EFECTES D'UN CANVI LEGISLATIU

La protecció de dades posarà contra les cordes les empreses espanyoles

El nou reglament GDPR de la UE amenaça amb multes del 4% de la facturació a partir del juny del 2018 si no s'aplica la normativa

Les organitzacions han de ser capaces d'identificar totes i cadascuna de les accions dels usuaris en cas de problemes a la seva xarxa

icoy38399273 telefonica170512162354

icoy38399273 telefonica170512162354

3
Es llegeix en minuts
Eduardo López Alonso
Eduardo López Alonso

Periodista @Elabcn

ver +

Poques vegades un canvi normatiu de naturalesa tècnica pot provocar tant de desassossec amb fonament entre les empreses espanyoles. Potser el tan anomenat efecte 2000 va poder atraure l’atenció de l’opinió pública, però les seves escasses conseqüències ja van ser previstes entre els professionals. La posada en marxa (tant sí com no) del nou reglament general de protecció de dades (GDPR, per les seves sigles en anglès, o RGPD) en tan sols un any obligarà qualsevol empresa a establir sistemes de gestió de les seves infraestructures informàtiques per garantir els drets i la identitat dels usuaris i les seves accions a la xarxa. Si es pateix una fuga de dades, les sancions previstes són les equivalents al 4% de la facturació de les companyies negligents, fins a 20 milions d’euros (la de quantia més elevada d’entre els dos barems). Qualsevol robatori d’informació s’haurà de notificar a l’agència de protecció de dades en un màxim de 72 hores.

Només el 32% de les empreses espanyoles disposen actualment d’un pla específic per afrontar de manera global el nou reglament elaborat per la Unió Europea (UE), sis punts per sota de la mitjana mundial, segons recull un informe de Compuware. L’estudi reflecteix que, malgrat els avanços aconseguits en l’últim any, «la majoria de les companyies europees encara no estan preparades per complir la nova llei de protecció de dades», que entrarà en vigor el maig del 2018. 

Incerteses

Queda encara un any, però les modificacions i inversions a fer són rellevants. Les auditories i les contractacions de responsables derivades de l’aplicació de la llei ja estan en marxa i obren incerteses sobre la capacitat de les empreses de protegir-se dels atacs de la ciberdelinqüència.

La llei exigeix a les empreses que siguin capaces de determinar els usos que els seus empleats o els seus clients fan de la xarxa informàtica i de telecomunicacions, les pàgines a les quals accedeixen, els arxius que es descarreguen... El mateix per a les institucions públiques que ofereixen serveis de wifi, universitats, establiments hotelers o de restauració, per exemple.

Aquest control passarà en la majoria dels casos per la identificació sense dubtes de l’usuari mitjançant sistemes de doble autentificació, a l’estil dels treballadors en banca a distància (confirmació d’accessos a través de mòbils, per exemple), per evitar l’ús de claus compartides. El telèfon mòbil es consolida d’aquesta manera com l’instrument identificatiu bàsic de l’individu. ¿Estan preparades les empreses per a aquest canvi legal? La resposta és que encara no, si tenim en compte les opinions abocades en la jornada Security Day organitzada per la firma de seguretat de Telefónica Eleven Paths.

Una de les novetats del marc legal del GDPR és la necessària creació de la figura del professional DPO (Data Protection Officer), que ha de ser incorporada en empreses on el tractament de les dades sigui l’eix de la seva estratègia empresarial. També a l’Administració o a qualsevol institució (per exemple, les universitats). Les seves funcions no poden recaure en el director de seguretat.

En la pràctica, el nou marc legal suposa noves cotes de responsabilitat de les organitzacions davant l’obtenció, accés, intervenció, transmissió, conservació o supressió de les dades a tercers. És el que en el sector denominen principi de responsabilitat (accountability), una responsabilitat proactiva per la qual les organitzacions han de ser capaces de demostrar que tracten les dades personals d’acord amb la llei.

Efectes devastadors

Elizabeth Maxwell, de Compuware, reconeix que qualsevol incompliment de la llei podria tenir «conseqüències devastadores davant qualsevol violació de dades, un fet massa comú tenint en compte el creixement de la ciberdelinqüència i les amenaces internes».

Notícies relacionades

L’Agència Espanyola de Protecció de Dades serà l’encarregada de supervisar l’aplicació del reglament, però la complexitat dels actuals serveis de tecnologies de la informació genera en moltes ocasions incertesa sobre el lloc on resideixen les dades dels clients. El 56% de les empreses afirmen ser capaces de localitzar totes les dades d’una persona amb la rapidesa necessària que exigeix el compliment del dret a l’oblit inclòs al GDPR, per exemple, però, ¿i la resta?

Compuware afegeix que el més preocupant, segons aquest estudi dut a terme a partir d’entrevistes a 400 directors de sistemes d’empreses de França, Alemanya, Itàlia, Espanya, el Regne Unit i els Estats Units, és que el 32% dels enquestats admeten que no poden garantir avui dia la localització de les dades d’un client.