La Seguridad en el nuevo reglamento de protección de datos

Las amenazas evolucionan, se profesionalizan, se multiplican. Los ciberataques se complejizan e intensifican. ¿Qué plantea el nuevo reglamento de protección de datos al respecto?

Nuestra sociedad es digital. No se trata solo de proteger datos personales, sino que el desafío consiste en defender un modo de vida en donde todo está interconectado y donde dependemos de la seguridad de los sistemas para el sostenimiento de nuestras actividades cotidianas más elementales.

Nuevos peligros, nuevos retos, nuevas leyes

El nuevo reglamento de protección de datos recoge el guante y propone un marco regulador en donde la seguridad adquiere un enorme protagonismo y un enfoque más realista y práctico.

Este enfoque parte de tres grandes premisas expresadas en la DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO como “considerandos”, a saber:

  1. Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior.
  2. La magnitud, la frecuencia y los efectos de los incidentes de seguridad se está incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión europea.
  3. Las redes y sistemas de información, principalmente Internet, contribuyen de forma decisiva a facilitar la circulación transfronteriza de productos, servicios y personas. Una perturbación grave de esas redes y sistema puede afectar a diferentes Estados miembros y a la Unión en su conjunto.

Por consiguiente, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior.

Para muestra, la nuestra

Hablemos de nosotros, de la ciberseguridad en España. El Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), tramitó el año pasado cerca de 50.000 incidencias de ciberseguridad, de las cuales 130 estaban dirigidas contra infraestructuras críticas españolas, frente a 63 incidencias gestionadas en 2014.

Las amenazas están fuera de conjeturas y especulaciones. Personalmente, considero que el propio sentido común exige un redoble de esfuerzos en materia de ciberseguridad, pero siendo el menos común de los sentidos, buenas son las normas de obligado acatamiento, como este nuevo reglamento de protección de datos.

Este nuevo reglamento obliga a tomar medidas de calado que permitan reforzar la “concienciación” y “robustecer las estructuras de acción” ante un escenario que no admite medidas cosméticas y que exige abordar, por primera vez, de una forma amplia, global, coherente, coordinada y a alto nivel los riesgos en toda la UE.

Medidas de seguridad indispensables para mitigar el riesgo

Ya sabemos que el riesgo cero no existe, pero sí podemos minimizarlo y amortiguar las consecuencias sin contamos con recursos apropiados.

El nuevo reglamento exige que tanto el responsable como el encargado del tratamiento sean capaces de implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse. Asimismo, no solo se deben adoptar medidas adecuadas sino que deberá acreditarlo en cualquier momento.
Entre las medidas de seguridad que propone el nuevo reglamento están:

  • La seudonimización y el cifrado de datos personales para dificultar o evitar de forma irreversible la identificación de los afectados.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Esto exigirá a las empresas contar con mecanismos que permitan acreditar la existencia y utilización de medidas de seguridad suficientes de forma continua, algo que sin género de duda, será la mejor inversión que puedan acometer.

Comments

  1. Cuando cambien la LOPD/RLOPD para trasladar lo del nuevo reglamento, o van por la vía de hacer una norma tipo ENS donde un organismo como el CCN aterriza técnicamente los requerimientos o será un cachondeo como lo que tenemos ahora.

  2. El RGPD de la UE entró en vigor el 25 de mayo del pasado año y hay un periodo de adaptación DE dos años, el 25 de MAYO del 2018 es la fecha clave, la AEPD ya tiene alguna reacción, será ella la que tendrá que marcar las pautas, si mal no tengo entendido un Reglamento a nivel Europeo deroga las leyes a nivel domestico. :

    https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_05_26-ides-idphp.php
    https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_06_29_03-ides-idphp.php

    Saludos.

  3. Marina Brocca says

    Lo has entendido perfectamente Fernando, el RGPD deroga las diferentes normativas locales y tal como señala DaF, hay mucho que aterrizar, en esto debe pronunciarse cada autoridad de control pero lo cierto es que este reglamento plantea la seguridad desde un lugar mucho más práctico que la actual LOPD, poniendo el énfasis en la prevención en lugar de la respuesta reactiva, también elimina elementos más formales del cumplimiento, como la declaración de ficheros .

    Gracias a ambos por comentar.

  4. Javier González says

    Espero que con la entrada en vigor de la nueva normativa Europea, haya una mayor concienciacion por parte de las empresas Españolas. Y que a su vez. La Agencia Española ponga los medios necesarios para implementar la misma, tanto asumiendo su carácter preventivo, como preparando personal cualificado para el seguimiento de los cambios y su sucesivo seguimiento

  5. Marina Brocca says

    Creo que la concienciación es la pieza clave de este proceso, como bien señalas, de lo contrario pasará igual que con la LOPD, un puro ajuste cosmético y formal, ficheros declarados de aquella manera y un documento de seguridad que nadie ha leído jamás juntando polvo en un cajón. El cambio de mentalidad debe girar en torno a la implantación con enfoque preventivo que minimice riesgos y mitigue potenciales amenazas, lo que dicta el propio sentido común vamos, pero como señalo en el post, es el menos común de los sentidos.
    Muchas gracias por comentar javier

  6. La información critica es aquella necesaria para el funcionamiento del negocio y/o para el obligado cumplimiento de requerimientos legales, contractuales o financieros. El dato personal es un subconjunto de información critica que debe ser protegida. La protección de la información debería ser no una recomendación sino una obligación; para ello, se deberían implementar normas tales como ISO 27000, 20000 o ENS. El control del establecimiento de protecciones eficaces con seguimientos frecuentes debería realizarse, desde mi punto de vista, a través de certificaciones o revisiones de terceros autorizados.

  7. Gran artículo, como siempre Marina. Me llama la atención que siempre estamos pensando en que si no hay palo no hay cumplimiento. Como empresa me preocupa LA SEGURIDAD sobre todo en este entorno de incertidumbre digital, donde cada día se inventa una forma de ataque. Y sobre todo me preocupa LA SEGURIDAD que tiene que ver con mis clientes. Yo no espero a que el RGPD nos obligue a nada, yo cuido a mis clientes empezando por su seguridad y por la de mi empresa. LA SEGURIDAD BIEN ENTENDIDA EMPIEZA POR UNO MISMO (es decir, por la empresa o la actividad de cada cual).

  8. Marina Brocca says

    Totalmente de acuerdo contigo Rosa, la seguridad debería ser un objetivo para cualquier empresa, al margen de cualquier disposición o legislación y más con el escenario que señalas, en donde el nivel de riesgos y amenazas se ha incrementado exponencialmente. La clave pasa sin duda por la concienciación, el desconocimiento nos hace vulnerables, hemos de asumir el nuevo paradigma digital con todo lo que conlleva.
    Un fuerte abrazo Rosa

  9. Hola Marina! como profesional de sector, decirte que el post me encanta, no sólo este, todos los que he leído que van con tu firma (ya te leía en tu blog de marketing legal) y es que me encanta cómo explicas aspectos “duros” de legislación de una forma totalmente entendible para todos sin olvidar aspectos totalmente imprescindibles. No es nada fácil. Y por fin! Un post sobre seguridad y nuevo reglamento!. Lo veo exactamente como tú! El problema es cómo hacer ver a una pyme que valore su riesgo e implante medidas…
    Mucha suerte en tu empresa y ojalá podamos colaborar pronto!

  10. Marina Brocca says

    Desde luego es un lujazo tener por aquí a un experto en Compliance y ciberseguridad como tu aportando su visión sobre el tema. Ya tocaba hablar de seguridad, tienes razón, ahora más que nunca debe intensificarse el debate sobre este tema.

    Muchísimas gracias por tus palabras y por esa valoración tan generosa hacia mi trabajo.

  11. Héctor Hernández says

    Marina articulo interesante y que genera debate, todo lo que nos obligue a tomar conciencia sobre la información que gestionamos (propia o de otros) es añadir valor y minimizar los riesgos. No es un problema técnico, ni de control, sino de concienciación…
    Debemos formar a la persona para que haga un buen uso de la información que trata, esta formación debe ser adecuada a su perfil, es tarea de todos. Si no hay personas que tengan formación en seguridad, estas no podrán exigir a las empresas, administraciones públicas con las que se relacionen.
    Considero que vamos avanzando pero muy despacio porque no conseguimos que la persona reflexione sobre esto y tome el control, defienda sus datos y lo incorpore a su persona como un indicador de valor. Es decir, el día que consigamos que hablar de seguridad “sume” y que todos las personas quieran participar y lo vean como algo positivo. Ese día habremos dado un paso importante.
    Compartir es crecer, sigue compartiendo que crecemos todos

    Saludos,
    Héctor

  12. Marina Brocca says

    Gracias Héctor por acercarte a comentar, fíjate que señalas un punto crucial y en el que coincido completamente contigo: es el propio ciudadano quien debe tomar el control sobre sobre su propia información y hasta que esto no ocurra, muchas empresas seguirán asumiendo la protección de datos como un tema marginal. Sin duda, la concienciación es la clave.

    Un abrazo

  13. Sonia Polvorosa Romero says

    Antes de nada, darte la enhorabuena, Marina, por este post, y creo que das en el clavo, la seguridad de los datos que manejan las empresas, son un activo fundamental para ellas, y no es raro que otras competidoras los quieran y siempre hay ciberdelincuentes que están dispuestos a robarlas por una cantidad, pero creo que la importancia de los datos personales van más allá, que un activo para una empresa: qué puede suponer para las personas físicas que sus datos personales estén circulando por la red, sin control alguno… La seguridad es básica si queremos hacer un Internet seguro para todos, lo cual repercutirá por supuesto en las empresas, ya que al dar más seguridad a sus clientes, sus ventas se incrementarán y por su puesto su cartera de clientes, pero también en todos nosotros que podremos usar las grandes ventajas que proporciona la red 2.0 sin miedo ninguno. De nuevo enhorabuena, Marina!

  14. Sonia Polvorosa Romero says

    Hola Marina, tu post me encanta y creo que has dado en el clavo, esperemos que sirva para concienciar realmente a las empresas que cumplir con la normativa en protección de datos no es sólo para evitar las sanciones sino para completar una buena estrategia de márketing.