En abril entró en vigor el nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés), que en mayo de 2018 será de obligado cumplimiento para todas las empresas e instituciones del continente. Se trata, según los expertos, del mayor avance en el ámbito de la protección de datos de carácter personal en décadas. Los proveedores de tecnología Commvault, HP, SealPath y Vormetric (compañía del grupo Thales especializada en seguridad informática), el mayorista Exclusive Networks y el despacho de abogados Écija analizaron en un encuentro organizado por CHANNEL PARTNER las implicaciones legales del reglamento y las oportunidades que traerá al sector informático.
Jesús Yañez, socio de privacidad y ciberseguridad de Écija, empezó desgranando los puntos más importantes del texto legal. Yánez habló del “consentimiento reforzado”, de la obligación de los proveedores de servicios de garantizar la portabilidad de los datos, del deber de las empresas y las instituciones de reportar las brechas de seguridad o de la necesidad de designar en ciertos perfiles de compañía un data protection officer (o DPO) que, además, reportará a las autoridades competentes.
Aunque lo más importante del texto legal para la industria informática son las obligaciones en medidas de seguridad, según comentó Yañez. Así, GDPR establece que cada empresa, independientemente del tamaño, sea consciente de los datos que trata y encargue un análisis de riesgo sobre temas de privacidad para, en función de ese análisis, implantar medidas efectivas de seguridad. Yañez recordó que normativas existentes como la ISO 27001, que ya contempla el análisis de riesgo y el establecimiento de medidas de seguridad, se abren ahora a todo tipo de compañías.
Hay necesidad de concienciar
Los asistentes al desayuno organizado por CHANNEL PARTNER coincidieron en reconocer que las empresas españolas no se toman en serio la protección de su información. Para Santiago Arellano, director de diversificación de Exclusive Networks, aseguró que pocas empresas cumplen al cien por cien con la ley actual, la LOPD, y que el reto es mayúsculo para todos. Además, dijo que debería circular por las empresas un manual de protección de datos, “igual que circula el de riesgos laborales”.
Además, otro obstáculo reside en el divorcio tradicional entre abogados e informáticos. Iván Abad, technical services manager de Commvault, reconoció que no conoce a ningún cliente en España en el que el departamento jurídico le diga al de TI qué información hay que proteger, cuánto tiempo tiene que estar albergada y dónde. En este punto, Jesús Yañez recordó que el DPO tendrá que hablar “esos dos idiomas”: el jurídico y el técnico.
Luis Ángel del Valle, CEO de Sealpath, dijo que los CISO (responsables de seguridad informática) ya pelean diariamente para hacer conscientes a otros departamentos de la necesidad de asegurar la información, y que ahora con el nuevo reglamente tendrán una ayuda en este aspecto. “El nuevo reglamento va a cambiar la cultura dentro de la empresa en materia de seguridad”, aseguró Del Valle.
Por su parte, Ignacio Berrozpe, ingeniero de ventas de Vormetric en el sur de Europa, reconoció también que en materia de protección de datos estamos “lejos de lo deseable”, que el nuevo reglamento “tardara años” en ser asumido por las empresas, sobre todo por las pymes, pero que, en todo caso, ahora “tendrán que ponerse definitivamente al día”.
Mientras tanto, Melchor Sanz, manager de preventa de tecnología y soluciones de HP Inc, reconoció que la industria tecnológica es lenta a la hora de contar a los clientes las ventajas de la seguridad. “Hablamos en los hospitales de la necesidad de cifrar el correo electrónico mientras que los médicos, al mismo tiempo, empiezan a enviar expedientes a través de Whatsapp”.
¿Qué soluciones se venderán?
Ignacio Berrozpe, de Vormetric, reconoce que el reglamento sólo hace sugerencias en torno a las tecnologías que un cliente tendrá que implementar para cumplir con la nueva normativa de protección de datos. “El texto lo deja todo muy abierto, pero habla en varios artículos de cifrado, control de accesos, monitorizacion, securización de dispositivos o protocolos de recuperación y validación de datos”, aseguraba en el desayuno de CHANNEL PARTNER.
Luis Ángel del Valle, de Sealpath, también que cree que el reglamento llevará a las empresas a adquirir herramientas de reporting y auditoría que le faciliten la vida al delegado o DPO. “Estas herramientas le permitirán luego al delegado justificarse y decir que están en línea con el principio de responsabilidad activa”, añadió. Para Santiago Arellano, no sólo se venderán a los clientes soluciones propiamente dichas de seguridad, sino también de otras que solucionen la notificación a la agencia de protección de datos de las brechas de seguridad, el tema de la portabilidad de los datos o el derecho al olvido.
Por su parte, Jesús Yañez, de Écija, aseguró que los productos y servicios que ahora se venden “están muy preparados para cumplir con la normativa de protección de datos actual y futura”. Sin embargo, Yañez, que hace auditorías en la parte legal y de sistemas, habló de que los productos no están convenientemente parametrizados en muchos clientes y funciones clave, como el cifrado o el registro de auditoría, no acaban de activarse. Por último, Melchor Sanz, de HP, avanzó que lo que más va a crecer serán los servicios para ayudar a las empresas a analizar sus riesgos. “Que eso luego se traduzca en la compra de tecnologías concretas, habrá que verlo”, añadió Sanz.
—————————————–
NOTA: [La cobertura completa de este desayuno será ofrecida con el número 172 de CHANNEL PARTNER, que saldrá publicado a primeros de diciembre]
