«Computer World: Nuevos retos y oportunidades para el sector tecnológico», tribuna de María González, manager de ECIJA, para Computer World.
Sin duda, el 2018 es un año de cambios, retos y oportunidades para el sector tecnológico, derivado de las nuevas normativas legales de aplicación tanto de ámbito general, como sectorial, y que suponen, todas ellas, un cambio en la cultura de cumplimiento en el entorno corporativo…. Estos cambios, tienen su impacto no sólo en el tejido empresarial que resulta sujeto obligado en primer término, sino también, y especialmente, para el sector tecnológica, que se encuentra ante el reto y la oportunidad de aportar, mediante sus productos y servicios, soluciones específicas a las necesidades derivadas del cumplimiento de las compañías.
Normas como el Reglamento General de Protección de Datos (RGPD o GPDR) y las relativas a la seguridad de las redes y los sistemas de información (NIS), así como normas específicas tales como la Directiva de Medios de Pago (PDS2) o la Directiva de Distribución de Seguros, están definiendo el 2018 como un año de retos normativos para las compañías. Hemos de tener en cuenta, además, que salvo el RGPD que resulta de aplicación directa a partir del próximo 25 de mayo, ( y a pesar de ello, se encuentra en estado de Proyecto de Ley la nueva LOPD que establecerá cuestiones específicas nacionales en materia de protección de datos personales), el resto de normas se encuentran pendientes de transposición nacional, lo que añade un elemento de incertidumbre a la hora de implantar acciones encaminadas al cumplimiento, y que suponen además el reto de estar preparado para el cambio, pues se intuye que la aprobación con retraso en cuanto a los plazos inicialmente previstos, de las normas de transposición nacional, conllevarán un plazo de entrada en vigor y aplicación breve.
Protección de Datos Personales (RGPD o GPDR)
Una de las principales novedades derivadas del RGPD, a diferencia de la normativa vigente (LOPD – LO15/1999, y RLOPD – RD1720/2007), radica en que deja de mano de las entidades la autoevaluación de sus riesgos en relación con los tratamientos de datos personales que realiza para la determinación de las concretas medidas de protección a implantar.
En materia de análisis de riesgos, la mayor complejidad con la que se encuentran las entidades es la determinación de los riesgos sobre los derechos y libertades de los ciudadanos, pues deben tenerse en cuenta amenazas e impactos específicos, que se encuentran estrechamente relacionados con la tecnología y los concretos procesos de negocio definidos.
Además, en la actualidad, son muchos los sistemas de información de tratamiento que se encuentran subcontratados a proveedores tecnológicos específicos, derivando la necesidad de la evaluación de los riesgos propios procedentes de los sistemas de información a los propios proveedores, quienes deberán realizar evaluaciones de impacto y análisis de riesgos específicos en cuanto a los tratamientos de datos que se ejecutan en sus sistemas y tecnologías, y la seguridad de los citados sistemas. Resultante precisamente de la subcontratación de servicios, hay otra novedad del RGPD con impacto especifico a los proveedores tecnológicos, la obligación de realizar la comunicación de brechas de seguridad en un plazo máximo de 72 horas desde su materialización a los responsables de los tratamientos de datos, Autoridades de Control, e incluso, los titulares de los datos.
El RGPD en materia de seguridad, se remite a los principios básicos de la seguridad de la información, haciendo expresa referencia a aspectos claves como pseudoanonimización y cifrado, y remitiendo a principios generales como garantías sobre la confidencialidad, integridad, disponibilidad, continuidad de negocio, y reevaluación y mejora continua.
Para la gestión de riesgos, son muchas las metodologías que se encuentran ya implantadas en las compañías como ISO 31000, Magerit, Cobit, etc…, y que sirven perfectamente de base para los análisis exigidos por el RGPD. En el mismo sentido, y en materia de seguridad de la información, y sobre la necesidad de garantizar la Confidencialidad, Integridad y Disponibilidad de los datos, el estándar más común y conocido es la ISO 27001, y en materia de continuidad de negocio, y con el objeto de garantizar no sólo la disponibilidad, sino el rápido acceso a la información en caso de incidente, la ISO 22301 es la que tiene mayor implantación. No obstante, es previsible la publicación de estándares o buenas prácticas especificas en materia de protección de datos, y que adapten los requisitos y controles ya establecidos en estándares previos.
La utilización de una misma metodología en gestión de riesgos y en el establecimiento de marcos normativos, junto con el establecimiento de pruebas y revisiones periódicas, hace que la integración de los sistemas de gestión y marcos normativos de seguridad y continuidad surja casi como algo natural, debiendo ser una tendencia a adoptar tanto por proveedores tecnológicos como a entidades que resulten sujetos obligados.
Además de los aspectos señalados, resultan también elementos esenciales a tener en cuenta por los proveedores tecnológicos, otros aspectos como las evaluaciones de impacto en el tratamiento de datos personales, o el desarrollo de soluciones específicas que permitan una adecuada identificación y autenticación de usuarios, una adecuada gestión de consentimientos inequívocos e independientes, la gestión de los derechos reconocidos a los usuarios (acceso, rectificación, oposición, cancelación, limitación del tratamiento y/o portabilidad), etc. y que fomenten en todo caso el cumplimiento y acreditación del cumplimiento de la normativa sobre protección de datos personales.
Y en el ámbito sectorial también hay novedades
En el ámbito sectorial, y especialmente en el sector financiero y asegurador, este año 2018 destacan por su importancia, normas como PSD2 (Directiva de Servicios de Pago en el Mercado Interior) o la Directiva de Distribución de Seguros, cuya trasposición nacional va con retraso y se encuentra pendiente de aprobación, pero que sin duda están suponiendo una auténtica revolución y reto, no sólo normativo, sino también tecnológico, para las entidades del sector.
Resulta de especial relevancia e impacto la normativa PSD2, que impone la necesidad de que las entidades financieras faciliten acceso a sus sistemas de información de forma directa y en tiempo real a aquellos terceros, que con consentimiento del titular, actúan como intermediarios ante determinadas operaciones y tramites. Esto supone una necesidad real de actualización de sistemas de información y adecuación de los sistemas de acceso, identificación y autenticación que, sin disminuir las garantías de seguridad, confidencialidad, integridad y disponibilidad que cualquier sistema financiero debe cumplir, permitan cumplir con esta obligación de facilitar el acceso a terceros.
Haga clic aquí para acceder a la versión digital del artículo.