Madrid
Nos encontramos en un momento en el que la seguridad informática ha pasado de ser la necesidad de unos pocos para convertirse en la gran inversión de muchos. Tal es la envergadura de esta situación, que hablar de la seguridad de los datos ya ha quedado anticuado. Ahora lo que nos importa es la seguridad de la información entendida como la protección de los intereses de los ciudadanos y de los sistemas de comunicación que proporcionan todos esos datos, ante posibles fallos del servicio informático, confidencialidad e integridad.
Sin embargo, ¿es osado preguntarnos si sabemos de lo que hablamos cuando nos referimos al término seguridad y, en concreto, la que a la relativa a la información? Si queremos hacer una buena adecuación al Reglamento General de Protección de Datos (RGPD) no nos queda otra que entenderlo porque si no, difícilmente vamos a cumplir con uno de los mandatos que nos exige este texto legal.
Concretamente, cuando se refiere a las responsabilidades activas de las organizaciones relativas a satisfacer, entre otros aspectos, la notificación de brechas o violaciones de seguridad cuando constituyan un riesgo para los derechos y las libertades de las personas físicas. Esta notificación y, en su caso, la comunicación a los afectados forma parte del procedimiento de gestión de incidencias integrado en la administración de la seguridad de la información de cualquier organización. Y es que ninguna se libra de tener que desarrollar un protocolo de comunicación procedimentado con la autoridad de control correspondiente que permita informar en un periodo de 72 horas máximo del incidente de seguridad acaecido relativo al tratamiento de datos personales. La organización deberá, adicionalmente, comunicar a los afectados la violación de la seguridad de los datos personales sin dilación indebida y con lenguaje claro y sencillo, de forma concisa y transparente, cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Sin embargo, esta metodología es algo más compleja que una simple comunicación a la autoridad de control, ya que representa el último paso de un proceso que se debe haber iniciado con una correcta adecuación técnica al RGPD, es decir, no nos podemos olvidar que el nuevo reglamento, además de exigir un cumplimiento legal nos introduce una novedad y es la adecuación que sólo se puede abordar por especialistas en seguridad.
Con esto nos estamos refiriendo a que una vez detectado el incidente, se procede su análisis y clasificación pero ¿cómo podemos hacer este diagnóstico si previamente no hemos realizado una evaluación de impacto relativa a la protección de datos o el análisis de riesgos, en su caso? Debemos mentalizarnos de que no es posible cumplir con el RGPD si la organización sólo dispone de un manual de gestión y notificación de brechas de seguridad. Es imprescindible realizar previamente la evaluación de impacto o el análisis de riesgos, en los supuestos previstos en el RGPD, para estar seguros de que estamos llevando a cabo una buena adecuación técnica.
Sin ir más lejos encontramos un ejemplo de este desafortunado escenario en el ataque informático realizado a los servidores web del IESE Business School durante la noche del 16 de septiembre, quedando al descubierto la información de carácter personal relativa a IESE Publishing e IESE Insight.
Hemos de partir de la seguridad integral, y no sólo dar cumplimiento a las obligaciones de documentar el incidente, sino implementar medidas de detección apropiadas que pueden aminorar el impacto, como son controles automatizados de detección o controles de ciberseguridad.
El último informe de la Agencia Española de Protección de Datos (AEPD) refleja el importante retraso en el que nos encontramos respecto al cumplimiento con el RGPD, ya que sólo un 63 por ciento de las pymes conoce esta normativa quedando al margen de su cumplimiento 4 de cada 10 empresas.
Uno de los aspectos más relevantes a los que hace alusión dicho informe es la falta de medios y conocimientos que existen, a día de hoy, en muchas organizaciones para poner en práctica una correcta adecuación del RGPD. La primera premisa para mentalizar a la organización de la necesidad de cumplir con esta normativa es realizar acciones formativas encaminadas a concienciar a la alta dirección en los aspectos claves de cumplimiento que debe conocer toda la organización. La AEPD consciente de la dificultad que entraña en muchas ocasiones saber identificar una brecha de seguridad publicó el pasado mes de junio la Guía para la gestión y la notificación de brechas de seguridad (https://www.aepd.es/media/guias/guia-brechas-seguridad.pdf) con el objeto de ayudar a las organizaciones a iniciarse en un proceso que lleva aparejado la implementación de la cultura de la seguridad y privacidad, finalidad última del RGPD para los países de la UE que tan ajenos se encuentran todavía a este concepto. No son baladíes las infracciones a las obligaciones que regula el RGPD en esta materia, ya que se sancionarán como graves con multas de hasta 10.000.000 euros, o del 2 por ciento del presupuesto si el infractor es empresa, optándose por la de mayor cuantía.
Pero este tema tiene una arista más y es la que afecta al gobierno de la seguridad, al crear un binomio imprescindible integrado por la figura del Delegado de Protección de Datos (DPD) regulada por primera vez en el RGPD, y la figura del CISO (Chief Information Security Officer) dentro de la organización, pública o privada, en actuaciones claves como la comunicación de las violaciones de seguridad. En este caso, deben existir procedimientos establecidos entre el CISO y el DPD para informar y resolver los incidentes de seguridad que puedan suponer violaciones del RGPD. Como hemos visto anteriormente, los incidentes de seguridad deben registrarse y documentarse de una forma procedimentada para poder informar a todas las partes implicadas y realizar un seguimiento adecuado. Los incidentes de seguridad que puedan producirse y afecten a la seguridad de los datos de carácter personal deben comunicarse en un plazo de tiempo determinado. El RGPD otorga al DPD un gran protagonismo, tanto para informar a la Autoridad de Control, como a los afectados por el incidente de seguridad.
Como conclusión cabe subrayar que lo fundamental cuando hablamos del cumplimiento del RGPD es abordar los aspectos legales y técnicos que mayor impacto tienen en la organización. Lo importante ya no es proteger el dato per se, sino el flujo de información en el que viajan los datos dentro y fuera de los sistemas. En definitiva, la adecuación del RGPD establece las reglas del juego en la definición de un proceso necesario de seguridad al que debe someterse la organización para garantizar que protege lo que más valor tiene, hoy por hoy, la información y los datos, el petróleo del siglo XXI.
Entidades
