Día Europeo de la Protección de Datos, y la seguridad ¿qué?

Estos últimos 12 meses han sido cuanto menos convulsos en las empresas con un sin fin de urgencias e incertidumbres en la implementación del Reglamento Europeo de Protección de Datos. A día de hoy parece que la tormenta ha pasado, y aunque hay mucho trabajo por hacer en la pequeña y mediana empresa, podemos hablar de un buen nivel de calado desde un punto de vista jurídico de la nueva normativa en la gran empresa. ¿Quién no ha oído hablar a día de hoy del famoso RGPD?

Con la publicación de la nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales el pasado diciembre, se han introducido ciertas novedades, más importantes en materia laboral que en la propia materia de privacidad, pero ni una sola en materia de seguridad salvo lo que ya conocíamos: Las administraciones públicas así como las empresas o fundaciones vinculadas a las mismas deben cumplir con el Esquema Nacional de Seguridad. ¿Qué pasa con la seguridad del resto de empresas y entidades privadas? Poco, pasa muy poco, y es preocupante.

El artículo 32.1 del RGPD es tremendamente ambiguo. Establece que las entidades deben implementar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia según el riesgo de los tratamientos de datos personales que se realicen, lo que es pedir mucho, pero a ciegas. ¿Qué medidas debo aplicar? ¿es una carta en blanco para las empresas? Sin duda es un ejercicio cuanto menos complicado y que supone un quebradero de cabeza para muchos delegados de protección de datos: Tengo los procesos controlados, mis tratamientos controlados, pero ¿y la seguridad? Teniendo en cuenta además, que muchas veces el propio Delegado de Protección de datos tiene un conocimiento técnico limitado a nivel de sistemas.

Las noticias que podemos ver en prensa nos son nada halagüeñas. Las brechas de seguridad en el último año han incrementado un 54% su frecuencia y más de un 52% su severidad. No olvidemos que, si dichas brechas afectan a datos personales, tendremos que comunicarlas en muchas ocasiones tanto a la Agencia Española de Protección de Datos como al propio titular de los datos en un espacio muy breve de tiempo, y con la pérdida de imagen y reputación que ello supone.

Considero necesario un poco más de ambición en este sentido, un marco razonable dirigido a la empresa privada, ya no por seguridad jurídica, sino por seguridad de las propias personas. Existen guías, estándares internacionales sobradamente probados y efectivos que ayudan a mejorar el nivel de seguridad de los sistemas de información, ¿es mucho pedir a una Pyme el implementar este tipo de medidas?, no, no lo es. Es necesario.

Los consumidores, nuestros clientes, las personas físicas en un mundo interconectado y en transformación digital constante no van a entender una fuga de datos personales por parte de la empresa en la que han confiado, menos si es por no implementar las correspondientes medidas de seguridad, y esto, a medio plazo se va a castigar, no por una sanción administrativa, sino por una disminución de la facturación.

Ahora bien, la escasa concienciación de la sociedad también es preocupante. Todos pensamos que no nos va a pasar, hasta que pasa, pero aun así hasta cuesta enterarse.

¿Realmente la sociedad es consciente que hace escasamente una semana las direcciones de correo electrónico y contraseñas de acceso de más de 770 millones de personas, incluidos españoles, por supuesto, están disponibles en la darkweb por un médico precio y paquetizadas en lo que se denomina Collection #1?

Si bien las administraciones públicas han hecho grandes esfuerzos durante 2018 en concienciación, es necesario mucho más tiempo y esfuerzo, incluso de los medios comunicación para alertar a la sociedad de estos hechos, y establecer instrucciones claras para los consumidores sobre cómo actuar. ¿Se imaginan que se produjese en un mismo momento el robo en 770 millones de hogares de manera coordinada?, ¿preocupante, no? Eso es lo que ha ocurrido en el caso Collection #1, pero en el mundo digital: le han robado la identidad, su número de tarjeta de crédito, y por supuesto han accedido a su esfera más íntima, su correo electrónico, y lo van a analizar en busca de patrones sobre los que cometer fraude. Imagine además si utiliza esa misma contraseña para otros servicios en internet… casi nada.

Puede comprobar si es un afectado en haveibeenpwned.com. Si no lo ha comprobado aún, le invito a que lo haga, por su seguridad, ¿o dejaría las llaves de su casa expuestas a todo el mundo?

La seguridad sin duda sigue siendo el asunto pendiente de la privacidad para todos: sociedad, administraciones y empresa privada.

Jesús Yáñez es socio de ECIJA.

Pincha aquí para conocer todas las novedades de la nueva LOPD.

Fuente: Cinco Dias.

By |2019-01-28T14:32:01+00:0028 enero, 2019|Categories: Actualidad Jurídica, Cinco Días|Tags: , , , , , , , , , , , |Comentarios desactivados en Día Europeo de la Protección de Datos, y la seguridad ¿qué?