La irrupción del nuevo Reglamento General de Protección de Datos (en adelante RGPD) ha despertado una preocupación general que se puede resumir en una pregunta:
¿Qué debo hacer para cumplir con el RGPD?
La respuesta a esta pregunta la podemos encontrar en las infografías publicadas por la Agencia Española de Protección de Datos (AEPD), tanto para sector privado como para sector público. Estas infografías muestran hojas de ruta para una correcta adecuación al RGPD en las que, como punto en común, se puede apreciar la obligación de implantar medidas técnicas y organizativas en base a los resultados obtenidos de un análisis de riesgos.
Esta obligación no es infundada, ya que parte del artículo 32 del Reglamento en el que se indica que:
“…el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento…”
Este requerimiento provoca un cambio de paradigma a la hora de adecuarse a la normativa de proyección de datos, ya que aumenta la importancia proporcionada a la tecnología viendo que día a día está más presente en nuestras vidas y, sobretodo, nuestro trabajo.
Con la antigua Ley Orgánica de Protección de Datos (en adelante LOPD), se debían implantar las medidas de seguridad reflejadas en su Reglamento de Desarrollo (en adelante RDLOPD) en función de los datos tratados, independientemente de la tecnología utilizada. Ahora, con el RGPD, se deben implantar las medidas de seguridad que se consideren necesarias en función de los datos tratados y de los sistemas con los que se traten.
Por ello, debemos tener claro y entender que un proyecto de adecuación al RGPD implica, además de adecuar políticas de privacidad, clausulas y procedimientos, adecuar la tecnología que se dispone para realizar los tratamientos de datos, de forma que se reduzca la probabilidad de sufrir un incidente de seguridad que afecte a los datos de carácter personal o, como dice el RGPD, una violación de seguridad de los datos personales.
Tal es la importancia que proporciona el RGPD a las violaciones de seguridad de los datos, que en los artículos 33 y 34 del mismo se recogen unas pautas a seguir para llevar a cabo una notificación, tanto a la AEPD como al interesado, en caso de sufrir una. Cabe decir que, gracias a este nuevo requerimiento, están saliendo a la luz casos de diferentes compañías en las que se han materializado violaciones de seguridad a raíz una vulnerabilidad en sus sistemas.
Desde la experiencia adquirida en la ejecución de proyectos, y por las indicaciones de la Agencia Española de Protección de Datos, una buena práctica para adecuarse al RGPD, en lo que a medidas técnicas y organizativas se refiere, es atender a las recomendaciones de algún marco normativo de seguridad como puede ser la ISO 27002. El hecho de cumplir con alguna de estas normas no conlleva la adecuación completa al RGPD, pero sí que se dispondrán de las medidas de seguridad necesarias para reducir la probabilidad de sufrir un incidente de seguridad en los datos personales.
Enlazando la importancia que transmite el nuevo Reglamento a la violación de la seguridad de los datos personales con los casos publicados en los medios, podemos deducir que la gestión de vulnerabilidades técnicas resulta un factor importante para reducir la probabilidad de que se materialice una violación.
Además, siguiendo con el hilo de cumplir con una norma como la ISO27002 como buena práctica dentro de una adecuación al RGPD, esta afirmación se refuerza viendo que uno de los controles que incluye esta norma se denomina “12.6 Gestión de la vulnerabilidad técnica”, corroborando así que las vulnerabilidades técnicas es un aspecto importante en la seguridad de la información y, con ello, en la protección de datos personales.
Al mismo tiempo, tenemos que tener presente el nuevo marco sancionador definido en el RGPD, en el que se indican las diferentes sanciones que se podrían aplicar dependiendo del artículo que se vulnere. Para el caso que nos atañe, el artículo 32, la sanción oscilaría entre 10.000.000€ y el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.
En resumidas cuentas, el objetivo que persigue este post es proporcionar la importancia que merece al hecho de gestionar las vulnerabilidades técnicas para adecuarse al RGPD, partiendo como base del requerimiento de implantar las medidas técnicas y organizativas necesarias y, añadiendo como aliciente, la posibilidad de recibir una sanción en caso de sufrir una violación de la seguridad de los datos personales.