Auditoría & Co

El pasado 14 de agosto el diario “The Guardian” anunció que se había detectado una importante vulnerabilidad en la seguridad de los datos que trataba una compañía llamada Suprema. Hasta aquí, la información quizá solo cause preocupación entre quienes nos dedicamos a la protección de datos. Sin embargo, la situación denunciada era mucho más grave.

En realidad los datos vulnerables hacían referencia a identificaciones biométricas de personas concretas. Había información sobre huellas dactilares y reconocimiento facial, entre otras cosas. En otras palabras: no hablamos solo de que hubieran quedado expuestas contraseñas que uno puede cambiar al día siguiente; se trataba de datos que los interesados no pueden modificar (como la estructura de sus huellas). El volumen de información afectada también era espectacular: datos de más de un millón de personas, casi 28 millones de registros.

No solo eso. La información tratada era -entre otros- para uso de altas instancias como la Policía Metropolitana del Reino Unido, o para el control de accesos a zonas restringidas. Así pues, hay una clara moraleja que puede sacarse de esta historia: cualquiera puede sufrir una brecha de seguridad. Incluso usted.

Piénselo un momento. Si le puede ocurrir a una gran empresa, una que además está especializada en el tratamiento digital de los datos más sensibles, ¿cómo no va a pasar con pequeñas o medianas empresas?.

No se trata de palabras huecas. En la última semana yo mismo he tenido que gestionar nada menos que tres brechas de seguridad -alguna bastante grave- en organizaciones de distintos tamaños. Este problema ocurre con más frecuencia de lo que pueda pensar, entre otros motivos, porque la mayoría de la gente no tiene un conocimiento claro de lo que es una brecha de seguridad de datos personales. En otras entradas de este blog ya explicamos lo amplio que es este concepto. Y lo que es más importante, los pasos que obligatoriamente debemos seguir al identificar una brecha de seguridad. Pasos para los que tenemos un plazo de tiempo muy corto, apenas 72 horas.

Teniendo en cuenta que no gestionar bien una brecha de seguridad puede ser sancionable, y que -como hemos visto- las brechas de seguridad ocurren con demasiada frecuencia, no es descabellado prepararse.

Para ello, y como hemos dicho en otras ocasiones, el RGPD puede ser más un aliado que una carga burocrática. Si seguimos sus consejos, las probabilidades de que nos veamos afectados por una brecha de seguridad disminuyen considerablemente.

Tener un enfoque preventivo en lo que se refiere a la protección de datos siempre es buena idea (y de hecho es una obligación prevista en el RGPD, más allá de nuestra mera voluntad). Con una buena adaptación a la normativa vigente podemos colocar una gran cantidad de filtros o barreras que impiden las violaciones de seguridad más graves. Además de eso, es importante tener una cultura empresarial de cumplimiento. No se trata solo de hacer las cosas para rellenar un expediente, sino que hay que interiorizar la protección de datos. Hay que ser consciente de que realmente es necesaria y nos aporta valor, aunque solo sea porque reduce los posibles daños reputacionales como el que acaba de sufrir la empresa Suprema.

Dentro de esta dinámica, por supuesto, contar con un Delegado de Protección de Datos puede ayudarnos a tener a una persona cuyo cometido específico es eliminar estos riesgos. Por ello debemos considerar una buena práctica designar a uno aunque no sea obligatorio. Lo mejor que puede hacer es asumir que su organización también está en peligro. Y adaptarse para evitarlo.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

Fuente: Auren

Source