'El nuevo reglamento europeo busca consolidar la cultura de privacidad en las empresas', Acens

  • Seguridad

Fernando Serrano López, responsable de Seguridad, y Gustavo San Felipe Lobo, Seguridad Corporativa, Calidad y Procesos de Acens, nos muestran su visión de la situación actual frente al nuevo cambio de reglamentación europea.

Esta entrevista es parte de las realizadas para la elaboración del reportaje En Portada de IT User de febrero de 2017. Puedes descargarte la revista aquí.

A poco más de un año para que la nueva ley europea de protección de datos sea obligatoria, ¿qué implicaciones va a tener para todas las empresas esta normativa?

El nuevo reglamento europeo supone un cambio importante encaminado a consolidar la cultura de “privacidad” en las empresas. La mayor implicación radica en que el cumplimiento de lo establecido en la ley supone el establecimiento de un marco de gestión, que hará que las empresas velen y se comprometan a que los tratamientos de datos personales se hagan de manera adecuada, salvaguardando el derecho fundamental de la protección de datos.

El cambio principal será el de enfocar el cumplimiento de esta legislación mediante un sistema de gestión, adoptando el esquema de los estándares internacionales, y bebiendo de fuentes como ISO 27001, donde se establece cómo implementar un Sistema de gestión de Seguridad de la Información y qué prácticas y controles son los adecuados.

Este cambio, tratará de establecer una cultura de privacidad en las empresas desde el inicio y mantenida en el tiempo, de tal manera que los procesos de negocio tengan siempre presente los objetivos del reglamento. En el reglamento encontramos enfoques que podemos equiparar a los existentes en sistemas de gestión de normativas ISO, encontrando similitudes, no tanto en la estructura, pero sí en el fondo, con la metodología Plan -> Do -> Check -> Act.

¿Cuáles son los principales aspectos que deben tener en cuenta los negocios con esta nueva normativa?

Un concepto que no es nuevo pero que adquirirá gran peso es del “Privacy by design” o “Privacy by default”, por el cual las empresas deben considerar la privacidad de forma previa a cualquier tratamiento de datos, incluso mediante un análisis de impacto en ciertos casos, y comprometerse realizar su actividad sin perjudicar y respetando los derechos de sus usuarios y clientes.

Otro de los conceptos que se incluye en el reglamento es el de “Evaluación de impacto relativa a la protección de datos”. Se trata de realizar para determinados tratamientos de datos un estudio similar a una “análisis de riesgos” desde el punto de vista de privacidad y protección de datos. De nuevo encontramos enfoques propios de un sistema de gestión de seguridad, que de acuerdo al reglamento pueden desembocar en una consulta previa a la autoridad de control en ciertos casos.

Además, se define la figura del DPO, o Delegado de Protección de Datos, que debe velar por el cumplimento de la ley en ciertas organizaciones, incluso sugiriendo que pueda ser una persona externa a la compañía ya que debe velar de manera independiente porque el negocio tome las decisiones adecuadas en materia de protección de datos y que sus funciones no planteen conflictos de intereses.

Un aspecto importante es la obligatoriedad de notificación de incidentes a la autoridad de control competente e incluso a los propios afectados, este tipo de obligaciones ya existían para ciertos proveedores de servicio, y de esta forma se extiende al ámbito global.

Existirá también un cambio importante en el régimen sancionador, aumentando gravemente la cuantía de las sanciones que podrán ser de hasta 20 M de euros o del 4% del volumen de negocio anual de la compañía.

El reglamento marca las bases para la adopción de códigos de conducta y posibles marcos de certificación, indicando que se tendrán en cuenta las necesidades específicas de pequeñas y medianas empresas.

Aparte de lo anterior, el nuevo reglamento incluye otras modificaciones respecto a la legislación actual relacionadas con la forma en la que se recaba el consentimiento del afectado, el tratamiento de datos de menores, evolución y nuevos derechos del afectado (derecho al olvido, portabilidad de los datos…), seudonimización…

La nueva ley, ¿va a conllevar nuevas herramientas tecnológicas para su cumplimiento?

Más que herramientas tecnológicas para la adaptación al reglamento serán necesario nuevos perfiles y nuevas habilidades, puesto que los cambios principales son conceptuales y de gestión. A falta de regulación española que pueda especificar medidas de seguridad o requisitos especiales, no es esperable que implique grandes cambios tecnológicos más allá de los requeridos por la actual legislación, aunque probablemente se observe una evolución de las herramientas existentes en el mercado haciendo más hincapié en la privacidad de datos.

En relación con las medidas de seguridad el reglamento menciona de forma genérica mecanismos y objetivos genéricos como son: Seudonimización y cifrado, garantizar confidencialidad-integridad-disponibilidad-resilencia, resturar disponibilidad y acceso, valoración de la eficacia de las medidas. A día de hoy, y a falta de regulación específica por parte de la autoridad de control española, no existe una guía de buenas prácticas ni un grupo de medidas de seguridad concretas aplicables al reglamento. Sin embargo, se incluyen los conceptos de Diligencia debida y de acreditación (accountability), dando a entender la responsabilidad del negocio y de la dirección en las decisiones tomadas en materia de protección de datos. Las autoridades competentes comprobarán en sus auditorías o inspecciones que la compañía ha realizado todo lo debido en los tratamientos de datos personales realizados, si ha implementado todas las medidas de seguridad necesarias y si ha seleccionado proveedores, colaboradores, tecnología... (responsabilidad in eligendo), teniendo en cuenta los aspectos de privacidad y protección de datos. La compañía deberá acreditar todas estas acciones, pudiendo servir para demostrar el cumplimiento de los requisitos generales la adhesión a un código de conducta o la obtención de un certificado según los marcos comentados anteriormente.

¿Cuál sería, en su opinión, la infraestructura tecnológica básica que deben tener todas las empresas para cumplir con esta normativa?

Más allá de la tecnología necesaria actualmente para cifrar la información tanto en tránsito como una vez almacenado, será necesario software específico de gestión e implantación normativo para asociar los análisis de riesgos o de impacto con las decisiones y proyectos a acometer.

Además de esto, toda la tecnología Cloud tendrá un gran peso, y en muchas ocasiones la compañía externalizará o confiará el tratamiento en terceros especializados que les podrán asesorar y ayudar en las tareas de implementación, cumpliendo con su papel de encargados del tratamiento. En concreto, para garantizar de base que la Comisión Europea considera que se está aplicando un nivel de protección adecuado, tendrán especial interés para las compañías instalaciones ubicadas en territorio europeo, de ahí, que las grandes compañías proveedores de contenidos y servicios en Internet estén tratando de ubicarse o tener infraestructura en territorio europeo.

Este nuevo marco regulatorio, ¿clarifica las oportunidades de negocio a nivel europeo, eliminando complejidades?

La legislación fija un marco común en el que deberán ubicarse todas las compañías que quieran proporcionar servicios a los ciudadanos europeos, independientemente de que estén o no ubicados en territorio europeo. No simplifica la situación actual, pero principalmente debido a que el marco que contempla es más amplio y contempla escenarios no cubiertos hasta la fecha.

¿Es una buena respuesta a las actuales necesidades empresariales, especialmente a nivel tecnológico?

El nuevo reglamento es una respuesta a la actual situación donde aún existen prácticas en materia de privacidad que no son bien recibidas por los usuarios finales, y hay una necesidad de adaptarse a las nuevas tecnologías distribuidas.

Los datos son el oro del siglo XXI. En lo que a su utilización como negocio se refiere, hay dos grandes corrientes: una más europea de protección y otra más estadounidense de menor regulación. ¿Cuál es su opinión al respecto?

Realmente parece que la tendencia en USA será tender a esquemas más proteccionistas, allí hay muchas corrientes que reclaman mayor protección en esta materia y situaciones como el caso Snowden, la invalidación del acuerdo de puerto seguro o “Safe Harbour” por el Tribunal de Justicia Europeo, o la puesta en marcha del nuevo esquema de colaboración con Europa “Privacy Shield”, hacen pensar que será necesaria una evolución en esa línea.

¿Corre Europa (y con ella las empresas del Viejo Continente) el riesgo de quedar a la cola de la innovación si no somos tan flexibles como EE.UU.? ¿Por qué?

El riesgo en Europa no solo existe tanto por no ser tan flexibles, sino más bien por la capacidad de innovación e inversión de EEUU. Históricamente EEUU ha tenido ventaja en este aspecto, pero descuidar la opinión pública, y las consecuencias que suponen la vulneración de derechos en materia de privacidad, pueden suponer un impacto considerable.

Por otro lado, hay que tener en cuenta que aquellas empresas de EEUU deben cumplir con el nuevo reglamento de protección de datos si desean prestar servicios a usuarios europeos, lo cual supone adaptar sus procesos y la tecnología empleada para cumplir con los requisitos establecidos en la ley al igual que las compañías europeas, existiendo además el escollo relativo a las transferencias internacionales de datos si no se tiene sede e infraestructura de servicio para el tratamiento de datos en Europa.

Puedes leer el resto de las entrevistas en estos enlaces:

'La innovación no está reñida con la defensa de la privacidad y la protección de datos', Mar España, AEPD

'Cuando se trabaja con algo tan sensible como los datos, es indispensable que haya garantías legales', Check Point

'La tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento', NetApp

'Sin seguridad, no habrá confianza en la innovación y por ende, en la transformación empresarial', Oracle

'Es más importante que nunca que estos datos se m