Actuación y medidas de seguridad aplicables a la Ciberseguridad y Protección de Datos
Cómo garantizar las medidas adecuadas en ciberseguridad y protección de datos de las empresas acordes con el nuevo RGPD.
La ciberseguridad es un conjunto de estrategias, procedimientos y herramientas que tienen por objeto garantizar la integridad, disponibilidad y confidencialidad de la información y evitar la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos.
1. ¿Cree que su empresa cumple realmente con la ciberseguridad y protección de datos?
La era tecnológica y digital da lugar a que el buen funcionamiento de las empresas de nuestro entorno esté intrínsecamente ligado con la ciberseguridad y protección de datos. Se ha de tener en cuenta que los datos personales que posee la empresa, no sólo son un valor añadido, sino que son una parte esencial de la estructura de la misma.
Existe una concepción errónea en torno a la ciberseguridad en el ámbito empresarial, ya que se concibe que ésta solo es aplicable a las grandes empresas. No obstante, los datos presentados por el Ministerio de Empleo y Seguridad Social, determinaron que el número de empresas inscritas en la Seguridad Social en marzo de 2018 era de 2.857.074, de las cuales solo 4.587 son empresas con más de 250 trabajadores.
Esto es, casi la totalidad de nuestro tejido empresarial se encuentra formado por PYMES y autónomos que utilizan como base de sus sistemas de negocio la tecnología y los datos de carácter personal y son las principales víctimas de los ataques.
La ciberseguridad es un elemento clave para el desarrollo empresarial debido a que uno de los principales activos de cualquier empresa es la información y los datos personales. La protección y actuación frente a las amenazas y el fomento de la seguridad es imprescindible para garantizar la confianza y el desarrollo empresarial.
2. Ciberseguridad y Protección de Datos en el RGPD
Toda empresa que trate datos de carácter personal tiene la obligación, según recoge el RGPD, de garantizar un nivel de seguridad adecuado. Para ello, se deberá tener en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.
La LOPD recogía un listado pormenorizado de medidas técnicas y organizativas aplicables en función del nivel de seguridad, que podía ser básico, medio o alto. La aplicación del RGPD da lugar a un cambio de paradigma, siendo la empresa quien tiene que evaluar los riesgos que presente el tratamiento de datos para demostrar su cumplimiento.
Los sistemas informáticos presentan un riesgo potencial en el tratamiento de datos personales por las vulnerabilidades que estos presentan. Por ello, se deberá identificar las amenazas, evaluar los riesgos e implementar las medidas técnicas y organizativas necesarias con el fin de minimizar los riesgos y dar cumplimiento a la ciberseguridad y protección de datos de su empresa.
Se hace necesario contar con profesionales técnicos y jurídicos para proceder al análisis de los riesgos. La ciberseguridad no se limita únicamente a implementar medidas técnicas, también se ha de dar cumplimiento a la normativa aplicable.
3. Medidas técnicas y organizativas
Es importante definir las medidas técnicas y organizativas necesarias para el mantenimiento de los sistemas informático. Como ya hemos comentado el RGPD no determina un listado cerrado de medidas de seguridad aplicables pero recomienda, entre otras:
a) La pseudonimización y el cifrado de datos personales.
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Entre las medidas organizativas es importante designar a un responsable de seguridad y definir de manera muy clara un protocolo de actuación que determine las funciones y obligaciones del personal. A su vez, es necesario implementar una cultura de protección de datos en las empresas.
En el caso de las medidas técnicas aplicables a los sistemas informáticos para preservar la ciberseguridad y protección de datos cabe destacar, como medidas básicas, la gestión de soportes informáticos, el mantenimiento de los equipos y redes, el control de accesos, el sistemas de identificación y autenticación y la realización de copias de seguridad como mínimo una vez a la semana.
4. ¿Cómo actuamos ante un ataque informático?
El RGPD define una brecha de seguridad como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
De conformidad con el artículo 33 del RGPD, el responsable del tratamiento deberá notificar a la AEPD sobre cualquier violación de seguridad sin dilación indebida y, de ser posible, a más tardar 72 horas a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Dicha notificación deberá contemplar como mínimo una descripción de la naturaleza de la violación, las posibles consecuencias de esta y describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Por todo esto se hace imprescindible elaborar un plan y adoptar las medidas de seguridad necesarias de ciberseguridad y protección de datos.
En conclusión, el RGPD refuerza el principio de responsabilidad proactiva de quienes tratan datos personales, lo que requiere que sea necesario analizar qué datos tratan, con qué finalidades y el tipo de tratamientos, con el objetivo de determinar las medidas adecuadas para cumplir con lo dispuesto en el RGPD.
Nuestra asesoría juridica en protección de datos le brinda todo el asesoramiento tanto en medidas técnicas como jurídicas y de cumplimiento normativo. Ciberseguridad y protección de datos 360º para todo tipo de empresas y autónomos.
