Cuando un titular de farmacia se enfrenta a un robo en su botica en lo primero que suele fijarse es en los productos y fármacos que se hayan podido llevar, o en la caja registradora. Incluso en los equipos informáticos, aunque sólo considerando su valor material. Son pocos los que piensan en la pérdida o robo de bases de datos de sus clientes, a veces con información sensible que puede afectarles de alguna manera.
Así lo ha asegurado Fernando Benítez, abogado y delegado de Protección de Datos de COFM Servicios 31, en el webinar Cómo actuar en un robo en la farmacia. Violación de la seguridad, enmarcado en su programa de charlas Aula de Formación. Según el experto, es importante estar atentos a cualquier anomalía en el ámbito digital, porque si se detectan movimientos que signifiquen el robo de información personal hay que dar parte a la Agencia Española de Protección de Datos (AEPD).
Cuándo se debe notificar
Ya sea en el marco de un robo físico o de uno digital, si se detecta una violación de la seguridad de los datos personales de clientes, empleados o proveedores, el responsable de la farmacia debe notificarlo a la AEPD lo antes posible. Según la normativa, el aviso debe llevarse a cabo, como muy tarde, 72 horas después de que se haya tenido constancia de ella. “Si no se hace, se exponen a sanciones que llegan hasta los 6.000 euros”, ha advertido.
¿En qué situaciones debe llevarse este procedimiento a cabo? Benítez ha puesto tres ejemplos que suelen ser habituales. “Una podría ser el robo de un portátil, un disco duro o una memoria USB que tuviesen información sensible acerca de clientes y pacientes. Otra, el envío masivo de correos sin poner en copia oculta a los destinatarios del mismo y con adjuntos que incluyan información personal”.
También ha hecho referencia al phising, un término informático que implica suplantar la identidad de un tercero (servicios de mensajería, entidades bancarias, etc) para intentar conseguir información confidencial de forma fraudulenta. “Una técnica que permitiría al ciberdelincuente acceder a las cuentas de empleados o a toda la información alojada en un ordenador y en la nube”.
Por otra parte, cuando la violación de la seguridad de los datos personales suponga un alto riesgo para los derechos y libertades de las personas físicas relacionadas en los archivos de la farmacia, el responsable deberá comunicarlo a todos los interesados lo antes posible. Por ejemplo, si hay datos de compra, direcciones, números de tarjetas bancarias, información sobre tratamientos o estado de salud, etc.
Mejor prevenir
Aunque las medidas preventivas no garantizan que no se produzcan brechas de seguridad, sí que pueden frenar la acción de los ciberdelincuentes. “Para empezar, hay que usar y procurar que nuestros clientes utilicen contraseñas seguras. Y en los casos de comercio electrónico, además, es muy útil configurar siempre un segundo factor de autenticación”, ha recomendado Benítez.
También es importante realizar copias de seguridad de la información que se tiene en los equipos de la farmacia, para evitar su pérdida ya sea en caso de averías, de ciberataques o, incluso, de extorsiones en aquellos casos de ransomware o de secuestro de los datos. “En este sentido debemos tener todos nuestros sistemas actualizados, los ciberdelincuentes se aprovechan de los sistemas obsoletos, ya sea el antivirus como el sistema operativo de nuestros equipos”, ha comentado.
Por otra parte, aquellos servicios que se contraten a través de internet deben ser de calidad y ofrecer garantías, ya estén en el ordenador instalados como en los teléfonos móviles. “Hay aplicaciones con contenido malicioso oculto que puede sustraer información, permitir escuchas, controlar la cámara del móvil, etc.”, ha advertido Benítez.
Finalmente, ha hablado del cifrado de los dispositivos externos que contengan esa información sensible de la farmacia. “Hay que proteger esos discos duros o pendrives que nos guardamos en el bolsillo de la chaqueta con contraseñas que aseguren la privacidad de los datos. Y, por supuesto, también en los teléfonos móviles con los que trabajemos.
Aclarando conceptos
Durante su charla, Benítez ha aclarado el significado de diversos términos, relacionados con el robo de información desde los archivos de la farmacia. “El Reglamento General de Protección de Datos (RGPD) define el concepto de violación de seguridad, también conocido como brecha de seguridad, como "toda aquella que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
Existen tres tipos de brechas de seguridad. La primera es la de confidencialidad, cuando se produce una revelación no autorizada o accidental de los datos personales, o el acceso a los mismos. La segunda es la de integridad, cuando se produce una alteración no autorizada o accidental de los datos personales. Y la tercera es la de disponibilidad, cuando se produce una pérdida de acceso accidental o no autorizada a los datos personales, o la destrucción de los mismos.
Todas se pueden dividir por su origen externo o interno, es decir, que provengan de un delincuente ajeno a la empresa o de algún empleado que quiera perjudicarla. También por su carácter intencionado o no, o por su estado, resuelto o no. “Si la información es irrecuperable su estado nunca estará resuelto”, especifica el abogado.
Para no perderse en el proceso, Benítez ha recomendado seguir la Guía para la gestión y notificación de brechas de seguridad, elaborado por la AEPD y por ISMS Forum Spain. “Es importante estar preparados ante una posible violación de seguridad, pero también saber reaccionar cuando la detectamos”, ha insistido.
Off Gema L. Albendea Farmacia Comunitaria Profesión Off
via Noticias de diariomedico.... https://ift.tt/2HktTu9
No hay comentarios:
Publicar un comentario