Total Energies, Banco Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster… y ahora Repsol. A lo largo de este año varias grandes compañías han sido víctimas de ciberataques que podrían haber comprometido los datos personales de miles de clientes. Y es que las filtraciones masivas de información suelen anticipar todo tipo de estafas basadas en la suplantación de la identidad de estas mismas empresas (mediante phishing, smishing, spoofing, wangiri…) para conseguir los datos bancarios del cliente y realizar así cargos a su costa, advierte la Organización de Consumidores y Usuarios (OCU).
Lamentablemente, las empresas afectadas no siempre comunican de manera directa y personalizada a cada cliente los datos personales a los que han tenido acceso los hackers. No son raros los casos de grandes compañías que hacen una laxa interpretación de la norma, que permite una comunicación indirecta a través de avisos públicos cuando suponga un esfuerzo desproporcionado con relación a los riesgos para los derechos y libertados que estén sufriendo los interesados. OCU considera que cualquier filtración de datos personales supone un riesgo elevado de estafa y por lo tanto no bastaría con una comunicación general en la página web de la empresa afectada.
Al mismo tiempo, OCU ha observado retrasos superiores a los tres meses en la comunicación de un ciberataque a los clientes afectados, negándoles en la práctica una atención preventiva frente a una posible estafa. Es por ello, que OCU urge a la Agencia Española de Protección de Datos a hacer cumplir su propia normativa, que obliga a comunicar las brechas de datos sin dilación indebida. Posponer esta obligación supone facilitar cualquier posible estafa. Es más, cualquier retraso con motivo de una investigación deberá ser valorado detenidamente.
En definitiva, OCU solicita una estricta aplicación de la actual normativa de protección de datos sobre la comunicación de las filtraciones a los clientes, que deberá ser rápida y directa, con sanciones ejemplares a las empresas que la incumplan. Además, OCU considera que deberían contemplarse sanciones adicionales a las empresas hackeadas si demostraran negligencia en la protección de los datos de sus clientes. Y, en todo caso, debería reconocerse una indemnización a los afectados proporcional al riesgo derivado de la apropiación ilegal de sus datos personales.
No obstante, OCU recuerda que ningún pago que realice un usuario bajo los efectos de un engaño podrá ser considerado como autorizado y por lo tanto deberá ser reembolsado de forma automática por la entidad bancaria.