Conócenos

DÍA EUROPEO DE PROTECCIÓN DE DATOS

No se duerman: menos de 400 días para el nuevo Reglamento

Por Jesús Yáñez

  • Imprimir

Jesús Yáñez - Ecija

Este sábado celebramos el día Europeo de Protección de Datos y quizás sea el más “europeo” hasta ahora celebrado. Hemos asistido en 2016 a la entrada en vigor del Reglamento General de Protección de datos que será plenamente aplicable el próximo mayo de 2018 en todos los estados miembros. 

Sin duda es motivo de celebración porque las regulaciones dispares que teníamos hasta ahora en los distintos estados y nacidas de la directiva 95/46/CE se armonizan para tener una regulación similar en todos ellos…y digo similar, porque habrá especificaciones en cada estado miembro, pero nunca podrán contradecir al nuevo Reglamento.

Esta nueva regulación supone un cambio en el enfoque que teníamos hasta ahora sobre la protección de datos, pasando de ser algo “reactivo” en muchas ocasiones, a algo necesariamente “proactivo”. 

Las medidas de seguridad durante todos estos años de regulación han sido un caballo de batalla entre abogados, auditores y personal de sistemas. ¿Quién no ha sufrido la petición de registro de los accesos a datos especialmente protegidos y esos logs interminables? Es más… ¿Qué utilidad tienen si posteriormente apenas somos capaces de sacar información legible del visor de eventos sin invertir un esfuerzo considerable en filtros? ¿Cuántos de ustedes como Responsables de Seguridad han realizado una revisión de los registros de acceso mensual a esta información? 

El nuevo Reglamento trae como novedad el fin de las obligaciones tasadas en materia de medidas de seguridad, cambio que se antojaba necesario.

¿Cómo iban a ser necesarias las mismas medidas de seguridad en una micropyme que en una gran multinacional? Si bien los datos de carácter personal a proteger son los mismos, y ninguno estamos libres de sufrir un ataque,  está claro que la inversión en seguridad no puede ser igual y que probablemente la gran multinacional sea más apetitosa en términos de “hacktivismo” que el ordenador de un asesor autónomo. Ya saben, la ciberseguridad está en alza en estos días. 

El nuevo Reglamento nos pide madurez empresarial, y esa madurez pasa por ser conscientes de que nuestro mayor activo (además de las personas) es la información, siendo por tanto fundamental saber qué tratamos, cómo lo tratamos y conocer el riesgo que ello conlleva. Solo así seremos capaces de implementar las medidas necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información. 

¿Es esto un “todo vale”? En ningún caso, todo lo contrario, pese a que no tenemos obligaciones tasadas en cuanto a medidas de seguridad, deberemos implementarlas según el riesgo detectado derivado de la cantidad de datos o tipología de los mismos y acreditar el cumplimiento.

Esta tarea no es sencilla, y no porque suponga nuevas inversiones o adquisición de productos (probablemente con una buena configuración de los que ya tenemos sea más que suficiente), sino porque debemos identificar en los tratamientos que realizamos qué queremos conseguir en materia de seguridad, qué protegemos, y qué riesgo asumimos. 

La realidad actual nos muestra que los perfiles profesionales están cambiando tan rápido o más que el mundo que nos rodea. ¿Es fácil encontrar un abogado que sepa qué es y cómo funciona realmente un gestor de identidades o una auditoría de objetos a través de políticas de grupo en servicios de directorio? ¡Claro que los hay! 

¿Qué necesitamos? Me lo dice el jurista. ¿Cómo lo hacemos? Lo implementa la persona de sistemas. Mi mejor consejo para este Día Europeo de Protección de Datos: haga que se entiendan… y cambie el punto de vista. Y es que lo que nos está pidiendo el nuevo Reglamento no es más que seguridad gestionada, que implementemos un sistema de seguridad de la información que nos permita asegurar los datos de carácter personal que tratamos.

Me imagino que el incrédulo lector dirá para sí mismo… “ya, más humo, más gasto”. Nada más lejos de la realidad: estas medidas de seguridad no van a estar destinadas para proteger exclusivamente datos personales, la realidad es que estas medidas de seguridad en la práctica van a ser implementadas en la información global de la organización, la información de negocio, porque como comentaba anteriormente, la información es uno de nuestros mayores activos (y esto no es un clásico, es una realidad). 

¿A qué CEO no le gustaría saber quién hizo qué y en qué momento? ¿O que la información de negocio está gestionada, y que ante cualquier problema podemos asegurarnos un tiempo de recuperación adecuado? ¿Qué gestión de negocio no conlleva datos personales? 

Escoja bien sus medidas de seguridad, que cumplan su función, pero no mate moscas a cañonazos, y sobre todo gestiónelas bien, ¿cómo? ¡No reinventemos la rueda! Existen estándares internacionales que son realmente útiles.

Solo tengo una mala noticia, especialmente para las personas de sistemas: no podremos olvidarnos del “where name like 'audit_trail'”. El nuevo principio de “Accountability” o de diligencia debida que emana del nuevo Reglamento nos obliga a demostrar cumplimiento  y en sistemas, demostrar, significa trazabilidad. 

Ante esta nueva normativa nos esperan grandes retos y oportunidades pero sin duda es un cambio necesario que va a fomentar madurez no solo en las empresas, sino también en los ciudadanos, usted y yo, de forma que sepamos lo que arriesgamos cuando compartimos nuestros datos, y que por fin tengamos el control sobre los mismos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

COMENTARIOS JURISPRUDENCIALES

ebook gratuito

CASE STUDY & MASTER CLASS

ENTREVISTAS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: Lexnet

    El consentimiento para la comunicación de los datos de carácter personal a un tercero será nulo cuando la información que se facilite al interesado no le permita conocer la finalidad a que se destinarán los datos cuya comunicación se autoriza, o el tipo de actividad de aquel a quien se pretenden comunicar.

GESTIÓN DE DESPACHOS

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

España, elegida para albergar un centro de desarrollo del Hyperloop

La instalación se ubicará en Boadilla (Málaga), tendrá un valor de 430 millones y generará 250 empleos de alta cualificación.

Republicar una foto de libre acceso en Internet requiere de un nuevo permiso del autor, según el TJUE

La CNMC aprueba la metodología de análisis de replicabilidad de las ofertas empresariales de banda ancha de Telefónica

Los operadores alternativos deben poder replicar los productos que Telefónica oferta a grandes clientes para que no se falsee la competencia.La CNMC es el primer regulador europeo que publica una metodología de estas características.Telefónica podría ser sancionada si realiza ofertas a clientes empresariales que no son replicables de acuerdo a la metodología

Five forces shaping the tech industry CEO agenda. Technology Industry CEO Outlook (KMPG)

El informe recoge la visión de 104 CEOs tecnológicos de todo el mundo sobre una serie de aspectos clave, como temas territoriales, crecimiento, tecnología para el bien social, cibernética y confianza, inteligencia artificial (IA), foco en el cliente y millennials.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17