Si tiene un correo electrónico (y es muy probable que, si está leyendo esto, lo tenga), habrá recibido en los últimos días una oleada de emails advirtiendo de cambios: el Reglamento General de Protección de Datos, el GDPR, ya está aquí. Los dos años de plazo para que individuos, organismos y empresas se adaptasen tocan a su fin, y a partir del 25 de mayo se aplicará la nueva norma europea para todas las organizaciones que recolecten datos de usuarios en territorio comunitario.
La normativa plantea una serie de cambios en cómo se considera esta información y cómo debe asegurarse, por lo que las compañías o grupos que trabajen con ella han tenido (y tienen) que afrontar importantes desafíos, tanto a nivel organizativo como de ciberseguridad.
El Reglamento 2016/679 de la Unión Europea, de fecha 27 de abril de 2016, establece “las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”, en base a la protección de derechos y libertades del individuo. Así reza el Reglamento General de Protección de Datos o GPDR, por sus siglas en inglés, que modifica las legislaciones nacionales sobre el tema, convirtiéndose en el reglamento imperante dentro de la Unión, aunque reservando a los países la facultad de legislar sobre aspectos muy concretos.
Fundamentalmente, la nueva normativa supone un refuerzo del usuario y de la privacidad de sus datos, y un esfuerzo para las empresas y organismos a la hora de limitar el uso, garantizar su cobertura y su correcto guardado y de clarificar la información al individuo. Además, se aplica a todas las empresas que trabajen con la información de ciudadanos de la UE, independientemente de si tienen su base en territorio comunitario o no.
Entrando en aspectos concretos del GDPR, se le reconocen una serie de derechos al individuo o interesado, como se le denomina en la directiva. Entre estos está el que le sean comunicados de forma clara los usos que se va a hacer de sus datos, quién los guarda y cuáles se van a recopilar. Además, la norma reconoce determinados derechos del usuario, como el tan conocido derecho al olvido, a la rectificación de sus datos, portabilidad o limitación de su uso.
Las empresas y organismos son divididos entre responsables o encargados del tratamiento, definiendo a estos segundos como los que tratan los datos por cuenta de los responsables, que son los que determinan los fines y medios de las operaciones realizadas con la información personal. A los dos agentes se les imponen una serie de obligaciones, algunas muy vinculadas a la ciberseguridad, como la de realizar una evaluación del nivel de protección a la hora de trabajar con los datos del usuario, lo que se entiende como un análisis de riesgo. Además, para casos que se traten un volumen a gran escala de datos, establece una suerte de vigilante de los mismos, el Delegado de Protección de Datos.
EL GDPR contempla que se deben notificar las violaciones en seguridad en un plazo de 72 horas máximo tras detectarlas, excepto en casos en que no haya riesgo para la información almacenada u otras excepciones, siempre justificadas. También se les pide garantizar la seguridad del tratamiento, con técnicas y medidas organizativas como cifrado y seudonomización de datos. Además, como se explicaba, se les obliga a explicar claramente al interesado qué datos recopilarán, para qué, durante cuánto tiempo, la identidad de responsable y otras cuestiones, siempre de forma “concisa, transparente, inteligible y de fácil acceso”.
Todas estas exigencias, que antes no estaban contempladas, se traducen, cómo no, en cambios que deben asumir empresas y organismos, ya que si no se exponen a sanciones económicas de hasta 20 millones de euros o el 4% de la facturación anual de la empresa. Un estudio de Deloitte de noviembre de 2017, realizado entre una muestra de organizaciones e industrias en la región EMEA, cifra en un 15% el porcentaje de encuestados que estimaban que cumplirían todos los requisitos de la nueva ley en el momento de su aplicación. La gran mayoría, el 62%, opta por lo que se denomina “una posición defendible basada en el riesgo”. Los restantes mostraban unas perspectivas de cumplimiento aún más bajas.
La consultora Gartner no maneja unas previsiones mucho más positivas. Para esta compañía, a finales de 2018 más de la mitad de las empresas afectadas por el cambio no se habrá puesto al día de todas las obligaciones que implica la normativa. Ante este panorama, los organismos oficiales están intentando facilitar la puesta al día de los responsables y encargados del tratamiento. Por ejemplo, en España la Agencia Española de Protección de Datos ha habilitado distintos recursos para ayudar en el proceso.
Y es que el GDPR supone cambios de importancia para las organizaciones, aunque no todos son ni se perciben como igual de importantes. Según el informe de Deloitte, los requisitos que los encuestados enfocan como un mayor desafío son el cambio a una política de consentimiento clara y transparente, el derecho al olvido, el registro de las actividades de tratamiento de los datos, la parte de responsabilidad que conlleva mantener registros y demostrar el cumplimiento; y facilitar la portabilidad de datos.
En relación al requerimiento de notificar las violaciones de seguridad en el plazo de 72 horas tras su detección, un 35% contaba ya con las medidas necesarias para hacerlo, en tanto el 62% esperaba tenerlas a punto para el 25 de mayo. Sobre las evaluaciones de riesgo, aunque el 44% aún tenía que actualizarse para cumplir con la normativa, el 48% tenía a finales de 2017 estos procedimientos en marcha.
Pese a que en un primer momento el GDPR se pueda contemplar como un incremento de los procesos o un trabajo añadido a las empresas, la normativa europea también puede suponer distintas ventajas. Deloitte, por ejemplo, habla en su estudio de la “privacidad como propiciadora”. Un 61% de los participantes en el informe decían considerar beneficios adicionales en los trabajos para adaptarse al GPDR más allá de únicamente cumplir con él. Uno de cada cinco, incluso, creía que el cambio supondría mejoras como “ventaja competitiva, reputación mejorada y habilitación comercial”. Pone como ejemplos la identificación de posibles redundancias del sistema o de esfuerzos duplicados, lo que llevaría a un potencial ahorro en el gasto, o la mejora en la transparencia a la hora de mejorar la confianza del cliente en la marca.
También desde el Instituto Nacional de Ciberseguridad apuntan a una mejora en la competitividad basada en el cumplimiento de las normas, tanto a nivel de responsabilidad activa como proactiva. “La ciberseguridad en general, y la protección de datos personales en particular, adquieren cada día más importancia para la mejora de la competitividad en el mundo de los negocios arrastrado por las ventajas en conectividad, inmediatez y ubicuidad a la inevitable transformación digital”.
En este escenario de necesidad de cambio, con unas pautas que adoptar en el paso al GDPR, el momento se perfila como idóneo para optar por soluciones de ciberseguridad que faciliten la cobertura ante amenazas y su rápida detección. Limitarse al cumplimiento garantiza que no habrá problemas con las autoridades europeas, pero aprovechar para mejorar la infraestructura y las protecciones puede convertirse en un respaldo importante a la hora de diferenciar la empresa frente a las de los competidores.
Fuente: seguridadti.cso.computerworld.es