Ya solo queda un año para la aplicación del nuevo reglamento europeo de protección de datos. ¿Estás preparado?

El nuevo Reglamento Europeo de Protección de Datos (RGPD), el cambio más importante en la regulación de la privacidad en los últimos veinte años, entró en vigor en mayo del año pasado, y será de obligado cumplimiento en toda la UE a partir del 25 de mayo de 2018. Hasta esta fecha, permanece vigente la Ley Orgánica de Protección de Datos (LOPD). Un año puede parecer mucho tiempo, pero puesto que el proceso de adecuación es complejo, no conviene esperar al último momento, más sabiendo el riesgo de recibir una multa por parte del regulador. 

¿Sabes cómo el RGPD afecta a la seguridad de la información de tu empresa?

El nuevo reglamento tiene como objetivo garantizar el derecho a la protección de datos de los ciudadanos europeos, independientemente de la localización del responsable del tratamiento. Es decir, todas las empresas que traten datos personales de ciudadanos europeos deberán cumplir el nuevo RGPD, aunque no estén establecidas en territorio europeo –como por ejemplo ocurre con muchos servicios que se prestan a través de Internet.

El nuevo RGPD refuerza los principios garantistas de la protección de datos, introduciendo cambios en el modo de recabar el consentimiento para permitir el tratamiento de los datos personales, puesto que deja de ser válido el consentimiento tácito, y también reconoce nuevos derechos básicos de los ciudadanos, como la portabilidad de la información personal y el derecho al olvido. Otra novedad significativa es la aparición de la figura del DPO (Data Protection Officer o Delegado de Protección de Datos), que será obligatorio cuando se realicen tratamientos de datos personales a gran escala o de información sensible, quien velará por la correcta aplicación de la normativa de protección de datos en la organización.

La novedad que afecta más directamente al ámbito de la seguridad consiste en la introducción del principio de protección de datos desde el diseño y por defecto. En la regulación actual ya se especifican unas medidas de seguridad concretas, pero estas son susceptibles de quedar obsoletas. Por esta razón, RGPD introduce una serie de principios de actuación, que se refieren a las medidas técnicas y organizativas apropiadas que garanticen un nivel de seguridad adecuado al riesgo. Estas medidas deben contemplar en cada momento el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como la gestión del riesgo de una filtración de datos, en concreto la probabilidad y gravedad del daño que podría causar en los derechos y libertades de las personas físicas.

Así, cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, será necesario realizar previamente una evaluación del impacto y en caso de que esta evaluación apunte un alto grado de riesgo, será necesario o bien modificarlo, hasta que el análisis sea satisfactorio, o realizar una consulta previa a la autoridad de control (en España a la AEPD).

Estas medidas de seguridad se condensan en la necesidad de un balance entre prevención y reacción. No es suficiente con reaccionar cuando se produzca un incidente, puesto que habitualmente el daño ya es imposible de reparar, sino que es preciso un enfoque proactivo y preventivo.

Si a pesar de las medidas preventivas no es posible impedir que se produzca la brecha, es necesario detectar el incidente y notificarlo a la autoridad de control sin dilación, en un plazo máximo de 72 horas, así como a los propios interesados cuando entrañe un alto riesgo para sus derechos y libertades.

Además de todas lo anterior, la autoridad requerirá demostrar el cumplimiento de la normativa de protección de datos mediante evidencias fehacientes. Por lo tanto, será necesario tener identificadas y documentadas las medidas técnicas y organizativas adoptadas para mitigar el riesgo, la monitorización continua de estas y su eficacia.

Por último, cabe destacar, que las sanciones previstas en el nuevo RGPD son muy elevadas (con multas administrativas de veinte millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía), lo cual sumado al daño en la reputación de marca, una fuga de datos puede suponer una verdadera fatalidad.

La entrada en vigor de esta nueva regulación es una oportunidad para revisar y adecuar las políticas de tratamiento de datos personales, y así ofrecer las mayores garantías de protección, lo que a la postre redunda en la confianza de los ciudadanos europeos en el uso de los servicios digitales.

¿Cómo adaptarse a la nueva normativa de Protección de Datos?

Desde nuestro punto de vista, la ciberseguridad, y en concreto la protección de datos, debe regirse mediante un modelo que combine tecnología, procesos y personas y, como la misma regulación indica, es necesario incorporar al núcleo del negocio la seguridad y privacidad por defecto desde el diseño e involucrar a todos los departamentos desde los primeros estadios, en particular a la dirección.

Tras un proceso de detallado análisis de la normativa y el estado actual de la protección de datos, hemos diseñado una solución específica, que combina en su justa medida los servicios y productos de ElevenPaths –SandaS GRC, SandaS, Data Management, CyberThreats y otros–, los de los más relevantes proveedores de seguridad, y los mejores expertos en seguridad y protección de datos, para ayudarte en la adecuación al RGPD, de una manera personalizada, escalable y continuada en el tiempo.

Raquel Santos Beneit

Jefe de producto de Data Management

@rsanben
raquel.santosbeneit@telefonica.com

Juan Antonio Gil Belles

Jefe de producto en Riesgo y Cumplimiento

@breggovic

juanantonio.gil@11paths.com

Francisco Oteiza Lacalle

Jefe de producto en Seguridad Gestionada

@Fran_Oteiza

francisco.oteizalacalle@telefonica.com