos personales a los que han tenido acceso los hackers. No son raros los casos de grandes compañías que hacen una laxa interpretación de la norma, que permite una comunicación indirecta a través de avisos públicos cuando suponga un esfuerzo desproporcionado con relación a los riesgos para los derechos y libertados que estén sufriendo los interesados. OCU considera que cualquier filtración de datos personales supone un riesgo elevado de estafa y por lo tanto no bastaría con una comunicación general en la página web de la empresa afectada.

Al mismo tiempo, OCU ha observado retrasos superiores a los tres meses en la comunicación de un ciberataque a los clientes afectados, negándoles en la práctica una atención preventiva frente a una posible estafa. Es por ello, que OCU urge a la Agencia Española de Protección de Datos a hacer cumplir su propia normativa, que obliga a comunicar las brechas de datos sin dilación indebida. Posponer esta obligación supone facilitar cualquier posible estafa. Es más, cualquier retraso con motivo de una investigación deberá ser valorado detenidamente.

En definitiva, OCU solicita una estricta aplicación de la actual normativa de protección de datos sobre la comunicación de las filtraciones a los clientes, que deberá ser rápida y directa, con sanciones ejemplares a las empresas que la incumplan. Además, OCU considera que deberían contemplarse sanciones adicionales a las empresas hackeadas si demostraran negligencia en la protección de los datos de sus clientes. Y, en todo caso, debería reconocerse una indemnización a los afectados proporcional al riesgo derivado de la apropiación ilegal de sus datos personales.

No obstante, OCU recuerda que ningún pago que realice un usuario bajo los efectos de un engaño podrá ser considerado como autorizado y por lo tanto deberá ser reembolsado de forma automática por la entidad bancaria.

Esta información ha sido elaborada por un equipo de economistas, abogados, estadísticos, ingenieros, profesionales de la salud y la alimentación, editores y diseñadores de OCU que, en colaboración con laboratorios independientes, analizan desde 1975 los principales productos y servicios de consumo. Su trabajo se sustenta en los principios de ahorro, calidad, eficiencia y sostenibilidad, pero sobre todo en la independencia que le proporcionan sus más de 190.000 socios activos.

Para más información (medios de comunicación):

Teléfono: 666 57 67 30 / [email protected]