El 25 de mayo de 2018 será de obligado cumplimiento el nuevo Reglamento de Protección de Datos de la Unión Europea (conocido popularmente como GDPR, por sus siglas en inglés). Sus implicaciones afectarán a todas las empresas europeas, sea cual sea su tamaño, que deberán hacer frente a procesos y sanciones si no demuestran que son capaces de garantizar la privacidad de los datos de sus clientes. Así las cosas, para esta fecha, las organizaciones tendrán que haber establecido políticas compatibles con la norma para procesar dichos datos, incluyendo cómo gestionan la eliminación de los mismos.
El GDPR, que entró en vigor el 27 de abril de 2016, armoniza las regulaciones nacionales existentes en la materia (la famosa LOPD en España) y define un nivel de protección europeo más amplio. Con ella, la UE pretende que se extremen las precauciones para evitar, en la medida de lo posible, las brechas de seguridad que dan lugar al robo de datos que cuentan con la máxima protección, como los de raza, salud, afinidades políticas o geolocalización, entre otros.
En concreto, el texto afectará a cualquier compañía que almacene, procese o analice datos personales de ciudadanos europeos, independientemente de si está establecida en la UE. En otras palabras, a todas las empresas que operan en la UE, aunque no tengan presencia física en su territorio. Y por datos personales se refiere a “cualquier información que pudiera utilizarse, por sí sola o conjuntamente con otros datos, para identificar a un individuo”, es decir, nombre, dirección, DNI, ID en una red social, etcétera.
Las multas pueden llegar a los 20 millones de euros o hasta el 4% de volumen del negocio bruto anual, de esta manera, cuanto mayor sea la facturación de una compañía, mayor será el importe a pagar. Sin embargo, todavía queda en manos de los estados establecer las sanciones por saltarse el GDPR. En teoría, en España, como pasa hasta ahora con la LOPD, todo hace aventurar que los recargos ascenderán a un máximo de 600.000 euros, afirman expertos en la materia. Ante esta sanción, la empresa afectada podrá acudir a la Audiencia Nacional y, en última instancia, al Tribunal Supremo.
Proteger los datos en la nube
Entre las novedades que contempla el nuevo reglamento hay que mencionar que respecto a la información que tenemos en la nube, por primera vez se establece una corresponsabilidad entre el gestor cloud y la empresa propietaria de los datos. En este sentido, si una empresa o un particular sube datos a un servicio de nube pública, y éste es hackeado, la responsabilidad primera ante las autoridades es de quien ha subido los datos. Más tarde, la compañía podrá iniciar acciones legales contra el proveedor del servicio.
Asimismo, conviene subrayar que de acuerdo al nuevo texto, la confidencialidad de los datos almacenados en las infraestructuras en la nube ubicadas en Estados Unidos no viene dada por defecto.
Otra incorporación interesante a la norma comunitaria es que a partir de ahora las organizaciones deberán reportar las brechas de seguridad a la autoridad competente, en el caso de España a la Agencia de Protección de Datos, como máximo en las siguientes 72 horas después de la pérdida de los datos; este organismo podrá obligarlas incluso a hacer públicos los detalles de los ataques. Igualmente, las compañías también tendrán que realizar las notificaciones oportunas a las personas afectadas.
Por otra parte, las entidades públicas tendrán la obligación de contar con un delegado de protección de datos. Esta medida también repercute a las empresas privadas, aunque dependerá el número de empleados, de la cantidad de datos tratados y de lo susceptible que sea de recibir ataques.
Ponerse las pilas
La nueva normativa llevará a las empresas a apostar por varias medidas preventivas para evitar la fuga de información y menoscabar, si esta se produjera, su impacto en el ciudadano en aras de salvaguardar sus derechos.
Los expertos mencionan:
-Herramientas de reporting y auditoría
-Encriptación para asegurar la ilegibilidad de los datos
-Cifrado y control de accesos
-Monitorización
-Securización de dispositivos
-Protocolos de recuperación y validación de datos
Principales novedades del nuevo reglamento europeo
–Consagra el “consentimiento reforzado”. A partir de ahora tiene que haber de antemano un consentimiento expreso de los consumidores y clientes para el tratamiento de sus datos.
–Portabilidad de los datos. El reglamento obliga a garantizar la portabilidad de los datos de los usuarios, lo que afectará mucho a la operativa de los proveedores de servicios.
–Reporte de las brechas de seguridad. Hasta ahora sólo tenían que comunicarlas las telecos y los bancos, pero ahora este reporte va a ser obligatorio para todo el mundo. En sólo 72 horas, las compañías que tengan brechas deberán informar a la autoridad de control y a los clientes.
–Se promueve la figura del DPO. La administración y las empresas con un alto volumen de datos sensibles deberán tener un data protection officer o DPO, que coordinará la política de protección de datos y que también actuará como enlace con la autoridad de control.
–Análisis de riesgos. Las empresas deberán saber cómo están protegidos sus datos y, en función de ese análisis, implantar medidas efectivas de seguridad. Es una medida en línea con lo avanzado por normativas como la ISO 27001.