PUBLICIDAD
PUBLICIDAD

[Opinión] Cultura de privacidad ante brechas de seguridad

Marcos Judel, autor de esta columna, es socio de Audens y presidente de APEP.
| | Actualizado: 15/04/2021 1:00

Desde 2018 contamos con una normativa muy completa en materia de privacidad que cuenta con herramientas suficientes para hacer respetar los derechos y libertades de las personas.

El Reglamento General de Protección de Datos (RGPD) es una norma dura, pero flexible que permite el desarrollo de los negocios sin mermar derechos a las personas. Está basada en el análisis de riesgos y en la adopción de medidas suficientes para eliminarlos o mitigarlos sin que ello les suponga una pérdida de competitividad.

El RGPD crea una nueva cultura de protección de datos en todas las empresas y organizaciones y está basado en un planteamiento de cumplimiento proactivo y diligente, que pone en el centro del negocio y la tecnología al ciudadano.

Si el convencimiento de hacer las cosas bien y entender la privacidad y la seguridad como un valor añadido y una fórmula para destacar y diferenciarse en el mercado no es un motivo lo suficientemente importante como para tomarse el tema en serio, quizás sí lo sea el régimen sancionador de esta normativa.

PUBLICIDAD
PUBLICIDAD

Basta comprobar las últimas sanciones de la Agencia Española de Protección de Datos (AEPD) que han batido récords, una de las últimas precisamente por una brecha de seguridad que afectó a miles de datos de clientes.

De cara a evitar en la medida de lo posible brechas o violaciones de seguridad que afecten a datos personales, lo primero es que las organizaciones realicen análisis de riesgos sobre los tratamientos de forma realista, teniendo en cuenta no solo factores de gravedad y probabilidad genéricos, sino también otros más concretos para cada realidad.

Por ello, en base al riesgo detectado se han de aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, lo que hace que en la práctica, cada organización deba implementar unas medidas más o menos específicas y a medida.

No obstante, el propio RGPD recomienda buscar soluciones basadas en la seudonimización y el cifrado de datos personales, el establecer medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas, así como protocolos para restaurar la disponibilidad y el acceso a los datos en caso de incidente.

PUBLICIDAD

«Ocultar una violación de seguridad que afecte a datos personales puede implicar una agravante en un procedimiento sancionador»

Pero en mi opinión lo más importante es que se adopten medidas de vigilancia y actualización constantes sobre todos los elementos de seguridad técnica y organizativa, pues la seguridad se trata de un elemento vivo que debe ser atendido regularmente.

Por otro lado, también resulta especialmente importante atender los exiguos plazos de notificación a la Agencia Española de Protección de Datos de la existencia de la violación, a contar desde su conocimiento.

Aquí juegan un papel muy importante los prestadores de servicios con el rol de encargados del tratamiento, pues deben participar activamente en estos procesos a fin de garantizar el cumplimiento normativo de sus clientes, por lo que contar con un contrato adecuado y específico es lo más recomendable.

PUBLICIDAD

Como recomendación especial, cabe mencionar que no se debe tener miedo a efectuar esta notificación al regulador.

Más bien al contrario, ya que ocultar una violación de seguridad que afecte a datos personales puede implicar una agravante en un procedimiento sancionador.

PUBLICIDAD

Para llevar a cabo cualquier iniciativa, negocio o desarrollo tecnológico que tenga incidencia en los datos de las personas, es indispensable la participación de los profesionales de la privacidad y de delegados de protección de datos.

Desde la Asociación Profesional Española de Privacidad, entendemos que nuestra labor es la de favorecer el desarrollo tecnológico, no frenarlo, ayudando en la definición y verificación del cumplimiento de la normativa en relación a cuestiones jurídicas, técnicas y organizativas.

Existe una inaceptable baja calidad en muchos servicios de adaptación y cumplimiento de la protección de datos en el mercado, muchas veces a coste cero a cargo de créditos subvencionados para formación a empleados o a un precio cuasi cero o con tácticas abusivas, que no hacen sino poner en riesgo a quienes acuden a tales servicios y desmerecen nuestra profesión.

PUBLICIDAD

Empresas y administraciones públicas deben acudir a profesionales comprometidos con la calidad y adscritos a un estricto código ético y deontológico, como son los profesionales que integran APEP, para que estos procesos de adaptación sean verdaderamente útiles y sirvan, tanto para respetar los derechos de las personas como para prevenir riesgos y sanciones, pero sobre todo para impulsar una cultura de protección de datos que genere valor añadido y y sirva como elemento de diferenciación.