INTEGRAR LA CIBERSEGURIDAD EN LAS PYMES – Roberto L. Ferrer Serrano

Las pymes se encuentran en una posición especialmente comprometida cuando hablamos de seguridad de la información, debido a que se cree que los peligros que conlleva la utilización de la tecnología afectan más a las grandes corporaciones.

 

Los ciberdelincuentes convierten a las pequeñas empresas en un objetivo apetecible debido a su falta de:

  1. a) protección
  2. b) medios que tienen para protegerse
  3. c) concienciación general

 

Existen herramientas gratuitas de seguridad que facilitan lograr unos niveles mínimos de seguridad y que pone a disposición de las pymes el Instituto Nacional de Ciberseguridad, -INCIBE- (www.incibe.es) entre las que se encuentran antivirus gratuitos, sistemas de copia de seguridad, etc.

 

Es imprescindible que el personal de la empresa cuente con una concienciación e información en la materia y es recomendable que las personas de la empresa que accedan en mayor medida a la información de la misma (datos de clientes, de proveedores, datos comerciales, incluso datos de los propios trabajadores) reciban una formación mínima.

 

La tecnología no es el único factor de la seguridad de la información en el ámbito de la empresa, ya que también existe una enorme dependencia de la que almacenamos en soporte papel y que también conlleva grandes riesgos.

Por tanto:

  • debemos valorar todos los activos de nuestra empresa relacionados con la gestión de la información que son cualquier elemento, material o inmaterial, que guarde relación con el tratamiento de la información
  • una vez que una amenaza, aprovechando una vulnerabilidad de estos, se materializa, el perjuicio que se produce irá en relación a la naturaleza de la información que se pierde o resulta sustraída

DIRECTRICES EUROPEAS PARA LA APLICACIÓN DE SANCIONES – Roberto L. Ferrer Serrano

La Comisión Europea a través del Grupo de trabajo de Protección de datos ha publicado su informe 17/ES WP 253, acerca de las Directrices sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento Europeo de Protección de Datos.

Las sanciones pueden (optándose por la de mayor cuantía):

  • alcanzar la cantidad de 20 millones de euros o
  • una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior

 

No se estipulan cuantías concretas para infracciones concretas, solo un máximo

Lo primero que se tiene que tener en cuenta es:

  • que se trata de cifras máximas y
  • resulta muy difícil que en nuestro país se alcancen los niveles máximos antes indicados, si bien puede preverse que las sanciones de más de 60.000,00€ van a ser habituales  y que las Pymes peor asesoradas pueden encontrarse en situación de claro peligro.

El texto del régimen del Reglamento establece en sus considerandos que un nivel equivalente de protección de los datos personales en la Unión exige que las infracciones se castiguen con sanciones equivalentes para “evitar divergencias que dificulten la libre circulación de datos personales dentro del mercado interior”.

El Reglamento exige:

  • La evaluación de cada caso individual y
  • Se insta a las autoridades de control a aplicar un planteamiento ponderado y equilibrado en su uso de las medidas correctivas.

La autoridad de control puede sustituir siempre una multa por un apercibimiento en caso de infracción leve, tras una evaluación concreta de todas las circunstancias del caso y no una obligación.

Es muy importante tener en cuenta que si una Entidad gestiona correctamente sus datos, dicha circunstancia será tenida muy en cuenta a la hora de imponer una eventual sanción por la Agencia Española de Protección de Datos.

Nuestra herramienta ACREDITA facilita a las Pymes llevar a cabo fácilmente esta gestión

EL DERECHO A LA PORTABILIDAD. LAS CATEGORÍAS DE DATOS – Roberto L. Ferrer Serrano

Uno de los problemas de este nuevo Derecho de Control es el de determinar las categorías de datos a los que podría referirse este Derecho.

El concepto de “datos facilitados por el afectado” debería ser interpretado en un sentido amplio, por ejemplo:

  • los datos efectivamente suministrados por el interesado y
  • aquéllos que resultasen del propio “uso” o “desarrollo” del servicio contratado, haciéndose referencia, por ejemplo, a los historiales de búsquedas, datos de tráfico, datos de localización, etc.

Pero eso no significa que deban incluirse en el derecho a la portabilidad los datos que puedan ser considerados “inferidos” y “derivados”, entendidos como:

  • los que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o
  • técnicas propias del responsable

El derecho de portabilidad tiene implicaciones directas sobre la libre competencia ya que:

  1. Puede ocurrir que se siga manteniendo con dicha empresa relaciones comerciales debido a las dificultades que conlleva dar traslado a una nueva entidad de todos los datos históricos que se precisan para que esta nos ofrezca bienes o servicios
  2. Al facilitar a los interesados que sus datos se transmitan a otras entidades, estos dejan de alguna forma de ser cautivos de la entidad a la que inicialmente les dieron sus datos

De esta forma las entidades deben reforzar sus vínculos con los clientes ya que en virtud de la normativa vigente pueden exigirles transmitir su información a empresas que puedan resultar competidoras.

Demostrar el cumplimiento de las normas de privacidad

La necesidad de demostrar el cumplimiento efectivo de las normas de privacidad es algo recurrente en el nuevo Reglamento Europeo de Protección de datos.

En muchos casos se menciona la necesidad de demostrar el cumplimiento del mismo o en otros casos de alcanzar un nivel de implementación que permita estar en condiciones de demostrar tal implementación.

Como vemos en la tabla que sigue a continuación, esto se evidencia en supuestos como los siguientes:

 

Artículo/Considerando

Tema regulado

Regla

Considerando 86 Brechas de Seguridad Se deben notificar las brechas de seguridad, a menos que el responsable “pueda demostrar  la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas.
Considerando 42 Consentimiento para el tratamiento de los datos El responsable del tratamiento debe ser capaz de demostrar que el interesado ha dado su consentimiento a la operación de tratamiento de datos
Artículo 7 Consentimiento para el tratamiento de los datos
Considerando 74 Aplicación de medidas de seguridad El responsable debe aplicar medidas de seguridad oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el   Reglamento
Artículo 24 Aplicación de medidas de seguridad El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Considerando 90 Evaluaciones de Impacto Toda entidad debe “demostrar la conformidad con el   Reglamento”.
Artículo 5 Principios relativos al tratamiento de los datos El responsable del tratamiento deberá cumplir lo dispuesto en dicho artículo y ser “capaz de demostrarlo” («responsabilidad proactiva»).

Validez de la entrega del recibo de salarios en soporte digital

La sentencia de 1 de diciembre de 2016 de la Sala de lo Social del Tribunal Supremo modificó su propio criterio proveniente de una sentencia anterior de fecha 22 de diciembre de 2011, y a partir de ahora da validez a la posibilidad de que las nóminas de los trabajadores puedan entregarse en formato digital.

De esta forma se corrige una doctrina a nuestro entender errónea si bien la nueva sentencia se fundamenta en el tiempo transcurrido desde la anterior.

Lo cierto es que a pesar de que las TIC avanzan de forma muchas veces desmesurada, en esta materia el cambio es más que relativo. Por ejemplo Twindocs se utiliza entre otras cosas por diversas empresas para depositar las nóminas de sus trabajadores en su respectivo buzón electrónico, incluso desde antes del año 2011 por lo que el recurso al tiempo transcurrido parece más bien una simple excusa que se utiliza para no reconocer un error previo.

En el supuesto estudiado en la nueva sentencia una empresa que antes entregaba a los trabajadores las nóminas físicamente, introduciéndolas en sus buzones individuales sustituyó tal sistema por la inclusión de las nóminas en una cuenta informática de cada trabajador, a la que podían acceder mediante un ordenador situado junto a los buzones, introduciendo su DNI y su clave de acceso personal. (más…)

La privatización de Internet ¿Un nuevo modelo aterritorial de gobierno?

Mientras que privatizar servicios de primera necesidad puede resultar imprudente o al menos sospechoso de serlo, la necesidad de que Internet sea una red abierta, y ajena a las presiones de los gobiernos de turno ha sido algo largamente esperado que tuvo lugar definitivamente el pasado día 1 de octubre.

Desde ese día la organización que gestiona los servicios más críticos de Internet, la ICANN,  ha dejado de ser controlada por el gobierno de los Estados Unidos, como sucedía desde 1998. Éste control fundamentalmente venía de la mano de la administración llevada a cabo por el Departamento de Comercio Telecomunicaciones y Información (NTIA) que gestionaba la asignación de direcciones de Internet pasando a partir de este momento a ser gestionada por el sector privado, mediante un sistema de multistakeholders, es decir colectivos privados implicados en el uso de Internet a nivel mundial.

Como resultado, la coordinación y la gestión de los identificadores únicos de Internet están ahora privatizados y en manos de una comunidad basada en voluntarios.

Llama la atención el proceso de elaboración de la propuesta, el cual refleja que nuevas formas de regulación abiertas son posibles, con independencia de países y de regulaciones estatales o plurinacionales. (más…)

Este sitio web utiliza cookies propias y de terceros para analizar el tráfico de la red, así como poder personalizar la información que ofrece a sus usuarios o promover sus servicios. Seguir navegando en este sitio implica aceptar su uso. Información para cambiar esta configuración y obtener más detalles sobre nuestra política de cookies en el botón "leer más"

LEER MÁS ACEPTAR
Aviso de cookies