Cumplimiento Normativo en Ciberseguridad: ¿Cumple tu empresa con las Regulaciones Vigentes?
Hoy en día, gran parte de las actividades empresariales y relaciones comerciales se realizan y mantienen a través de sistemas de información. Compras en comercios electrónicos, acuerdos comerciales en los que se comparten contratos por correo electrónico y se almacenan en servidores empresariales, páginas web a través de las cuales se pueden comunicar los visitantes con la empresa y esta conocer datos privados, utilización de firmas digitales, etc. Todas estas acciones implican el tratamiento y la protección de datos sensibles que deben ser garantizados por las empresas para proteger los derechos de las empresas y las personas involucradas en estas relaciones.
Al igual que otras leyes, las empresas en el marco europeo deben cumplir con una serie de regulaciones y legislaciones específicas del mercado europeo, adaptadas a cada país. En este artículo, veremos qué leyes se deben cumplir en materia de ciberseguridad y las consecuencias de no cumplirlas.
RGPD y LOPDGDD
Las dos primeras normativas de las que vamos a hablar las responsables de regular y legislar la protección y tratamiento de los datos. El Reglamento General de Protección de Datos o RGPD es el reglamento europeo en vigor desde el 25 de mayo de 2018 que busca proteger a los individuos en relación a su tratamiento de datos personales y cómo circulan por diferentes canales, entre el que destaca internet, entre las diferentes empresas. Esta ley establece tanto los derechos que tienen los ciudadanos de la Unión Europea como las obligaciones que tienen que tener las empresas que se encuentran dentro de este marco.
Antes de ver en que consiste exactamente el RGPD es importante tener claro el concepto de dato. Los datos personales son cualquier información que identifique o pueda identificar a una persona física. Incluyen desde nombres y apellidos hasta datos biométricos y de salud. La LOPDGDD y el RGPD también protegen datos seudonimizados, es decir, aquellos que pueden identificar a una persona mediante información adicional separada y protegida. Por ejemplo, documentos separados con el que diferentes identificadores permiten establecer relaciones entre los mismos documentos identificando a la persona y sus datos.
Reglamento General de Protección de Datos RGPD
Un pequeño resumen de los derechos individuales que establecen en el RGPD sería el siguiente:
- Acceso más sencillo a los datos personales: Se proporciona más información sobre el tratamiento de los datos y se garantiza que esta información esté disponible de forma clara y comprensible. El objetivo de este punto es tener una total trasparencia de cómo y para qué se almacenan los datos.
- Derecho a la portabilidad de los datos: Facilita la transferencia de datos personales entre proveedores de servicios.
- Derecho de supresión (derecho al olvido): Permite que una persona solicite la eliminación de sus datos cuando no haya una razón legítima para conservarlos.
- Derecho a ser informado sobre violaciones de seguridad: Las empresas deben notificar a la autoridad de control y, en caso de violaciones graves, a las personas afectadas.
Para que estos derechos se cumplan y las personas garanticen su privacidad, así como para que las empresas puedan usar los datos de manera correcta se establecen una serie de normas a cumplir para todas las empresas que operan en el mercado interior de la UE:
- Figura del delegado de protección de datos (DPO): Obligatorio para
- Autoridades y Organismos Públicas
- Empresas que procesan datos a gran escala como empresas de marketing y publicidad que gestionan datos de comportamiento o geolocalización a gran escala.
- Datos sensibles: Datos de salud, biométricos, genéticos, infracciones penales, datos sociológicos como origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, etc.
- Ventanilla única: Las empresas solo deben tratar con una única autoridad de control en el estado miembro donde tienen su establecimiento principal, facilitando la gestión de casos transfronterizos.
- Normas para empresas fuera de la UE: Estas empresas deben cumplir con las mismas normas cuando ofrecen productos o servicios en la UE o supervisan el comportamiento de personas en la UE.
- Promoción de la innovación: Integración de salvaguardias de protección de datos en productos y servicios desde el diseño y por defecto.
- Técnicas respetuosas con la privacidad: Se fomenta el uso de seudonimización con identificativos artificiales (por ejemplo, IDs anónimos) y cifrado de la información para proteger los datos.
- Eliminación de notificaciones: Se eliminan la mayoría de las obligaciones de notificación y los costes asociados, facilitando la libre circulación de datos en la UE.
- Evaluaciones de impacto: Obligatorias cuando el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de las personas.
- Mantenimiento de registros: Las pymes no están obligadas a mantener registros a menos que las actividades de tratamiento sean regulares, si pueden ocasionar riesgo para los derechos y libertades o incluyan datos sensibles.
- Herramientas para transferencias internacionales de datos: El RGPD ofrece instrumentos como decisiones de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes, códigos de conducta y certificación para transferir datos fuera de la UE.
Por tanto, la RGPD se centra en garantizar y mejorar los principios de la protección de datos de transparencia, licitud, limitación de la finalidad, minimizar los datos que se recopilan, conservación de datos necesaria y que se mantengan protegidos y seguros.
Además, para cumplir con el RGPD, las empresas deben adoptar una postura proactiva en la protección de datos donde se garantice el cumplimiento de la normativa y además deben realizar análisis de riesgos de privacidad, identificando y mitigando posibles amenazas a la protección de datos personales. Este proceso incluye:
- Identificación de los Datos: Determinar qué datos se recopilan y procesan.
- Evaluación de Amenazas: Identificar posibles riesgos y su impacto.
- Implementación de Medidas: Establecer controles para mitigar los riesgos identificados.
LOPDGDD: Matices y Mejoras
La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) complementa y desarrolla el Reglamento General de Protección de Datos (RGPD) en España, introduciendo mejoras y regulaciones específicas que reflejan las particularidades del contexto español. A continuación, se detallan algunos de los aspectos clave que esta ley aborda:
- Derechos Digitales: La LOPDGDD amplía los derechos de protección de datos al ámbito digital, incluyendo el derecho a la desconexión digital en el ámbito laboral y la protección de menores en Internet.
- Delegados de Protección de Datos (DPO): La LOPDGDD especifica con mayor detalle las condiciones y requisitos para la designación de DPOs en España, alineándose con el RGPD pero adaptando ciertos aspectos a la legislación española.
- Medidas de Seguridad: Establece directrices adicionales para la implementación de medidas de seguridad en el tratamiento de datos, adaptadas a la realidad y necesidades específicas del entorno español.
- Régimen Sancionador: Aunque sigue las directrices del RGPD, la LOPDGDD define con más precisión las infracciones y sanciones aplicables en España.
- Tratamiento de Datos en el Ámbito Laboral: Regula de forma más específica el tratamiento de datos en el contexto laboral, incluyendo aspectos como el uso de sistemas de videovigilancia y la geolocalización de trabajadores.
- Tratamiento de Datos de Menores: La LOPDGDD establece la edad mínima para el consentimiento en 14 años, adaptando las exigencias del RGPD a la realidad española.
El incumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) puede resultar en sanciones significativas para las empresas. Estas sanciones no solo implican multas financieras, sino también daños a la reputación de las organizaciones.
Además, estas legislaciones imponen la obligación de notificar cualquier falla o fuga de datos personales. En España la autoridad de control competente es la Agencia Española de Protección de Datos – AEPD a la que se le debe notificar sin demora indebida y, en la medida de lo posible, dentro de las 72 horas posteriores a haber tenido conocimiento de la fuga, filtración o pérdida de datos.
Al imponer multas, las autoridades de protección de datos consideran varios factores, incluyendo:
- Gravedad y Duración de la Infracción: La naturaleza, gravedad y duración de la violación son elementos cruciales.
- Intencionalidad: Si la infracción fue intencional o resultó de negligencia.
- Medidas Adoptadas: Las acciones tomadas por la empresa para mitigar el daño y para evitar infracciones futuras.
- Grado de Cooperación: La cooperación de la empresa con la autoridad de protección de datos.
- Historial de Infracciones: Si la empresa tiene un historial de incumplimientos previos.
Algunos ejemplos de multas a causa de no cumplir con la normativa son:
LaLiga tuvo que pagar una multa de 250.000 euros por vulnerar el principio de transparencia debido a que la app móvil escuchaba a los usuarios a través del micrófono de sus dispositivos sin informarles adecuadamente ni obtener su consentimiento.
CaixaBank fue multada por diferentes causas relacionadas con el tratamiento de datos una de ellas fue en 2021 en la que la Agencia Española de Protección de Datos (AEPD) impuso una multa de 6 millones de euros a CaixaBank por dos infracciones: una muy grave y otra leve. La infracción muy grave de 4 millones de euros, fue por violar el artículo 6 de la GDPR sobre la licitud del tratamiento y cuando es posible recoger los datos. La infracción leve, con una multa de 2 millones de euros, fue por violar los artículos 13 y 14 de la GDPR, que exigen transparencia y claridad en la información proporcionada a los usuarios sobre el uso de sus datos personales.
Otra de 5 millones en el 2022 por un fallo de seguridad que supuso que la empresa infringiera las normativas de protección de datos al mostrar a terceros datos de las transferencias de sus clientes
Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE)
Otra de las leyes que deben cumplir las empresas y afectan a la privacidad y tratamiento de los datos es la LSSI-CE publicada en 2002 y con varias revisiones. Esta ley se centra en la protección de los derechos de los consumidores de servicios en online. Para garantizar el cumplimiento legal y evitar sanciones, es fundamental comprender sus requisitos.
En primer lugar, la ley diferencia entre prestadores de servicios de intermediación y empresas/ciudadanos que utilizan Internet con fines comerciales. Teniendo en cuenta esto un resumen de las obligaciones podría ser el siguiente:
1. Comunicaciones Comerciales
- Informar sobre el tratamiento de datos, obtener el consentimiento de los destinatarios y facilitarles el ejercicio de sus derechos.
- Identificar claramente las comunicaciones publicitarias.
2. Uso de Cookies
- Obtener el consentimiento previo para instalar cookies en los dispositivos de los usuarios, excepto en casos de cookies técnicas.
- Informar sobre el uso de cookies propias y de terceros, así como proporcionar una Política de Cookies.
3. Contratación de Servicios Online
- Informar sobre los trámites de contratación, almacenamiento y disponibilidad de documentos electrónicos, medios técnicos para corregir errores, idiomas disponibles y condiciones generales del contrato.
la LSSI-CE es una pieza clave en el entorno digital actual. Cumplir con esta legislación no solo es un requisito legal, sino también una forma de demostrar compromiso con la transparencia y la protección de datos de los usuarios para operar de manera segura y ética en el mundo digital.
Igual que ocurre con la GDPR y la LOPDGDD el incumplimiento de esta ley puede acarrear sanciones económicas que dependiendo de la gravedad la cuantía será diferente. Un ejemplo puede ser la sanción a Vueling en 2019 con una multa de 30.000 euros a la aerolínea por enviar correos electrónicos a clientes sin su consentimiento previo, violando la normativa de la LSSI-CE sobre comunicaciones comerciales no deseadas.
Ley de Propiedad Intelectual
La Ley de Propiedad Intelectual (LPI) establece un marco legal para proteger las obras de propiedad intelectual, incluyendo creaciones literarias, artísticas o científicas. Esta legislación, aunque no está directamente relacionada con la ciberseguridad, puede tener un impacto significativo en este ámbito. Veamos cómo:
Cumplimiento de Licencias de Software: Las empresas deben asegurarse de que todo el software utilizado esté debidamente licenciado. El uso de software sin licencia no solo puede infringir la ley de propiedad intelectual, sino que también puede exponer a la empresa a riesgos de ciberseguridad, ya que el software pirata podría contener malware o vulnerabilidades.
Prevención de Piratería Interna: Las empresas también deben proteger su propia propiedad intelectual interna. La falta de medidas de seguridad adecuadas podría facilitar la piratería interna, comprometiendo la integridad y confidencialidad de la propiedad intelectual y los datos sensibles de la empresa.
Control de Acceso y Monitorización de Redes: Implementar controles de acceso y sistemas de monitorización de red puede ayudar a prevenir la distribución no autorizada de contenido protegido por derechos de autor. Esto permite detectar y mitigar cualquier actividad sospechosa relacionada con la violación de la propiedad intelectual.
Ley de Seguridad Nacional
La Ley de Seguridad Nacional entró en vigor en 2015 y ha sido modificada en varias ocasiones para adaptarse a los cambios en el panorama de amenazas. Esta ley establece el marco general para la protección y defensa de la seguridad nacional, incluida la ciberseguridad.
Para cumplir con esta ley, se recomienda que las empresas implementen medidas de ciberseguridad robustas, como el uso de firewalls avanzados, sistemas de detección de intrusiones y programas de concienciación sobre seguridad para empleados. Por ejemplo, Banco Santander implementó sistemas avanzados de detección de amenazas en su red para protegerse contra ataques a gran escala.
Real Decreto de Medidas de Seguridad de los Sistemas de Información (RD 3/2010)
El Real Decreto de Medidas de Seguridad de los Sistemas de Información se implementó en 2010 y establece medidas mínimas de seguridad que las empresas deben tomar para proteger sus sistemas de información.
Entre las recomendaciones específicas de seguridad se incluyen la implementación de cifrado de datos sensibles, la configuración segura de redes y sistemas, y la realización regular de copias de seguridad y pruebas de penetración. Por ejemplo, Telefónica mejoró sus medidas de ciberseguridad después de un ataque de ransomware en 2017, fortaleciendo sus sistemas de detección y respuesta.
Ley de Firma Electrónica
La Ley de Firma Electrónica, en vigor desde 2003 con modificaciones posteriores, regula el uso de firmas electrónicas y certificados digitales para garantizar la autenticidad e integridad de las transacciones electrónicas.
Para garantizar la seguridad en transacciones electrónicas, se recomienda el uso de certificados digitales emitidos por autoridades de certificación confiables y la implementación de medidas de protección de clave pública/privada robustas.
En el post hemos visto diferentes leyes que aportan un conjunto específico de requisitos y recomendaciones que las empresas deben seguir para asegurar la protección de sus sistemas y datos. La implementación de estas medidas no solo evita sanciones legales y económicas, sino que también fortalece la resiliencia de las empresas ante las amenazas cibernéticas.
El cumplimiento con estas leyes es fundamental para:
- Prevenir Ciberataques: Implementar medidas de seguridad avanzadas reduce el riesgo de ataques cibernéticos, protegiendo la información confidencial y operativa.
- Mantener la Confianza de los Clientes: Proteger los datos personales de los clientes es crucial para mantener su confianza y lealtad.
- Evitar Sanciones: Las multas por incumplimientos pueden ser significativas y afectar gravemente la salud financiera de una empresa.
- Garantizar la Continuidad del Negocio: Una fuerte postura de ciberseguridad asegura la continuidad operativa incluso frente a incidentes de seguridad.
En resumen, las empresas deben ver el cumplimiento de las leyes de ciberseguridad no solo como una obligación legal, sino como una inversión en su propia seguridad y futuro. Adaptarse a estas normativas y adoptar una cultura de ciberseguridad proactiva es esencial para prosperar en el entorno digital dinámico y cada vez más peligroso de hoy.
Si quieres proteger tu empresa y asegurarte que tus datos y sistemas se mantienen a salvo contacta con nosotros.
Bibliografía