Compartir

El 25 de mayo será de obligado cumplimiento el nuevo Reglamento general de protección de datos (RGPD), una normativa impulsada por la Unión Europea para establecer un criterio único a fin de tratar los datos personales. El Reglamento tiene como pilar fundamental la protección de los usuarios y prevé multas millonarias para empresas e instituciones si no cumplen con lo establecido. En concreto, el RGPD contempla sanciones de hasta 20 millones de euros o hasta el 4 % de la facturación anual del infractor.

De este modo, intentará poner fin a situaciones extendidas como recibir mensajes electrónicos con propaganda por el simple hecho de haber entrado en una página web para comprar algún producto o recibir mensajes vía WhatsApp de un ayuntamiento sin haber consentido estas comunicaciones. Son numerosos los cambios previstos en el RGPD, de los cuales destacan los siguientes:

* Consentimiento inequívoco: hasta ahora lo habitual era el consentimiento tácito, es decir, que las empresas «entendían» que los usuarios daban permiso para utilizar sus datos personales si no lo rechazaban explícitamente. Con la nueva normativa, se da la vuelta a esta situación y las empresas deberán obtener un consentimiento inequívoco y verificable.

* Transparencia en la información: las solicitudes para obtener datos personales deberán ser del todo comprensibles y transparentes con el motivo y el fin por los que se piden dichos datos.

* Derecho al olvido: los usuarios tendrán en todo momento el control sobre sus datos; para ello, además de los derechos de acceso, rectificación, cancelación u oposición, las personas tendrán derecho al olvido, que supone un derecho de cancelación reforzado con el que quiere facilitarse que se borren los datos también en otros lugares donde puedan tratarse (como el rastro que queda en internet y servicios de almacenamiento en la nube).

* Delegado de protección de datos: en muchos casos, las empresas que tratan datos personales deberán nombrar a un delegado de protección de datos (DPD), el cual deberá ser conocedor de la normativa y velar para que se cumpla, así como dominar la seguridad de los datos que gestione.

Un cambio de paradigma

Los expertos de los Estudios de Derecho y Ciencia Política de la UOC coinciden en que el RGPD establece un cambio de paradigma en el control de los datos personales. Miquel Peguera, experto en derecho en internet, asegura que hasta ahora «la normativa aplicable no ha sido capaz de proteger adecuadamente los derechos de los interesados y se ha creído necesario ofrecer mayor protección». Mònica Vilasau, profesora de Derecho civil, explica que «el cambio más importante es la introducción del principio de responsabilidad proactiva, ya que impone una mayor diligencia en los responsables del tratamiento». La experta en protección de datos asegura que empresas y administraciones no solo deberán cumplir la normativa, sino también «poder demostrar que poseen una actitud y adoptan medidas para realmente cumplir la normativa».

En este sentido, el profesor colaborador Carles San José explica que uno de los aspectos más relevantes de la nueva normativa es «la idea del enfoque del riesgo, ya que las medidas adoptadas para garantizar el cumplimiento del RGPD deben tener en cuenta los tratamientos y los riesgos para los derechos y las libertades de las personas. A partir de estos riesgos, es necesario adecuar y adaptar las medidas de seguridad que hay que implantar, con el objetivo de reducir al mínimo los riesgos».

Un reto para las administraciones

El sector público es uno de los actores interpelados por el cambio de normativa que más esfuerzos deberán hacer para adaptarse al RGPD. Carles San José explica que todas las administraciones públicas deberán aplicar el Reglamento «con la misma intensidad», independientemente de su dimensión, y esto puede provocar «dificultades en las entidades públicas con menos recursos (como los ayuntamientos pequeños), como ya ha sucedido con la legislación de transparencia, que tampoco tuvo en cuenta estas posibles diferencias e impuso las mismas obligaciones para todas las administraciones». Por su parte, Mònica Vilasau señala que «las administraciones tienen una tarea ingente por delante, que debe ir de la mano de la plena implantación de la normativa relativa a la administración electrónica».

El ahorro puede no compensar el coste

Miquel Peguera explica que «el coste de cumplir el RGPD es elevado, dado que se incrementan las obligaciones para tratar datos personales, en particular exigiendo medidas proactivas y de evaluación de impacto». Sin embargo, la normativa implica para las empresas y administraciones la supresión de una obligación formal existente hasta ahora, como es notificar a las autoridades la existencia de ficheros de datos personales.

Pero, a pesar de que existen algunas obligaciones que se han suprimido, «es cierto que la implantación de algunas exigencias del RGPD puede comportar un incremento de los costes económicos en las empresas, como la necesidad de disponer del delegado de protección de datos, aunque tampoco se exige a todas las empresas», explica San José. También «hay otros deberes, como llevar a cabo una evaluación de impacto, disponer de un registro de las actividades, implantar los principios de privacidad desde el diseño, etc., y todo esto también tiene un coste», asegura Vilasau.

Consejos Básicos

* Mantener informados a los empleados: aunque hemos oído hablar del GDPR en los últimos dos años, muchas personas desconocen la existencia de la nueva normativa y sus implicaciones. Es imprescindible comunicar a los empleados cuáles serán las políticas de protección de datos de la empresa para que pueda ser ejecutarla de la mejor forma posible.

* Cifrar la información. Utilizar un algoritmo de cifrado para transformar el contenido de la información, evita todo tipo de filtraciones en caso de pérdida o robo de uno de los dispositivos de la empresa o de algún ciberataque. Sistemas de cifrado de disco completo, como Central Device Encrytion de Sophos, facilita el cifrado automático cada vez que se suben, descargan o envían documentos, ya sea por email o desde la nube, y sin interrumpir las tareas diarias de los trabajadores.

* Poner en marcha procesos de consentimiento. Las empresas deben proporcionar información detallada a sus clientes y usuarios del uso que se hará con los datos que autoricen usar. Además, deberán ser más estrictos en cuanto al almacenamiento de información de estos para dar respuesta a las solicitudes que realicen los ciudadanos.

* Protección antiransomware. El secuestro de datos es una de las principales amenazas de las empresas hoy en día. En 2017, el 54% de las organizaciones fueron afectadas por el ransomware (Wannacry es un ejemplo de este tipo de ataque), que supusieron una media de 133 mil euros en pérdidas. Para evitar ser víctima de este tipo de ciberataques, es necesario usar soluciones de seguridad basadas en Deep Learning. tecnología capaz de aprender del panorama de amenazas actuales, por lo que siempre se tiene información actualizada para proteger los dispositivos de las últimas novedades ideadas por los ciberdelincuentes. Una opción puede ser optar por Sophos Intercept X.

* Plan de acción para dar respuesta rápida. Como el GDPR supone mayor proactividad de las empresas en cuanto a la divulgación de una violación de datos, es recomendable tener un plan de acción para dar respuesta rápida, ya que el reglamento exige que cualquier persona afectada por una violación de datos sea notificada dentro de las 72 horas de la detección de la violación.

“Estamos a las puertas de la entrada en vigor del Reglamento General de Protección de Datos y no hay una varita mágica para cumplir con esta normativa que busca proteger la información de los ciudadanos, sino un conjunto de soluciones globales que hay que implantar en la empresa cuanto antes. Desde Sophos abogamos por la concienciación de usuarios, el cifrado de datos y la protección antiransomware”, explica Ricardo Maté, director general de Sophos Iberia.