“Cualquier empleado puede comprometer a la compañía cuando usa aplicaciones, servicios o redes sociales a los que facilita datos personales.”

El 25 de mayo de 2018 fue la fecha límite para aplicar definitivamente el Reglamento General de Protección de Datos (RGPD), aprobado por el Parlamento Europeo.  Un año después, ¿cuál es el nivel de adaptación a esta normativa por parte de las empresas españolas?

Es muy difícil de valorar, pero, según datos de la Agencia Española de Protección de Datos (AEPD), en diciembre de 2018 ya habían registrados unos 20.000 Delegados de Protección de Datos. Esto es un indicador de que hay un intento por parte de las empresas por cumplir con el Reglamento.

¿Afecta de distinta manera al cumplimiento de la RGPD a las grandes empresas y pymes?

Sí, el Reglamento impacta más a las grandes empresas, ya que son las que disponen de más recursos. Aplicarlo en las pymes es mucho más complejo.

¿A qué se refiere el RGPD cuando dice que obliga a las empresas a proteger los datos recolectados “desde el diseño y por defecto”?

Antes del Reglamento, era habitual que los productos, procesos o herramientas se diseñasen desde los departamentos de Marketing, las áreas de negocio o de tecnología sin incorporar a la conversación a alguien con conocimientos sobre la normativa. Para evitar eso, el Reglamento impone ‘el reflejo de privacidad’ desde el diseño. Siempre debe realizarse un análisis de las medidas que minimicen el impacto de la privacidad de los clientes durante la fase de diseño.

¿De qué mecanismos disponen las empresas para garantizar esta protección de los datos?

El Reglamento recoge algunas medidas como la minimización en la recogida, la anonimización, el cifrado o la pseudonimización, pero no incluye un listado de medidas técnicas y organizativas como hacía el Reglamento nacional que desarrollaba la antigua LOPD,  que sí establecía un catálogo de medidas en función de tres niveles de riesgo basado en el tipo de datos personales tratados: nivel bajo, medio y alto.

¿Qué pasos debe seguir una empresa cuando sufre una filtración o robo de datos?

Notificar a la autoridad de control, la AEPD en España, que se ha producido una fuga de datos, determinar la gravedad (no es lo mismo perder un USB que se filtre una tabla Excel con datos privados) e indicar qué medidas se han aplicado desde el momento de la fuga para mitigar la pérdida de los datos. La AEPD ofrecerá toda la ayuda posible para resolver el incidente, aunque tiene las competencias para tomar medidas sancionadoras.

¿Cuáles serían tus recomendaciones sobre ciberseguridad para las empresas?

Dependerá de a lo que se dedica la empresa y de su tamaño. Principalmente, que se apliquen unas buenas prácticas de seguridad tanto técnicas como organizativas para la protección de la información, que incluye tanto los datos personales de los clientes como los de negocio. Como medida profiláctica, es recomendable implantar y, en su caso, certificar el cumplimiento de la norma ISO 27001 y su familia. También es necesaria la concienciación de la propia dirección de la compañía en el uso responsable de la tecnología, dando ejemplo en la gestión de la seguridad desde arriba.

Teniendo en cuenta que las personas son uno de los vectores de ataque más recurrentes, resulta muy eficaz concienciar a los trabajadores en políticas de ‘bring your own behavior’ (trae tu propio comportamiento), que consiste en formar y concienciar a los empleados en la su propia seguridad personal, en cómo configurar y hacer un uso seguro y orientado a la privacidad de sus dispositivos personales (móviles, TV, etc..). Así no verán la seguridad como una limitación a su labor o un control por parte de la empresa, sino que lo integren como hábitos ‘saludables’ que ayudan a garantizar su propia seguridad y la de la empresa en el día a día. Hablamos de acciones como la de no abrir un email sospechoso, conectar un USB en el dispositivo de cualquier persona o no activar la geolocalización. Si lo entiende y lo interioriza, eso será una garantía de seguridad para la empresa. En este sentido, recomiendo leer ‘Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity’ de ENISA (European Union Agency for Network and Information Security), una guía pensada para ayudar a cambiar comportamientos.

Este año se ha publicado tu libro ‘Datanomics’. ¿Qué va a encontrar el lector en sus páginas?

El lector no debe entenderlo como un sermón, es un ensayo donde se cuentan historias reales sobre qué está pasando con los datos, desde los que transmite un móvil en reposo sin nuestra intervención, hasta los que se usan para tomar decisiones sobre nosotros basadas en nuestro comportamiento no pasado, sino futuro. La tecnología ya permite establecer parámetros que lean nuestro futuro. Regalamos el ADN en servicios de ADN recreativo, facilitamos nuestra posición a la policía en manifestaciones no autorizadas, nos hacen adictos a los servicios para manipularnos. El libro trata de llevar a la reflexión sobre el estado de la hipervigilancia actual y ayudar a la desintoxicación digital

¿Qué enseñanzas pueden extraer las empresas de tu libro?

Más allá de la tecnología, el factor humano es un aspecto clave en la seguridad informática de una empresa. Un CEO o cualquier empleado puede comprometer a la compañía cuando usa aplicaciones, servicios o redes sociales a los que facilita datos personales que afectan a su capacidad de liderazgo o que permiten a estas empresas saber su estado de ánimo en cada momento. Además, quienes recaban datos podrían ser capaces de copiar el modelo de negocio, mejorarlo y quedarse con los clientes.

Sobre el autor

Paloma LLaneza

Abogada aunque buena persona. Auditora de sistemas y experta en ciberseguridad. Creadora de Consent Commons. Escritora, ensayista e ikebanaka. Mi universo personal en The LLaneza Firm.

Añade un comentario

Paloma LLaneza

Abogada aunque buena persona. Auditora de sistemas y experta en ciberseguridad. Creadora de Consent Commons. Escritora, ensayista e ikebanaka. Mi universo personal en The LLaneza Firm.

Sigamos en contacto

Blog