MADRID, 28 Ene. (EDIZIONES/Portaltic) -
Este domingo, 28 de enero, se celebra el Día Europeo de la Protección de Datos, una conmemoración que busca promover el conocimiento acerca de los derechos y responsabilidades de los ciudadanos en la materia, según lo define la Agencia Española de Protección de Datos (AEPD) en su página web. Este año, la cita está condicionada por la próxima entrada en vigor, el 25 de mayo, del Reglamento General de Protección de Datos (GDPR), normativa señalada por sus altas multas por incumplimiento y que, según varios estudios, todavía es desconocida entre varias organizaciones.
Técnicamente, el GDPR entró en vigor en mayo de 2016, pero no será hasta el presente año cuando su cumplimiento sea obligatorio tanto para empresas como para instituciones. Según explicó este jueves el abogado especializado en Derecho Tecnológico Pablo Fernández Burgueño, en un evento organizado por Panda Security y everis, al no tratarse de una directiva, su aplicación es inmediata, y deberán acatarla también las organizaciones no europeas que ofrecen sus servicios en el continente, como es el caso de Facebook o Twitter.
Pero, ¿cuál es el objeto del reglamento, el identificado como 'dato personal'? Según la AEPD, se trata de cualquier información "numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo" concerniente a personas físicas "identificadas o identificables", por lo que no se refiere únicamente a datos concretos como nombres o números de teléfono. El GDPR, según Fernández Burgueño, busca que se apliquen las mejores medidas de seguridad según el estado de la técnica para garantizar su protección y privacidad.
ANÁLISIS Y EVALUACIÓN
Una correcta aplicación de la nueva normativa europea exige del análisis y evaluación de la situación actual por parte de las organizaciones. Para el letrado especializado, empresas e instituciones habrán de detallar primero cuáles son las medidas de seguridad y ciberseguridad que tienen activas en el momento presente, y prever cuál sería el impacto de una crisis sobre la privacidad de los datos que protegen. Una vez obtenida esta información, será posible aplicar los sistemas de seguridad necesarios para llevar a cabo la tarea conforme lo especifica el GDPR, ha indicado Pablo Fernández Burgueño.
En caso de ciberataque o brecha de datos, el reglamento exige que, en un plazo de 72 horas, se determine el origen de la crisis, se tomen las medidas oportunas, se avise a las personas afectadas y se informe a la AEPD del incidente. No obstante, es posible ampliar este límite temporal en caso de que el problema no constituya una amenaza a los derechos y libertades de las personas físicas, según la propia normativa.
Los afectados pueden acudir a los tribunales para solicitar una indemnización. Las multas interpuestas por incumplimiento del reglamento pueden ascender a 20 millones de euros o a una cuantía económica equivalente al 4% del volumen de negocio financiero anterior.
Para evitar estas cuantiosas sanciones y asegurarse de que el cumplimiento del GDPR es el adecuado, Fernández Burgueño ha recomendado a las organizaciones que cuenten con apoyo legal e informático de forma simultánea, o dicho con otras palabras, apoyarse de un especialista en protección de datos y otro en ciberseguridad.
VIGILANCIA DE COMUNICACIONES
La aparente concienciación administrativa en materia de protección de datos no es suficiente para colectivos como la Asociación de Internautas. En un comunicado, esta ha reclamado una mayor protección de los derechos a la intimidad y la libertad de expresión frente a la vigilancia de las comunicaciones por parte de los Estados, lamentando que no están garantizando que la legislación relativa a esta esté en consonancia con los Derechos Humanos.
Recalcando que esta vigilancia solo puede ser llevada a cabo por un objetivo marcado por la ley, Internautas ha lamentado que las barreras logísticas inherentes al monitoreo de comunicaciones han disminuido en décadas recientes, lo que ha desembocado en una pérdida de claridad en la aplicación de principios jurídicos en los nuevos contextos tecnológicos y en una vigilancia estatal "a una escala sin precedentes".