Las consecuencias derivadas de un incidente de fuga de información en nuestra empresa van a ser siempre negativas, el conocimiento público de la existencia de una filtración de información dañará la imagen pública de la corporación, impactando muy negativamente en el negocio y generando desconfianza e inseguridad en los clientes.
La publicación de información puede generar consecuencias a terceros: grupos externos de usuarios y otras organizaciones cuyos datos se hayan hecho públicos.
Normativas y leyes que ponen especial énfasis en el uso y tratamiento de datos de carácter personal:
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (comúnmente conocida como LOPD).
- Reglamento de desarrollo (Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal).
- Reglamento Europeo 2016/679, de 27 de abril de 2016, de Protección de datos, etc.
Hay que destacar la obligación de seguridad en el tratamiento de los datos que recoge el artículo 32 del Reglamento, en sus apartados 1 y 2 cuando señala que:
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”
“Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Es difícil medir el impacto de la fuga de información, pero puede ser muy diverso, especialmente según la intencionalidad del incidente. En aquellos casos en que se trata de un accidente no intencional, el impacto en la empresa dependerá de qué ocurre con el nuevo poseedor de esa información. Si se supone que un gerente de la empresa pierde una computadora portátil, el impacto puede ser nulo si quién la encuentra ignora la información que allí se contiene y formatea el sistema; o puede ser alto si el nuevo poseedor identifica los datos y los utiliza para publicarlos, comercializarlos o cualquier otra acción dañina.