El punto y final a la barra libre de datos

El 25 de mayo entra en vigor un reglamento europeo (RPGD) que refuerza el control de la información personal y endurece los mecanismos de consentimiento

MADRIDActualizado:

El reciente escándalo de la fuga de datos de decenas de millones de usuarios de Facebook que acabaron en la firma británica Cambridge Analytica, especializada en la comunicación estratégica y que trabajó para Donald Trump durante su campaña electoral, ha devuelto a la máxima actualidad un asunto de importancia capital, como son los datos.

Los ciudadanos normalmente nos apresuramos a aceptar las condiciones de cualquier aplicación nueva que instalamos en el móvil sin saber en realidad a qué estamos dando nuestro consentimiento, y luego vienen las sorpresas.

En este contexto se enmarca la entrada en vigor el próximo 25 de mayo del nuevo Reglamento General de Protección de Datos, RGPD, con la firme idea de armonizar la legislación en una sola, y no las actuales 27, y además afianzar la protección de los consumidores y reducir las cargas administrativas. En el mismo sentido, el nuevo Reglamento Europeo será de aplicación a cualquier fichero, al margen de donde se encuentre, lo que de hecho pondrá fin a la indefensión que afectaba a los usuarios que habían dado sus datos a redes sociales que, por ejemplo, tienen su sede social fuera de Europa.

Lo primero que notaremos los usuarios a partir de finales de mayo es que no nos encontraremos casillas premarcadas y no se admitirá más como válido el consentimiento tácito, sino que este tendrá que ser expreso, de fomar escrita o verbal.

Y para «animar» a que las empresas se afanen en respetar este nuevo Reglamento las autoridades europeas han decidido aplicar un sistema muy antiguo, como es del palo y la zanahoria, en este caso en versión de multas. Las sanciones para las que no respeten esta norma será de 20 millones de euros o el 4% de la facturación anual de la empresa, lo que en el caso de gigantes como Facebook habría sido una cantidad nada desdeñable.

Una de preguntas que podemos hacernos en relación con este asunto es exactamente qué se considera en la nueva legislación como dato. Más allá de los lógicos como el nombre, la dirección o la información bancaria, se considera también un dato personal la dirección IP desde la que nos conectamos a internet,un código de usuario o una localización física, lo que limita bastante el trasiego de datos que las empresas realizan en aras de predecir tendencias de consumo y patrones de comportamiento, entre otros aspectos. Entre los consejos que dan los expertos figura en lugar destacado la navegación sin dejar rastro de las cookies, el llamado modo privado, o bien acordarnos de borrarlas de vez en cuando.

También en el capítulo de novedades amplía los derechos de consulta, rectificado y borrado de los datos en cualquier supuesto, al margen de que ya hayan sido almacenados por las empresas que los tienen en su poder.

Y llegados a este punto la pregunta es obligada: ¿cómo de preparadas están las empresas españolas para este nuevo escenario con la entrada en vigor de la nueva legislación? Un reciente trabajo realizado por la consultora International Data Corporation (IDC) y Microsoft señalaba que, a tres meses de la entrada en vigor de la nueva norma, el 65% de las empresas españolas no podía garantizar el cumplimiento del nuevo reglamento. La encuesta se realizó en 100 empresas de más de 250 trabajadores y, pese a que carece de valor estadístico, da una idea del trabajo que tienen por delante muchas empresas en nuestro país. El mismo estudio señala que el 10% de las empresas cumplen el RGDP y otro 25% cuenta con planes activos para asegurar el cumplimiento en mayo de este año, lo que de forma implícita supone que el 65% restante no puede garantizar el cumplimiento del nuevo reglamento.

Olivier Marcén, reponsable para el sur de Europa de CyberEdge de AIG, cree que «las grandes corporaciones son muy conscientes de la trascendencia del RGPD y llevan meses trabajando para cumplir los requisitos. Sin embargo, vemos que la gran mayoría de pymes europeas a fecha de hoy no se han puesto al día y tienen mucho que hacer en cuanto al establecimiento de medidas técnicas y de organización».

En este contexto de prisas por adaptarse a la nueva legislación es muy importante el trabajo del delegado de protección de datos (DPD), dedicado en exclusiva a procesar los datos de carácter personal con arreglo a la ley en empresas especialmente sensible en esta materia.

El nuevo Reglamento, el RGDP, cita tres categorías de organizaciones obligadas a contar con un delegado de protección de datos. Se trata de entidades y organismos públicos que, por lo general ya han hecho avances en la materia contratando personal especializado. Además, tienen obligación las empresas que de manera habitual y en un volumen considerable realicen análisis o seguimientos que permitan elaborar perfiles o adoptar decisiones sobre los afectados, lo que supone en la práctica que cualquier empresa que reciba o guarde por ejemplo curriculums o que utilicen sus newsletters, ofertas o programas de fidelización una lista de clientes, lo que en la práctica son cientos de miles.

Y, en tercer lugar, están las empresas que procesan a gran escala datos personales en categorías denominadas especiales, como la salud, la orientación sexual, el origen étnico, la ideología política, la religión, las condenas, las infracciones penales o los datos biométricos.

Además, en el caso de específico de España, el proyecto de Ley Orgánico de Protección de Datos de carácter personal, que es la que desarrolla en nuestro país el RGPD, establece la obligatoriedad de tener una persona especializada en datos en las entidades financieras, las operadoras de telecomunicaciones, las aseguradoras, las distribuidoras de electricidad, gas o hidrocarburos, los centros sanitarios o empresas de seguridad privada.

Según los datos de IDC, «el 25% de los datos personales de todo el mundo estarán comprometidos en 2021 y alojados en un «Threat Data Lake» enfrentándose la ciberseguridad a nuevos retos que requieren un cambio de actitud digital en las empresas.

Emilio Castellote, senior research analyt de IDC Research España, considera que «en el contexto actual sociopolítico y económico, las organizaciones si quieren lograr una situación de confort en cuando a la seguridad de su negocio, deben apostar por un nuevo concepto que es la ciberseguridad digital. En 2021 la tensión geopolítica y el cibercrimen sin fronteras conllevarán un aumento del 30% en el ciber espionaje atribuido a las naciones».

La tecnología, infrautilizada

Uno de los elementos fundamentales para controlar los datos y evitar los ciberataques es sin duda la tecnología. Algunos expertos señalan que, precisamente, no se está aprovechando lo suficiente la tecnología para evitar el fraude o el robo de datos ya que, por ejemplo, sólo el 3% del fraude se detectó a través de la tecnología y, en cambio, el 24% se facilitó el fraude a través de la tecnología.

Marcén, de AIG, considera en relación con este tema que «como la gran mayoría de los datos son digitales, se corre el riesgo de que un criminal informático intente acceder a las mismas, por lo que resulta imprescindible poner en marcha una política de ciberseguridad acorde con los datos que se manejan. La revolución digital, el internet de las cosas, hace que todo y todos estemos interconectados y son muchos los peligros que conlleva, puesto que en muchas ocasiones el diseño de productos y servicios no tiene en cuenta los peligros que conlleva la red: suplantación de identidad, ataques de denegación de servicio, ramsonware o ciberextorsión, pirateo de bases de datos, por citar sólo unos pocos».

La larga lista de los "otros riesgos"

Los expertos selañan que los riesgos están cada vez más interconectados ya que son geopolíticos, reputacionales, financieros, revolución digital, cibernéticos, medioambientales, de gobernanza y regulatorios, entre otros. De modo que aconsejan a las empresas convertir todos estos riesgos en parte de la estrategia, de tal modo que se identifiquen los riesgos, se midan y en la medida de lo posible se conviertan en una ventaja estratégica ya que, de los contrario, las empresas corren riesgo serio de desaparecer ya que a más velocidad de los cambios, sobre todo tecnológicos, hay mayores riesgos por lo que se requiere una toma de decisiones cada vez más rápida. Estas son las razones por las que las empresas contratan cada vez más ingenieros, expertos en telecomunicaciones e informáticos para aumentar su capacidad de reacción ante los nuevos retos.