Por Daniela Vidal Bucher y Karol Herrera González, abogadas de ECIJA
Como no podía ser de otra manera en el Día Internacional de la Protección de Datos nos vemos obligados a reflexionar sobre la seguridad de los datos personales dado el elevado volumen de ataques, suplantaciones de identidad, así como actuaciones fraudulentas realizadas a través del uso de las redes y sistemas de información.
Varias son las novedades legislativas recientemente publicadas, por un lado, la nueva Guía 01/2021 del Comité Europeo de Protección de Datos sobre ejemplos de brechas de seguridad a notificar, y por otro, la nueva propuesta de Directiva NIS (NIS 2) que publicó la Comisión Europea el 16 de diciembre de 2020 que da un paso más allá en la potenciación de un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, así como en la cooperación y coordinación de actuaciones a nivel seguridad en el ámbito de la Unión Europea.
La realidad está demostrando que las autoridades de control se encuentran sancionando a las empresas por no realizar las comunicaciones correspondientes en caso de brechas de seguridad, así como por no adoptar medidas de seguridad adecuadas. Y las multas no son menores, así pudimos verlo en el caso de British Airways o Marriott (20 millones de libras y 28,4 millones de libras, respectivamente).
Lo cierto es que ni los gigantes se salvan porque los ataques son cada vez más sofisticados y en ocasiones las víctimas son los propios empleados.
Recurrentes son las suplantaciones de identidad que simulan enviar documental o determinada actualización vía un enlace en nombre de un compañero de trabajo. En otras, el ataque no es necesariamente de fuera, ocurre dentro. Personal con accesos autorizados sustrae la base de datos de clientes. Otras veces incluso son meros errores humanos no intencionados, como el adjuntar la documentación equivocada o el no seguir las instrucciones impartidas por los departamentos de seguridad, como, por ejemplo, no actualizar los aplicativos o no utilizar los programas y sistemas de información aprobados por la compañía.
En definitiva, los planes de respuesta en materia de ciberseguridad son cada vez más necesarios y la nueva Guía del Comité Europeo de Protección de Datos nos lo recuerda. Después de todo los plazos de comunicación en materia de protección de datos son de tan sólo 72 horas. En esta ocasión el Comité solicita a la comunidad que comparta sus experiencias y nos presenta casos en los que procedería la comunicación de la brecha de seguridad a las autoridades y a los afectados. Además, atendiendo al tipo de incidente recomienda medidas de seguridad específicas haciendo hincapié en la formación a los empleados en materia de ciberseguridad o la delimitación contractual de las consecuencias no sólo laborales, sino incluso civiles o penales de extraer información titularidad de la empresa.
La propuesta NIS 2, por su parte, hace hincapié en elevar el nivel común de seguridad en la Unión Europea. En este sentido, se amplía el catálogo de sectores afectados por la Directiva, dejando incluso a discreción de las autoridades estatales el que puedan ampliar la lista. Las entidades ahora se clasifican por su nivel de importancia, pudiendo ser esenciales o importantes, elevándose las medidas de seguridad a aplicar por dichas empresas e incluso fijando un grado mínimo de cumplimiento.
En el Día Internacional de Protección de Datos conviene saber que los organismos responsables intentan armonizar las sanciones administrativas a nivel europeo
Las anteriores obligaciones se hacen extensivas a proveedores y cadenas de suministros que deberán estar supervisadas, existiendo un seguimiento de aquellas consideradas críticas a nivel europeo mediante mecanismos de cooperación entre los Estados Miembros, la Comisión Europea y la Agencia de la Unión Europea para la Ciberseguridad (ENISA). En relación con esto último, se propone la creación de un registro operado por ENISA, en el cual, los Estados Miembros podrán volcar los resultados provenientes de las evaluaciones de riesgos de las entidades críticas.
La propuesta introduce también novedades sobre los procesos de notificación de incidentes, contenido de los informes y plazos, otorgando mayores poderes de supervisión y realiza un intento de armonización de las sanciones administrativas a nivel europeo.
Asimismo, se refuerza el papel del Grupo de Cooperación, como autoridad competente de la toma de decisiones estratégicas comunes, que deberán irse actualizando fruto de la proliferación de nuevas tecnologías a fin de allanar el ámbito de aplicación de NIS 2 en esta nueva era de seguridad.
Por último, tampoco se puede dejar atrás, la intención de la Unión Europea de ampliar su alcance a terceros países fuera de la Unión Europea o del Espacio Económico Europeo, con el fin último de que se adapten protocolos conjuntos de actuación y así poder crear garantías de niveles adecuados de seguridad a una escala global. La propuesta de Directiva pretende constituirse como modelo de referencia para promover la cooperación con terceros países.
En definitiva, la propuesta NIS 2 trae un plan ambicioso en materia de ciberseguridad reflejo de la situación actual vivida. El COVID-19 ha sido uno de los factores que más ha acelerado ese proceso de digitalización. Las empresas deberán intentar no quedarse atrás en esta materia.
Daniela Vidal Bucher y Karol Herrera González son abogadas de ECIJA