Fomento de la seguridad de la información a través de la normativa sobre protección de datos – nuevo reglamento europeo
| Resumen: |
| La seguridad de la información es una asignatura pendiente por parte de las empresas españolas. |
Desde que se aprobara la LORTAD¹, hasta la posterior aprobación de la LOPD² y su reglamento de desarrollo³ se ha hecho un esfuerzo por parte de los profesionales para aprovechar los requerimientos de seguridad de dichas normativas, ampliando su ámbito de aplicación a toda la información corporativa fomentando, de este modo, la seguridad de la información.
Sin embargo, el cumplimiento de la normativa sobre protección de datos sigue lejos de estar en un nivel aceptable, y la seguridad de la información sigue siendo la espinita de responsables y encargados de tratamiento que no terminan de ver la utilidad o beneficio de invertir en ello. Aún persiste la idea de que declarando el fichero, colocando una cláusula para la recogida de información y una contraseña en el ordenador, ya se ha cumplido con la LOPD y se está protegiendo la información corporativa.
No puede negarse, por otro lado, que el avance de Internet y las nuevas tecnologías han sido factores clave en este proceso evolutivo (a través de la mayor concienciación del usuario en cuanto a su derecho a la privacidad, la rapidez con la que se conocen vulnerabilidades de seguridad en determinadas entidades o sites con repercusión mediática, etc.). Sin embargo, aún queda camino que recorrer.
Una nueva etapa se adivina gracias a las promesas que nos hace el borrador del futuro Reglamento europeo de Protección de Datos. Y es que, a pesar de que son muchos los expertos que ya han detectado inconsistencias en su articulado, no puede negarse que introduce novedades que impulsan el derecho a la protección de datos de carácter personal al siguiente escalón.
De entre todas las modificaciones y novedades hay algunas que llaman la atención por el cambio de paradigma que supondrán. Así, el artículo 23 del borrador establece la necesidad de analizar y valorar las consecuencias o repercusiones que cualquier tratamiento de datos tendrá sobre la privacidad, para establecer así las medidas de seguridad y garantías que sean necesarias para preservarla. Es el principio conocido como privacy by design o privacidad desde el diseño y que se completa con el de privacidad por defecto –privacy by default- que impedirá que se recojan más datos de los necesarios y que éstos estén disponibles a un número indeterminado de personas. Estos principios, trasladados al ámbito de cualquier empresa, suponen un ejercicio de responsabilidad por parte del responsable de tratamiento que se verá en la obligación de tener en cuenta la seguridad de la información incluso antes de proceder al tratamiento, en el momento en que determine los medios para ello. Pero el futuro reglamento va más allá, pues en determinados casos, por el riesgo que entraña el tratamiento, será necesario, además, llevar a cabo una evaluación de impacto oprivacy impact assessment que puede describirse como el business plan de la seguridad de la información.
Por otro lado, las empresas de más de 250 empleados, los organismos públicos y aquellas entidades que realicen tratamientos que requieran un seguimiento de los interesados se verán en la necesidad de contar con un delegado de protección de datos o data protection officer –art. 35-, que será el encargado de controlar la seguridad de la información. Cierto es que ya hay empresas, especialmente de gran tamaño, que cuentan con una figura que puede parecer similar. Sin embargo, el carácter de ésta cambia sustancialmente. El grado de responsabilidad del delegado aumenta, dejando de ser un empleado más para ser independiente en el desempeño de las funciones que le asigna el reglamento y que no son pocas.
Esta responsabilidad e independencia requiere, como es lógico, un alto grado de especialización en la materia lo que supone un hito más en el proceso evolutivo que antes se describía. Se acabaron la llamada “LOPD a coste cero” y los autodenominados “expertos” en la materia. Las empresas europeas, grandes y pequeñas, requerirán los servicios de profesionales con un formación completa, sólida y acreditada –cuestión que llevan reclamando las asociaciones de privacidad españolas ya desde hace tiempo-, si bien es cierto, que dicho puesto puede ser desempeñado por alguien que ya pertenezca a la organización o puede recurrirse al outsourcing y ser ajeno a ella.
Ahora bien, no sólo las empresas o los responsables de tratamiento van a experimentar este cambio. Los proveedores de servicios de seguridad de la información y protección de datos deben ponerse manos a la obra para estar a la altura de la profesionalización y pericia que va a ser exigida, pues aunque ya hay buenos profesionales, que ofrecen servicios completos y de calidad, no todos están a la altura. Deben prepararse para ampliar su oferta de servicios de forma que puedan ofrecer a sus clientes profesionales altamente cualificados que puedan, incluso, ser designados como delegados de protección de datos externos.
Mucho se ha luchado a lo largo de estos años para concienciar a las empresas de que deben involucrarse más en la seguridad de la información y, aunque ya hay muchas que lo hacen, no se observa una calidad notable en dicho aspecto. Lo más curioso es que esta política o línea de gestión resulta contraproducente para sus negocios porque la seguridad de la información es, sin duda, un aspecto crítico en las operaciones de cualquier empresa y superarlo se traduce para la empresa en diferenciación. Aporta calidad, fiabilidad y transparencia. Valores por los que cualquier corporación debería apostar.
Parece que, la protección de datos y la seguridad de la información dejarán, al fin, de ser ese tema pendiente, ese gasto que siempre se pospone, para ser una inversión imprescindible en cualquier negocio. Algo que se integre en la empresa como un elemento más de forma que pueda ofertarse como producto, añadiendo así, no sólo el respeto de la corporación por la normativa sino también un elemento diferenciador a nivel competitivo.
Y para que nadie se olvide de ello, o siga pensando que es algo secundario, el futuro reglamento prevé sanciones de hasta un millón de euros para todos aquellos responsables que incumplan con los requerimientos que se han expuesto.
No hay comentarios:
Publicar un comentario