El pasado 14 de abril el Parlamento Europeo aprobó el Reglamento General de Protección de Datos. Aunque fue publicado el 4 de mayo en el Diario Oficial de la Unión Europea y entró en vigor el 25 de mayo, su aplicación se pospone al 25 de mayo de 2018.

En la mesa del próximo 28 de septiembre del ESET Security Day celebrada por ESET en Zaragoza, trataremos de evidenciar los cambios más destacados que introduce la nueva normativa para las empresas, desde el punto de vista de la seguridad de la información y minimización del riesgo con repercusión económica y reputacional.

El reto de adaptación legal y minimización del riesgo para el empresario, responsable último del cumplimiento y control del riesgo empresarial, es procurar adaptar sus procesos con el asesoramiento y recursos técnicos adecuados sin invertir su propio preciado tiempo y el de sus recursos internos dedicados a sus procesos productivos.

Se pueden proteger los datos sin morir en el intento contando siempre con el apoyo técnico-jurídico facilitador de estas tareas y canalizador del conocimiento a todos los eslabones de la empresa.

¿Qué ocurre entonces? ¿Por qué la seguridad de la información, de la que la protección de datos personales es un hito importante, no acaba de cumplir unos mínimos en el entorno empresarial?

Falta conciencia de su real implementación transversal. Solemos cubrir el expediente con cualquier servicio de registro de ficheros y algunas políticas tipo que se nos ofrecen y, sin embargo, no estamos sensibilizados en entender realmente a qué nos estamos comprometiendo activamente con esas políticas que realmente no llevamos a la práctica o no reforzamos con los recursos técnicos necesarios para reforzar nuestra seguridad.

En este punto, es vital para la empresa que el consultor y el proveedor de servicios de seguridad se encuentren alineados con los objetivos de negocio de la empresa y sean capaces de ser “facilitadores” de soluciones de seguridad integral, incluida la concienciación y sensibilización a todos los eslabones de recursos humanos de la empresa.

Es necesario que la empresa comprenda que el actual entorno digital, en cuya plena transformación se encuentra el tejido empresarial español, se haya en constante evolución. Y que esa evolución tiene consecuencias directas en la gestión de la seguridad de la información y, por tanto, con los recursos y sistemas técnicos que nos van a ayudar a minimizar el riesgo. De tal modo que cualquier intento de cumplir que quede guardado en un cajón de un responsable de la empresa será morir en el intento.

Es preciso mantener también actualizados nuestros niveles de cumplimiento y los recursos técnicos que nos sirven de control para minimizar el riesgo a un ciberataque o una brecha de seguridad.

Evaluaremos los cambios básicos que van a suponer para la empresa la adaptación al Reglamento Europeo de Protección de Datos en torno a los deberes de información, el consentimiento y la calidad de los datos; minimización y seudonimización del dato; portabilidad de los datos; datos personales de alto riesgo; transferencia internacional; la figura del delegado de protección de datos (DPO); la privacidad desde el diseño y por defecto; las evaluaciones de impacto y notificaciones de brechas de seguridad a la autoridad de control y en determinados supuestos a los interesados, así como las elevadísimas sanciones previstas en caso de no cumplimiento.

Hablamos de que la nueva normativa reconoce por primera vez el derecho del usuario a una indemnización de daños y perjuicios como consecuencia de los daños materiales o inmateriales derivados de una infracción del RGPD, además de que las sanciones administrativas pueden llegar hasta los 10 000 000 € o una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior o bien hasta los 20 000 000 € o una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tomándose en ambos tramos el importe de superior cuantía.

Sin embargo, tenemos buenas noticias. Muchas de las obligaciones previstas en la nueva normativa ya son aplicables en España desde la normativa nacional de 1999, diferenciándonos de otros estados de la unión con normativas menos restrictivas, lo que supone que aquellas empresas que verdaderamente ya se encuentren adaptadas y periódicamente auditadas, seguramente van a tener que realizar pocos cambios para adaptarse a la legalidad.

Por otra parte, tenemos una noticia incalificable. El Reglamento Europeo de Protección de Datos rige bajo el principio de “Accountability” o auto responsabilidad. La norma incluye determinados aspectos indefinidos de los que esperamos se nos proporcionen directrices antes de mayo de 2018 y, en otros casos, será la propia empresa la que deberá hacer las cosas cumpliendo la norma y además, haciendo todo lo posible para que así se traduzca frente a terceros y guardando la evidencia de que así es de cara a una posible inspección o denuncia de usuario titular de derecho de protección de datos personales.

Incalificable en positivo porque albergar un nivel de protección sin exigencias férreas proporciona una flexibilidad deseable de cara a que cada empresa pueda estructurar y evaluar sus riesgos y adoptar las medidas técnicas y organizativas que considere necesarias para minimizar el riesgo no asumible. Incalificable en negativo porque la norma no nos va a decir con exactitud qué debemos hacer. Es preciso un asesoramiento especializado a nivel jurídico y de soluciones de seguridad en los sistemas y redes para conocer las mejores ventajas de los sistemas de protección, respaldo y planes de actuación en caso de evidenciar un riesgo.

Estaremos encantados de recibiros en ESET Security Day y solventar en la medida de lo posible vuestras consultas.

About Author

Susana González Ruisanchez

CEO&CSO Hiberus LEGALTECH

Deja un comentario