¿Están sus datos (y los de sus clientes) preparados para la normativa GDPR?
¿Ha sufrido (como consumidor, ciudadano particular o empresario) un ciberataque? Es fácil que la respuesta a esta pregunta sea, casi siempre, “sí”. Quizá los ciberdelincuentes no consiguiesen su objetivo en su caso, pero todo el mundo ha recibido un correo de phishing (en el que se suplanta la identidad de un banco, un comercio… con el fin de conseguir datos privados de los internautas); y muchos hemos estado (o hemos temido estar) entre las personas afectadas por las fugas de datos de grandes empresas (las fugas masivas de datos, o su uso inadecuado, abren noticiarios de todo el mundo varias veces al año). Esto debería llegar a su fin gracias a la nueva normativa GDPR.
Pérdida de confianza
Las ciberamenazas no son nuevas, aunque sí van en aumento y, sobre todo, se muestran cada vez más “creativas” y peligrosas. Al phishing se han unido otras variedades, como por ejemplo el ransomware, donde se bloquea el ordenador infectado y se solicita un rescate para “liberarlo”. Los ciberataques perjudican a una organización en diversos frentes. Si impiden el normal funcionamiento de los sistemas, dejan a la empresa o entidad sin poder atender a sus clientes, servir sus pedidos, etc. Si implican que se filtren datos, entre otros perjuicios, son un borrón en la credibilidad y confiabilidad de una organización.
Esto era así ya antes. Sin embargo, desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés), el 25 de mayo de este 2018, las empresas no se juegan solo su prestigio y la confianza de sus clientes, sino también importantes sanciones.
Refuerzo de la protección de datos de los ciudadanos de la UE
El nuevo Reglamento nace para que todos los ciudadanos de la UE vean protegidos por una misma normativa los datos que sobre ellos tienen y gestionan organizaciones de todo tipo. De hecho, la ley afecta a cualquier organización que trabaje con datos de ciudadanos de la Unión, aunque su sede no esté en territorio europeo. También pretende que quienes gestionan datos personales se impliquen de una forma proactiva en su protección y buen uso. Y para quienes no lo hagan, prevé duras sanciones. Estas pueden alcanzar, en los casos más graves, los 20 millones de euros (o bien el 4% de la facturación total de una empresa).
¿A qué obliga el GDPR? Resumiendo, podemos decir que cambia el concepto mismo de “protección” de datos. Ahora se exige que las organizaciones vayan por delante en esta cuestión. La inclusión en la norma de los principios de responsabilidad proactiva y principio de riesgo implican nuevos deberes para empresas, autónomos, administraciones y todo tipo de entidades que traten datos personales: deberán medir el nivel de riesgo al que se enfrentan y tomar medidas que se ajusten a él, y que las preparen ante cualquier contingencia.
El nuevo enfoque que impone la normativa GDPR
En el panorama mencionado (con los ciberdelitos al alza y las exigencias para las organizaciones también), podría parecer que nadie va a librarse de una multa, haga lo que haga. No tiene por qué ser así, aunque es cierto que se tendrá que cambiar de chip en la forma de afrontar ciertas cuestiones.
Cualquier organización (no solo las grandes compañías, también un autónomo o una asociación de vecinos) deberá analizar qué datos personales trata, de qué tipo son y qué está haciendo (o empezará a hacer) para protegerlos. Deberá asegurarse de que no realiza un mal uso (por ejemplo, ya no se pueden enviar boletines electrónicos si no se consigue un consentimiento específico, informado e inequívoco); de que las medidas adoptadas y los consentimientos recibidos quedan reflejados y podrían usarse para defenderse de una reclamación; o de que podrá detectar a tiempo los problemas de fuga de datos (además de por la propia seguridad y la de terceros, porque el Reglamento obliga a avisar de lo ocurrido dentro de un plazo de 72 horas).
Medidas para una gestión de datos legal, asumible y segura
¿Por dónde empezar? Primero, por dejarse asesorar por profesionales que localicen (sí, a veces tenemos datos personales dispersos y hasta olvidados) la información a proteger. Que le indiquen si son datos de los denominados sensibles o si el tipo de actividad que realiza con ellos (por ejemplo, envíos publicitarios masivos) requiere de unas cautelas especiales. Le aconsejará cómo recogerlos, guardarlos y tratarlos acorde a la GDPR. También sobre cómo dejar constancia de que se han hecho las cosas bien. Y cómo asegurarse de que detectará las posibles fugas a tiempo; o de que podrá responder adecuadamente a las peticiones de portabilidad, restricción del tratamiento o supresión de los datos. Y, además, a blindar al máximo sus sistemas frente a intrusiones no deseadas.
En IEAISA somos expertos en una gestión global de la seguridad, adaptada a las necesidades concretas de cada cliente, que le ayudamos a evaluar. Podemos proteger sus datos y los de sus clientes o asociados, ajustando su organización a los requisitos de la nueva reglamentación europea.