Mañana, 28 de enero, es el Día de la Protección de Datos, una buena ocasión para recordar la necesidad de concienciarnos sobre la importancia de la custodia de datos de carácter personal. Por otra parte, este años se cumplen 39 años desde que se firmase el convenio que regula este ámbito y, desde entonces, se han producido grandes cambios.
Elcompromiso con la privacidad ha experimentado una gran evolución propiciada, engran parte, por la irrupción imparable de las nuevas tecnologías. La apariciónde los smartphones, la expansión del Internet de las Cosas (IoT), de lainteligencia artificial o del machine learning ha facilitado a empresas yciberdelincuentes el acceso a una cantidad importante de información personal.
Para frenar algunas prácticas abusivas de las compañías y, el uso que hacían de esta información, se aprobó el Reglamento General de Protección de Datos (RGPD) a nivel europeo. En el caso de España entró en vigor la Ley de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que recoge los nuevos derechos digitales y recalca el momento de innovación constante en el que estamos.
Sin embargo, y a pesar de todas estas medidas regulatorias, muchas organizaciones todavía tienen dificultades para cumplir debidamente con este reglamento. Los expertos del área Entelgy Innotec Security, la división de ciberseguridad de Entelgy, destacan los 4 aspectos en los que las empresas tienden a incumplir en lo que respecta a la protección de datos personales.
1. Uso de cookies: La primera cookie se creó en 1994 por lo que desde entonces las empresas han recopilado ciertos datos para identificar al usuario almacenando su historial de actividad en un sitio web. Han existido varias leyes que han querido regular el procedimiento de recopilación de datos a través de las cookies, pero hasta la RGPD las empresas no han sido del todo conscientes de los procedimientos que debían cumplir. Aún así parece que no todos lo han interiorizado. Según un estudio de la la Universidad de Cornell en Estados Unidos sólo el 11,8 % de las páginas web que analizaron utilizaban técnicas que cumplen con los requisitos establecidos en el RGPD. En el caso de España y un año después de la entrada en vigor de la normativa europea, sólo el 14 % habían adaptado el uso de cookies en sus sitios webs.
2. Aparición de nuevas amenazas: Casi al mismo tiempo que evoluciona la tecnología lo hacen también las ciberamenazas y los métodos de los ciberdelincuentes para hacerse con información personal relevante como, por ejemplo, tus datos bancarios. Ante estos cambios constantes es importante tener actualizados todos los sistemas de defensa y estar al día de las novedades que se producen en este campo. Además de por propia seguridad, también porque si una empresa trabaja con un sistema operativo que no recibe actualizaciones estaría incumpliendo la RGPD. Por ejemplo, la Agencia de Seguridad Nacional de Estados Unidos (NSA) ha detectado recientemente una vulnerabilidad que se encuentra en los sistemas operativos Windows 10 y Windows Server 2016 y que afecta el manejo de certificados y mensajería cifrada, y conlleva un grave riesgo de suplantación de identidad.
3. Dificultades al ejercer nuestros derechos: Cuando queremos ejercer nuestros derechos ante una empresa en lo que se refiere al uso de nuestros datos personales no siempre recibimos la respuesta en el tiempo que marca la ley. Según una investigación, el 70% de las empresas de todo el mundo no contestaban a los interesados en un mes. Un año después, la misma compañía realizó una actualización de ese mismo estudio, del que se concluía que sólo el 42 % de las empresas encuestadas cumplía correctamente con los plazos del derecho ejercido por los interesados.
4. No contar con una política de privacidad interna: Además de la propia recopilación de datos, es importante que internamente esté definido el uso que vamos a hacer de esa información que ha sido recogida. Si se diera el caso que una compañía utilizase algún dato para un fin que no está permitido podría enfrentarse a una sanción importante.
“Desde Entelgy queremos recordar que cumplir con la normativa es una forma de optimizar recursos ya que será mucho más costoso, tanto técnica como económicamente intentar solucionar los problemas una vez que se hayan producido.” afirma Laura Burillo, consultora de seguridad de Entelgy Innotec Security. “En la protección de datos la seguridad debe ser una constante que dure todo el ciclo de vida de los datos, y hay que recordar que no es un producto, es un conjunto de procesos, de personas y de tecnología en incesante evolución.”