Llega la nueva normativa comunitaria para la protección de datos. El RGPD (Reglamento General de Protección de Datos) complementará a la antigua LOPD a partir del próximo 25 de mayo.
La normativa europea pone el dedo en la llaga en cuanto a las cuestiones relacionadas con la ciberseguridad en las empresas y las consecuencias que puede tener el robo de datos sensibles de nuestro negocio. Los incumplimientos pueden acarrear multas de hasta 20.000.000 €.
Una de los temas que más han avivado el diálogo sobre el RGPD y la ciberseguridad, ha sido el principio de responsabilidad activa o accountability. Hablamos de una de las bases principales del nuevo reglamento y trata sobre la obligación que tienen las empresas de prevenir cualquier hecho que pueda poner en peligro datos sensibles e información privada.
Qué es el Principio de Responsabilidad Activa
Nos hemos acostumbrados a la hiperconectividad y cada vez dependemos más de los procesos tecnológicos. Esta situación contribuye a que aumente de forma exponencial la posibilidad de ser víctimas de un ciberataque. A ello hemos de sumar el acceso no autorizado a información de carácter personal y privado.
Sin embargo, los avances en tecnología también abren nuevas brechas en los métodos que usamos para potenciar nuestra ciberseguridad. Cada día son millones los ataques que se producen a través de internet.
La lista de vulnerabilidades crece con palabras nuevas que intentan acotar el carácter de la amenaza: phishing, ramsonware, malware, spoofing, exploits, rootkit, denegaciones de servicio…
No es de extrañar que, con este panorama, la ciberseguridad y cumplir la nueva normativa sean las fórmulas que intenten proteger los datos personales. Es una tarea que pretende acotar los efectos negativos y las fallas de seguridad adosados al proceso de innovación tecnológica.
No incumplir ya no es suficiente
La propia Agencia Española de Protección de Datos, había popularizado esta frase que lo dice todo. Con el Principio de Protección Activa, la empresa no solo tiene que cumplir el RGPD, también debe hacer ver que está en condiciones de demostrarlo.
A partir de este momento, serán las compañías quienes tendrán la obligación y la responsabilidad de llevar su propia gestión de riesgo.
Deben poder identificar cuáles son los puntos negros de sus sistemas y sus vulnerabilidades. Además, tienen la obligación de adoptar las medidas necesarias para paliar la situación.
Hasta el momento, era la propia Administración Pública la que debía hacerse cargo de estas cuestiones. Fiscalizaba a las empresas para comprobar dónde podían existir fallas. Ahora la pelota vuela al tejado de las empresas, bajo amenaza de cuantiosas multas.
Todos, expertos y empresarios, coinciden en que la cuantía de las penas económicas derivadas del incumplimiento del RGPD no va detrás de un afán recaudatorio. Al contrario, intenta concienciar a las empresas comunitarias de la necesidad de adoptar todas las medidas necesarias para que la fuga de datos privados resulte prácticamente imposible.
En este sentido, se marca una senda de cumplimiento proactivo. Ya no basta con formularios y consentimientos firmados. Ahora hay que cumplir la norma y universalizar una praxis segura en todas las empresas de la Unión Europea. Desde la UE se “fuerza” para que se cree una conciencia empresarial basada en el cumplimiento.
Por qué es tan importante este tipo de protección
La vulneración y difusión, voluntariamente o por mala praxis, de información sensible, personal y privada puede conllevar nefastas consecuencias. Un ejemplo sería el que un ciudadano no pudiera acceder a un empleo al haberse divulgado algún dato íntimo, reservado y personal que lo aísla y convierte en víctima. Esta victimización podría llegar incluso hasta la exclusión social y al rechazo del afectado por parte de la sociedad.
Este tipo de reflexiones se basa en la gran repercusión que puede llegar a tener la revelación de información de carácter personal. Por eso, determinar los riesgos es una medida preventiva, que persigue evitar la producción de perjuicios irremediables para los individuos.
Esta obligación de prevenir protegiendo ha sido trasladada a las empresas a través del RGPD. Por un lado, está esa protección de datos proactiva, que obliga a la adopción de medidas capaces de garantizar que los datos personales serán tratados con absoluta discreción y solo para los fines específicos autorizados.
Igualmente, las empresas tendrán que realizar valoraciones de choque, capaces de proteger aquellos datos que conlleven un riesgo elevado para las libertades y los derechos de los individuos.
Qué obligaciones tiene la empresa para evitar una mala gestión de datos
En principio hay que determinar que estas obligaciones no son solo para evitar una mala gestión de datos. No se debe presuponer una intención torticera por parte de empresas y organismos.
Sin embargo, como apuntábamos al principio, la ciberseguridad es esencial para poder afrontar con éxito ataques que sí pondrían en riesgo severo la información “caliente” y sensible que manejamos como empresa.
Por ello, el RGPD obliga a las empresas a cumplir con una serie de obligaciones:
– Identificar y analizar los riesgos
– Registrar las actividades de tratamiento de datos
– Proteger los datos por defecto
– Notificar las violaciones de seguridad
– Nombrar a un responsable de protección de datos
– Realizar una evaluación de impacto para la gestión del riesgo
Gestión del riesgo
De todas las acciones a las que obliga el RGPD para cumplir con el principio de responsabilidad activa, la gestión de riesgos es uno de los procesos más importantes.
Con ello las empresas van a poder saber cuáles pueden ser las amenazas reales que afectan a su organización. Este conocimiento sobre el terreno les permitirá tomar decisiones que reduzcan el nivel de incertidumbre.
Para poder gestionar el riesgo de manera eficaz, la empresa está obligada a emplear un método concreto para cada amenaza concreta. Solo de esta manera se puede estar seguro de que se establecen los baremos de calidad y cantidad propios para el nivel de riesgo de una determinada información.
El RGPD es meticuloso al señalar exactamente cuáles son los puntos más peligrosos que entran en escena. En realidad, son todos aquellos que se relacionan directamente con los sistemas de información.
Aquí hay que dejar claro que esos activos sensibles pueden afectar tanto al hardware como al software que trabaja en el procesamiento de datos, desde su almacenamiento hasta la producción de información personal. En medio, tenemos una cadena de actos como la comunicación, la transformación, la consulta o la modificación de datos sensibles.
Llegados a este punto, cabe concluir que, para una pyme, un análisis de riesgo puede llevarse a cabo con apenas una atención documentada. Sin embargo, cuando hablamos de grandes empresas, de menores, de grandes grupos de población o de Big Data o sistemas de vigilancia por vídeo y localización GPS, las cosas cambian.
En estos casos se obliga a los empresarios a realizar una EIPD (Evaluación de Impacto de Protección de Datos). Una vez analizados los riesgos para la protección de la información, se obliga al tratamiento de las fallas a través de medidas que las eliminen o las disminuyan considerablemente.
La imagen de marca
La protección de datos no debe verse solo como una fuente de peligros, que puede acarrear para nuestra empresa cualquier fallo en la cadena de custodia de información. Evidentemente, también lo es.
Sin embargo existen otras razones que nos obligan a mantener una postura acorde con la RGPD, y una de ellas es la propia imagen de la empresa. La gestión de riesgos no debe terminar en el hecho de eludir una acción legal que conlleve una multa astronómica, por la consiguiente pérdida de datos.
Esos datos, por otra parte, también podrían ser de un valor incalculable para nuestra empresa y ahora están en otras manos.
Pero, si sumamos todo, al final evitar el peligro de perder cadenas de información sensible, personal y valiosa redunda en una desconfianza por parte del usuario. La empresa ve cómo se deteriora su propio valor, su propia identidad, su imagen de marca.
Cómo reforzar la seguridad de la empresa en materia de datos
En principio, y si no cuentas con un departamento especializado, lo mejor es externalizar el proceso para que se encarguen de él. Siempre debes elegir una empresa de reconocido prestigio en sistemas y soluciones de ciberseguridad.
A través de ella tendrás que realizar una serie de transformaciones, que acabarán garantizando la protección de todos tus datos.
1. Backups. Tendrás que realizar estas copias de seguridad internas y externas. Una manera de mantenerse seguro en este sentido es el uso de nuestros sistemas NAS de Almacenamiento Conectado a la Red.
2. Cortafuegos. La manera más eficaz es utilizando un Firewall UTM. Esta herramienta es capaz de gestionar una gran variedad de elementos de ciberseguridad a través de la tecnología de la gestión unificada de amenazas. Por lo general, al firewall se adosan antispyware, antispam, antivirus, detección de intrusos, filtros de contenido y la deseada prevención de fugas de información.
3. Periodicidad. Aunque cuentes con la mejor tecnología y el asesoramiento de los mejores profesionales, tienes que acostumbrarte a realizar auditorías periódicas. Con ellas podrás mejorar tu plan de gestión de riesgos y tenerlo siempre al día, cumpliendo la normativa.
Ya falta poco para la entrada en vigor del RGPD. Debes pasar a la acción y ponerte en manos de un consultoría TIC capaz de garantizar la protección de tus datos sensibles y de aquellos privados y de carácter personal.