«Las empresas, responsables de la correcta autoevaluación de sus riesgos», tribuna de María González, abogada de ECIJA, para Expansión.

En estos días, y más con el foco puesto en el día de la protección de datos, no vamos a hablar de las principales novedades que vienen de la mano de la aplicación efectiva a partir del próximo 25 de Mayo, del reglamento general de protección de datos, de 27 de abril de 2016, más conocido como RGPD o GPDR.

La nueva normativa, el reglamento general de protección de datos (RGPD), está generando algún que otro quebradero de cabeza a las empresas que ven cómo el plazo de adecuación previsto normativamente se les echa encima, teniendo aún muchas cuestiones por aclarar y resolver. Y es que, a diferencia de la normativa vigente (LOPD – LO15/1999, y RLOPD – RD1720/2007), el RGPD deja de la mano de las entidades la autoevaluación de sus riesgos para la determinación de las concretas medidas de protección a implantar.

La evaluación de riesgos

En materia de análisis de riesgos, la mayor complejidad con la que se encuentran las entidades es la determinación de los riesgos sobre los derechos y libertades de los ciudadanos, en especial en lo relativo a la privacidad del usuario, pues deben tenerse en cuenta amenazas e impactos específicos.

No obstante, los análisis de riesgos a llevar a cabo para la determinación de las medidas de seguridad a implantar (objeto del presente artículo), y la determinación de catálogos de amenazas e impactos, son aspectos que se encuentran mucho más regulados, desarrollados e implantados, tanto a nivel nacional como internacional, lo que sin duda supone una ventaja para las compañías que pueden adoptar estas metodologías en materia de cumplimiento normativo, y en especial, en materia de protección de datos personales.

Los principios de la seguridad y su aplicación con el RGPD

El RGPD en materia de seguridad, se remite a los principios básicos de la seguridad de la información, estableciendo expresamente en su artículo 32, que la medida de seguridad básica a tener en cuenta por cualquier organización debe ser la pseudoanonimización y el cifrado de los datos personales siempre que sea posible, así como la necesidad de reevaluar y verificar periódicamente los riesgos, las medidas de seguridad implantadas y el nivel de cumplimiento.

Pero además, el RGPD remite claramente a los principios básicos de la seguridad (confidencialidad, integridad, y disponibilidad) y casi de forma expresa a las metodologías y estándares internacionales en materia de seguridad y continuidad de negocio.

Gestión de brechas de seguridad

En línea con los principios de seguridad, y en relación directa con la comunicación y gestión de incidentes de seguridad, el RGPD establece una obligación específica de comunicación de brechas de seguridad para todas las entidades, comunicación que debe incluir a las Autoridades de Control, e incluso a los propios titulares de los datos.

Dada la criticidad de este tipo de comunicación, la elaboración de procedimientos específicos de comunicación y gestión de brechas de seguridad, en el que no sólo estén implicados los departamentos técnicos y jurídicos, sino que además incluyan a las áreas de Comunicación Externa de la compañía, es un aspecto esencial para el cumplimiento de la norma y la protección de la imagen y reputación corporativa de la organización.

(…)

Haga clic aquí para acceder a la versión completa del artículo.