Jesús Yáñez, Socio Ecija

Martes, Abril 17, 2018

La entrada en vigor del Reglamento Europeo de Protección de Datos (Reglamento UE 2016/ 679) y más en concreto su próxima aplicación el 25 de mayo de 2018 hace que las empresas e instituciones tengan que estar implicadas más que nunca en la seguridad de sus sistemas de información.

El Reglamento es vago en palabras, pero, sin embargo, es más estricto que nunca en la aplicación de estas medidas de seguridad. En concreto pasamos de la aplicación de medidas de seguridad totalmente tasadas en el RD 1720/2007, a un sistema en el que el reglamento exige analizar de forma previa el riesgo en el tratamiento de datos personales, para aplicar medidas de seguridad suficientes que garanticen la confidencialidad, integridad, disponibilidad y resiliencia… nada más y nada menos.

Esta afirmación del Reglamento Europeo ha supuesto para algunos una carta en blanco sobre la libertad de medidas de seguridad a aplicar, que sin duda es tremendamente ventajoso para empresas que estén comprometidas con la seguridad de los datos personales de sus clientes, empleados, etc. Sin embargo, también puede ser la excusa perfecta para no implementar medidas de seguridad porque no se consideran necesarias… y no porque no lo sean, sino porque son prescindibles si la empresa tiene otras prioridades.

En este sentido la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) ha publicado recientemente una guía donde lejos de relajar la implementación de medidas de seguridad, recomienda los controles y medidas de seguridad habituales en estándares de gestión de la seguridad de sistemas de información como la familia ISO 27000, clasificando dichas medidas en 3 niveles según nuestro riesgo. Si bien ni las autoridades de control como la Agencia Española de Protección de datos, ni el Grupo de Trabajo del Artículo 29 se han pronunciado de una manera concreta, es de esperar que en futuras interpretaciones del Reglamento Europeo, no se alejen de la dada por ENISA.

No podemos olvidar además la obligación que con el nuevo Reglamento Europeo existe para la comunicación de brechas de seguridad, no sólo a las autoridades de control en un plazo máximo de 72 horas, sino también en determinadas circunstancias a los titulares de los datos, lo que puede acarrear una pérdida de imagen importante. Si a esto le añadimos que generalmente somos tremendamente dependientes de nuestros proveedores de tecnología, sobre todo ahora que los sistemas cloud están más de moda que nunca, tendremos que coordinar nuestra respuesta sobre estas brechas de seguridad de una forma efectiva con ellos.

No podemos olvidar tampoco la Directiva 2016/1148 también conocida como Directiva NIS, sobre la que ya tenemos un proyecto de ley para España que supone nuevas obligaciones para las empresas relacionadas con la comunicación de incidentes de seguridad a los centros de respuesta y que una vez más requieren inmediatez en esta comunicación.

Si actualmente nuestro negocio está en sistemas informáticos y estos están expuestos al mundo de una u otra forma, es de esperar que los incidentes en materia de ciberseguridad aumenten exponencialmente en los próximos años, y no sólo para grandes multinacionales.  Debemos estar preparados, no sólo por miedo a sanciones administrativas (las cuáles pueden alcanzar varios millones de euros), sino por propia protección de nuestros activos e información, activo más crítico de las entidades.

Gestionar la seguridad de nuestros activos es una tarea obligada para disminuir los riesgos,  pero no podemos engañarnos, la seguridad total no existe, por lo que siempre es adecuado tener en cuenta alternativas complementarias como las pólizas de seguros en materia de ciber riesgos, que permitan transferir la responsabilidad y efectos negativos de una brecha de seguridad hacia un tercero. 

La unión de ambos factores, gestión efectiva de nuestra seguridad, y la traslación de los efectos adversos, puede suponer una ventaja no sólo de tipo económica debido a las potenciales sanciones en caso de incidente grave, sino también una ventaja competitiva en tanto en cuanto disminuiremos en gran medida el riesgo de posibles daños a nuestra imagen empresarial. Los clientes y consumidores han evolucionado, saben apreciar el compromiso de las empresas en materia de seguridad sobre la información que tratan, sobre su información personal. No debemos decepcionarles.