La realidad de la aplicación de la Ley de Protección de Datos

shutterstock_758021674(FILEminimizer)

El Reglamento General de Protección de Datos llegó a las regulaciones internas europeas con un único objetivo claro y definido, hacer que los datos de los clientes estén protegidos ante cualquier injerencia que se pueda producir tanto en los servidores donde están alojados los mismos, tanto como en las oficinas en los que se encuentran.

Casos como el de las filtraciones de las contraseñas de miles de cuentas de email de Yahoo, o el doloroso caso de Cambridge Analytics y Facebook (por el cual Zuckerberg tuvo que dar explicaciones ante el Senado de los Estados Unidos) han dejado claro que este Reglamento es más que nunca necesario para la protección para los derechos y los intereses de los ciudadanos.

Tengamos en cuenta que a lo largo del día sin darnos cuenta compartimos información personal y confidencial a través de redes sociales, aplicaciones, formularios y un sinfín de plataformas. Por no hablar de los datos que están almacenados en hospitales públicos, administraciones públicas y demás instituciones públicas que tienen full control de nuestros datos más sensibles.

Lo cierto es que si nos ponemos a ver los cambios externos que han hecho las empresa, vemos que algunas han cumplido la Ley a raja tabla, y esto no es algo bueno, es lo que tiene que ser, pero es elogiable. Lo que no es aceptable que haya habido empresas que ni si quiera se hayan preocupado por saber en qué les afectaba la nueva regulación de protección de datos.

Con todo esto, nos encontramos en una situación en la que la ciberseguridad ha empezado a jugar un papel clave, pues cada vez es más frecuentes encontrarse con ataques a servidores de empresas para intentar robar información confidencial con el fin de pedir rescates o venderla a otras empresas o personas.

De hecho, las consultorías especializadas en ciberseguridad se han nutrido de personal especializado para blindar a sus clientes. Desde aquí elogiamos el enorme trabajo que ha realizado Inforges, y del que somos conscientes de primera mano. Esta empresa con sede en Murcia, Alicante y Valencia está especializada en tecnología, organicación, gestión del talento y comunicación digital, y ofrece soluciones globales que les harán evolucionar a organizaciones mucho más eficientes, rentables e inteligentes.

Los incidentes en las empresas españolas

El periódico el Confidencial publicó un artículo muy interesante, en el que comentaban los datos que habían recogido por la Ley de Transparencia, respecto de las notificaciones obtenidas por la Agencia Española de Protección de datos. A principios de enero de este mismo año son seiscientos veinticinco avisos de violaciones de seguridad en doscientos setenta y cuatro días, lo que equivale a dos fallos diarios y a unos setenta fallos de seguridad al mes.

A primera vista cualquiera diría que se trata de un número bastante alto. Esto significa que las empresas españolas sufren peligrosos fallos de ciberseguridad a diario y ponen en peligro la información que los usuarios les confían. Pero el análisis no es tan sencillo. La polémica llega mucho más lejos y tiene que ver con la redacción de la norma que, en este caso, deja espacio, quizá demasiado, a la interpretación y a que las empresas jueguen con estos problemas.

Estas notificaciones están reguladas por los artículos 33 y 34 del RGPD y es ahí donde encontramos todos los detalles sobre qué tipo de brechas deben ser señaladas, cómo se debe notificar el fallo o sobre las medidas a seguir después de informar de lo sucedido. Hay puntos muy estrictos como las 72 horas que la norma te da para mandar la información a la AEPD, pero hay otros más polémicos, como el que explica en qué casos el fallo debe ser elevado a las autoridades.

La norma dice que esto no se deberá hacer si la empresa decide que es «improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas». ¿Quién evalúa esa probabilidad? Pues es responsabilidad total de la empresa. Como podemos imaginar esto puede dar lugar a muchas violaciones de seguridad que ni se comunican ni se conocen. Aquí lo que se debe regular es un criterio más estricto en las comunicaciones para que estas situaciones no pasen.