Recientemente se ha producido un robo de datos sensibles en el grupo de empresas Sesderma. De acuerdo con la normativa de protección de datos, la información considerada como especialmente protegida o sensible es una categoría que incide especialmente en los derechos fundamentales a la intimidad y la libertad de las personas. Por ello, requiere ser objeto de una especial protección.
El caso del grupo de empresas Sesderma en la fuga de datos
El grupo Sesderma, de origen valenciano y del sector dermocosmético, ha avisado de que ha sufrido una fuga de datos. Se llevó a cabo una copia de listados de clientes y proveedores, de cálculos de rentabilidad, de formulaciones, de productos y de cifras de negocio. Parece ser que el robo de datos sensibles ha sido de un volumen extraordinario.
En la sustracción estuvieron implicados dos directivos y, con respecto al robo de datos de clientes, cabe destacar que incluso se llegó a contactar con algunos de ellos. La información que te hemos mencionado estaba protegida, no solo por Sesderma en sí, sino incluso por patentes internacionales. La sustracción se realizó por empleados del laboratorio mientras trabajaban. En total, están implicadas alrededor de veinte personas, entre las cuales se incluyen directores.
Delito del deber de información
Además de las consecuencias que supone de cara a la normativa de protección de datos, las cuales te mostraremos a continuación, este delito está tipificado en el Código Penal. De acuerdo con la ley, los directivos están obligados a guardar la información confidencial en absoluto secreto mientras esta lleve implícito un valor económico.
Cuando se produjeron los hechos, los directivos seguían trabajando para la empresa, por lo que se considera que dicha información conllevaba el mencionado valor económico. El abandono de la empresa se produjo posteriormente a la fuga de datos de cara al desarrollo de nuevos proyectos, por lo que seguía existiendo una relación laboral en el momento del robo de datos.
El Código Penal sanciona este tipo de actuaciones tanto con prisión como con multa. El total es de doce a veinticuatro meses. La compañía, además, ha mencionado que ha utilizado contraseñas a lo largo de más de un año, lo cual ha constatado mediante una auditoría interna a su sistema informático. Esto también conlleva un delito de apropiación indebida.
El robo de datos sensibles en el RGPD
Ya te hemos mostrado lo que recoge el Código Penal español sobre el robo de datos, unido, en este caso, al delito de apropiación indebida. No obstante, el Reglamento General de Protección de Datos (RGPD) también se pronuncia al respecto. Cada día puedes ver cómo las empresas están más familiarizadas con este reglamento. No obstante, no es fácil saber responder a un robo de datos de este tipo.
¿Recibe la empresa una multa por el robo de datos?
Como te hemos dicho, saber responder al robo de datos no es sencillo. No obstante, el primer aspecto que debemos mencionar es el de la sanción a la empresa. Cuando una compañía que ha sufrido una fuga de datos no informa correctamente de la misma, la sanción de la AEPD puede llegar a ser del 2 % de la facturación total o de diez millones de euros.
En el caso que analizamos, Sesderma anunció el robo de datos sensibles. Sin embargo, para continuar cumpliendo el reglamento cuando se producen estos casos, las empresas tienen que ser capaces de demostrar que se implementaron suficientes políticas de protección de datos previamente.
En definitiva, nunca hay total seguridad de que las medidas tomadas sean al 100 % seguras. Sin embargo, aunque el robo de datos siga ocurriendo, las infracciones no acabarán en una sanción siempre que pueda demostrarse el cumplimiento de la normativa de protección de datos y de las leyes en general.