Sala de Prensa

27 enero, 2017

«No se duerman: menos de 400 días para el nuevo Reglamento», columna de Jesús Yáñez, socio de ECIJA, para Lefebvre – El Derecho a propósito del Día Europeo de Protección de Datos.

Este sábado celebramos el día Europeo de Protección de Datos y quizás sea el más “europeo” hasta ahora celebrado. Hemos asistido en 2016 a la entrada en vigor del Reglamento General de Protección de datos que será plenamente aplicable el próximo mayo de 2018 en todos los estados miembros.

Sin duda es motivo de celebración porque las regulaciones dispares que teníamos hasta ahora en los distintos estados y nacidas de la directiva 95/46/CE se armonizan para tener una regulación similar en todos ellos…y digo similar, porque habrá especificaciones en cada estado miembro, pero nunca podrán contradecir al nuevo Reglamento.

Esta nueva regulación supone un cambio en el enfoque que teníamos hasta ahora sobre la protección de datos, pasando de ser algo “reactivo” en muchas ocasiones, a algo necesariamente “proactivo”.

Las medidas de seguridad durante todos estos años de regulación han sido un caballo de batalla entre abogados, auditores y personal de sistemas. ¿Quién no ha sufrido la petición de registro de los accesos a datos especialmente protegidos y esos logs interminables? Es más… ¿Qué utilidad tienen si posteriormente apenas somos capaces de sacar información legible del visor de eventos sin invertir un esfuerzo considerable en filtros? ¿Cuántos de ustedes como Responsables de Seguridad han realizado una revisión de los registros de acceso mensual a esta información?

El nuevo Reglamento trae como novedad el fin de las obligaciones tasadas en materia de medidas de seguridad, cambio que se antojaba necesario.

¿Cómo iban a ser necesarias las mismas medidas de seguridad en una micropyme que en una gran multinacional? Si bien los datos de carácter personal a proteger son los mismos, y ninguno estamos libres de sufrir un ataque,  está claro que la inversión en seguridad no puede ser igual y que probablemente la gran multinacional sea más apetitosa en términos de “hacktivismo” que el ordenador de un asesor autónomo. Ya saben, la ciberseguridad está en alza en estos días.

El nuevo Reglamento nos pide madurez empresarial, y esa madurez pasa por ser conscientes de que nuestro mayor activo (además de las personas) es la información, siendo por tanto fundamental saber qué tratamos, cómo lo tratamos y conocer el riesgo que ello conlleva. Solo así seremos capaces de implementar las medidas necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información.

¿Es esto un “todo vale”? En ningún caso, todo lo contrario, pese a que no tenemos obligaciones tasadas en cuanto a medidas de seguridad, deberemos implementarlas según el riesgo detectado derivado de la cantidad de datos o tipología de los mismos y acreditar el cumplimiento.

Esta tarea no es sencilla, y no porque suponga nuevas inversiones o adquisición de productos (probablemente con una buena configuración de los que ya tenemos sea más que suficiente), sino porque debemos identificar en los tratamientos que realizamos qué queremos conseguir en materia de seguridad, qué protegemos, y qué riesgo asumimos.

La realidad actual nos muestra que los perfiles profesionales están cambiando tan rápido o más que el mundo que nos rodea. ¿Es fácil encontrar un abogado que sepa qué es y cómo funciona realmente un gestor de identidades o una auditoría de objetos a través de políticas de grupo en servicios de directorio? ¡Claro que los hay!

¿Qué necesitamos? Me lo dice el jurista. ¿Cómo lo hacemos? Lo implementa la persona de sistemas. Mi mejor consejo para este Día Europeo de Protección de Datos: haga que se entiendan… y cambie el punto de vista. Y es que lo que nos está pidiendo el nuevo Reglamento no es más que seguridad gestionada, que implementemos un sistema de seguridad de la información que nos permita asegurar los datos de carácter personal que tratamos.

Me imagino que el incrédulo lector dirá para sí mismo… “ya, más humo, más gasto”. Nada más lejos de la realidad: estas medidas de seguridad no van a estar destinadas para proteger exclusivamente datos personales, la realidad es que estas medidas de seguridad en la práctica van a ser implementadas en la información global de la organización, la información de negocio, porque como comentaba anteriormente, la información es uno de nuestros mayores activos (y esto no es un clásico, es una realidad).

¿A qué CEO no le gustaría saber quién hizo qué y en qué momento? ¿O que la información de negocio está gestionada, y que ante cualquier problema podemos asegurarnos un tiempo de recuperación adecuado? ¿Qué gestión de negocio no conlleva datos personales?

Escoja bien sus medidas de seguridad, que cumplan su función, pero no mate moscas a cañonazos, y sobre todo gestiónelas bien, ¿cómo? ¡No reinventemos la rueda! Existen estándares internacionales que son realmente útiles.

Solo tengo una mala noticia, especialmente para las personas de sistemas: no podremos olvidarnos del “where name like ‘audit_trail’”. El nuevo principio de “Accountability” o de diligencia debida que emana del nuevo Reglamento nos obliga a demostrar cumplimiento  y en sistemas, demostrar, significa trazabilidad.

(…)

Haga clic aquí para acceder a la versión completa del artículo.

SOCIOS RELACIONADOS

Jesús Yáñez