EFECTOS DE UN CAMBIO LEGISLATIVO
RGPD:La protección de datos pondrá contra las cuerdas a las empresas españolas
El nuevo reglamento GDPR de la UE amenaza con multas del 4% de la facturación a partir de junio del 2018 si no se aplica la normativa Las organizaciones deben ser capaces de identificar todas y cada una de las acciones de los usuarios en caso de problemas en su red
Pocas veces un cambio normativo de naturaleza técnica causó tanto desasosiego con fundamento entre las empresas españolas. Quizá el tan llamado efecto 2000 pudo atraer la atención de la opinión pública, pero sus escasas consecuencias ya fueron previstas entre los profesionales. La puesta en marcha (sí o sí) del nuevo reglamento general de protección de datos (GDPR, por sus siglas en inglés, o RGPD) en solo un año ha obligado o obligará a cualquier empresa a establecer nuevos sistemas de gestión de sus infraestructuras informáticas para garantizar los derechos y la identidad de los usuarios y sus acciones en la red. De sufrir una fuga de datos, las sanciones previstas son las equivalentes al 4% de la facturación de las compañías negligentes, hasta 20 millones de euros (la de mayor cuantía de entre ambos baremos). Cualquier robo de información debe notificarse a la agencia de protección de datos en un máximo de 72 horas.
Solo el 32% de las empresas españolas dispone actualmente de un plan específico para afrontar de manera global el nuevo reglamento elaborado por la Unión Europea, seis puntos por debajo de la media mundial, según recoge un informe de Compuware. El estudio refleja que, a pesar de los avances conseguidos en el último año, la mayoría de las compañías europeas y estadounidenses todavía no están preparadas para cumplir la nueva ley de protección de datos europea, que entrará en vigor en mayo del 2018. Queda todavía un año, pero las modificaciones e inversiones a realizar son relevantes. Las auditorías y las contrataciones de responsables derivadas de la aplicación de la ley ya están en marcha y abren incertidumbres.
La aplicación de la ley exige a las empresas que sean capaces de determinar los usos que sus empleados o sus clientes hacen de la red informática y de telecomunicaciones, las páginas a las que acceden, que archivos descargan... Lo mismo para las instituciones públicas que ofrecen servicios de wifi, universidades, establecimientos hoteleros o de restauración, por ejemplo. Ese control pasará en la mayoría de los casos por la identificación sin dudas del usuario mediante sistemas de doble autentificación, al estilo de los empleados en banca a distancia (confirmación de claves a través de móviles, por ejemplo), para evitar el uso de claves compartidas.
NUEVOS PROFESIONALES
Una de las novedades del marco legal del GDPR es la necesaria creación de la figura del profesional DPO (Data Protection Officer), que tiene que ser incorporada en algunas empresas, sobre todo aquellas de mayor tamaño o aquellas donde el tratamiento de los datos sea el eje de su estrategia empresarial. También en la Administración Pública o cualquier institución (por ejemplo las universidades). Sus funciones no pueden recaer en el director de seguridad. En la práctica, el nuevo marco legal supone nuevas cotas de responsabilidad de las organizaciones ante la obtención, acceso, intervención, transmisión, conservación o supresión de los datos a terceros. Es lo que en el sector denominan principio de responsabilidad ('accountability'), una responsabilidad proactiva por la que las organizaciones deben ser capaces de demostrar que tratan los datos personales de acuerdo con la ley....LEER NOTICIA COMPLETA.