Las inversiones en soluciones de seguridad de las empresas españolas crecerán en torno a un 20% en 2016 y un 25% en 2017 como consecuencia de la nueva normativa europea que obliga a hacer públicas las violaciones de seguridad y a comunicarlo a los usuarios afectados en un plazo de 72 horas, según la consultora tecnológica española Grupo CMC.
NUEVA NORMATIVA EUROPEA DE SEGURIDAD DE PROTECCIÓN DE DATOS
La nueva regulación de la Unión Europea (UE) en materia de protección de datos o Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), que fue aprobado el pasado mes de abril y entrará en vigor en España en mayo de 2018, recoge esta obligatoriedad de hacer públicas estas violaciones de seguridad.
Según CMC, esto supone para las empresas enfrentarse a los «graves perjuicios» que un hecho de estas características puede generar para su imagen y la reputación de su marca. Además, las organizaciones también se enfrentan a fuertes sanciones cuyo importe puede llegar a ser el 4% de la facturación.
La nueva normativa europea traslada el foco de la seguridad desde el eje de las infraestructuras (redes, firewalls, etcétera), entorno en el que hasta ahora se han concentrado las inversiones, al eje de las personas (gestión de identidad y accesos), «que no ha sido siempre atendido debidamente».
Además, el GDRP incide en la gestión del cumplimiento normativo y exige a las empresas el registro preventivo de evidencias del cumplimiento para demostrarlo ante la administración pública, si quieren eludir las multas en caso de un ataque.
«GDPR da una vuelta de tuerca a la responsabilidad que tienen las empresas de garantizar una gestión eficaz y responsable de los datos al exigir una gestión preventiva y una supervisión eficaces que, de no cumplirse y sufrir un ataque, puede traducirse en sanciones muy severas, sin olvidar el perjuicio de difícil reparación para su imagen», incide el director de la unidad de Tecnología de Grupo CMC, Emeterio Cuadrado.
Otra de las novedades más relevantes que introduce el GDPR es la gestión del cumplimiento de la norma, por lo que las empresas públicas y aquellas que manejen datos de categoría especial a gran escala deberán designar un delegado de protección de datos (DPO por sus siglas en inglés).
Esta nueva figura, que puede ser interna o externa, se encargará de informar y asesorar sobre obligaciones, supervisar el cumplimiento, cooperar con la autoridad de control y actuar como interlocutor con los titulares de los datos.
