​La transferencia del ciberriesgo

Ahora que todos estamos inmersos en la puesta en marcha del Reglamento General de Protección de Datos (RGPD), una de las cuestiones que más llaman su atención es la libertad que otorga a las empresas para implantar las medidas de seguridad. Dentro de un marco definido muy ampliamente en su artículo 32, el RGPD pone las bases para desarrollar un sistema de gestión de seguridad para los datos que deben protegerse. Ahora bien, esta libertad tiene su contrapartida y es el famoso principio de “responsabilidad proactiva” que cuelga como una espada de Damocles sobre las empresas. Tener en cuenta la seguridad en el inicio de cualquier proyecto, fiscalizar los terceros que acceden a nuestros datos, notificar brechas de seguridad en menos de 72 horas a la Autoridad Competente y a los afectados, etc. supone una alta carga de responsabilidad que, sumado a las sanciones, hacen que el riesgo sea elevado.

Si no es suficiente con el cumplimiento del RGPD, estamos en una situación de continuos ciberataques, extorsión, robo de datos y ciberamenazas que supone una enorme preocupación para muchas empresas, independientemente de su tamaño.

Por ello, la transferencia del ciberriesgo es indicada en los casos donde las empresas no pueden asumir costes de implantación de controles o tecnología, o no puedan controlar los riesgos. ¿Cómo lo transferimos? La contratación de una póliza de ciberriesgos es una excelente opción, dado que cubre incluso las posibles sanciones derivadas del incumplimiento no doloso del RGPD (recordemos que pueden alcanzar cuantías de hasta 20 millones de euros), notificación a los afectados, respuestas ante ciberincidentes, etc.

En resumen, la dificultad que supone el cumplimiento del RGPD, sumada a un momento donde el auge y consolidación de ciberataques es una realidad que debemos afrontar, hace que debamos gestionar los ciberriesgos con el complemento de una póliza adecuada a la realidad de la empresa.

Xavier Ferretjans

Responsable de Nuevas Tecnologías