Conócenos

DÍA EUROPEO DE PROTECCIÓN DE DATOS

No se duerman: menos de 400 días para el nuevo Reglamento

Por Jesús Yáñez

  • Imprimir

Jesús Yáñez - Ecija

Este sábado celebramos el día Europeo de Protección de Datos y quizás sea el más “europeo” hasta ahora celebrado. Hemos asistido en 2016 a la entrada en vigor del Reglamento General de Protección de datos que será plenamente aplicable el próximo mayo de 2018 en todos los estados miembros. 

Sin duda es motivo de celebración porque las regulaciones dispares que teníamos hasta ahora en los distintos estados y nacidas de la directiva 95/46/CE se armonizan para tener una regulación similar en todos ellos…y digo similar, porque habrá especificaciones en cada estado miembro, pero nunca podrán contradecir al nuevo Reglamento.

Esta nueva regulación supone un cambio en el enfoque que teníamos hasta ahora sobre la protección de datos, pasando de ser algo “reactivo” en muchas ocasiones, a algo necesariamente “proactivo”. 

Las medidas de seguridad durante todos estos años de regulación han sido un caballo de batalla entre abogados, auditores y personal de sistemas. ¿Quién no ha sufrido la petición de registro de los accesos a datos especialmente protegidos y esos logs interminables? Es más… ¿Qué utilidad tienen si posteriormente apenas somos capaces de sacar información legible del visor de eventos sin invertir un esfuerzo considerable en filtros? ¿Cuántos de ustedes como Responsables de Seguridad han realizado una revisión de los registros de acceso mensual a esta información? 

El nuevo Reglamento trae como novedad el fin de las obligaciones tasadas en materia de medidas de seguridad, cambio que se antojaba necesario.

¿Cómo iban a ser necesarias las mismas medidas de seguridad en una micropyme que en una gran multinacional? Si bien los datos de carácter personal a proteger son los mismos, y ninguno estamos libres de sufrir un ataque,  está claro que la inversión en seguridad no puede ser igual y que probablemente la gran multinacional sea más apetitosa en términos de “hacktivismo” que el ordenador de un asesor autónomo. Ya saben, la ciberseguridad está en alza en estos días. 

El nuevo Reglamento nos pide madurez empresarial, y esa madurez pasa por ser conscientes de que nuestro mayor activo (además de las personas) es la información, siendo por tanto fundamental saber qué tratamos, cómo lo tratamos y conocer el riesgo que ello conlleva. Solo así seremos capaces de implementar las medidas necesarias para garantizar la confidencialidad, integridad y disponibilidad de la información. 

¿Es esto un “todo vale”? En ningún caso, todo lo contrario, pese a que no tenemos obligaciones tasadas en cuanto a medidas de seguridad, deberemos implementarlas según el riesgo detectado derivado de la cantidad de datos o tipología de los mismos y acreditar el cumplimiento.

Esta tarea no es sencilla, y no porque suponga nuevas inversiones o adquisición de productos (probablemente con una buena configuración de los que ya tenemos sea más que suficiente), sino porque debemos identificar en los tratamientos que realizamos qué queremos conseguir en materia de seguridad, qué protegemos, y qué riesgo asumimos. 

La realidad actual nos muestra que los perfiles profesionales están cambiando tan rápido o más que el mundo que nos rodea. ¿Es fácil encontrar un abogado que sepa qué es y cómo funciona realmente un gestor de identidades o una auditoría de objetos a través de políticas de grupo en servicios de directorio? ¡Claro que los hay! 

¿Qué necesitamos? Me lo dice el jurista. ¿Cómo lo hacemos? Lo implementa la persona de sistemas. Mi mejor consejo para este Día Europeo de Protección de Datos: haga que se entiendan… y cambie el punto de vista. Y es que lo que nos está pidiendo el nuevo Reglamento no es más que seguridad gestionada, que implementemos un sistema de seguridad de la información que nos permita asegurar los datos de carácter personal que tratamos.

Me imagino que el incrédulo lector dirá para sí mismo… “ya, más humo, más gasto”. Nada más lejos de la realidad: estas medidas de seguridad no van a estar destinadas para proteger exclusivamente datos personales, la realidad es que estas medidas de seguridad en la práctica van a ser implementadas en la información global de la organización, la información de negocio, porque como comentaba anteriormente, la información es uno de nuestros mayores activos (y esto no es un clásico, es una realidad). 

¿A qué CEO no le gustaría saber quién hizo qué y en qué momento? ¿O que la información de negocio está gestionada, y que ante cualquier problema podemos asegurarnos un tiempo de recuperación adecuado? ¿Qué gestión de negocio no conlleva datos personales? 

Escoja bien sus medidas de seguridad, que cumplan su función, pero no mate moscas a cañonazos, y sobre todo gestiónelas bien, ¿cómo? ¡No reinventemos la rueda! Existen estándares internacionales que son realmente útiles.

Solo tengo una mala noticia, especialmente para las personas de sistemas: no podremos olvidarnos del “where name like 'audit_trail'”. El nuevo principio de “Accountability” o de diligencia debida que emana del nuevo Reglamento nos obliga a demostrar cumplimiento  y en sistemas, demostrar, significa trazabilidad. 

Ante esta nueva normativa nos esperan grandes retos y oportunidades pero sin duda es un cambio necesario que va a fomentar madurez no solo en las empresas, sino también en los ciudadanos, usted y yo, de forma que sepamos lo que arriesgamos cuando compartimos nuestros datos, y que por fin tengamos el control sobre los mismos.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Buenas prácticas en el despacho

    El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida.

  • Funciones y obligaciones del personal del despacho (y II)

    El personal que tenga acceso a información propiedad del despacho jurídico estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. 

  • Funciones y obligaciones del personal del despacho(I)

    Hay que tratar de inculcar al personal el carácter obligatorio de seguir estas disposiciones, así como de las consecuencias laborales y de cualquier otra índole que pueda tener su no observancia. Notifique estas medidas a su personal y fórmelos adecuadamente.  

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

Metricson refuerza el área de compliance, protección de datos y propiedad intelectual

Incorpora a  Alejandro Martínez Méndez como director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona. 

Facebook recurrirá la sanción de Protección de Datos y recuerdan que lo usuarios eligen la "información de su perfil"

La AEPD acusa a la red social de Mark Zuckerberg de recopilar, almacenar y utilizar datos, incluso especialmente protegidos, con fines de publicidad sin recabar el consentimiento del usuario.

AIshow, el evento de Inteligencia Artificial, llega a Madrid

Reunirá a investigadores y profesionales de diversos campos con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA)

feedburner

Reciba LAW & TIC de forma gratuita.

Contenidos relacionados

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17