La ciberseguridad forma parte de los asuntos legislativos y corporativos desde hace algún tiempo, y es en 2007 cuando la Unión Europea estableció que era necesario empezar a luchar contra el cibercrimen.
El Reglamento General de Protección de Datos (RGPD) se encuadra en la reforma normativa realizada por la Unión Europea con el objetivo de garantizar unos mínimos estándares de protección de datos elevados y adaptados a la realidad digital del mundo actual.
Este Reglamento, que deroga la Directiva 95/46/CE, fue aprobado por el Parlamento Europeo en abril y entró en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europea, el 4 de mayo de 2016. Su ámbito de aplicación se extiende a todos los países miembros de la Unión Europea y se aplicará directamente en todos ellos a partir del 25 de mayo de 2018. Sin embargo, el impacto no se sentirá solamente en las empresas de Europa, ya que tendrá implicaciones más amplias para las empresas de todo el mundo que posean datos en el continente, es decir, que procesen aunque sea 1 dato de algún usuario que viva dentro de la Unión Europea.
Aunque este cambio es una gran noticia para toda la comunidad, presenta problemas complejos para las organizaciones que no acaten la ley, recibiendo multas de muchos millones de euros si infringen las nuevas normativas o no se sigan las pautas de un plan de ciberseguridad corporativo claro.
Por ello hemos querido señalar los puntos más importantes acerca de esta nueva ley, las dudas más comunes que se presentan en el área:
- La nueva ley única de protección de datos introducirá importantes cambios en todas las leyes europeas de privacidad y sustituirá la obsoleta Ley de protección de datos de 1995, aunque muchos señalan que no es tan así, sí se verán más controles del tema.
- De acuerdo con las nuevas reglas, los individuos tienen “el derecho a ser olvidados”, es decir que podrán solicitarles a las empresas que eliminen su información cuando deje de ser necesaria o correcta, incluyendo por ejemplo las redes sociales, google, u otra empresa que procesa bases de datos. Además del derecho a ser olvidado, la ley incluye disposiciones que potencialmente podrían aumentar los derechos de los consumidores sobre sus datos. Pero aún hay una enorme área gris en lo que respecta a cómo se aplicará en la realidad.
- La interrogante está en cómo se devolverán el control de los datos a los usuarios, cómo se asegurarán de que los datos se almacenen adecuadamente durante su uso y luego se eliminen de forma segura. Es un problema sumamente técnico y está repleto de complicaciones.
- Multas de hasta el 4% de la facturación global de una empresa o 20 millones de euros, siendo el monto mayor el que defina la multa.
- El GDPR tiene graves implicaciones para las empresas de países fuera de la UE. Por lo tanto, aunque la empresa esté establecida en el extranjero, si tiene datos pertenecientes a cualquier persona que viva en Europa, la empresa es responsable.
- Existe una cláusula de “oficina centralizadora” que facilita el cumplimiento de los derechos de los usuarios. Dicha cláusula determina que la responsabilidad de llevar a cabo una acción legal es del regulador que se encuentra en el mismo país donde la empresa tiene su casa matriz.
Para ello, es importante tener bien definida una política en ciberseguridad corporativa, ya que, recordamos que tener un antivirus y firewall no es suficiente. Hace falta establecer un plan en el que se contemplen todos los aspectos, empezando por la concienciación de los usuarios y la capacitación de los trabajadores de la empresa para que actúen de forma preventiva y correcta. Además de otras medidas como prever un plan de recuperación de datos en el caso de un desastre cibernético.
La buena noticia es que se prevé que las empresas comenzarán con las búsquedas para contratar profesionales responsables de protección de datos para así asegurarse de contar con el personal adecuado, reforzando la tendencia de que la ciberseguridad será la profesión más valorada en el futuro.