Adecuación al nuevo
Reglamento Europeo
sobre protección de datos

La propuesta inicial para el Nuevo Reglamento Europeo sobre Protección de Datos (GDPR) fue publicada el 25 de enero de 2012 con el objetivo de que entrar en vigor a principios de 2018

El Comisario de libertades civiles, justicia y asuntos internos (LIBE) del Parlamento Europeo votó de forma positiva el resultado de las negociaciones entre el Parlamento Europeo, La Comisión Europa y el Consejo Europeo con la entrada en vigor estimada de estas medidas en la primavera de 2016. A diferencia de una Directiva, una Regulación no requiere ninguna legislación adicional de gobiernos nacionales y su aplicación está programada para que dé comienzo en la primera mitad de 2018.

Los cambios claves de la reforma incluyen:

•     •  El derecho a saber cuándo fueron hackeados los datos de alguien: las empresas y organizaciones deben notificar a la autoridad de supervisión nacional las filtraciones de información que ponen a los datos de los individuos en riesgo y comunicar al sujeto responsable de la información las infracciones de alto riesgo, tan pronto como sea posible para que los usuarios puedan tomar las medidas oportunas.
•     •  Una aplicación más fuerte de las reglas: Las autoridades de protección de datos podrán multar a las empresas que no cumplan las realas de la UE con hasta el 2% de su facturación anual global.
•     •  Un continente, una ley: Una única ley paneuropea para la protección de datos, que sustituye al mosaico actual de leyes nacionales. Las empresas deberán atenerse a una sola ley, nº28. Los beneficios se estiman en 2,3 mil millones de euros por año.
•     •  Comunicación inmediata de las infracciones: Las organizaciones deben notificar a la autoridad nacional las infracciones graves en materia de protección de datos tan pronto como sea posible (24 horas)
•     •  Para empresas activas en el mercado de la UE con servicios a ciudadanos: Las reglas de la UE deben aplicarse si la información personal se maneja en el extranjero, por empresas que están activasen el mercado de la UE y ofrecen sus servicios a ciudadanos europeos.
•     •  Protección de Datos por diseño y por defecto: Son ahora los elementos esenciales en las reglas de protección de datos de la UE. Los sistemas de protección de datos integran en los productos y servicios desde las primeras fases de desarrollo, y la configuración predeterminada de la privacidad será la norma a seguir.

La sección 2 de la seguridad de la información en su artículo 30, la seguridad del tratamiento de datos, establece:

1.  Teniendo en cuenta el estado inicial y los costes de implementación, así como la naturaleza, enfoque, contexto y objetivos del proceso de datos y el riesgo de varias la probabilidad y severidad de los derechos y libertades de los individuos, el controlador y agente de tratamiento implementará mediadas técnicas y de organización apropiadas para garantizar un nivel de seguridad proporcional al riesgo, incluyendo entre otros, como apropiados:

•       a.  La creación de pseudónimos y el cifrado de la información personal
•       b.  La habilidad de garantizar la confidencialidad, integridad, disponibilidad y adaptación constante de sistemas y servicios de tratamiento de información personal
•       c.  La habilidad de restaurar la disponibilidad y acceso a la información en un tiempo oportuno en caso de incidencia física o técnica
•       d.  Un proceso para probar y evaluar de forma regular la efectividad de medidas técnicas y de organización para garantizar la seguridad del tratamiento de datos.

El articulo 30 elimina cualquier duda sobre si los sistemas y el almacenamiento en instalaciones seguras deberían ser cifrados. La tecnología es un medio muy conocido de protección de la información que es vulnerable al robo o pérdida. Esto también sirve para planes de recuperación de efectivos en caso de desastres y para los sistemas de recuperación y administración de claves.

El artículo 28 de la Regulación requiere que los archivos deban guardarse incluyendo una descripción general de las medidas de seguridad a nivel técnico y organizacional llevadas a cabo, como se establece en el Artículo 30, lo cual implica que las organizaciones necesitan archivos y pruebas de que los sistemas son seguros y que la información cifrada es recuperable después de un incidente técnico.

El artículo 31 detalla cómo realizar la Notificación de la filtración de información a las autoridades de supervisión y requiere que, en caso de filtración de información, se notifique a la autoridad de Supervisión donde sea factible, antes de 72 horas después, tras haber detectado a filtración. Cualquier notificación posterior a las 72 horas debe ir acompañada de una justificación razonada por el retraso.

El artículo 32 detalla aspectos sobre la comunicación de una filtración de información personal al sujeto de la información y establece que:

Cuando la filtración de información personal implique un alto riesgo para los derechos y libertades de los individuos, el controlador comunicará la filtración de información personal al sujeto en cuestión si demora indebida.

No se requerirá la comunicación al sujeto de la información si:

•     a)  El controlador ha implementado medidas de protección técnicas y organizacionales apropiadas, y si estas medidas fueron aplicadas a la información afecta por la filtración de información personal, en particular aquellas que deja la información ininteligible a cualquier persona que no esté autorizada a acceder a ellas, tales como el cifrado; o
•     b)  El controlador ha tomado las medidas subsiguientes que garanticen que el alto riesgo para los derechos y libertades de los sujetos de la información referidos no es probable que se materialice
•     c)  Pudiera suponer un esfuerzo desproporcionado. En tal caso habrá un comunicación pública o medida similar por la cual se informe a los sujetos de la información de una forma igualmente efectiva

Los estudios demuestran que cuanto antes se informa de una filtración de información, más dañinas son las consecuencias para la organización en cuestión. De nuevo, el cifrado se considera de forma clara como una medida de protección suficiente para excluir esto y las consecuencias para la reputación corporativa.

El punto seis del artículo 79 sobe sanciones administrativas establece que:

La autoridad de supervisión impondrá una multa de hasta 1.000.000 €, en caso de tratarse de una empresa, hasta el 2% de su facturación anual a nivel mundial, a cualquiera que de forma intencionada o por negligencia:

Nota (e) No adopte políticas internas o no implemente las políticas adecuadas para granizar y demostrar el cumplimento de las medidas establecidas en los Artículos 22, 23 y 30

Nota (h) No alerte o notifique una filtración de información personal o no notifique la filtración completamente o en un tiempo oportuno a la autoridad supervisora o al sujeto implicado en la información conforme a los Artículos 31 y 32

Este claro intento de penalizar y disuadir a los infractores entrará en vigor a lo largo de los próximos dos años, por lo que es el momento de actuar ahora.