Euroefe
 
Euractiv

Ciberseguridad: un nuevo marco regulador para proteger a los europeos

IDEAS | 28 de enero de 2017

Competición "European Cyber Security Challenge", celebrada en Lucerna, Suiza, el 21 de octubre de 2015. (Foto Archivo: EFE-EPA/Urs Flueeler)

En el Día europeo de la seguridad de los datos, los profesores Javier Jarauta, Rafael Palacios y Javier Santos, de la Universidad Pontificia Comillas de Madrid, explican, en esta tribuna para Euroefe la nueva piedra angular de la legislación vigente en la Unión Europea en materia de protección de los datos personales.

(Las opiniones vertidas en esta tribuna reflejan exclusivamente la posición de sus autores y no pueden ser atribuidas a EuroEFE.euractiv.es ni a ninguno de los asociados de la red europea de EurActiv ni a EFE).

El uso de nuestros datos personales es una preocupación creciente en la sociedad. Cada vez existe más sensibilización por la naturaleza de los datos que se están recogiendo sobre nuestra actividad diaria, nuestros hábitos de consumo, y los detalles sobre el uso que hacemos de las nuevas tecnologías. Pero este año, en el Día de la Protección de Datos en Europa (28 de enero), debemos celebrar que hace menos de un año nació el nuevo Reglamento General de la Protección de Datos.

El Reglamento General de Protección de Datos, (Reglamento UE 2016/679 de 27 de abril de 2016), es la nueva piedra angular de la legislación vigente en la Unión Europea en esta materia, y ha sido promulgado por la imparable y rápida evolución tecnológica que estamos experimentando, la cual está provocando nuevos retos para la protección de datos de carácter personal. Adicionalmente tiene como objetivo hacer frente a los nuevos riesgos tecnológicos y ciberamenazas que aparecen diariamente, y que atacan frontalmente a la seguridad y confidencialidad de la información en su sentido más amplio.

Todo un acto legislativo de la UE que busca:

  • Una armonización real y efectiva en toda esta materia dentro de los países miembros, reduciendo la actual fragmentación y ofreciendo una mayor seguridad jurídica.
  • La mejora de la protección de los derechos fundamentales de las personas y la contribución al mejor funcionamiento del mercado interior en un mundo globalizado.
  • Un enfoque global y de derecho aplicable, aumentando la transparencia del proceso.
  • Un refuerzo de los derechos de las personas, los organismos de Supervisión y Control y el papel de los responsables del tratamiento, minimizando la burocracia.

Uno de los elementos que persigue el Reglamento es crear un marco general y coherente que abarque todos los ámbitos de competencia de la Unión, incluida la cooperación policial y judicial en materia penal.

Entre las principales novedades que ofrece el nuevo Reglamento con respecto al anterior, que data de 1995, encontramos las siguientes:

  • Enriquecimiento del deber de informar a los interesados y obligatoriedad del consentimiento expreso frente al tácito.
  • Necesidad de evaluar los riesgos asociados al tratamiento y facilitar a los usuarios la portabilidad de sus datos.
  • Creación de la figura del DPO (Data Privacy Oficer).
  • Desaparece la obligatoriedad de notificar los ficheros a la Agencia de Protección de Datos.
  • Aparece la obligatoriedad de notificar a la AEPD y a los interesados las violaciones de seguridad y los incidentes de ciberseguridad.
  • Aumento notable de la cuantía de las sanciones.

La obligatoriedad de comunicar las incidencias de seguridad es una de las novedades más destacables y que mayores repercusiones va a tener.

Hoy en día los temas vinculados a ciberataques acaparan una buena parte de la agenda informativa, y sin embargo son muy pocos los ataques que se terminan haciendo públicos. Por un lado los atacantes son cada vez más cuidadosos en ser descubiertos, y tenemos como ejemplo reciente y llamativo que los robos de contraseñas de usuarios de los servidores de Yahoo! que se acaban de descubrir tuvieron lugar hace años.

Aunque también ocurre que se descubren ciberataques a diario, pero las entidades afectadas se apresuran a corregir las vulnerabilidades sin comunicar la incidencia.  Esta manera de actuar protege la imagen de estas entidades, pues no se hace público su ataque, pero en cierto modo deja desprotegido al usuario, que no es consciente de que sus datos o sus claves puedan estar siendo utilizados por Internet. 

Según el informe publicado por la consultora KPMG (Cyber security: a failure of imagination by CEOs), la mayor preocupación de un CEO es la fidelidad de sus cliente y sin embargo menos de un tercio declara que la ciberseguridad es el aspecto de mayor impacto en la compañía.

La fragilidad de muchas compañías y Administraciones Publicas en cuestiones de ciberseguridad y el perfeccionamiento de los ciberataques, hace que las incidencias crezcan cada año. Además, la dificultad, o imposibilidad en muchos otros casos, de identificar a sus autores y llevarlos frente a la justicia, hace muchos atacantes no vean un gran riesgo en sus acciones.

El nuevo escenario regulador esperemos que sitúe a Europa y a sus ciudadanos en un marco de protección acorde con los riesgos presentes y futuros de un mundo globalizado.

Para saber más:

► Javier Jarauta, Rafael Palacios y Javier Santos son profesores de Seguridad en el Programa de Ingeniería de Telecomunicación del  ICAI, Universidad Pontificia Comillas de Madrid. Además, Javier Jarauta es Director de Consultoría en la empresa de seguridad SIA y Javier Santos es Director en el área de IT Advisory en la consultora KPMG.

Ideas

Acepto Utilizamos cookies propias y de terceros para mejorar nuestros servicios, mostrarle publicidad relacionada con sus preferencias, realizar análisis estadísticos sobre los hábitos de navegación de nuestros usuarios y facilitar la interacción con redes sociales. Si continua navegando consideramos que acepta el uso de cookies.