Una empresa que me presta un servicio de mantenimiento ha sido víctima de un ciberataque. Según dicen en su propia página web, podría haber habido acceso a datos personales (los típicos), pero la información bancaria está cifrada y no tienen evidencia de que haya habido fuga de esta información. También dicen que lo han notificado a al AEPD y que han presentado denuncia a la policía.
Hasta aquí, así es la vida. El chiste es cómo me he enterado:
Esta empresa envía una newsletter comercial, y en su último email, con título "Inauguramos oficinas en Tarragona", el ciberataque era la tercera de cuatro noticias. Por cierto, que nunca me he apuntado a esta newsletter, y nunca he dado a esta empresa permiso para realizar comunicaciones comerciales.
Planteo tres preguntas:
- Este tipo de brecha, ¿cumple los requisitos que obligan a la comunicación a los afectados?
- Si es así, ¿soy yo, o es evidente que la comunicación no se ha realizado correctamente? He abierto el email por casualidad, 3 semanas después de que lo enviaran.
- Si hago una reclamación a la AEPD, ¿la empresa conocerá mi nombre?