El 28 de enero de 1981 se firmó el Convenio 108 del Consejo de Europa para la protección de las personas en el tratamiento automatizado de datos de carácter personal. Este Convenio nació con la finalidad de garantizar en cada Estado, a cualquier persona física, independientemente de su nacionalidad o residencia, el derecho a la vida privada cuando se traten, a través de un soporte informático, sus datos de carácter personal.
Muchas cosas han cambiado en 39 años , pero lo que está claro es que el compromiso con la privacidad está evolucionando a gran ritmo y continúa haciéndolo, motivado especialmente por la revolución digital que ha cambiado la forma en la que interactuamos en la sociedad.
Los datos personales son importantes y actualmente compartimos en el mundo físico y el virtual grandes cantidades, a veces de manera consciente y otras, inconsciente, aceptando, por ejemplo, las condiciones de alguna política de privacidad oscura. Los datos, además, pueden proporcionar información en tiempo real, como la geolocalización de nuestros dispositivos móviles, o futuros; por ejemplo, la aplicación del calendario de nuestro trabajo en la que aparecen programados nuestros próximos movimientos. Los datos también pueden estar presentes incluso en lugares que nos parecen poco peligrosos porque han sido desechados, como los que se pueden obtener de nuestra papelera virtual.
Desde la firma del Convenio 108 hasta nuestros días hay un gran punto de inflexión, la aplicación del Reglamento General de Protección de Datos (RGPD). España también ha tratado de legislar en consecuencia con la Ley de Protección de Datos y garantía de los derechos digitales (LOPDGDD), que recoge los nuevos derechos digitales, poniendo de manifiesto el momento de innovación evolutiva en el que nos encontramos.
Se debe tomar conciencia de las nuevas amenazas que comprometen nuestra seguridad
Hemos pasado del nerviosismo de los días previos a la entrada en vigor del Reglamento a la relativa calma de hoy y, aunque la Agencia Española de Protección de Datos (AEPD) está siendo bastante prudente, las multas no tardarán en llegar, ya que hay muchos expedientes en estudio. La tasa de cumplimiento del RGPD sigue siendo baja.
Uno de los puntos más conflictivos tiene que ver con el ejercicio del derecho sobre los datos. Según un estudio de Talend de septiembre de 2018, el 70% de las empresas encuestadas no contestaba a los interesados en un mes. Un año después, un nuevo estudio concluía que sólo el 42% de las empresas encuestadas respondía correctamente al ejercicio del derecho de los interesados.
Otro aspecto importante es la gestión de las cookies. Un estudio publicado por la Universidad de Cornell en Estados Unidos determina que solo el 11,8% de las páginas web analizadas utilizaban técnicas que cumplen con los requisitos establecidos en el RGPD.
No hay que olvidar que 2019 ha sido el año de las grandes multas. A nivel europeo, la más sonada e importante hasta la fecha, ha sido la sanción a una compañía aérea de Reino Unido con una multa de 204 millones de euros por incumplir el RGPD y la de una cadena de hoteles internacional, que recibió una sanción de más de 118 millones por el mismo motivo.
Es importante además tomar conciencia de la aparición de nuevas amenazas que comprometen nuestra seguridad y también que seamos capaces de afrontarlas aplicando las medidas preventivas correctas. Por ello es preciso contar con un buen asesoramiento a nivel tecnológico. Un ejemplo de estas nuevas amenazas es la grave vulnerabilidad detectada por la Agencia de Seguridad Nacional de Estados Unidos (NSA), que se encuentra en los sistemas operativos Windows 10 y Windows Server 2016.
La vulnerabilidad afecta el manejo de certificados y mensajería cifrada, y conlleva un grave riesgo de suplantación de identidad, debido a que un atacante podría falsificar firmas digitales haciendo que un malware parezca una aplicación legítima. De manera que si mantenemos un sistema operativo que no recibe actualizaciones y no se notifica la brecha de seguridad a la autoridad de control, estaremos incumpliendo con el reglamento de protección de datos desde el principio.
Al final, cumplir con la normativa es una forma de optimizar nuestros recursos ya que, será mucho más costoso, tanto técnica como económicamente, intentar solucionar los problemas una vez que se hayan producido las amenazas, en lugar de prevenir estas situaciones aplicando desde el principio la normativa.
En la protección de datos, la seguridad debe ser una constante que dure todo el ciclo de vida de los datos, y hay que recordar que no se trata de un producto, es un conjunto de procesos, de personas y de tecnología en constante evolución.
