El pasado 25 de mayo de 2018 entró en vigor el nuevo Reglamento Europeo de Protección de Datos sustituyendo a la actual Directiva Europea 95/46 de Protección de Datos…
Este reglamento de aplicación inmediata en toda la Unión Europea es de obligado cumplimiento para cualquier empresa que procese datos de ciudadanos de la Unión Europea. El incumplimiento de la misma contempla sanciones que pueden llegar al 4% de la facturación de la empresa o 20M € (la cuantía mayor).
Desde el punto de vista de usuario esta normativa nos da ciertos derechos como el de ser informado de cómo se utilizan nuestros datos y por qué es necesario facilitarlos, la modificación de los mismos en cualquier momento, recuperarlos para cualquier uso personal o eliminarlos en cualquier momento de manera gratuita.
Desde la perspectiva de la empresa se deben establecer y cumplir una serie de procesos que permitan asegurar la adecuada gestión de la información. Estos procesos conllevarán la definición de políticas de seguridad, evaluación y auditorías que corroboren el cumplimiento del proceso, así como los protocolos de actuación. Cobra vital importancia el cifrado de la información, ya que todos los datos almacenados deben estar cifrados de tal manera que si algún ataque tuviera éxito no se pudiera enlazar la información con ninguna persona.
La normativa también establece que si desgraciadamente la información almacenada se viera afectada, lo primero que deberíamos hacer sería comunicarlo obligatoriamente a las autoridades (en un plazo de 72 horas). Además de esto, si la información sustraída compromete al usuario, la empresa también estará obligada a notificar al mismo.
¿Cuál va a ser el impacto real en las empresas? Desgraciadamente en España estamos muy poco concienciados en lo que al valor de los datos que tratamos a diario se refiere (aunque poco a poco va mejorando) y todo hace prever que este caso no va a ser una excepción. Esto hace pensar que las empresas actuarán un poco reactivamente, esto es, dependiendo del nivel de control que se aplique sobre esta ley, y sobre todo cuando empecemos a escuchar en los medios las sanciones y empresas quebradas por no poder hacerse cargo de dichas sanciones, las demás empresas se verán amenazadas y empezarán a actuar. ¿Pero realmente es necesario esperar a ese momento? Francamente no. Si somos objetivos, la nueva ley GDPR solo pone de manifiesto requerimientos que ya deberíamos estar haciendo. Proteger nuestra información sensible, sean datos personales o no, es algo que debemos hacer.
Hay un punto que puede pasar desapercibido y me resulta bastante importante: las empresas tienen que notificar una brecha de seguridad antes de 72 horas… ¿somos conscientes de lo que nos supondría tener que informar a todos los clientes cuya información se ha visto puesta en peligro?, ¿estamos preparados para el impacto negativo que puede suponer en nuestra confianza con los clientes? Una vez más, creo que no estamos concienciados. Desde una pequeña o mediana empresa a la cuál le supondría tener que contratar un servicio de Call Center y/o un servicio de abogados para explicar (y cómo explicar) a los cliente que su información ha sido vulnerada (además de la multa económica) hasta grandes organizaciones a las que, más que la cuantía económica, su aparición en portadas junto a nombres como Wannacry o Petya puede suponer grandes pérdidas, además de poner en riesgo su reputación.
Otro aspecto que puede pasarse por alto es el hecho de que en caso de ataque y pérdida de información, la ley contempla la obligación de disponer de una solución de backup que minimice el impacto del ataque. Esto supone que, asumiendo que tenemos un backup en nuestra empresa, es especialmente importante la realización de pruebas periódicas del correcto funcionamiento del mismo.
Quizás a priori mucho de lo que nos pide esta nueva ley puede resultar costoso, pero siendo objetivos recoge la mayoría de cosas que deberíamos estar haciendo y es una gran oportunidad para empezar a hacerlas.