En lo que llevamos de año, en España ha habido 770 brechas de datos notificadas a la Agencia Española de Protección de Datos (AEPD). ¿Qué comunidades autónomas dirías que son las que más notificaciones han enviado? Los datos de la AEPD nos dejan una estadística previsible: Madrid y Cataluña encabezan el ránking, seguidas de la Comunidad Valenciana y Andalucía.
Lo cierto es que sorprenden para bien los buenos datos de La Rioja (0 brechas), Ceuta (2), Melilla (2) y Cantabria (3), ¿verdad? Está claro que su menor tamaño juega a su favor, pero en cualquier caso es positivo que en sus territorios apenas haya brechas, ¿no?
No tan deprisa. Vamos a echar la vista atrás y a fijarnos en los datos de 2019:
Vaya, pues resulta que las cuatro vuelven a estar a la cola. De hecho, Ceuta y Melilla no tuvieron ni una sola brecha de datos en todo 2019. Es verdaderamente asombroso.
Caray, ya nos ha picado la curiosidad: ¿y en 2018? ¿También tuvieron tan buenas estadísticas? Pues nada, vamos a verlo:
Definitivamente, los datos de Ceuta y Melilla son de absoluto récord, y los de Cantabria y La Rioja no se quedan muy atrás. Estos cuatro territorios cosechan unas cifras buenísimas. De hecho son tan buenas… que no hay quien se las crea.
No notificar brechas de datos no significa que no las haya
¿Por qué estos datos resultan increíbles? Porque que una comunidad autónoma no notifique brechas de datos no significa que no las tenga, sino que no las notifica. Punto. La abogada Icíar López-Vidriero, especialista en protección de datos, mira estas cifras con la misma ironía: «Sorprende, y mucho, que Ceuta y Melilla no ‘tengan’ brechas de datos y que Cantabria y La Rioja ‘tengan’ tan pocas».
¿Y por qué las empresas no notifican las brechas? Es la pregunta que le hemos hecho tanto a López-Vidriero como a Andrés Calvo, este último de la AEPD. Entre los dos nos dibujan las razones más comunes:
1.- Desconocimiento. Algo que a buen seguro pasará en muchas pymes, aunque en las de estas comunidades autónomas ‘sorprende’ especialmente. Para Andrés Calvo las brechas desconocidas «son las más peligrosas, ya que el responsable no será consciente de que está siendo atacado y de que está saliendo información de su organización».
«Las brechas desconocidas son las más peligrosas, ya que el responsable no es consciente de que está saliendo información de su empresa»
Andrés Calvo, agencia española de protección de datos
2.- Asesoría. A veces las brechas no se notifican por una falta de asesoramiento legal, porque las empresas no saben que deben comunicarlas. Aquí López-Vidriero resalta la figura del delegado de protección de datos, que «en su objetividad y en su independencia sí tiene obligación de notificarlo. Por tanto, las empresas que tienen un delegado de protección de datos sí deben llevar a cabo el protocolo».
3.- Nula voluntad. Abordemos el tema de una vez: si algunas empresas no notifican sus brechas de seguridad es, simple y llanamente, porque no quieren hacerlo. Aquí Calvo recuerda que «el Reglamento General de Protección de Datos obliga a los responsables a notificar una brecha cuando consideran que puede afectar a sus derechos y libertades».
La situación pinta complicada. Como ya vimos en el pasado reportaje, las pymes españolas son las grandes perdedores de la batalla por mantener a salvo su ciberseguridad, aunque tampoco ayuda la poca transparencia de algunas, que prefieren dejar la suciedad bajo la alfombra. Y entre unas y otras, la casa sin barrer.
