Índice de contenido
La entrada en vigor del Reglamento General de Protección de Datos (UE) (RGPD) (ley 6637/2016), cuyo cumplimiento será exigible a partir del 25 de mayo de 2018, amplía las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, los autónomos y la Administración Pública entre otros.
Estas medidas incluyen la obligación de implementar cifrados y sistemas de 2FA incluso sobre datos considerados de nivel básico, cuando el riesgo lo exige.
El nuevo reglamento gira en torno a la idea central de que la privacidad es un derecho fundamental, por lo tanto, las empresas se verán obligadas a modificar la forma en la que gestionan y tratan sus datos. Un tema que a día de hoy empieza a ser una prioridad en muchas de ellas, puesto que al crecer de forma exponencial los datos que se manejan (de aquí a 2020 calculado para unos 40 zettabyttes), se hace cada vez más difícil saber qué datos tenemos, cómo se están procesando y donde permanecen seguros.
Especialmente llamativo nos ha resultado este reciente estudio de la consultora IDC para ESET:
El 78% de las empresas europeas que han participado, desconocen el impacto que tiene el nuevo reglamento o ni siquiera saben que existe…
Vemos que aún queda mucho trabajo por hacer.
¿A quién afecta el RGPD?
El Reglamento es de obligado cumplimiento para las empresas con sede en la UE y para aquellas que, aunque estén fuera del territorio de la UE, ofrezcan mercancías y servicios a los ciudadanos de la UE.
En lo que respecta a la seguridad de los datos personales, esto significa que deben implementarse medidas de seguridad apropiadas para proteger los datos.
Implicaciones legales del nuevo Reglamento en las empresas
El objetivo es salvaguardar la privacidad de los ciudadanos europeos, el nuevo marco tiene serias implicaciones legales para las organizaciones empresariales y las instituciones públicas que incumplan la norma.
- Figura del DPO (Delegado de Protección de Datos) que de apoyo al responsable de seguridad. Responsable de supervisar, documentar y registrar los datos.
- Será obligatorio notificar los incidentes de seguridad (fugas de datos personales) a las autoridades en un plazo de 72 horas, tan pronto como el responsable del tratamiento tenga constancia de que se han producido.Esto si que supone un auténtico desafío para las gran mayoría de empresas, ya que de media tardan 243 días en detectar que han sido víctimas de un ataque… Todas las empresas están obligadas a notificar las brechas de seguridad, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos no autorizados que se hayan producido para efectuar la notificación en plazo.
- También será obligatorio notificar las brechas de seguridad a los afectados, cuando sus datos se vean vulnerados.
- Se endurece el régimen sancionador, imponiendo multas de hasta 20 millones de euros o el 4% del volumen de negocios total anual.
Obligación de cifrar.
Con el Reglamento General de Protección de Datos (UE) se establece que el cifrado es obligatorio en estos casos***
- Imposición estatal. Los estados establecen determinadas categorías de datos y de tratamientos que exigen el establecimiento de sistemas de cifrado a las empresas que los tratan. En España, el ejemplo más práctico de esta indicación del Reglamento General de Protección de Datos (UE) lo encontramos en la obligatoriedad del cifrado sobre los datos de nivel alto, entre los que están aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical.
- Código de conducta o certificado. Las empresas tienen que implementar de forma obligatoria sistemas de cifrado en caso de que voluntariamente se hubieran adherido a un código de conducta que lo exija o si el cifrado es requisito en el certificado que muestren como acreditación.
- Evaluación de impacto. Determinadas empresas, por el tipo de tratamiento que realizan, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Estas empresas son, entre otras, las que tratan datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.
- Mitigación del riesgo. Debe aplicarse la medida de cifrado si su implantación mitiga un riesgo cierto.
El RGPD exige nuevos requisitos en Ciberseguridad en las empresas, como es el cifrado de datos.
Ventajas del cifrado
Si se produce una brecha de información en los datos que están cifrados y se hacen públicos, no sería necesario notificarlo a la entidad reguladora ni a nuestros clientes, al encontrarse dichos datos cifrados, protegidos. Implantando en nuestra empresa una solución de cifrado robusto conseguiremos:
- No ser sancionados por las autoridades.
- Que los datos a los que han accedido los ciberdelincuentes no se puedan utilizar.
- Que nuestra reputación como empresa salga reforzada de cara a nuestros clientes.
***Fuente La obligación de cifrado de la información en el Reglamento Europeo de Protección de datos por Pablo FERNÁNDEZ BURGUEÑO