La Unión Europea va a cambiar en los próximos años la manera en que las empresas protegen los datos personales que atesoran. Para algunos en el sector, la entrada en vigor de GDPR, siglas en inglés del nuevo Reglamento General de Protección de Datos, que se produjo el pasado 27 de abril y que será de obligatorio cumplimiento para todas las empresas e instituciones del continente a partir del 25 de mayo de 2018, es “la mayor sacudida en las últimas tres décadas” en materia de protección de datos.
El reglamento aúna todas las normas nacionales y se impondrá a la LOPD siempre que haya conflicto entre ambos textos. Está previsto que la Agencia Española de Protección de Datos saque una guía mediados del año que viene para asesorar sobre la adopción de la GDPR. Con esta iniciativa, la UE intenta que compañías y organismos extremen las precauciones para evitar en la medida de lo posible las brechas de seguridad que dan lugar al robo de datos que cuentan con la máxima protección, como los de raza, salud, afinidades políticas o geolocalización, entre otros. El reglamento afecta a todas las empresas que operan en la UE, aunque no tengan presencia física en su territorio.
Como novedad, a partir de ahora las compañías y las entidades deberán reportar las brechas de seguridad a la Agencia de Protección de Datos, y este organismo podrá obligarlas incluso a hacer públicos los detalles de los ataques. Además, las entidades públicas tendrán la obligación de contar con un delegado de protección de datos. Esta medida también a las empresas, aunque dependerá el número de empleados, de la cantidad de datos tratados y de lo susceptible que sea de recibir ataques. Como resultado de todo ello, se espera que con los años la ciberseguridad tenga en las empresas la misma presencia que hoy goza la prevención de riesgos laborales, asegura Pablo Fernández Burgueño, abogado especializado en la materia y que asesora al mayorista Exclusive Networks.
Eso sí, si una empresa o un particular sube datos a un servicio de nube pública, y éste es hackeado, la responsabilidad primera ante las autoridades es de quien ha subido los datos, y no del Google Drive o del Dropbox de turno. Sólo más tarde, según indica Pablo Fernández Burgueño, la empresa podrá iniciar acciones legales contra el proveedor del servicio.
Queda en manos de los estados establecer las sanciones por saltarse GDPR. En teoría, pueden llegar a los cuatro millones de euros, aunque en España, como pasa hasta ahora con la LOPD, tendrán un máximo de 600.000, según Fernández Burgueño. Ante una sanción, la empresa afectada podrá acudir a la Audiencia Nacional y en última instancia al Tribunal Supremo.
Exclusive implica al canal
Laurent Daudré-Vignier, responsable en el sur de Europa de Exclusive, asegura que con GDPR entramos en un “nuevo terreno de juego” en el ámbito de la protección de datos y que el canal tiene una gran oportunidad de negocio en los próximos dos años. “Esto va a exigir a las organizaciones que, además de adoptar las soluciones técnicas adecuadas, tengan que definir, implementar y aplicar políticas específicas, así como elaborar reportes detallados que puedan demostrar al auditor el cumplimiento de la norma”, afirma Santiago Arellano, director de diversificación de Exclusive, que vende marcas como Palo Alto, Imperva, Druva o F5. Eso sí, Daudré-Vignier dice que los integradores tendrán que adaptarse para centrarse en la gestión del dato, y no tanto en la provisión de infraestructura, como hasta ahora.
La Directiva NIS
GDPR no es la única novedad legislativa en materia de ciberseguridad. A principios de julio, el Parlamento Europeo adoptó la Directiva sobre Seguridad de Redes y Sistemas de Información, conocida como Directiva NIS, que deberá ser traspuesta a la legislación nacional antes de mayo de 2018. Su objetivo es proteger sectores estratégicos que dependen en gran medida del uso de las TIC, como el energético, el de transportes, el financiero o el de la salud. Las empresas de estos sectores (identificadas como operadores de servicios esenciales) deberán aplicar las medidas de protección previstas en la directiva y también notificar y dar cuenta de las brechas de seguridad que sufran.