REGLAMENTO (UE) 2016/679 relativo a la protección de las personas físicas

Artículo 24 – Responsabilidad del responsable de tratamiento

  1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Cuando se aprobó el Reglamento Europeo de Protección de Datos (GDPR) y los diferentes Responsables de Seguridad de las empresas leyeron el párrafo con el que comienzo este artículo, y más en especial el extracto de “el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento”, se les apoderó una sensación de incertidumbre que no habían experimentado en aquellas épocas en las que la Ley Orgánica de Protección de Datos 15/1999 (LOPD)  regía en lo relativo a la protección de los mismos y se preguntaron: “¿qué tenemos que hacer ahora para proteger los datos?”.

Y se hicieron esa pregunta debido a que, a diferencia de la mencionada LOPD en la que se indicaba claramente qué catálogo medidas de seguridad tenían que aplicar las empresas según el tipo de información que manejaban, en el GDPR no se indica nada al respecto, dejando al libre albedrío de cada Organización cómo proteger la información. Y esta decisión debe estar basada en relación al riesgo identificado, hecho que por otro lado bajo mi humilde opinión me parece bastante acertado debido a que no todas las Organizaciones están sometidas a los mismos riesgos y por lo tanto las medidas de seguridad tanto técnicas como organizativas que deben aplicar no tendrían por qué ser las mismas.

¿Y ahora qué medidas aplicamos? ¿Me vale con las medidas que estaba aplicando con la LOPD? ¿Tengo que aplicar alguna adicional? ¿Me sobra alguna de las que llevaba aplicando? Pues lamento comunicaros que, si habíais venido a este artículo con la intención de obtener una respuesta a estas preguntas, dicha respuesta no existe y variará en función la criticidad de la información que disponga una Organización, de las amenazas a las que esté sometida y de otros factores como son los requisitos de seguridad que nos pueden marcar ciertos clientes con los cuales intercambiamos información o tratamos sus datos. Lo que sí puedo comentaros es un enfoque que me parece muy adecuado y que además es el camino que cada vez más Organizaciones están tomando, y es la implantación de la ISO 27001, notándose un fuerte repunte en este hecho, siendo que se encontraba bastante estancado desde hace aproximadamente una década.

La ISO 27001 es un estándar internacional para gestionar la seguridad de la información y que, complementada con la ISO 27002 relativa a las buenas prácticas para la implementación de controles de seguridad, cubre un amplio abanico de áreas de las cuales depende la seguridad de las Organizaciones. Y no debemos olvidarnos que la seguridad no debe limitarse únicamente a los aspectos meramente técnicos, sino que puntos como disponer de unos buenos procesos definidos e implantados, la formación de las personas o gestionar adecuadamente las relaciones con nuestros proveedores son tan importantes para mantener la seguridad como implantar las últimas medidas en materia tecnológica.

Para que os hagáis una idea, éstas son las áreas en las cuales están divididos los 133 controles de seguridad:

  • Políticas de Seguridad
  • Organización de la seguridad de la información
  • Dispositivos móviles y teletrabajos
  • Seguridad relativa a los recursos humanos
  • Gestión de activos
  • Control de acceso
  • Criptografía
  • Seguridad física y del entorno
  • Seguridad de las operaciones
  • Seguridad de las comunicaciones
  • Adquisición, desarrollo y mantenimiento de los sistemas de información
  • Relación con proveedores
  • Gestión de incidentes de seguridad de la información
  • Aspectos de seguridad de la información para la gestión de la continuidad de negocio
  • Cumplimiento

Como podéis comprobar, se combinan áreas con componentes más técnicos con otras en las que el componente de gestión es el predominante. Aunando todas ellas conseguiremos cubrir todo el espectro de la seguridad de la información y dispondremos de una base de medidas de seguridad perfectamente válida para proteger la información con el objetivo de ir evolucionándola en años sucesivos en base a las nuevas amenazas y riesgos que vayan apareciendo (porque aparecerán). Con la aplicación de todas estas medidas de seguridad daremos cobertura a los requisitos que nos marca el GDPR relativos a la protección de la información.

Me gustaría añadir también que el hecho de implantar una ISO 27001 no implica la necesidad de que esa Organización tenga que certificarse en ella, pudiendo obviar ese proceso y centrándose únicamente en el que debería ser siempre el objetivo principal de su implantación: mejorar la seguridad. Pero también os digo que, una vez recorrido el camino de la implantación, el dar el paso final de la certificación es un hecho que, una vez que se obtenga, va a provocar que aumentemos la confianza y la credibilidad ante nuestros clientes.

Sinceramente, espero que estos brotes que se están vislumbrando en la implantación de la ISO27001 en diferentes Organizaciones puedan llegar a armonizar el nivel de seguridad que tenga implantado el tejido empresarial no sólo a nivel nacional, sino en un marco global, ya que realmente considero que la seguridad debe ser uno de los aspectos claves en los cuales se deben centrar las Organizaciones durante los próximos años.

Leave a Reply