El 4 de mayo se publicó el nuevo Reglamento del Parlamento y del Consejo 2016/679, de 27 de abril, relativo a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Este reglamento deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y será directamente aplicable y de obligado cumplimiento en todos los Estados miembros de la Unión Europea transcurridos dos años de su entrada en vigor, es decir, el 25 de mayo de 2018.
Hemos podido entrevistar a Manel Medina, Director del equipo de respuestas a incidentes de ciberseguridad Escert-UPC y coordinador científico de APWG.EU para que nos comente cómo afectará la normativa europea de protección de datos a las empresas y qué deben hacer para prepararse.
Qué sucederá con la Ley Orgánica de Protección de Datos española
El GDPR o RGPD (Reglamento de Protección de Datos de La Unión Europea) modificará cómo las compañías tratan los datos confidenciales. La Directiva crea una única normativa de protección de datos para todos los estados miembros. Y se aplica a organizaciones que tratan datos personales de residentes en la UE.
“Cambiarán la ley española para que se adapte al reglamento europeo. La están preparando y se ha creado un grupo de trabajo para hacer recomendaciones de cómo ha de ser la nueva ley” comenta Manel Medina.
A qué empresas u organizaciones afecta
Afecta indistintamente a todas las empresas de más de 250 trabajadores que traten datos confidenciales o susceptibles. Todas las empresas han de fortalecer la protección contra ciberataques y se han de comunicar los incidentes a las autoridades en 72 horas.
Actualmente las empresas no están preparadas para aplicar la nueva ley de protección de datos.
Veamos qué implica y qué requisitos se deben cumplir:
Objetivos del Reglamento RGPD
Según Manel Medina el principal objetivo es “Sobretodo concienciar a los directivos de las empresas para que tomen medidas de protección”.
Se trata de incrementar la protección de los datos personales, adaptar la normativa a las nuevas tecnologías y necesidades (por ejemplo Cloud, redes sociales, etc.) y clarificar las responsabilidades del almacenaje y tratamiento de datos.
Obligaciones de la empresa para el cumplimiento de la GDPR
- Conocer y comprender los riesgos a los que están expuestos
- Hacer el seguimiento y monitorización de los posibles riesgos
- Conocer los datos que almacenan, dónde están localizados
- Evaluar los cambios tecnológicos necesarios para cuplir la norma
- Creación de una estructura interna al cargo de la seguridad de la información
- Nombramiento de como mínimo un Responsable de Protección de Datos (DPO – Data Protection Officer). Este puede ser un empleado o un colaborador externo con contrato de prestación de servicios.
- Todas las notificaciones privadas se han de presentar en lenguaje claro y entendible
- Se ha de facilitar el acceso a los datos
- Queda desestimado el consentimiento implícito por silencio y las bases de datos han de ser todas con consentimiento explícito del usuario
- Las empresas están obligadas a diseñar procesos de seguridad que aseguren el cumplimiento de la normativa de protección de datos
- Se ha de documentar todo proceso que incluya datos personales a través del uso de “Data Privacy Impact Assessments” (DPIAs)
- Han de crear protocolos de respuesta y notificación y activar la investigación cuando se produzca la fuga de información.
- Establecer un proceso de auditoría que controle el cumplimiento de la norma
- Revisar las transferencias de datos transfronterizas y confirmar su legitimidad
- Formación a los empleados informándoles de sus obligaciones cuando procesan datos personales
Manel Medina destaca especialmente la obligación de notificar el ataque o la pérdida de información con datos personales en 72 horas, ya que “el orden de estos ataques se descubren ya en los medios de comunicación y entonces es difícil poder reaccionar”.
Cómo se debe preparar una empresa para cumplir la nueva Ley de Protección de Datos
El Director del equipo de respuestas a incidentes de ciberseguridad Escert-UPC, Manel Medina, nos da una serie de consejos para que la empresa se pueda preparar para aplicar y cumplir la Normativa Europea de Protección de Datos:
Las empresas han de hacer un análisis de riesgo para saber quién les puede atacar, cómo pueden ser estos ataques y han de aplicar las medidas de protección adecuadas para evitarlos, así como comprobar día a día que estas medidas de protección se están ejecutando.
El análisis de riesgo identifica los daños que puede causar un ataque y conocer las vulnerabilidades de nuestros sistemas.
Muchas empresas no son conscientes del impacto económico real que tiene un ataque con fuga de información, ya que no lo valoran objetivamente al calcular las pérdidas.
Por ejemplo, comenta el Sr. Medina, los datos de usuarios robados a Play Station de Sony hicieron que las acciones bajaran un 12% y aun no se recuperaron. Es decir, las pérdidas fueron un 12% del total valor de la empresa.
Los responsables de IT de Sony, al realizar el análisis de riesgo no valoraron el coste económico de pedir contraseña dura a usuarios en lugar de permitir las frágiles.
Consultores en ciberseguridad y herramientas de monitorización como Blue Coat de Symantech nos ayudan a identificar las brechas, los usuarios activos, monitorizar comportamientos sospechosos y poder actuar inmediatamente, así como a valorar los daños que un ataque puede suponer a nuestra compañía.
Consecuencias del incumplimiento de la normativa europea de Protección de Datos
“La principal consecuencia es una multa de hasta un 4% de la facturación mundial del grupo” comenta Manel Medina. Además de la pérdida de prestigio, de valor económico en bolsa y la desconfianza generada en el usuario con daños graves a la imagen de marca, el incumplimiento de la normativa puede llevar sanciones de hasta 20 millones de euros o el 4% de la facturación anual mundial (incluyendo todas las subsidiarias) de la empresa.
Como cambia la forma en la que hay que obtener el consentimiento de los usuarios
Anteriormente estaba permitido, en otros países Europeos, el consentimiento por omisión, que significa que la no acción del usuario trae implícito su consentimiento a proporcionar datos personales.
Esto cambia, a partir de ahora el usuario ha de dar el consentimiento explícito.
Debemos renovar, por tanto, todas aquellas bases de datos o procedimientos que no cumplan con este requerimiento, como las cookies de la web o las acciones que puede hacer una app o web activa de fondo, el usuario ha de autorizar explícitamente la aplicación y debe poder negarse a que se instalen las cookies en el ordenador o a que la app mande información.
Podemos solicitar a expertos en ciberseguridad que realicen un informe del estado de nuestra empresa y nos detecten los agujeros por los que se puede llegar a producir una fuga o un ataque, así como que nos implementen las herramientas de control y monitorización.