Normativa de la UE de protección de datos y ciber seguridad
Publicado en el blog community of insurance el 6 de noviembre de 2016
INTRODUCCIÓN: LA PROTECCIÓN DE DATOS EN EL MUNDO
Casi 100 países han adoptado legislaciones de protección y privacidad de datos.
Es principalmente en Estados Unidos, pero también otros países como Hong Kong, Singapur y Australia, donde la legislación de protección de datos es rigurosa, donde el tema se está tomando más en serio.
En Europa, la nueva directiva de Protección de datos que acaba de entrar en vigor y que tendrá plenos efectos en 2018 va a producir una revolución en el mundo corporativo.
LA SEGURIDAD Y LA PRIVACIDAD DE DATOS EN LA UNIÓN EUROPEA: LAS IMPLICACIONES PARA LAS EMPRESAS
El 4 de mayo se publicó el nuevo Reglamento del Parlamento y del Consejo 2016/679, de 27 de abril, relativo a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El Reglamento será directamente aplicable y de obligado cumplimiento en todos los Estados miembros de la Unión Europea transcurridos dos años de su entrada en vigor, es decir, el 25 de mayo de 2018.
El nuevo Reglamento General de Protección de Datos de La Unión Europea ( GDPR-siglas en inglés o RGPD-en castellano) cambiará la manera en la que las compañías deben tratar los datos que manejan. Según los expertos, la mayoría de empresas no están preparados para los nuevos requerimientos de privacidad que establece la misma. La Directiva, y esto es nuevo frente a la anterior normativa, crea una única normativa de protección de datos para los 28 (27 próximamente) estados miembros. También tiene implicaciones fuera de las fronteras de la UE, por cuanto se aplica a organizaciones que tratan datos personales de residentes en la UE.
Los objetivos del Reglamento RGPD son mejorar el nivel de protección de los datos personales de los residentes en la Unión Europea y modernizar la normativa para adaptarla a las nuevas tecnologías existentes hoy en día ( por ejemplo redes sociales, nubes, etc.) y a las tecnologías emergentes. Finalmente, clarificar las responsabilidades del almacenamiento y tratamiento de datos, haciendo más sencillo a las organizaciones su cumplimiento y evitar las sanciones.
El incumplimiento de las obligaciones establecidas por la nueva normativa podría llevar a sufrir auditorias periódicas o incluso a sanciones de hasta 20 millones de euros o el 4% de la facturación anual mundial (incluyendo todas las subsidiarias) de la empresa. Para estimar el impacto posible, es cuestión de hacer números y calcular a cuánto podría llegar el importe de la sanción para una gran empresa cotizada del DAX, CAG, IBEX 35, etc.
CONOCER LOS RIESGOS
La directiva impone una serie de obligaciones a las empresas, empezando por conocer y entender los riesgos a los que están expuestos, sus obligaciones y los requerimientos que establece la Directiva, y a hacer seguimiento. Han de conocer los datos que disponen y donde están almacenados o localizados, realizando un inventario y mapeo de datos, evaluando los cambios tecnológicos y operacionales requeridos para cumplir con la norma.
Requiere asimismo la creación de la estructura interna y como mínimo el nombramiento de un DPO ( Data Protecction officer/Responsable de Protección de datos ), persona que ha de ser experto en la normativa de protección de datos. El DPO podrá ser un empleado o un colaborador a través de un contrato de prestación de servicios. Además, deben confirmar que todas las notificaciones privadas se han presentado en lenguaje claro y entendible y disponer de un fácil acceso a los datos. Finalmente, Revisar los mecanismos de consentimiento y elección por parte del cliente, asegurándose de tener implementados los mecanismos correctos y que están actualizados para obtener el consentimiento expreso.
MITIGAR LOS RIESGOS
En segundo lugar, las empresas vendrán obligadas a mitigar sus riesgos, diseñando e implementando procedimientos para los nuevos sistemas que implementen y servicios que presten, para asegurar que los requerimientos de privacidad están subsumidos desde el primer momento del desarrollo del nuevo sistema o servicio. Documentaran todo el proceso de operaciones que incluyan datos personales, a través del uso de “Data Privacy Impact Assessments” (DPIAs). Han de implementar y documentar las medidas de seguridad adecuadas- técnicas, físicas y administrativas- a los riesgos identificados por el DPIAs.
Deben crear protocolos de respuesta y notificación, poniendo en marcha investigaciones de perdida de datos cuando ocurran, así como procesos y procedimientos de contención y respuesta, y asegurarse de testear su efectividad. Finalmente, establecer un proceso de auditorio sólido para controlar el cumplimiento de la norma y sus obligaciones y para mitigar el riesgo.
Otras obligaciones de mitigación incluyen el deber de revisar todas las transferencias de datos transfronterizas, confirmando que la empresa tiene legitimidad de transferir datos a jurisdicciones de fuera de la UE que no tienen regulaciones de protección de datos adecuadas. También ha de revisar los contratos con externos, identificando que obligaciones contractuales necesitan ser modificadas para reflejar algún cambio en los servicios o en el coste, en línea con las mejora de responsabilidades en controles y procesos. Ultima en mencionarse, pero de las más importantes, han de formar a los empleados, creando planes de formación para informarles de sus obligaciones cuando acceden o procesan datos personales. Finalmente, asegurarse de presupuestar lo suficiente para apoyar estos cambios en la gestión y protección de datos
En definitiva, va a suponer que las empresas tengan que ser proactivas, creando programas para el cumplimiento de la del Reglamento de Protección de datos y para reducir el riesgo, que sean robustos y auditables.
OTRAS CUESTIONES RELEVANTES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
1. Se refuerza la información que se debe facilitar a los titulares de los datos, tanto si los datos se recaban directamente del interesado como si los datos se obtienen de otra fuente.
Además de la información obligatoria ya establecida en la normativa española actual, se deberá facilitar información, entre otros, sobre: la base jurídica del tratamiento, la intención de realizar transferencias internacionales, el plazo de conservación de los datos o el derecho a la portabilidad de los datos. En lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo máximo de un mes (en lugar de los tres meses de hoy en día) a contar desde la primera comunicación o momento el que se comuniquen los datos de los interesados a un destinatario.
2. La relación entre el responsable y el encargado del tratamiento
Se recogen las cuestiones que deberá regular el contrato que se formalice entre el responsable y el encargado del tratamiento.
Se establece la obligación del encargado de colaborar con el responsable para que éste cumpla de la mejor manera posible las obligaciones que le corresponden frente a los interesados, regula la obligación del encargado de cooperar y facilitar las obligaciones de seguridad que corresponden al responsable, o la obligación de facilitar información sobre la gestión de seguridad que ha realizado para a la vez el responsable pueda probar de la mejor manera posible el cumplimiento de las medidas de seguridad que le corresponde.
3. Se introduce el Derecho de Supresión o “Derecho al Olvido”.
Se trata del derecho de los titulares de los datos a obtener del responsable del tratamiento la supresión de los datos personales que les conciernan, en determinados casos, como por ejemplo cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento. Se recogen unas pocas excepciones al derecho al olvido, de las que ya habrá tiempo de tratar en próximos artículos.
NORMATIVA DE LA UE SOBRE CIBERSEGURIDAD Y OTROS ACUERDOS
En el ámbito de la coordinación entre estados miembros para la lucha contra el ciber crimen y de la colaboración público privada, se acaban de dar pasos importantes en el ámbito de la Unión Europea.
El parlamento Europeo acaba de aprobar la Directiva sobre la Seguridad de las Redes y de la Información ( NIS-network information security), con la que se busca que las empresas que provean servicios esenciales mejoren su capacidad de defensa ante ataques informáticos.
Las compañías encargadas de servicios como por ejemplo energía, transporte, salud, banca, buscadores, compra en internet o almacenamiento en la red, deberán fortalecer su protección contra ciberataques y comunicar los incidentes que sufran a las autoridades nacionales. Será competencia de los Estados miembros identificar si el servicio de la empresa es fundamental para la sociedad y la economía.
El establecimiento de normas comunes de ciberseguridad, junto a la intensificación de la cooperación entre los países de la Unión Europea que contempla esta normativa, ayudará a las empresas a protegerse a sí mismas y a prevenir ataques a la infraestructura interconectada de los países de la UE, establecerá un nivel común de seguridad de la información y mejorará la cooperación entre los Estados miembros de la UE y el intercambio de información. Ayudará a prevenir ciberataques contra importantes infraestructuras interconectadas de Europa, ataques que a menudo son transfronterizos.
Las nuevas normas prevén un grupo de cooperación estratégica para el intercambio de información entre los países de la UE y establece que cada Estado deberá adoptar una estrategia nacional de seguridad cibernética (algunos países, como España, ya disponen de ella).
La Directiva NIS establecerá para esas empresas operadoras de servicios estratégicos la obligación de reportar a los Reguladores Europeos los incidentes de seguridad significativos que tengan. Las sanciones por incumplimiento serán determinadas por al UE. La Directiva tendrá plenos efectos en 2018. Tras su publicación en los boletines oficiales, los Estados miembro tienen un plazo de 21 meses para su transposición.
Asimismo, se va a proceder a la firma de una alianza con el sector privado que activará 1.800 millones de euros de inversión para fomentar la investigación y el desarrollo de la cooperación transfronteriza de los agentes de la industria de seguridad cibernética en Europa. El 6 de julio se ha firmado el protocolo de adhesión de la European Cyber Security Contractual Public Private Partnerships, que facilitará la coordinación entre los países miembros y los agentes públicos y privados en el desarrollo de la industria europea de ciberseguridad y el estímulo del talento profesional.
Hacemos una mención final, en relación con la importancia de la existencia de una gobernanza global y de una transversalidad en el enfoque hacía la ciberseguridad, con una profunda colaboración entre estados ( además por supuesto de colaboración público privada y cros sectorial), a la propuesta que se contenía en el Informe de La Atlantic Council y Zurich de 2014“ Más allá de la perdida de Datos”, tomando prestada la idea de Microsoft y proponiendo la creación de un G20+20 mundial para tratar las cuestiones referentes a la ciberseguridad.
Cerramos esta serie de artículos sobre la dimensión del Ciber riesgo y la nueva normativa de la UE sobre Protección de datos y ciberseguridad, remarcando que se abre desde ya y durante los próximos años una oportunidad extraordinaria para los asesores externos para apoyar a sus clientes en la adaptación de los mismos a la nueva normativa europea de protección de datos, y entre ellos para brókers y medidores de seguros para apoyar el establecimiento y contratación de las adecuadas coberturas de seguro de protección de datos y de ciberseguros.
¿Quién se sube a este barco?