Ruth Sala, abogada penalista especializada en delincuencia informática, participará en la mesa debate ‘La implantación de políticas de Ciberseguridad en las corporaciones’ dentro del III Congreso de Seguridad Privada en Euskadi. En esta entrevista analiza las novedades que el Reglamento General de Protección de Datos implica en lo que a la ciberseguridad se refiere. Asimismo apuesta por la formación tanto a nivel social como profesional para fomentar un mayor respecto al uso que se realiza de los datos personales.
-¿Qué cambios introduce el RGPD en lo relativo a ciberseguridad?
Los cambios que introduce, se centran, de forma novedosa, en el tratamiento de los datos del usuario desde el punto de vista del riesgo que supone para sus derechos y libertades. Se tiene en cuenta la necesidad de efectuar una evaluación de impacto previa al tratamiento de los datos, en la cual se puedan determinar las medidas de seguridad técnica que deban ser implantadas. Se establece de forma obligatoria la previsión de las medidas a seguir en cuanto a la cantidad de datos a tratar, la extensión de tratamiento, los periodos de conservación y la accesibilidad de los mismos, todo ello desde el diseño inicial.
Introduce también, como novedad, el supuesto en el que, un responsable de tratamiento, si ha tratado los datos, de manera que por el cifrado aplicado es ininteligible, no tendrá obligación de comunicar al organismo de control, que ha sufrido una vulneración de su seguridad.
– ¿Cuáles son las responsabilidades legales que asume una empresa que sufre un robo masivo de datos por un ciberataques, según el nuevo RGPD? ¿Y los responsables de esa organización?
Las responsabilidades que asume una empresa por haber sufrido una vulneración de su sistema y el consecuente robo de información, podría derivar en sanciones administrativas, sanciones penales, si pudiera derivarse de un acto ilícito cometido por empleado, directivo o representante legal, e incluso las medidas de responsabilidad civil por daños y perjuicios.
– ¿Qué sucede si se incumple la obligación de notificar ese ciberataque a las autoridades competentes?
Según el RGPD, la obligación de comunicar la vulneración de la seguridad se encuentra en el artículo 33. Las sanciones podemos encontrarlas en el artículo 83.4 a) , pudiéndonos enfrentar a sanciones administrativas de hasta 10 millones de euros o, incluso, tratándose de una empresa, podría enfrentarse a una sanción correspondiente al 2% de la facturación. Habrá que estar a la Jurisprudencia que se vaya creando al respecto para la valoración y cuantificación de las sanciones a este respecto.
-¿Qué medidas debe poner en marcha para evitar sanciones?
Para la evitación de las sanciones, deberá efectuarse previamente, y de forma obligada, una evaluación de impacto acerca de los potenciales riesgos que pudieran sufrirse en los tratamientos de los datos. Dado que la línea de creación del nuevo Reglamento responde a la necesidad de proactividad de los responsables del tratamiento de la información, podríamos decir que sólo la evaluación de impacto, como un ejercicio técnico de valoración, no será suficiente. Habrá que implementar, además, todas aquellas medidas que de forma razonable se vean adecuadas y necesarias con la evaluación, incluso más allá.
– ¿Están preparadas las empresas para ese cambio de paradigma?
Estamos en un proceso de adaptación. Se está concienciando al profesional y al empresario de la necesidad de dar cumplimiento a un Reglamento que devendrá obligatorio el 25 de mayo de 2018. Anteriormente, flotaba la sensación de que había que proceder a implementar programas de cumplimiento de protección de datos pero esa implementación parecía más laxa. Ahora, la premura que se transmite es otra, y la obligación a tener conciencia de ello también.
– ¿Qué labor hay que realizar en este sentido?
Las instituciones públicas que fomentan la ciberseguridad entre la población civil, administrativa y especialmente, dentro del sector empresarial, deberían continuar con programas formativos, de ayuda y de facilitación de guías de elaboración de la documentación interna para las empresas. Es fundamental la colaboración, en el mismo sentido, de todos los Colegios Profesionales de Ingenieros Informáticos, Telecomunicaciones, Abogados y Consultores vinculados a este ámbito de actuación profesional. Habría que seguir formando al ciudadano-usuario acerca de los derechos que tiene sobre sus propios datos para que pueda manejarse con naturalidad siempre que requiera de diferentes productos y servicios.
