'Sin seguridad, no habrá confianza en la innovación y por ende, en la transformación empresarial', Oracle

En 2018 entra en vigor la nueva ley europea de protección de datos.  ¿Qué implicaciones va a tener para todas las empresas?

El Reglamento general de protección de datos (GDPR, de General Data Protection Regulation) es una norma, ya vigente, y que será de obligado cumplimiento en la UE desde el 25 de mayo de 2018.

Afectará a cualquier empresa que quiera ofrecer sus servicios en el entorno de la UE y trabajar con datos personales de sus ciudadanos. Aunque el plazo aún parece lejano, la preparación de las tareas, herramientas y procedimientos para su aplicación pueden ser costosas.

¿Cuáles son los principales aspectos que deben tener en cuenta los negocios con esta nueva normativa?

Fundamentalmente, se trata de proteger la confidencialidad de los datos de carácter personal de las personas. Es decir, las empresas deberán contar con mecanismos y prácticas, que supongan el correcto manejo de esta información.

A diferencia de otras leyes, supone una garantía importante para el usuario dado que, las empresas que incurran en mala práctica o no dispongan de herramientas tecnológicas suficientes, deberán comunicar las fugas de información e incluso llegar a pagar una multa económica, que podría suponer hasta un 4% de la facturación global.

La nueva ley, ¿va a conllevar nuevas herramientas tecnológicas para su cumplimiento?

Más que nunca, la necesidad de herramientas IT se hace patente por la necesidad de establecer barreras a diferentes niveles, en lo que a la protección y manejo de información sensible se refiere.

Así por ejemplo el art 25, establece la obligatoriedad de contar con medidas que garanticen la pseudo anonimización, a la vez que debe limitarse el tratamiento de la información al mínimo imprescindible, atendiendo al propósito de su utilización.

También el art 32, menciona las medidas necesarias a adoptar para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de procesamiento.

¿Cuál sería, en su opinión, la infraestructura tecnológica básica que deben tener todas las empresas para cumplir con esta normativa?

Está claro que la seguridad 100% no existe pero, al menos, las empresas deberían contar con herramientas que permitan:

• Cifrar y enmascarar los datos, garantizando que nadie puede acceder directamente a los repositorios de información.
• Monitorizar y auditar los accesos a los datos para conocer quién y para qué accede a los datos
• Definir cortafuegos lógicos para prevenir ataques a los repositorios de información con datos sensibles
• Soluciones de control de acceso a las aplicaciones, procesadoras de esta información
• Y por la parte de aseguramiento del servicio, disponer de soluciones que permitan tener la infraestructura en alta disponibilidad

Este nuevo marco regulatorio, ¿clarifica las oportunidades de negocio a nivel europeo, eliminando complejidades?

Efectivamente, especifica claramente las necesidades que deben cumplir las empresas y además da un paso más hacia la estandarización en lo que a la legislación, supone.

¿Es una buena respuesta a las actuales necesidades empresariales, especialmente a nivel tecnológico?

Cada país y en algunos casos, cada sector industrial, contaba con medidas recomendadas respecto al tratamiento de los datos privados. GDPR supone un paso más: la obligatoriedad del cumplimiento de una normativa común. Es un gran paso, necesario para dar respuesta a los nuevos escenarios tecnológicos, como son el Cloud y BigData.

-Los datos son el oro del siglo XXI. En lo que a su utilización como negocio se refiere, hay dos grandes corrientes: una más europea de protección y otra más estadounidense de menor regulación. ¿Cuál es su opinión al respecto?

Creo que ambas corrientes confluyen en la protección de la información, de hecho, es EEUU es posible denunciar a las compañías por el uso indebido. La diferencia es que en EEUU llevan implementando medidas desde hace más tiempo y las empresas saben a qué acogerse.

Por la parte europea, hay que tener en cuenta que la adopción de tecnología entre las diferentes fronteras no ha sido homogénea. Por este motivo, se imponía un criterio generalista de protección.

En mi opinión, se debe seguir una corriente que suponga la correcta protección de la información pero, además, la necesidad por impulsar mecanismos para que los usuarios sean cada vez más, conscientes de los peligros del uso inadecuado de los sistemas IT.

 

¿Corre Europa (y con ella las empresas del Viejo Continente) el riesgo de quedar a la cola de la innovación si no somos tan flexibles como EE.UU.? ¿Por qué?

El riesgo no estriba en la flexibilización si no en la innovación y la ruptura de las barreras a la hora de la adopción de IT como mecanismo de desarrollo empresarial. La transformación digital requiere de medidas que ayuden a gestionar información sensible y también a crear confianza en ellos. El comercio electrónico ha despegado cuando la Seguridad se ha constituido como un baluarte.

En la medida en la que vamos “controlando nuestros miedos”, vamos probando nuevas cosas. Sin la Seguridad, no habrá confianza en la innovación y, por ende, en la transformación empresarial que está sufriendo el mercado global.

 

Esta entrevista es parte de las realizadas para la elaboración del reportaje En Portada de IT User de febrero de 2017. Puedes descargarte la revista aquí, o leer el resto de las entrevistas en estos enlaces:

'El Reglamento busca consolidar la política de privacidad en las empresas', Acens

'La innovación no está reñida con la defensa de la privacidad y la protección de datos', Mar España, AEPD

'Cuando se trabaja con algo tan sensible como los datos, es indispensable que haya garantías legales', Check Point

'La tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento', NetApp

'Es más importante que nunca que estos datos se mantengan a salvo y que las empresas cumplan con ciertos niveles de seguridad', SonicWALL