La nueva normativa implica un cambio de paradigma de lo que venía siendo la normativa vigente en materia de protección de datos pero el día 25, fecha en la que el GDPR (o RGPD) entra en vigor, no se acaba el mundo y hay que tomárselo con calma.
Jesús Sánchez Echevarría, CEO de Áudea Seguridad de la Información, fue entrevistado por Eduardo Castillo el pasado martes 8 de mayo sobre las 19 pm en el programa After Work de Capital Radio.
El cambio fundamental
En esta entrevista, Jesús explica que el cambio fundamental con el reglamento europeo viene determinado porque las empresas van a establecerse sus propios mecanismos o medidas de seguridad a través de un análisis de riesgos. Desaparecen las medidas de seguridad obligatorias que venían catalogándose en función de los ficheros que cada empresa manejase y ahora se pasa a un modelo anglosajón en el sentido en el que uno mismo va a establecer esas medidas de seguridad.
Nuevos conceptos
Por otro lado también hay una serie de novedades que amplían los requerimientos legales que existen actualmente pero no cambian los principios. Aparecen nuevos conceptos como es la Privacidad por Diseño y la Privacidad por Defecto para que cuando vayas a realizar cualquier tipo de proyecto o iniciativa en el que tengan que ver los datos personales, de alguna forma tener procedimentado el mecanismo a través del cual vas a ver el impacto que eso produce en la privacidad de las personas. Otro principio, el de Accountability, que implica que además de cumplir para las empresas es importante poder demostrarlo.
¿Cuál está siendo la reacción de las empresas?
Jesús Sánchez apunta que hay miedo. La palabra GDPR se está utilizando en muchos casos adherida a servicios o a productos adicionales o colaterales. Ahora cualquier cosa relacionada con seguridad lleva aparejada esta palabra.
Las pequeñas empresas, como todas, tienen al final que cumplir porque la normativa es idéntica para todos. Lo bueno es que muy probablemente el riesgo que tengan como consecuencia del manejo de los datos personales que realicen será menor y por lo tanto las medidas serán menores y se equipará mucho más la realidad de las empresas; antes las normas eran idénticas para una empresa grande y para una pyme de dos trabajadores, explica Jesús.
Cultura de Seguridad
El GDPR trata de establecer un sistema de gestión de la Privacidad, es decir, que todos los procesos de las organizaciones tengan en cuenta la privacidad de los usuarios.
Desde hace unos años hay otra serie de normas/ iniciativas como por ejemplo la ISO 27001 de Seguridad de la Información o la ISO 22301 de Continuidad de Negocio. Han ido tratando de ir introduciendo una serie de conceptos de seguridad dentro de las organizaciones que al final acabarán dentro de departamento o áreas de Cumplimiento Normativo, Compliance o Seguridad de la Información (ya sea Sefuridad, Continuidad de Negocio o Privacidad).
Recomendación
El presentador Eduardo Castillo comenta que habrá muchas empresas que desconocen realmente cómo están y que deberán securizar sus compañías y cumplir con la nueva normativa.
El CEO de Áudea explica que hay muchas empresas que tienen sus propios asesores internos pero que se trata de una materia muy específica y suele ser complejo cumplirlo por uno mismo salvo en organizaciones muy grandes así que recomendaría que acudieran a expertos y que esos expertos determinen, mediante un gap o un assessment, las medidas y qué gap tienen que cumplir para que el día 25 estén en conformidad con el GDPR.
Cumplimiento
Solo alrededor del 10-15% de empresas cumplirían ahora mismo.
No se trata de cambiar una cláusula, es un cambio de mentalidad. Claro que hay que cambiar cláusulas, que recoger los consentimientos de una forma distinta, modificar contratos de encargado de tratamiento, hacer un análisis de riesgos, etc. Pero la implantación de toda esta serie de medidas y que el análisis de riesgos se haga de forma continuada y que te examines de forma continua no pasa de un día para otro. Los proyectos y las medidas de seguridad que determinen esos riesgos no se implantan de un día para otro. Hay cosas que sí vas a poder cumplir en un determinado momento pero hay otras que te exigen como es el concienciar a los empleados: no conciencias a una persona en un día…
Concienciación
Como hemos comentado anteriormente, el RGPD no solo implica la adopción de medidas sino la creación de una cultura que vaya desde el propio CEO al último empleado porque todos forman parte de la cadena y pueden poner en riesgo la seguridad de la empresa. El eslabón más débil de la cadena de seguridad es el propio individuo, el trabajador.
Se están abandonando acciones que abogan por una concienciación continuada y los empleados deben saber qué normas deben cumplir en Seguridad y deben estar atentos a todos los intentos de engaño o vulneración.
Ya tuvimos el año pasado un ejemplo con Wannacry, que afectó a grandísimas compañías.
Formación
En Áudea hace 5 ó 6 años creamos una plataforma de teleformación, además de dar formación en los diferentes proyectos, que permite concienciar a los usuarios de forma muy diversa a través de juegos, vídeos, con las propias políticas de las empresas y está teniendo bastante éxito, comenta Jesús Sánchez.
Una última recomendación: qué pueden hacer las empresas a partir de mañana
“Habla con tu asesor, comienza a revisar todas tus políticas, tus cláusulas para adecuarlas a las nuevas exigencias y, en la medida de tus posibilidades, dependiendo de la tipología de empresa, procede a hacer un análisis de riesgos donde determinar qué medidas debéis adoptar para proteger esos activos de información que son los datos personales”.