ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha publicado un extenso documento de trabajo con el que pretende ayudar a sus clientes a cumplir con la estricta regulación europea de protección de datos, que entró en vigor en España el pasado 25 de mayo de 2016 y que será de obligado cumplimiento, tal y como especifica el reglamento europeo, a partir del 25 de mayo de 2018.

En la Guía sobre el Reglamento General de Protección de Datos, descargable desde http://gdpr.eset.es y elaborada en colaboración con el gabinete de abogados especializados en derecho tecnológico, Abanlex, se especifican las obligaciones de implantación de medidas de seguridad para todas las empresas europeas, autónomos y Administración Pública, entre otros. Estas medidas incluyen la obligación de implantar cifrado y sistemas de doble factor de autenticación incluso sobre datos considerados de nivel básico, cuando el riesgo lo exija. Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde Europa.

“Las medidas de seguridad informática correctamente implantadas aportan un considerable nivel de seguridad y de protección frente a los ataques informáticos”, afirma Josep Albors, director del laboratorio de ESET España. “El cifrado robusto y los sistemas de doble factor de autenticación son pilares fundamentales de la seguridad y su incorporación en la empresa es económicamente asequible y demuestra beneficios inmediatos desde el primer momento”.

Robos de información corporativa

Mediante ataques informáticos, una importante cantidad de información confidencial, datos personales y secretos comerciales son sustraídos a diario. Por este motivo, las empresas de seguridad informática han perfeccionado herramientas de prevención y defensa que dificultan e impiden la intrusión y el acceso a la información. Sin embargo, desde el lado del cliente, las empresas que cifran son sumamente escasas, debido a que muchas de ellas carecen incluso de sistemas antivirus y, en muchas ocasiones, ignoran que están sufriendo brechas de seguridad a través de las cuales son sustraídos los datos que deben custodiar.

La normativa europea en materia de cifrado, así como el reglamento español de desarrollo de la Ley Orgánica Protección de Datos, otorga a las empresas la posibilidad de elegir entre las siguientes dos opciones:

• Opción de cifrado: sistema profesional de cifrado robusto, como DESlock, la herramienta que facilita el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas de todos los tamaños.

• Opción alternativa al cifrado convencional: cualquier otro mecanismo, como la esteganografía o el espectro ensanchado, que garantice que la información no sea inteligible ni manipulada por terceros.

Ahora, con el nuevo Reglamento General de Protección de Datos de la UE, se establecen varios niveles de empresas que deben o pueden implantar medidas de cifrado:

• Cifrados obligatorios: los estados determinan las categorías de datos y de tratamientos que exigen el establecimiento de sistemas de cifrado a las empresas que los gestionan. En España, el ejemplo más práctico de esta indicación lo encontramos en la obligatoriedad del cifrado sobre los datos de nivel alto, entre los que están aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical. Por otro lado, las empresas tienen que implantar, de forma obligatoria, sistemas de cifrado en caso de que voluntariamente se hubieran adherido a un código de conducta que lo exija, o si el cifrado es requisito en el certificado que muestren como acreditación. Además, determinadas empresas, por el tipo de tratamiento que realizan a los datos, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Estas empresas son, entre otras, las que tratan con datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.
• Cifrados convenientes: las empresas que hayan implantado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, pueden decidir no informar a sus usuarios sobre la intrusión. En cambio, aquellas empresas que no cifren están obligadas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.
• Cifrados voluntarios: la empresa que almacena secretos comerciales, información confidencial o datos disociados, siempre que no haya una norma que la obligue a cifrarlos, puede establecer medidas de cifrado para aumentar la seguridad sobre los mismos.

Por otro lado, con el Reglamento General de Protección de Datos, todas las empresas están obligadas a notificar las brechas de seguridad, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos exitosos no autorizados para poder realizar la notificación en plazo. Además, se establece la obligación de comunicar determinados detalles de la brecha a las personas cuyos datos se hayan podido ver afectados de alguna forma.

En caso de que la AEPD resuelva sancionar, se podrían llegar a imponer multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.