PÍLDORA FORMATIVA

Ciberseguridad y Compliance: claves en la protección de datos de carácter personal

Tribuna
Dario-Lopez-Rincon_EDEIMA20160426_0006_1.jpg

En un mundo cada vez más interconectado y dependiente de la tecnología, el riesgo de sufrir un ciberataque que destruya o acceda de manera indebida a información de carácter personal aumenta exponencialmente, debido en gran medida a las nuevas vulnerabilidades o agujeros de seguridad descubiertos en los sistemas lógicos y de información (servidores y recursos informáticos), utilizados como punto de acceso para todo el conjunto de amenazas o ciberataques desarrollados para tal fin: (Ramsonware, Spoofing, Phising, Denegaciones de servicio (DoS), Denegaciones de servicio distribuido (DDoS), malware, exploits, rootkit).

Todo ello convierte a la ciberseguridad y el cumplimiento normativo en las dos materias clave para intentar evitar los efectos adversos de la innovación tecnológica y para asegurar la protección de los datos de carácter personal.

¿Qué son la ciberseguridad y el cumplimiento normativo?

A pesar de que parecen dos disciplinas completamente separadas sin ningún tipo de interconexión entre ellas, se revelan como las dos patas de la responsabilidad proactiva o Accountability, enunciada como principio clave en el RGPD para lograr una adecuada protección de los datos de carácter personal en toda organización o empresa (pública o privada).

Ciberseguridad: de conformidad a la Resolución UIT-T X.1205 sobre aspectos generales de la ciberseguridad de la Unión Internacional de Telecomunicaciones (UIT), se puede definir como: el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Debido a la poca concreción de esta definición, es más adecuado utilizar la propuesta por la Asociación de Auditoría y Control de los Sistemas de Información (ISACA): Protección de activos de información (cualquier dato con valor para la organización) a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.

Dentro de este concepto, cabe concretar los tres elementos básicos de esta materia:

  • Vulnerabilidad: defecto o fallo del sistema informático que puede permitir a un atacante comprometer su seguridad o llevar a cabo acciones indebidas.
  • Amenaza: toda acción que explota una vulnerabilidad del sistema para causar un efecto negativo: caída o indisponibilidad, funcionamiento incorrecto, sustracción o pérdida de información.
  • Riesgo: probabilidad de que se produzca un incidente de seguridad, es decir, que una amenaza se aproveche de una vulnerabilidad para producir un daño o efecto negativo sobre el sistema.

Cumplimiento normativo o Compliance: puede definirse como: El conjunto de actuaciones encaminadas a supervisar y garantizar que la organización o la empresa cumple con la normativa vigente, con el objetivo de evitar o reducir las sanciones y perjuicios derivados de su incumplimiento. En España se encuentra reconocido desde la reforma del Código Penal del 2010, como una eximente de responsabilidad para toda persona jurídica (organización o empresa) que tenga un modelo de gestión y organización de prevención de delitos, en los términos del apartado 5 del artículo 31 del Código Penal:

  • Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
  • Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
  • Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
  • Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
  • Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Cabe recordar que para se efectúe esta eximente, tal y como recuerda la Circular 1/2016 de la Fiscalía General del Estado sobre la responsabilidad penal de la persona jurídica conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015, se requiere probar la efectividad del modelo de prevención, es decir que funcione realmente. 

¿Cuál es su regulación?

Con el objetivo de no alargar en exceso el texto, cabría hacer referencia, única y exclusivamente, a la normativa de nivel nacional que regula ambas cuestiones:

Ciberseguridad: el BOE ha codificado gran parte de la normativa nacional aplicable en un compendio denominado Código Electrónico de Ciberseguridad. Se puede destacar:

  • Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
  • Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  • Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  • Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
  • Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
  • Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana.
  • Ley 59/2003, de 19 de diciembre, de firma electrónica.
  • Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.
  • Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
  • Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. 

Compliance: cabe mencionar mucha normativa de carácter técnico emanada de la Asociación Española de Normalización y Certificación (AENOR): 

  • Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
  • UNE-ISO 19600:2015 - Sistemas de gestión de compliance. Directrices.
  • UNE 19601:2017 - Sistemas de gestión de compliance penal. Requisitos con orientación para su uso.
  • Resolución de 1 de junio de 2017, de la Dirección General de Industria y de la Pequeña y Mediana Empresa, por la que se publica la relación de normas UNE aprobadas por la Asociación Española de Normalización durante el mes de mayo de 2017. 

¿Cómo contribuyen a garantizar la protección de datos? 

De conformidad a los artículos 24 y 32 del Reglamento Europeo de Protección de datos (RGPD), el responsable del tratamiento, en este caso la empresa o la organización, tiene la obligación de garantizar la seguridad de los datos de carácter personal que haya recabado, aplicando en cada momento las medidas necesarias para evitar cualquier daño (Responsabilidad proactiva o Accountability) y respondiendo por todos daños que sufran esos datos (Obligación de resultado). En definitiva, para cumplir con las obligaciones impuestas en materia de protección de datos, es necesario dotar a esos datos de unas medidas de seguridad adecuadas (Ciberseguridad), y crear un procedimiento o protocolo que permita minimizar el riesgo, genere una cultura de cumplimiento y dote a la organización de un sistema de alertas e incidencias (Compliance).

Este principio supone una implicación total, no sólo la obligación de nombrar un delegado de protección de datos para que supervise el cumplimiento del RGPD, sino también la colaboración activa del órgano de dirección y de todos los responsables de la organización para asistirle en lo que necesite para ejercer su función – Art 37.3 Anteproyecto Ley Orgánica de protección de datos: el responsable y el encargado del tratamiento pondrán a disposición del delegado de protección de datos los medios materiales y personales que resulten precisos para el adecuado desempeño de sus funciones, asignándole cuando proceda personal subordinado así como locales, instalaciones y equipos. En concreto:

  • CEO (Director ejecutivo) y Consejo de administración: como órganos de dirección tiene un deber legal de diligencia en el desempeños de sus funciones, de conformidad al artículo 225 de la Ley de Sociedades de Capital: Los administradores deberán desempeñar el cargo y cumplir los deberes impuestos por las leyes y los estatutos con la diligencia de un ordenado empresario, teniendo en cuenta la naturaleza del cargo y las funciones atribuidas a cada uno de ellos. Los administradores deberán tener la dedicación adecuada y adoptarán las medidas precisas para la buena dirección y el control de la sociedad.
  • CISO (Responsable de seguridad de la información): máximo encargado del área de seguridad de la información, responsable de dirigir y organizar las políticas y procedimientos de seguridad, supervisar el cumplimiento normativo en materia de seguridad de la información o de supervisar la arquitectura de sistemas de seguridad de la información de la empresa. En definitiva, un puesto de carácter directivo o ejecutivo.
  • CSO (Responsable de seguridad corporativo): puesto similar al CISO pero más centrado en dirigir la ejecución de los planes y procedimientos en materia de seguridad de la información aprobados en la organización.
  • CIO (Responsable de sistemas o de tecnologías de la información): encargado de dirigir el área relativa a aunar la tecnología de seguridad de la información existente y la estrategia y objetivos de la organización.
  • CTO (Responsable de tecnología): puesto similar al CIO pero con una carácter más técnico, centrado en el control y organización ordinaria de los sistemas de tecnología de la información de la organización.
  • CDO (Responsable de datos):  máximo encargado de la estrategia de protección de datos e información de la organización y explotación efectiva de la información.
  • CDO (Responsable del área digital: responsable del desarrollo de negocio digital a través del uso de tecnología como el big data, marketing, aplicaciones. Comercio electrónico… 

Conclusiones

  • El principio de Accountability o Responsabilidad proactiva del nuevo RGPD aúna la protección de datos, el cumplimiento normativo y la ciberseguridad, creando un todo interconectado y complementario.
  • Todos los responsables de la organización deberán asistir en su función al DPO, dotándole en el caso de que sea necesario de personal subordinado, lo que supone que el anteproyecto de LOPD abre la puerta a interpretar que el DPO se pueda configurar como un órgano colegiado dentro de la organización, a semejanza del comité de Compliance.
  • El disponer de un procedimiento efectivo de prevención de delitos en la organización, facilita el cumplimiento de las obligaciones impuestas por la normativa en materia de protección de datos. 

Bibliografía

Fuentes y materiales oficiales

Código electrónico Ciberseguridad BOE - https://www.boe.es/legislacion/codigos/codigo.php?id=173&modo=1&nota=0&tab=2

Resolución X.1205 UIT - https://www.itu.int/rec/T-REC-X.1205-200804-I/es

Libro blanco Compliance ASCOM - https://www.asociacioncompliance.com/new2017/wp-content/uploads/2017/08/Libro-Blanco-Compliance-ASCOM.pdf

Amenazas, riesgos y vulnerabilidades – INCIBE - https://www.incibe.es/en/node/5224

Glosario de terminología de ciberseguridad – INCIBE - https://www.incibe.es/protege-tu-empresa/guias/glosario-terminos-ciberseguridad-guia-aproximacion-el-empresario

Artículo sobre Whistleblowing o Canales de denuncia interna - https://enclavedederecho.com/whistleblowing-canales-denuncia-interna/

Roles en ciberseguridad – INCIBE - https://www.incibe.es/protege-tu-empresa/blog/ceo-ciso-cio-roles-ciberseguridad

Normativa

Indexada en el apartado de regulación


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación