5. LEGISLACIÓN Y NORMATIVA DE SEGURIDAD. NUEVO RGPD.

Los ciberdelitos crecen tan exponencialmente como la propia tecnología. Europool ya indicaba a finales de 2016, que ya hay países en los que, porcentualmente, los ciberdelitos superan a los delitos tradicionales.

El problema ante esta situación es que la legislación, mucho más lenta que la tecnología, siempre va por detrás de estos nuevos ciberdelitos. Estamos sufriendo delitos que hace 5 años no existían y dentro de 5 años nos veremos afectados por delitos que hoy no existen.

Ante esta situación no nos queda otra que cumplir la legislación y normativa vigente en cada momento, ya que en algunas ocasiones comprometen nuestros sistemas para cometer dichos delitos.

Cumplir con la ley nos permitirá respetar los derechos de aquellos vinculados a nuestra actividad: clientes, proveedores, trabajadores, … y nos permitirá evitar sanciones que, como veremos, con el nuevo RGPD que desde el 25 de mayo de este año nos afecta, pueden llegar a los 20 millones de € o el 4% de nuestra facturación, en casos muy graves.

Hasta el 25 de mayo de 2018, en España existían las siguientes leyes vinculadas a la seguridad de la información:

  • Ley Orgánica 15/99 de Protección de Datos, también conocida como LOPD.
  • Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
  • Ley 32/2003 General de Telecomunicaciones.
  • Ley 59/2003 de Firma Electrónica.
  • Real Decreto Legislativo 1/1996 de Propiedad Intelectual.
  • Ley 17/2001 de Propiedad Industrial.
  • Ley 11/2007 de Acceso Electrónico a los Servicios Públicos.
  • Algunos sectores tienen legislación propia, como, por ejemplo, el agrario.
  • Otros como la Banca dispone de normativa internacional.

Estas leyes buscaban proteger a personas físicas y jurídicas de aquellos delitos que se comenten contra ellos:

  • Contra su intimidad, a través de la venta de datos. Recuerda que no hay nada gratis y cuando accedes a servicios gratuitos estas pagando con tu privacidad y la información que generas en internet.
  • Referidos a la distribución de contenidos ilegales a través de la red, como por ejemplo los referidos a la distribución de pornografía infantil.
  • Delitos económicos: robo, extorsión, suplantación de entidades bancarias, …
  • Delitos contra la propiedad intelectual. En España todavía «pirateamos» más del 50% del software que utilizamos en nuestras empresas y nuestras casas.

Algo que podemos observar a simple vista, cuando nos fijamos en las leyes y los delitos que anteriormente describíamos es que:

  • Las leyes son antiguas. Entre 10 y 20 años, en el mundo de la tecnología, son demasiado tiempo. Si recuerdas como era, tecnológicamente, tu empresa hace 15 años te darás cuenta de que no tiene nada que ver con la realidad actual.

Los delitos actuales (ciberdelitos), manteniendo los descritos, han aumentado en número y tipos de ellos. Los ciberdelitos se dividen en dos:

  • Los que se aprovechan de la tecnología como medio para producirse:

o Contra el honor, como los crímenes de odio a través de redes sociales.

o Ciberbulling. o Amenazas y coacciones.

o Delitos sexuales, como la pornografía infantil.

  • Los que atacan a nuestras infraestructuras:

o Acceso e interceptación ilícita.

o Interferencia en los datos y los sistemas.

o Falsificación informática. o Fraude informático.

o Contra la protección industrial intelectual.

o Contra la salud pública.

Si quieres obtener más información visita la página web del Observatorio Español de Delitos Cibernéticos (http://oedi.es):

  • Desde la sección de ciberdelitos puedes aprender más sobre cada uno de ellos.
  • Desde la sección de estadísticas puedes observar el crecimiento, año a año, de este tipo de delitos.

Otro de los problemas que existe, y que va in crescendo, vinculado a los ciberdelitos es que:

  • No hay un número suficiente de peritos judiciales informáticos. Estos son los que se encargan de recopilar las evidencias tecnológicas del delito cometido. Son como los CSI de los delitos tradicionales. El trabajo del perito es fundamental para que las evidencias obtenidas puedan ser tenidas en consideración por el Juez que juzgue el caso.
  • En segundo lugar, hay muy pocos ciberabogados, con formación legal y tecnológica, preparados para entender el delito tecnológico que se ha producido, por lo que estos delitos se siguen abordando como delitos tradicionales.
  • En tercer lugar, no tenemos un número suficiente de jueces, con formación tecnológica que sean capaces de entender las pruebas que se les presentan.
  • No hay formación específica sobre estas disciplinas.

 

Desde hace 25 años existe un nuevo continente, por otro lado, el más poblado de todos, llamado ciberespacio. Este ciberespacio lo usamos todos a diario en nuestro ámbito personal y profesional y su uso plantea ciertos problemas de los que muchas veces no somos conscientes:

  • No tiene fronteras físicas, más allá de que las máquinas desde las que se realizan los ciberataques estén en un país físico, en el que con mucha probabilidad las exigencias legales son mucho más laxas. Debido a esto no se ve afectado por la territorialidad, base de la jurisprudencia actual.
  • La tecnología permite que, en la mayoría de los casos, no lleguemos a saber desde donde se producen los ataques, ni podamos identificar a los autores.
  • No está legislado y no existen poderes legislativo ni judicial.

Este ciberespacio ya está considerado desde hace años como el quinto entorno estratégico, por detrás de tierra, aire, mar y espacio, aunque a diferencia de los cuatro anteriores carece de cualquier tipo de ordenación normativa.

EL NUEVO RGPD

La siguiente legislación, que nos afectaba hasta el pasado 25 de mayo, ha sido derogada:

  • La LOPD 15/1999.
  • El Real Decreto 1720/2007.
  • La Instrucción 1/2006 de Sistemas de Videovigilancia.
  • La Directiva 95/46 del Parlamento europeo.

En su lugar, actualmente estamos obligados por:

  • El nuevo Reglamento General de Protección de Datos europeo.
  • En un futuro cercano, la nueva Ley Orgánica de Protección de Datos, de la que sólo se conoce el anteproyecto.

El nuevo Reglamento busca unificar criterios, a nivel europeo, en todo lo concerniente al tratamiento de datos personales y, por lo tanto, afectará a todas las empresas, independientemente de su tamaño y actividad que desarrollen su actividad en cualquiera de los países europeos o, cualquier empresa cuya sede social resida fuera del ámbito europeo pero que presten servicios a usuarios europeos.

Los principios relativos al tratamiento de la información que tratamos se basan en:

  • La minimización de los datos que recabamos. Es decir, sólo recabaremos aquellos datos que sean imprescindibles.
  • Estos datos deben ser exactos y tienen que estar actualizados.
  • Debemos establecer el límite de la finalidad para la que se han recabado los datos.
  • Debemos cumplir los principios de licitud, lealtad y trasparencia.
  • Debemos limitar el plazo de conservación de los datos de acuerdo a la duración de la prestación de servicios y a las obligaciones legales que nos afecten.

Los datos los podemos obtener:

  • Del propio interesado: debemos informarle en el mismo momento en el que obtenemos los datos.
  • O de un tercero, debiendo informar en el plazo de un mes desde que obtenemos los datos y siempre en el primer contacto que establezcamos.

El tratamiento de los datos debe fundamentarse en:

  • Una relación contractual.
  • Una obligación legal para el responsable del tratamiento.
  • Un interés:

o Vitales del interesado.

o Público o ejercicio de poderes públicos.

o Legítimo que prevalece del responsable o terceros a los que se comuniquen los datos.

  • Consentimientos.

Respecto al consentimiento, este debe ser inequívoco. No se admiten consentimientos tácitos o por omisión, ni se admiten checks premarcados, debiendo ser lo más explícito posible.

Al igual que ocurría con la LOPD, el Reglamento considera una serie de Derechos que defienden los intereses del titular de los datos:

  • Derechos ARCO: Acceso, Rectificación, Cancelación (ahora Supresión) y Oposición.
  • Además, se incorporan los siguientes derechos:

o Olvido.

o Limitación del Tratamiento.

o Portabilidad.

Respecto al Encargado del Tratamiento, el Reglamento obliga a contratar encargados que garanticen el cumplimiento del RGPD. Esta garantía puede acreditarse:

  • Mediante una formación certificada.
  • Mediante la certificación de años de experiencia en el tratamiento de datos personales. Por ejemplo, los profesionales que han gestionado la LOPD estos últimos años.

El RGPD nos obliga a cambiar de paradigma. Hasta la fecha hemos tenido una mentalidad reactiva, referente a la seguridad, sin embargo, el Reglamento obliga a que nuestra seguridad sea proactiva, condicionando las medidas de seguridad al riesgo que cada uno asume en el tratamiento de datos de terceros.

Para conseguir esto estaremos obligados a realizar un análisis exhaustivo de los riesgos que nos pueden afectar, clasificando y cuantificado la probabilidad de que un riesgo se materialice y el impacto que provocaría.

Además de analizar el riesgo debemos evaluar el impacto. Ten en cuenta que RIESGO =

PROBABILIDAD X IMPACTO.

Una de las obligaciones que más llama la atención es la de tener que informar a la Agencia Española de Protección de Datos cuando hayamos sufrido un incidente de seguridad, en el que se hayan visto afectados datos personales, en el plazo de 72 horas desde que se detectó dicho incidente.

Deberemos informar sobre:

  • La naturaleza y categoría del incidente.
  • El número de afectados.
  • Quien es el Delegado de Protección de Datos, si lo tenemos.
  • Las consecuencias ocasionadas.
  • En el caso de que la gravedad del incidente supone un alto riesgo para los derechos y libertades de los titulares de los datos, debemos informar a los interesados.

El Delegado de Protección de Datos es una nueva figura que aparece con el nuevo Reglamento. No todas las empresas tienen la obligación de tener uno. Si tienen la obligación:

  • Organismos Públicos.
  • Empresas que manejan datos a gran escala.
  • Colegios Oficiales.
  • Empresas del sector salud.
  • Centro educativos.
  • Entidades aseguradoras.
  • Empresas de publicidad y prospección comercial.

No es obligatorio para empresas de menos de 250 trabajadores siempre que no traten información que pueda afectar a los derechos y libertades de los titulares.

Podrá ser DPD cualquier persona con conocimientos en legislación y experiencia en el tratamiento de datos personales o aquellas personas que superen la formación certificada al efecto.

Como novedad importante, ya no será obligatorio inscribir los ficheros, como obligaba la LOPD.

Ahora deberemos tener un registro de actividades que debe contener:

  • Nombre y datos de contacto del Encargado y del Delegado.
  • Finalidades del tratamiento.
  • Descripción de las categorías de los interesados y categorías de los datos tratados.

Hay novedades en cuanto a:

  • Los sistemas de videovigilancia.
  • El tratamiento de datos de menores de edad, siendo necesario el consentimiento de los tutores legales de los menores de 13 años.
  • El tratamiento de datos de fallecidos, pudiendo sus herederos solicitar el acceso a los datos, su rectificación o incluso su supresión.

Por último y no menos importante son las causas por las que debemos cumplir con el RGPD:

  • No podemos exigirle a alguien que trate nuestros datos ajustándose a la ley si nosotros no lo hacemos.
  • Para evitar sanciones, que han aumentado de una forma muy importante:

o Sanciones graves: hasta 10 millones de € o el 2% de la facturación.

o Sanciones muy graves: hasta 20 millones de € o e 4% de la facturación.

Imagina lo que le hubiera costado a Facebook la reciente sanción que le ha impuesto la AEPD, por el uso indebido de los datos por parte de WhatsApp, teniendo en cuenta que le sancionaron con 600.000€, la mayor sanción ajustada a la anterior LOPD.

Debemos darle un tiempo a nuevo RGPD para ver como se incorpora al día a día de las empresas, sin embargo, hay informes que dicen que el 65% de las empresas en España no están preparadas para tratar su información de carácter personal de acuerdo al Reglamente. Y eso teniendo en cuenta que hemos tenido dos años para adaptarnos.

La propia Agencia Española de Protección de Datos ya informó, semanas antes del 25 de mayo, que no habrá ningún tipo de moratoria y que iniciaría inmediatamente planes de inspección para empresas de sectores críticos: salud, instituciones financieras y empresas de telecomunicaciones.

Si tu empresa todavía no cumple con el nuevo RGPD no lo dejes más. Trabajarás mejor y evitarás sanciones.