En menos de 12 meses será efectivo el Reglamento Europeo de Protección de Datos, conocido por sus siglas en inglés GDPR (General Data Protection Regulation). Esto supone cambios tanto para las empresas como para los particulares, pero lo que significan estos cambios puede confundir a más de uno.
Aunque la normativa entró en vigor en mayo de 2016, no será aplicable hasta mayo de 2018. A penas quedan menos de 12 meses, por lo que es el momento de empezar a aprender de qué manera va a afectar a su empresa.
Cuanto antes sepa lo que trae el Reglamento Europeo de Protección de Datos, antes podrá empezar a asegurarse de que su empresa no rompe con la normativa. Entonces, ¿cómo afectarán estas nuevas normas a su empresa? ¿Qué beneficios obtendrán las compañías con el GDPE? ¿Qué ocurre si no se sigue la normativa?
Los cambios que están por llegar
El GDPE está configurado para actualizar una serie de principios que se encuentran en la Directiva de Protección de Datos de 1995 para adaptarla a la manera en la que la tecnología influye en las sociedades de hoy en día. Las preguntas y respuestas que se pueden encontrar en la web de la Comisión Europea arrojan algunas pistas de los cambios que están por llegar con la nueva ley:
Como podrá comprobar, esos cambios están diseñados para cambiar la forma en la que se gestionan los datos personales. Los usuarios tendrán más control sobre su información, y tanto las empresas tendrán que aplicar una serie de patrones para así asegurar que todas las organizaciones lo aplican de la misma manera. Hay que tener en cuenta que la ley afecta tanto a empresas europeas como a las internacionales que operan en Europa, aunque no estén radicadas en el viejo continente.
El objetivo del cambio hacia leyes más estrictas es el de asegurar que los datos se compartan y conserven de manera segura. En otras palabras, los particulares sabrán cuáles son sus derechos a la hora de proporcionar sus datos, mientras que las empresas tendrán pautas claras de lo que se espera de ellas.
No obstante, hay quien aun no lo tiene claro. Hay quien se cuestiona si los cambios funcionarán, así como cuánto impacto tendrá el nuevo marco normativo sobre las empresas.
¿Qué implica para los usuarios?
Los usuarios obtendrán una serie de beneficios a partir de esta nueva regulación que protege los datos y la seguridad. El cambio principal GDPR es que los usuarios tendrán el llamado “derecho al olvido”. Esto quiere decir que cualquier persona con motivos y pruebas suficientes para retirar información personal, podrán hacerlo de páginas y eliminar enlaces desde los motores de búsqueda.
Tal y como están las cosas, eliminar el nombre de alguien de los motores de búsqueda puede suponer un verdadero reto. Y es que hay muchos obstáculos que se han de superar para que esto ocurra, sin embargo, los cambios que trae esta nueva ley facilitan el proceso.
Por otra parte, en páginas webs como Google ya se pueden tramitar peticiones de “derecho al olvido”, y según la BBC, esa es una de las pocas áreas en las que deciden personas y no un algoritmo. Algo que también implica que cada petición lleve su tiempo, y ni siquiera en esas condiciones hay garantías de que la información sea borrada.
Cada vez que necesite saber qué información tienen las organizaciones sobre usted, podrá saberlo de forma gratuita. Tal y como explica Computer Weekly, aunque parezca que la ley se centra mucho en el hacking, no solo se trata de eso. Antes, si un usuario quería saber qué información tenía una organización sobre él, tenía que pagar una cantidad de dinero. Ahora es gratis, aunque habrán una serie de restricciones.
Con el nuevo marco normativo, habrá que diferenciar entre la protección de datos desde el diseño y la protección de datos por defecto. Esto quiere decir que se han de proteger productos y servicios que se ofrecen en páginas webs desde la fase de desarrollo para asegurar que los datos se protegen correctamente.
Que la protección de datos sea por defecto significa que los ajustes de privacidad de una página web o aplicación han de estar por defecto habilitados, de tal manera que la información solo se comparta con terceros si el usuario lo habilita. En sitios como las redes sociales esto es importante, ya que la información de los usuarios debe ser privada desde primera instancia, antes de que entren a formar parte de la comunidad.
Otro de los grandes cambios que se espera es que los usuarios sabrán cuándo su información ha sido vulnerada por un ciberataque. En el pasado, el usuario era el último en enterarse si una empresa de la que es cliente había sido hackeada. De hecho, los usuarios se enteraban a través de los medios de comunicación. Por ejemplo, recientes informaciones apuntaron a que la CIA ha estado hackeando durante años los routers y aunque eso no ha gustado nada a la opinión pública, no se ha sabido más del tema.
Ahora las cosas serán bien distintas. Aquellas organizaciones que gestionen datos deberán avisar de que han tenido una breacha de seguridad lo antes posible. En Gran Bretaña, una vez una empresa hace público que ha sido hackeada, también deberá informar del suceso a la Information Commissioner’s Office (ICO) dentro de las 72 horas desde el conocimiento de la brecha.
¿Qué implica para las empresas?
Cuando se está al frente de una empresa, hay varios aspectos a tener en cuenta, especialmente en lo que se refiere a protección de datos. A menudo, las líneas no han estado claras y en algunos casos, las políticas a implantar eran difíciles de entender, pero con el GDPR la normativa queda más patente.
Hay una serie de factores para que esto sea así. Las compañías que no estaban radicadas en la Unión Europea no tenían que aplicar las mismas normas que las que sí. Desde mayo de 2018, todas las compañías establecidas fuera de la Unión Europea, que ofrezcan bienes y servicios en el viejo continente, tendrán que ajustarse a la nueva norma.
La regulación no acaba aquí. Anteriormente, las empresas extranjeras que operaban en UE tenían que lidiar con diferentes leyes y estaban supervisadas por distintas autoridades. Todo esto se acabó: hay una sola ley y una sola autoridad que supervisa si se lleva a cabo.
Este nuevo marco hace que sea mucho más fácil y conveniente para las empresas operar en países de la UE.
Aunque se dice que la nueva normativa traerá unos beneficios estimados de 2,3 mil millones de euros al año, hay a quien le preocupa lo que puede significar. Las empresas que ya están dentro de la Unión Europea tienen hasta mayo de 2018 para adaptarse al GDPR, pero puede ser difícil para los equipos, así como una merma de los recursos en el caso de que busquen contratar personal cualificado para hacer este cambio.
También hay cierta preocupación de que el organismo regulador considere que las medidas que han adoptado algunas empresas no sean suficientes. Dado que la legislación aún no está testada, no es difícil comprobar porqué hay tanta preocupación entre las empresas.
Las sanciones del GDPR
La mayor preocupación para las empresas es prepararse a tiempo para la nueva ley. Muchas ya han empezado a adaptar su negocio, pero otras no entienden lo que les puede costar no solventar este asunto
Lo que ya sabemos hoy en día es lo que a una empresa le puede costar ser hackeada, pero ¿qué ocurre son las multas a las que se enfrentan las empresas que no se adaptan al nuevo marco normativo? Hay muchas variables a tener en cuenta, por lo que el tipo de sanción dependerá de cada caso.
De cualquier manera, la web de la Ley de Protección de Datos Europea, junto a la de la Comisión Europea, explican cómo funcionan las sanciones. En la siguiente imagen, se puede echar un vistazo a los diferentes factores que se tienen en cuenta para cumplir el GDPR:
La web del GDPR apunta que “las organizaciones que violen esta ley podrían ser multadas con un 4% de su facturación anual, o por 20 millones de euros”.
Estas cifran son las multas máximas que se pueden imponer por las infracciones más serias, como por ejemplo, la falta de consentimiento suficiente de los clientes a la hora de gestionar sus datos, o violar el concepto de privacidad por diseño.
Las multas se fijan por niveles. La anterior sanción, la de privacidad por diseño, sería una multa de segundo nivel, la cual sería impuesta en caso de violar los derechos del usuario.
Las multas de primer nivel están fijadas por un máximo de 10 millones de euros o hasta el 2% del volumen de negocios anual. Los niveles están fijados tanto para las empresas como para las organizaciones que no llevan a cabo las medidas pertinentes para adaptarse a la regulación. Las que lo hagan, no tendrán ese problema. Ahora cabe preguntarse, ¿cómo hay que prepararse?
Preparándose para la Normativa Europea de Protección de Datos
Encarar lo que supone el nuevo marco normativo puede ser desalantador para las empresas. Mayo de 2018 se acerca y aún se pueden ver compañías que no han modificado la manera en la que gestionan los datos. De hecho, solo el 38% de las empresas de todo el mundo han llevado a cabo planes para cumplir el GDPR. El otro 62% de las empresas se están arriesgando a ser castigadas con las multas. Veamos lo que tienen que hacer para evitar ese riesgo.
Lo primero que hay que hacer es revisar los procedimientos con los que ya se trabajan, así como los procesos y políticas de seguridad. Esto podría parecer una tarea larga y tediosa, pero es posible que cuando empiece, se dé cuenta de que algunas de sus políticas ya están adaptadas al GDPR. Si es así, no tiene que hacer nada en su empresa. Si por el contrario, sus políticas no se ajustan al nuevo marco normativo, podrá comprobar qué cambios ha de realizar a través de una auditoría en su empresa.
El mayor reto para muchas organizaciones es que necesitarán formar a sus empleados. Estos deberán entender cómo afectan estos cambios a la empresa y para ello es necesario considerar la formación en materia de seguridad informática. De esta manera, podrán detectar potenciales brechas de seguridad y saber cuáles son los pasos que han de dar para informar a la ICO o a sus clientes una vez se ha producido un ataque.
Hay muchos departamentos en una empresa que necesitan ser revisados. Desde cómo obtienen el consentimiento de sus clientes hasta cómo almacenan la información o incluso el papel donde obtienen ese consentimiento. En Agencia Española de Protección de Datos se pueden encontrar las obligaciones que tienen los responsables, así como medidas de seguridad que han de tomar.
¿Cómo puede ayudarle Open Data Security?
Muchas compañías deciden contratar profesionales para que gestionen la seguridad de sus redes, servidores y todo lo que puede ser objeto de un ciberataque. Esta es una de las maneras más recomendadas de mantener protegidos los datos de los clientes, y de que estos confíen a la hora de decantarse entre usted y la competencia.
Uno de los servicios claves para esto es el test de penetración, ya que proporciona un análisis completo tanto de la seguridad de su aplicación web como de los fallos encontrados en ella. Emula ataques reales de tal manera que se ve dónde falla la seguridad de una empresa y las áreas en las que necesita mejorar para mantener los datos de sus clientes a salvo.
Un test de penetración era lo que necesitaba la web de Ashley Madison antes de haber sido hackeada, ya que les hubiera servido para arreglar las brechas de seguridad y salvaguardar los datos de los usuarios.
Si su compañía aún no está adaptada a la nueva Normativa Europea de Protección de Datos contacte con nosotros ahora. En Open Data Security podremos aumentar la seguridad de su empresa a través de un test de penetración o de la formación a sus trabajadores, entre otros servicios. Sin duda, todo esto le servirá para lo que está exigiendo el GDPR.[:]