La obligatoriedad que la nueva norma europea sobre protección de datos impone a las empresas de hacer públicas las violaciones de seguridad que sufran y a comunicárselo también a los usuarios afectados en un plazo de 72 horas, hará crecer considerablemente, según la consultora española Grupo CMC, las inversiones en soluciones de seguridad en nuestro país. Concretamente, y según CMC, durante este año este segmento de mercado crecerá en torno a un 20% y un 25% en 2017.
Esta obligatoriedad de informar la recoge la nueva regulación de la Unión Europea (UE) en materia de protección de datos o Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que fue aprobado el pasado mes de abril y entrará en vigor en nuestro país en mayo de 2018, supone para las empresas enfrentarse a los graves perjuicios derivados por un hecho de estas características para su imagen y la reputación de su marca. Además, de ello, las organizaciones también se enfrentan a fuertes sanciones cuyo importe puede llegar a ser el 4% de la facturación.
La nueva normativa europea traslada el foco de la seguridad desde el eje de las infraestructuras (redes, firewalls, etcétera), entorno en el que hasta ahora se han concentrado las inversiones, al eje de las personas (gestión de identidad y accesos), que no ha sido siempre atendido debidamente, en opinión de Grupo CMC.
Así mismo GDRP incide en la gestión del cumplimiento normativo y exige a las empresas el registro preventivo de evidencias del cumplimiento para demostrarlo ante la administración pública, si quieren eludir las multas en caso de un ataque.
Este cambio de paradigma se deriva de la doble necesidad que supone la aplicación del GDPR y que implica, por un lado, realizar una gestión preventiva de la privacidad y la seguridad de los datos; y, por otro lado, acreditar el cumplimiento y la gestión de responsabilidades. Ambos requerimientos surgen de los principios ‘Privacy by design’ y ‘Accountability’ que introduce la norma.
Según el director de la unidad de Tecnologíal de Grupo CMC, Emeterio Cuadrado, “GDPR da una vuelta de tuerca a la responsabilidad que tienen las empresas de garantizar una gestión eficaz y responsable de los datos al exigir una gestión preventiva y una supervisión eficaces que, de no cumplirse y sufrir un ataque, puede traducirse en sanciones muy severas, sin olvidar el perjuicio de difícil reparación para su imagen”.
Con ese objetivo, Grupo CMC ha lanzado al mercado una solución global que permite a la empresa disponer de una visión clara de su situación y requerimientos, y determinar qué debe mejorar, cuál es el camino adecuado de evolución y qué acciones e inversiones debe realizar para alcanzar dar respuesta a los requisitos identificados.
Cabe destacar que este servicio de Grupo CMC incluye la evaluación en el entorno del cliente de la tecnología de seguridad y control de acceso, y cubre la identificación de los requerimientos para dar cumplimiento a las exigencias de la normativa. En este sentido y para los clientes que soportan estos procesos en tecnología Oracle, Grupo CMC ha alcanzado un acuerdo de colaboración con Oracle y la compañía UBT Compliance, especialista jurídico en cumplimiento normativo.
Nace el DPO o Delegado de Protección de Datos
Otra de las novedades más relevantes que introduce el GDPR es la gestión del cumplimiento de la norma, por lo que las empresas públicas y aquellas que manejen datos de categoría especial a gran escala (origen étnico, racial, ideología, genéticos, de salud, etcétera), deberán designar un delegado de protección de datos o DPO, por sus siglas en inglés. Esta nueva figura, que puede ser interna o externa, se encargará de informar y asesorar sobre obligaciones, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como interlocutor con los titulares de los datos.
Según Cuadrado, “el GDPR obliga a las compañías a aportar evidencias sobre la protección del uso de datos privados de las personas que intervienen en su negocio, lo que les exige dotarse de las soluciones tecnológicas necesarias, garantizar que la seguridad es parte de sus requerimientos desde la fase de diseño de sus soluciones y poner en marcha planes específicos de concienciación interna de sus empleados”.