EFECTOS DE UN CAMBIO LEGISLATIVO

La protección de datos pone contra las cuerdas a las empresas españolas

icoy38399273 telefonica170512162354

icoy38399273 telefonica170512162354 / periodico

EDUARDO LÓPEZ ALONSO / BARCELONA

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

Pocas veces un cambio normativo de naturaleza técnica causó tanto desasosiego con fundamento entre las empresas españolas. Quizá el tan llamado efecto 2000 pudo atraer la atención de la opinión pública, pero sus escasas consecuencias ya fueron previstas entre los profesionales. La puesta en marcha (sí o sí) del nuevo reglamento general de protección de datos (GDPR, por sus siglas en inglés, o RGPD) en solo un año ha obligado o obligará a cualquier empresa a establecer nuevos sistemas de gestión de sus infraestructuras informáticas para garantizar los derechos y la identidad de los usuarios y sus acciones en la red. De sufrir una fuga de datos, las sanciones previstas son las equivalentes al 4% de la facturación de las compañías negligentes, hasta 20 millones de euros (la de mayor cuantía de entre ambos baremos). Cualquier robo de información debe notificarse a la agencia de protección de datos en un máximo de 72 horas.  

Solo el 32% de las empresas españolas dispone actualmente de un plan específico para afrontar de manera global el nuevo reglamento elaborado por la Unión Europea, seis puntos por debajo de la media mundial, según recoge un informe de Compuware. El estudio refleja que, a pesar de los avances conseguidos en el último año, la mayoría de las compañías europeas y estadounidenses todavía no están preparadas para cumplir la nueva ley de protección de datos europea, que entrará en vigor en mayo del 2018. Queda todavía un año, pero las modificaciones e inversiones a realizar son relevantes. Las auditorías y las contrataciones de responsables derivadas de la aplicación de la ley ya están en marcha y abren incertidumbres.

{"zeta-legacy-despiece-vertical":{"title":"La advertencia de \u2018Wanna Cry'\u00a0","text":"1. El antivirus debe estar siempre actualizado. 2. No abrir archivos adjuntos cuyos or\u00edgenes sean desconocidos.\u00a0 3. Evitar abrir emails de supuestas facturas. Comprobar las URL adjuntas.\u00a0 4. No realice descargas de 'software' ilegales.\u00a0 5. Tener siempre una copia de seguridad de sus datos."}}

La aplicación de la ley exige a las empresas que sean capaces de determinar los usos que sus empleados o sus clientes hacen de la red informática y de telecomunicaciones, las páginas a las que acceden, que archivos descargan... Lo mismo para las instituciones públicas que ofrecen servicios de wifi, universidades, establecimientos hoteleros o de restauración, por ejemplo. Ese control pasará en la mayoría de los casos por la identificación sin dudas del usuario mediante sistemas de doble autentificación, al estilo de los empleados en banca a distancia (confirmación de claves a través de móviles, por ejemplo), para evitar el uso de claves compartidas. El teléfono móvil se consolida de esta manera como el instrumento identificativo del individuo. ¿Están preparadas las empresas para ese cambio legal? La respuesta es que muchas todavía no, a juzgar por las opiniones vertidas en la jornada 'Security Day' organizada por la firma de seguridad de Telefónica Eleven Paths. 

NUEVOS PROFESIONALES

Una de las novedades del marco legal del GDPR es la necesaria creación de la figura del profesional DPO (Data Protection Officer), que tiene que ser incorporada en algunas empresas, sobre todo aquellas de mayor tamaño o aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial. También en la Administración Pública o cualquier institución (por ejemplo las universidades). Sus funciones no pueden recaer en el director de seguridad. En la práctica, el nuevo marco legal supone nuevas cotas de responsabilidad de las organizaciones ante la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros. Es lo que en el sector denominan principio de responsabilidad ('accountability'), una responsabilidad proactiva por la que las organizaciones deben ser capaces de demostrar que tratan los datos personales de acuerdo con la ley. 

CONSECUENCIAS DEVASTADORAS

El 64% de las empresas españolas analizadas por Compuware afirman estar bien informadas sobre el nuevo reglamento y acerca del impacto que tendrá en la forma de gestionar los datos de sus clientes, una mejora de diez puntos respecto al 54% de hace un año. "Las empresas están evolucionando en la dirección correcta hacia el cumplimiento del GDPR, pero todavía les queda un largo camino por recorrer y en un plazo corto de tiempo", aseguró la directora técnica para Europa, Oriente Próximo y África (EMEA) de Compuware, Elizabeth Maxwell, a Europa Press. Reconoce que cualquier incumplimiento de la ley podría tener "consecuencias devastadoras ante cualquier violación de datos, algo demasiado común dado el crecimiento de la ciberdelincuencia y las amenazas internas". 

Sin embargo, no queda claro cuales serán los mecanismos supervisores o de prevención, de si se emprenderán inspecciones por parte de la Administración o si las sanciones se producirán solo en el caso de una fuga de datos masiva o actos ilícitos con consecuencias externas al ámbito de la empresa. En ente que debe asumir más protagonismo es la Agencia Española de Protección de Datos

¿DÓNDE ESTÁN LOS DATOS?

El informe de Compuware señala que el 64% de las españolas aseguran que la complejidad de los actuales servicios de TI genera en muchas ocasiones incertidumbre acerca de dónde residen los datos de los clientes, mientras que un 56% afirma ser capaz de localizar todos los datos de una persona con la rapidez necesaria que exige el cumplimiento del 'derecho al olvido' incluido en el GDPR, por ejemplo.

Compuware añade además que lo más preocupante, según este estudio realizado a partir de entrevistas a 400 directores de sistemas de empresas de Francia, Alemania, Italia, España, Reino Unido y Estados Unidos, es que un 32% de los encuestados admite que no puede garantizar a día de hoy la localización de los datos de un cliente.