La importancia de una Due Diligence de la protección de los datos personales y seguridad de sistemas

AUTOR: Ana Victoria Martínez Muñoz

FECHA: 24.10.2019

La empresa que previa adquisición de otras empresas eluda un adecuado procedimiento de Due Diligence que analice en qué estado se encuentran los datos y la protección de éstos, puede que deba afrontar importantes riesgos legales y comerciales.

La protección de datos personales y sistemas de información (activos cruciales de la empresa) merecen un estudio pormenorizado y específico dentro de los procesos de Due Diligence, teniendo especialmente en cuenta la cantidad de brechas de seguridad informáticas ocurridas en los últimos años debido a ataques cibernéticos. Estos ataques ocurren en todos los sectores de la economía y pueden tener graves consecuencias, no solo por la imposición de sanciones legales elevadas, sino por la eventual pérdida de clientela y el daño reputacional. Las empresas no deberían eludir la evaluación de, entre otros, el riesgo de ciberseguridad en los procesos de auditoría en transacciones empresariales.

Un ejemplo reciente de la importancia de la realización de una Due Diligence adecuada es el caso de una famosa cadena hotelera, que adquirió a otra y posteriormente se descubrió y anunció el ciberataque producido contra la base de datos de reservas de los huéspedes de ésta última. Tras las oportunas investigaciones, pudieron comprobar que desde hacía tiempo se venían produciendo accesos no autorizados a la red y que los hackers habían copiado y encriptado la información obtenida que afectaba a multitud de huéspedes. Los datos personales que éstos pudieron obtener de la base de datos no solo se refieren a datos de contacto, fechas de reserva o datos identificativos de los huéspedes como pasaportes, sino además es posible que obtuviesen varios miles de números de tarjetas de pago no encriptadas.

Las investigaciones de la Autoridad de Control competente pusieron de manifiesto que no se había realizado una Due Diligence adecuada y suficiente cuando se adquirió la cadena hotelera y no aseguró debidamente sus sistemas. La Autoridad de Control tiene la intención de imponer una multa a la cadena hotelera de más de 100.000.000 Euros debido a la brecha de seguridad ocasionada en los mencionados sistemas.

La Autoridad de Control competente ha dicho que “El Reglamento General de Protección de Datos deja claro que las organizaciones deben ser responsables de los datos personales que poseen. Esto puede suponer la realización de la debida diligencia a la hora de realizar una adquisición corporativa, y el establecimiento de medidas adecuadas para evaluar no sólo qué datos personales se han adquirido, sino también cómo se protegen.”

Quedamos a la espera de ver finalmente qué sanción se le impone a la cadena hotelera, a pesar de haber cooperado con la investigación de la Autoridad de Control y haber mejorado sus medidas de seguridad.