10 preguntas para saber si cumplimos la seguridad del RGPD

La confidencialidad, integridad y disponibilidad de los datos, los tres pilares de la seguridad se citan junto con la resiliencia, dentro del Reglamento General de Protección de Datos. Concretamente el artículo 32 nos dice que “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. Entre las medidas propuestas por el propio reglamento, se incluyen las dirigidas a garantizar los pilares de la seguridad antes citados.

El Reglamento ha tenido pocos reparos en introducir gran cantidad de conceptos de seguridad y riesgos, en un sólo artículo, y que viene a sustituir el antiguo Real Decreto 1720/2007 el cual desarrollaba la anterior LOPD del año 1999. El Real Decreto apuntaba una serie de medidas de seguridad que debían aplicarse en función del nivel de seguridad de los datos personales. Sin ser muy exhaustivo, comprendía un catálogo de controles que debíamos aplicar en cualquier caso, pudiendo aumentar la seguridad si lo estimábamos necesario.

¿Y qué ha pasado con ese catálogo? ¿Se ha esfumado la necesidad de aplicar medidas de seguridad en el RGPD? Llama la atención que muy pocas empresas inquieran sobre este asunto, centrándose en la parte más jurídica y documental para cumplir con la normativa de protección de datos. Pues bien, la respuesta se encuentra condensada en el artículo 32 del RGPD. En ningún caso dice que las medidas de seguridad sean opcionales o hayan desaparecido del cumplimiento, más bien todo lo contrario. Con buena intención, el Reglamento permite que las medidas de seguridad sean aplicadas en base a los riesgos detectados, a los problemas que puedan derivarse del tratamiento de los datos y, atención, a los costes de aplicación y posibilidades de cada organización. Aquí entramos en la necesidad de evaluar qué medidas de seguridad disponemos, si son suficientes para garantizar los tres pilares de la seguridad de los datos personales, hasta qué punto podemos invertir en ello, y qué riesgos acechan a nuestros datos.

Estas preguntas o reflexiones, rara vez se las formulan los empresarios, sea cual sea su modelo de negocio, y por ello nos vemos muchas veces con incumplimientos muy peligrosos del propio RGPD. Y lo que es pero, muchos de ellos son irremediables ante un incidente, una brecha de seguridad, o una inspección de la Agencia de Protección de Datos.

Vamos a formularnos una serie de preguntas, para verificar si hemos tenido en cuenta la seguridad de los datos personales, en nuestro proceso de adecuación y mejora continua, expresado en el principio de responsabilidad proactiva del RGPD.

• ¿Disponemos de una política de seguridad, y procedimientos que la desarrollen, que sea de obligado cumplimiento en la empresa?
• ¿Hemos realizado un análisis de los riesgos de seguridad en los datos personales?
• ¿Aplicamos la encriptación o seudonimización de los datos, cuando lo estimemos necesario?
• ¿Disponemos de tecnología para detectar intrusiones en nuestros sistemas?
• ¿Si ya la disponemos, ¿nos garantiza la probatoria ante un posible juicio?
• ¿Revisamos periódicamente las políticas y procedimientos, así como la implantación de las medidas de seguridad?
• ¿Garantizamos que los datos puedan ser recuperados tras un incidente?
• Sobre lo anterior, ¿hemos analizado nuestras verdaderas necesidades respecto a las copias de seguridad?
• ¿Controlamos correctamente los accesos de los trabajadores, colaboradores, etc., a la información de nuestra empresa?
• ¿Formamos a nuestros trabajadores, en cuestiones relacionadas con la ciberseguridad?

Estos son solamente unos ejemplos de las cuestiones que debemos preguntarnos, a la hora de afrontar la implantación de medidas de seguridad. Y debemos decir que al no existir un catálogo de medidas preestablecidas, puede ser difícil dar con la tecla correcta. En este sentido, ya se pronunció la Agencia Española de Protección de Datos, en su Procedimiento E/08205/2019. Es un claro ejemplo de qué sucede tras un incidente se seguridad, y cómo la AEPD tiene en cuenta las medidas aplicadas antes del suceso, no después. El procedimiento valora muy positivamente la aplicación de los estándares ISO 27001 e ISO 27002, y su seguimiento de implantación, como prueba de que el incidente fue eso, un accidente. La empresa denunciada pudo demostrar una certera gestión de la seguridad a través de estas normas internacionales, como hubiera podido ser cualquier otro estándar, y su actuación fue ajustada al RGPD.

En conclusión, no debemos olvidar la seguridad de los datos es un requisito indispensable y crítico para el cumplimiento del RGPD, y normativa de desarrollo. Se ha pasado de un catálogo de medidas concretas, a una libertad de apreciación y aplicación de estas. Aunque pueda parecer una ventaja, al final se transforma en una mayor responsabilidad, en una necesidad de atención continua, en un instrumento más para la empresa.

Xavier Ferretjans

Director de BINAURAMONLEX

xferretjans@binauramonlex.com