ESET quiere echar un cable a sus clientes para que puedan cumplir con la nueva y estricta regulación europea de protección de datos. Para ello, ha publicado un informe elaborado junto a la asesoría del gabinete de derecho tecnológico, Abanlex.

La regulación europea en este materia ha entrado en vigor en nuestro país el pasado 25 de mayo de 2016 y será de obligado cumplimiento a partir del 15 de mayo de 2018. 

En la Guía sobre el Reglamento General de Protección de Datos de ESET podrás encontrar de forma específica todas las medidas de seguridad de corte obligatorio para todas las empresas europeas, autónomos y Administración Pública. Estas incluyen la obligación de implantar cifrado y sistemas de doble factor de autenticación incluso sobre datos considerados de nivel básico, cuando el riesgo lo exija.

Otros sujetos también obligados son los ubicados fuera de la Unión Europea que dirijan sus servicios a usuarios de países miembros o que reciban datos personales desde el continente europeo.

“Las medidas de seguridad informática correctamente implantadas aportan un considerable nivel de seguridad y de protección frente a los ataques informáticos”, apunta Josep Albors, director del laboratorio de ESET España, que subrayó la importancia de un cifrado robusto y los sistemas de doble factor de autenticación. 

Dos opciones de cifrado para las empresas

La normativa europea en materia de cifrado, así como el reglamento español de desarrollo de la Ley Orgánica Protección de Datos, permite a las empresas escoger entre:

• Opción de cifrado: sistema profesional de cifrado robusto, como DESlock, la herramienta que facilita el cifrado de portátiles, dispositivos extraíbles, correos electrónicos y archivos de empresas de todos los tamaños.
• Opción alternativa al cifrado convencional: cualquier otro mecanismo, como la esteganografía o el espectro ensanchado, que garantice que la información no sea inteligible ni manipulada por terceros.

Tres niveles de empresas que pueden implantar medidas de cifrado

El nuevo Reglamento General de Protección de Datos de la UE, establece distintos niveles de empresas que deben o pueden implantar medidas de cifrado:

• Cifrados obligatorios: los estados determinan las categorías de datos y de tratamientos que exigen el establecimiento de sistemas de cifrado a las empresas que los gestionan. En España, es obligatorio, por ejemplo, el cifrado sobre los datos de nivel alto, entre los que están aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical. Además, las empresas tienen que implantar sistemas de cifrado en caso de que voluntariamente se hubieran adherido a un código de conducta que lo exija, o si el cifrado es requisito en el certificado que muestren como acreditación. Otras empresas, por el tipo de tratamiento que realizan a los datos, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal. Por ejemplo, las que tratan con datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.
• Cifrados convenientes: las empresas que hayan implantado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, pueden decidir no informar a sus usuarios sobre la intrusión. En cambio, aquellas empresas que no cifren están obligadas a informar a los usuarios sobre los ataques que sufran si las consecuencias afectan a los mismos.
• Cifrados voluntarios: las empresa que almacenan secretos comerciales, información confidencial o datos disociados, siempre que no estén sujetas a una normativa que las obligue a cifrarlos, pueden establecer medidas de cifrado para incrementar la seguridad.

Cabe destacar que el Reglamento General de Protección de Datos, obliga a las compañías a notificar las brechas de seguridad, por lo que deberán extraer información constante sobre los intentos de intrusión y los accesos exitosos no autorizados para poder realizar la notificación en plazo. También deben informar obligatoriamente sobre la brecha a las personas cuyos datos se hayan podido ver afectados de alguna forma.

En cuanto a las sanciones, pueden llegar a imponerse multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Puedes descargar la guía completa de forma gratuitaen el siguiente enlace.