Actualidad

RGPD, un año después del día D

21 de mayo, 2019

En este artículo, nuestra experta Elisa García realiza un análisis en el que desvela cómo ha afectado la aplicación del Reglamento General de Protección de Datos (RGPD). Además presenta una prospectiva de las tendencias y escenarios futuros en el ámbito de la privacidad.

RGPD, un año después del día D

Un año para alcanzar la adecuación y plantear nuevos retos

Ya hace un año que es de plena aplicación el Reglamento General de Protección de datos (RGPD por sus siglas en español o GPDR por sus siglas en inglés) y tres desde que fue aprobado. Además, ya van casi 6 meses desde que se aprobó en España la nueva Ley Orgánica de protección de datos, que deroga a la anterior de 1999 y que, además, incluye un título entero sobre las garantías de los derechos digitales (LOPDGDD). Después de este tiempo, es interesante volver la vista atrás y hacer un análisis; así como proyectar las tendencias que, en relación a la privacidad, nos puede deparar el futuro.

En este último año, el proceso de adecuación no ha partido de cero para muchas organizaciones, bien porque ya tuviesen avance por el cumplimiento de la derogada LOPD o bien porque, durante los dos años transcurridos desde la aprobación del GPDR hasta su entrada en aplicación, llevaron diligentemente a cabo las tareas de implantación. En cualquier caso, un proceso de adecuación a la nueva normativa es necesario, sea más o menos costoso.

Cumplimos con la vertiente jurídica, pero no tanto con la técnica

En esta ruta hacia la adecuación la componente jurídica generó una avalancha sin precedentes, ¿quién no recibió decenas de correos pidiendo consentimiento para el tratamiento o informando de que ya era legítimo?

No en vano, y según los últimos informes, la parte puramente jurídica es lo que mejor está a nivel nacional. No ocurre lo mismo con la parte técnica, es decir, las medidas de seguridad de los tratamientos, debido a que dicha seguridad debe regirse por un análisis de riesgos para los derechos y libertades de las personas físicas y es aquí donde empiezan las dificultades. Un análisis de riesgos debe contemplar como variables de entrada el valor de los tratamientos (conforme a criterios que debe valorar el responsable del tratamiento), sus amenazas y las medidas de carácter jurídico y técnico-organizativas aplicadas, obteniendo como variables de salida el grado de exposición de estos tratamientos a estas amenazas para las distintas dimensiones de seguridad (confidencialidad, integridad, disponibilidad, privacidad).

Además, en el caso de las administraciones públicas, afectadas por el Esquema Nacional de Seguridad (ENS), la LOPDGDD obliga a que las medidas mínimas de seguridad sobre los tratamientos sean las del propio ENS. Esto implica que en el análisis de riesgos habrá que evaluar el grado de madurez de las medidas del ENS y, si el riesgo asociado a esa madurez no es aceptable, entonces planificar acciones de mejora que lo bajen. Dado a que el propio ENS también obliga a tener un análisis de riesgos, todo apunta a que hacer un análisis de riesgos que sirva para RGPD y ENS es lo mas acertado.

Y no solo el análisis de riesgos es el único aspecto que el RGPD y el ENS tienen en común, sino que también tienen otras analogías que aconsejan una integración multinorma, tales como:

  • Inventario de activos
    En el RGPD se exige el registro de actividades de tratamiento y en el ENS se exige el Inventario de Servicios e Información, así como de los activos que componen los sistemas de información.
  • Gestión de incidentes/violaciones de seguridad
  • Formación y concienciación del personal
  • Gestión de terceros/encargados de tratamiento
  • Auditoría
  • Certificación de la conformidad

En este sentido, desde el Centro Criptológico Nacional se está promoviendo esta unificación, tal y como explicamos en el siguiente vídeo.

En las XII Jornadas CCN-CERT presentamos un modelo unificado adaptado a entidades locales para el cumplimiento del RGPD y ENS

Soluciones en Ciberseguridad para responder a la protección de datos

Con independencia de que todavía haya trabajo por hacer, sobre todo en lo que a la parte de análisis de riesgos se refiere, de lo que no hay duda es de que un año después se ha aumentado la conciencia de la privacidad y de las numerosas oportunidades de negocio que ello ha generado.

Entre los sectores más beneficiados está el tecnológico, que ha generado nuevos productos y servicios alrededor de la protección de datos personales. Por tanto, más allá del temor a que endurecer los requisitos de privacidad pueda mermar los negocios de las empresas, al contrario, lo que ha ocurrido es que se han abierto nuevos mercados y los que ya operaban con datos personales lo siguen haciendo, pero con una mayor garantía de preservar los derechos y libertades de los interesados.Por tanto, mucho ánimo a las organizaciones para empezar, culminar o mantener la adecuación al RGPD, utilizando, si es necesario, los productos tecnológicos del mercado y/o los servicios profesionales de expertos jurídicos, en análisis de riesgos y en ciberseguridad.

Ingenia, como empresa que ofrece soluciones globales de ciberseguridad puede ayudar mucho en este camino. No en vano hemos acometido decenas de proyectos de adecuación en clientes de sectores tan críticos como hospitales, bancos o administraciones públicas y podemos poner nuestra experiencia y conocimiento al servicio de más empresas.

Servicios relacionados

  • Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Consultoría TI que abarca desde Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001, Esquema Nacional de Seguridad (ENS), Regulación de Protección de Datos: RGPD y LOPD-GDD, PCI-DSS y PSD2, Ley PIC y Ley NIS, Análisis de Riesgos y Plan Director de Seguridad, BIA, Gestión de Continuidad (ISO 22301) y DRP, Virtual CISO, Virtual DPO y PMO de Ciberseguridad, Formación y sensibilización

    Más sobre este servicio

Productos relacionados

Compartir en