Por Christian Toon. Director de Seguridad de la Información en Iron Mountain Europe

 

El pasado mes de enero, Viviane Reding, Vicepresidenta de la Comisión Europea y responsable de Justicia, perfiló los planes para mejorar los derechos de protección de datos para los particulares en toda Europa e incrementar la responsabilidad de las empresas y organizaciones que manejan datos con información sobre ciudadanos europeos. El borrador de la normativa refleja una creciente preocupación por la forma en que se obtienen, gestionan y almacenan los datos de carácter personal en un entorno tecnológico cada vez más complejo. Si se aprueba, la nueva legislación afectaría a todas las organizaciones – públicas o privadas – que operen en Europa. Las reacciones, de momento, son variadas: muchas empresas están preocupadas por el coste y los procesos que deberían poner en marcha. ¿Cómo afectará esto a las empresas españolas?

Confiamos a las empresas y a la administración nuestros datos más personales. A cambio, tenemos derecho a esperar que estos datos se traten cuidadosa y responsablemente. Sin embargo, a pesar del creciente control por parte de las autoridades y de los medios de comunicación, y el consecuente aumento de denuncias por importantes fallos en la gestión de datos de carácter personal, empresas en toda Europa siguen perdiendo, destruyendo por equivocación o gestionando erróneamente datos personales y confidenciales. Los ciudadanos europeos están cada vez más preocupados por saber quién tiene información sobre ellos y si ésta se gestiona de forma segura. Y tienen derecho a ello.

Viviane Reding, Vicepresidenta de la Comisión Europea y responsable de Justicia, ha decidido que ya es hora de revisar la legislación para la protección de datos. Su borrador “European Data Protection”, presentado en enero, quiere introducir reglas y normas más estrictas que fomenten la protección y la privacidad de los particulares y que incrementen la responsabilidad de las organizaciones a la hora de manejar nuestros datos. El objetivo es que estas normas se implementen de forma consistente y clara en  todos los estados miembros de la Unión Europea, regulando también a todas las organizaciones fuera de Europa que tengan operaciones con la UE.  

La nueva legislación sustituirá a la Directiva de Protección de Datos de la UE 95/46, parte importante de la ley de privacidad y derechos humanos de la UE, bajo la que organismos tanto públicos como privados han venido operando desde hace trece años.

La legislación sería una buena noticia para empresas y sector público por numerosos motivos. En primer lugar, reduciría los requisitos burocráticos necesarios para cumplir la ley, unificando las normas de “compliance” en toda Europa. Al mismo tiempo, exigiría un mayor grado de responsabilidad por parte de las empresas a la hora de proteger y reconocer brechas de datos, introduciendo multas más duras para aquellas que no acaten los requisitos legales. Esto no sería malo. Los responsables de las organizaciones tienen que actuar para parar el flujo de información confidencial que sale de las mismas. Hay que implementar políticas y procedimientos correctos lo antes posible. A menudo parece que las empresas intentan ocultar sus fallos y ha llegado el momento de que alguien haga algo para levantar la tapa.

En concreto, el borrador de la propuesta de la UE incluye cuatro requisitos que, en el caso de que se adoptaran, tendrían un impacto de largo alcance en todas las organizaciones que operan en Europa. El primero es la notificación obligatoria de las brechas de datos. Implica que las autoridades responsables de la protección de datos – en España, la Agencia Española de Protección de Datos – y todos los particulares afectados tienen que ser notificados en un plazo de 24 horas acerca de una brecha en la seguridad de los datos, incluyendo destrucción no autorizada o pérdida de los mismos. Las autoridades para la protección de datos tienen que ser notificadas aunque los datos no hayan sufrido daños ni hayan estado en peligro.

Este requisito hace que surjan cuestiones importantes como la necesidad de definir cuándo hay una brecha: ¿cuando se pierde solo un archivo, por ejemplo?, ¿habría un periodo más largo de tiempo límite si la brecha de datos significara la pérdida de millones de datos de clientes? También surge la cuestión de si las empresas y organismos públicos serán capaces – y querrán – auto regularse.

El segundo requisito implicaría que todos los organismos públicos y las empresas privadas de más de 250 empleados deberían tener un responsable de protección de datos. Esto significaría recursos, formación y contratación de personal. Una opción podría ser dar esta responsabilidad a un empleado con la formación adecuada.

En tercer lugar, la propuesta abre el camino para multas más elevadas. Según el borrador, las autoridades regulatorias tendrían la capacidad de imponer multas de hasta un millón de euros – o el 2% de la facturación en empresas privadas – si incurren en incumplimiento de la normativa. Que la UE esté lista para poner este nivel de penalizaciones indica con qué seriedad se está tomando el tema de la protección de datos.  

Por último, el borrador quiere dar a los particulares el “derecho al olvido”. Esto quiere decir, esencialmente, que las personas deberían tener más control sobre sus datos y permitirles que reclamen la eliminación o borrado de sus datos personales de cualquier organismo que los tenga. Si esto fuera adelante, este requisito tendría enormes implicaciones en cuanto a recursos dentro de las organizaciones y sería de una compleja implementación, especialmente en relación al ámbito de las redes sociales.

Queda por ver cuánto de lo que contiene la propuesta se aprobará finalmente, pero el anuncio de los planes ha dado a los organismos y empresas europeas una valiosa oportunidad de revisar y mejorar sus políticas de gestión de la información. Hay que aprovechar la oportunidad. Una vez la legislación de la UE esté finalizada y se aplique, será demasiado tarde.

1 Comentario

  1. Buenos días,

    me gustaría hacer algunos comentarios sobre los puntos comentados:

    – sobre la notificación de la existencia de una brecha de datos, creo que es una medida correcta, aunque también creo que se está haciendo mucho trabajo de lobby para suprimirla. Conviene recordar que hablamos de datos personales y que cualquier brecha puede ser significativa.

    – referente al tema del responsable de protección de datos, que incluye la supresión de la necesidad de notificar ficheros, es una figura con tradición en países como Alemania, donde en la actualidad es obligatorio a partir de 9 empleados, por lo tanto esa medida sería un retroceso.Cabría plantearse si no sería mejor un sistema mixto donde se pudiera escoger entre notificar o tener responsable de protección de datos. La cifra de 250 empleados sin hacer referencia al volumen de datos tratados carece de sentido.

    – sobre las multas, pese a que no me parece mal, creo que su efectividad es limitada. En nuestro país las multas son mucho más altas que en otros países y el nivel de cumplimiento de la ley es ridículo.

    – derecho al olvido, especialmente si se considera su relación con las redes sociales, creo que es de vital importancia.

    Un saludo,

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.