El marco regulatorio europeo, a punto de cambiar profundamente II

Tal y como comentábamos en la primera parte del artículo, con la aprobación del Reglamento General de Protección de Datos de la Unión Europea (RGPD), entre otras cosas se exigirá a las compañías que revelen públicamente las brechas de privacidad a las autoridades nacionales de protección de datos y, cuando la amenaza de daño sea sustancial, tendrán que comunicárselo también a las personas afectadas. De lo contrario, podrían producirse multas de hasta el 4% de la facturación global de una empresa.

Esta ola de cambios en la obligatoriedad de informar de las empresas supondrá importantes ramificaciones para los gobiernos, las empresas y los consumidores de toda Europa, y pretende extender su alcance más allá de las fronteras de la UE.

JURISDICCIÓN DE GRAN ALCANCE

Como ya mencionamos, Jan Philipp Albrecht, miembro del Parlamento Europeo de Alemania y relator del RGPD, refleja con sus declaraciones las sorprendentes aspiraciones de los políticos europeos al aprobar esta nueva regulación: "El RGPD no solo cambiará las leyes europeas de protección de datos, sino que cambiará el mundo entero tal y como lo conocemos”.

El RGPD pretende extender su alcance más allá de las fronteras de la UE a cualquier empresa que pueda recopilar o procesar "datos personales" de un individuo sujeto a la jurisdicción de esta comunidad (conocido como "EU data subjects"). La extensión de la protección de datos, más allá de las fronteras de la UE, refleja que la protección de privacidad de los datos debería aplicarse donde quiera que viajen los mismos.
En la práctica, la amplia disposición relativa a la jurisdicción indica una clara esperanza de que las complejas regulaciones del RGPD tendrán un impacto global.

EVALUACIONES DE IMPACTO DE PRIVACIDAD

Las empresas deben tener en cuenta que las autoridades reguladoras y las personas pueden realizar consultas sobre cómo se están procesando los datos. Además,  las personas pueden objetar cualquier recopilación de sus datos realizada sin un fundamento adecuado y pueden exigir la corrección de información inexacta. Las empresas deben realizar las llamadas "evaluaciones de impacto de datos" antes de recopilar los mismos.  Asimismo, el RGPD proporciona orientación sobre las prácticas para proteger datos, como la "seudonimización", cifrado, evaluaciones periódicas de controles técnicos y planes de respuesta a incidentes que representen el mantenimiento de la confidencialidad e integridad de los datos.

EL CONSENTIMIENTO AFIRMATIVO Y EL DERECHO AL OLVIDO

El RGPD deja claro que ninguna empresa puede recopilar datos personales sin antes notificar a los usuarios sobre cómo se almacenarán, protegerán y compartirán sus datos con terceros. Para recopilar datos personales, la empresa primero debe obtener el consentimiento "individual, específico, informado e inequívoco" de la persona. Para esto, el RGPD requerirá que los usuarios den su consentimiento haciendo clic afirmativamente en un aviso de consentimiento u optando por configuraciones técnicas específicas que permitan la recopilación de datos.

Por último, el RGPD establece el “derecho al olvido". Ya reconocido por los tribunales europeos y algunos Estados miembros, este tipo de derecho  permite a los interesados exigir que sus datos personales sean borrados y ya no sean utilizados para ningún procesamiento.

LA DIRECTIVA NIS

Para centrar la atención en las debilidades específicas con respecto a las  infraestructuras críticasl, la UE promulgó por separado la Directiva NIS (Network Information Security Directive) para la seguridad de redes y sistemas de información. Esta Directiva también está previsto que entre en vigencia en 2018 e impondrá obligaciones adicionales a los estados miembros de la UE y operadores de infraestructuras para elevar la base de sus capacidades de ciberseguridad. Por ejemplo, la Directiva NIS requerirá que todos los estados miembros tengan una estrategia de ciberseguridad, una autoridad nacional competente y equipos nacionales de respuesta ante incidentes cibernéticos.

Cabe destacar que varias naciones de la UE ya han demostrado un liderazgo inmediato en este aspecto. Por ejemplo, Alemania anunció la creación de una Fuerza de Reacción Rápida móvil como parte de su Oficina Federal de Seguridad de la Información. Y las empresas ya cuentan con que las autoridades reguladoras y las personas pueden realizar sus consultas sobre cómo se están procesando los datos.

Marsh estudió la percepción sobre el riesgo cibernético en más de 750 de sus clientes en toda Europa Continental en el otoño de 2016. El estudio concluyó que, si bien los acontecimientos importantes, las iniciativas gubernamentales y la legislación han llevado la ciberseguridad a la vanguardia, se necesita trabajar mucho más en ella.

En este mismo estudio, Marsh descubrió que el porcentaje de empresas que indicaban haber evaluado a los "proveedores clave" de riesgo cibernético disminuyó del 23% en 2015 al 20% en 2016. Como han demostrado numerosos ciberataques en EE. UU., y en otros lugares, los piratas informáticos obtienen acceso a empresas más grandes cuando inician ataques contra proveedores más pequeños, como podrían ser empresas de aire acondicionado o de comida para llevar.

En general, la conciencia sobre el riesgo que representan los ciberataques, aunque aumenta, sigue siendo baja. El porcentaje de empresas que dice tener una sólida comprensión de su postura sobre el riesgo cyber aumentó del 21% en 2015 al 31% en 2016. Del mismo modo, las empresas que consideran la ciberseguridad como uno de los cinco primeros riesgos aumentaron del 17% en 2015 al 32% en 2016, y el porcentaje de empresas que ni siquiera incluyeron el ciberriesgo en su registro de riesgos disminuyó del 23% en 2015 al 9% en 2016.

Y la conclusión de todos estos aspectos que tendremos que asimilar de ahora en adelante es que, a pesar de este progreso, las empresas europeas, al igual que sus homólogos en todo el mundo, tienen un largo camino por recorrer para seguir el ritmo de la cambiante amenaza y el entorno regulatorio.