El Reglamento General de Protección de Datos (GDPR), de obligado cumplimiento a partir de mayo de 2018, va a suponer un cambio significativo respecto a la anterior normativa sobre la protección de datos personales. Este nuevo reglamento, sustituye la directiva de 1995, desarrollada en nuestra LOPD.

 

 

Aprobado el pasado 26 de abril de 2016 por el parlamento europeo, Este nuevo reglamento supone la derogación de la directiva vigente hasta ahora, la Directiva 95/46/CE (Reglamento general de protección de datos).

El régimen sancionador de este reglamento contempla multas de hasta el 4% de la facturación global de las empresas en caso de infracción, con un límite máximo de 20 millones de € un dato que puede ser determinante a la hora de que las empresas velen por el adecuado cumplimiento.

Entre otros aspectos, supone una mayor claridad y concreción de responsabilidades de quien tiene y hace uso de estos datos. El impacto en el aspecto de la ciberseguridad es uno de los elementos que más destacan en el GDPR. Así se abren nuevas posibilidades para un avance en la ciberseguridad de toda la infraestructura tecnológica.

Como figura nueva, se establece un nuevo principio de responsabilidad creando controladores de la información. Éstos van a ser los responsables de todos los datos tratados y por tanto el principal identificado en todo el proceso de datos.

Asimismo, el reglamento incorpora nuevas características a las de los reglamentos anteriores como la obligada transparencia del proceso de toma de datos, la limitación clara del propósito de estos, el almacenamiento de los datos, que ahora juega un papel preponderante dado que siempre debe estar accesibles y ser capaces de identificarse individualmente.

Ahora la privacidad juega un papel primordial en todo el diseño de cualquier aplicación, campaña o proceso. La llamada Evaluación del impacto de la privacidad (PIA), está pensada para poder identificar y reducir cualquier riesgo de incumplimiento en este tratamiento de datos.

 

Nuevas medidas y requisitos

Ahora, son obligatorias la asunción de medidas que garanticen el cumplimento del GDPR. entre estas destacamos la obligatoriedad de realizar Evaluaciones obligatorias del impacto de la privacidad (EIPD), hacer Auditorías revisables y Revisiones de las políticas. También se deben mantener una serie de registros de actividad permanente de cualquier acceso o modificación y en caso de ser necesario, nombrar a un responsable de protección de la información (DPO).

Asimismo, se recoge el derecho al “olvido”, mediante un mecanismo clara para la rectificación o supresión de datos personales, la necesidad de “consentimiento claro y afirmativo” de la persona cuyos   datos personales son tratados.

Otro aspecto relevante es la llamada “portabilidad”, o el derecho a trasladar los datos a otro proveedor de servicios.

Entre los aspectos que conciernen más directamente a la ciberseguridad, se regula al fin la información en caso de vulneración, exfiltración o acceso indeseado a nuestros datos. De este modo, se contempla   el derecho a ser informado si los datos personales han sido accedidos de forma ilegal.

Todo ello se apunta con la indicación expresa de que se emplee un lenguaje claro y comprensible sobre las cláusulas de privacidad a la hora de realizar el consentimiento.

 

Obligando al cifrado de datos

Uno de los aspectos más destacados en lo que se refiere a la ciberseguridad es el de la obligatoriedad de cifrar los datos. Con ello se trata de adecuar el riesgo de exposición de los datos a su naturaleza y obliga a una medida superior en la protección de estos.

El reglamento fija tres niveles de cifrado de los datos

Cifrados obligatorios

Como recomendación, se establece que las empresas se puedan adherir a un código de conducta sobre la protección de datos. La parte destacable es que esta será indispensable para identificarse como certificada en protección de datos, lo que finalmente parece que va a resultar un requisito indispensable en ciertos sectores, como por ejemplo para la contratación pública.

Será una de las partes a desarrollar por la normativa estatal, pero ya en reglamento se apunta a lo que hoy conocemos como nivel alto (política, religión, raza etc.) deberán ser obligatoriamente cifrados según la Evaluación obligatoria del impacto de la privacidad (EIPD).

 

Cifrado conveniente

Si se sufre una brecha de seguridad y la empresa tiene un sistema de cifrado, puede optar por informar o no a los usuarios. En caso de no tener sistemas de cifrado, estará obligada a la información de dicha eventualidad obligatoriamente y en un plazo breve (todavía por determinar). Con ello, se fomenta de forma evidente que la gestión de todos los datos, incluso al no ser obligatorios, sean preferentemente cifrados. En última instancia, el controlador de los datos se convierte de este modo en le responsable de la comunicación a los usuarios del acceso no deseado a sus datos.

Cifrado Voluntario

En el caso de empresas que no estén sujetas a la obligatoriedad de cifrar los datos que tratan, todavía pueden establecer medidas de incremento de seguridad mediante la adopción de estos.

Resulta a destacar que la eventualidad de una brecha de seguridad juega un papel central en la nueva protección de datos. Esto obliga a las empresas a tener sistemas de gestión de la seguridad SGSI, dado que debe ser capaces de detectar e informar de posibles intrusiones en sus infraestructuras.

Inspirado en los Sistemas de gestión de la información existentes hoy en día, el nuevo reglamento habla directamente de que se debe garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de sistemas y servicios para procesar datos personales.

Como vemos el nuevo Reglamento General de Protección de Datos (GDPR) da mayor importancia a los aspectos de la ciberseguridad sobre la gestión y documentación formal que hacía en el anterior reglamento, ello apunta a que las nuevas medidas que deben asumirse por las diversas organizaciones y empresas deben ir en sintonía con sistemas de gestión de la seguridad de la información.

 

Cómo afectara esta normativa a la legislación ya vigente

 

Actualmente, los que nos dedicamos a la ciberseguridad conocemos de primera mano las consecuencias de una mala gestión de los datos y la falta de medidas de protección y de control de incidencias de tipo informático. Lamentablemente, ha sido la multiplicación de incidentes el principal acicate a la implementación de estas medidas. Esto parece que comienza a cambiar y diversos sectores, que ya deberían tomarse como cuestión prioritaria la gestión de la seguridad de la información, comienzan a encontrarse con una realidad en la que esto juega un papel prioritario.

Obligados a cifrar por la Ley de Prevención de Blanqueo de Capitales

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, es una normativa muy específica que, entre otros aspectos, en lo que se refiere al tratamiento de datos obliga a ciertos sectores al cifrado obligatorio de datos. En su artículo 2, detalla de forma pormenorizada el tipo de sujetos obligados a este tipo de implementación de seguridad. Entre otros destacan, Bancos, abogados, notarios, servicios postales, promotores inmobiliarios, auditores de cuentas, casinos, fundaciones y asociaciones etc. Como vemos, además estos sectores ya estaban obligados por la LOPD vigente y la presente ley.

 

Esquema Nacional de Seguridad

el propio Esquema Nacional de Seguridad (ENS), norma que regula el SGSI de diversos sectores públicos y catalogados como especialmente relevantes o estratégicos también fija una serie de criterios respecto al cifrado que, en esencia apunta al método que se estima seguro y a la forma de proceder.  Inspirado en buena parte en la serie de normas ISO 27001 y siguientes, el ENS es hoy en día un referente en España a la hora de encarar procesos de seguridad de la información.

Como más destacado, vemos cómo todos los equipos que salgan de las dependencias con datos sensibles deben ser cifrados (móviles, portátiles), las copias de seguridad deben ser siempre cifradas con sistemas robustos, que impidan por ejemplo descifrados por fuerza bruta simples.

Sector sanitario

La Ley de Autonomía del Paciente (Ley 41/2002), apunta a la obligatoriedad de un tratamiento de nivel alto de los datos del paciente. Con ello, volvemos a señalar a otro sector donde el cifrado es ya obligatorio para respetar la confidencialidad de los datos.

Despachos de abogados, notarios y procuradores.

Este es otro de los sectores por los que pasa la obligatoriedad debido a la confluencia de varios cuerpos legales distintos. Aparte de los ya señalados, la propia obligación de mantener el secreto profesional ya los lleva a fijar medidas de cifrado de datos. Ahora, además de recomendaciones expresadas en textos sujetos a interpretación o de una vinculación no legal, viene expresada en una norma que sanciona en caso de incidencia.

Consecuencias del nuevo reglamento en el contexto actual de ciberseguridad

Como hemos visto, todos estos elementos apuntan a que la ciberseguridad y el tratamiento adecuado de los datos de carácter personal son elementos esenciales en el desempeño de cada vez más sectores profesionales. Incluso a los que no afecta directamente, tanto por las recomendaciones como por las circunstancias que puede derivarse de una incidencia en la propia seguridad de la información, terina por ser conveniente avanzar en medidas orientadas a garantizar mayores medidas de seguridad de la información.

Los profesionales de la seguridad informática jugarán en todo este proceso un papel cada vez más relevante, dado que ahora no se trata de cumplimentar una serie de documentaciones que hacen referencia a registros de datos, sino que se deben fijar medidas suficientes, desde el punto de vista informático, para garantizar unos márgenes de seguridad adecuados.

La necesidad del cifrado de datos era ya un imperativo de sentido común a la hora de tratar datos de la empresa, conexiones y registros personales, ahora ha pasado a ser una obligación legal, tanto desde el punto de vista de la nueva norma como frente a la realidad de nuestro tiempo, en la que la ciberseguridad ha pasado a jugar un papel primordial.


Fran Andrades

Enlaces

Artículo sobre la primera publicación del reglamento y su implicación en la ciberseguridad:

https://andradesfran.com/el-reglamento-de-proteccion-de-datos-de-la-ue-de-2016-como-oportunidad-para-la-extension-de-la-ciberseguridad/

El reglamento Publicado en el BOE:

https://www.boe.es/doue/2016/119/L00001-00088.pdf

Publicación del reglamento europeo:

http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679