Tras la aprobación del Reglamento (UE) 679/2016 General de Protección de Datos (RGPD, o GPDR en sus términos en inglés) han cambiado algunos de los principios sobre los que se sustentaba la anterior regulación. Durante este artículo vamos a analizar algunos, además de cómo éstos deben enfocarse desde el punto de la seguridad integral.
Si nos referimos a la protección de la información, el RGPD ha optado por alinearse con un enfoque tradicional de seguridad de la información, mediante la protección de la confidencialidad, integridad y disponibilidad de la información personal, como se interpreta del artículo 32 del mencionado reglamento: “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros… b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.
A diferencia de la anterior regulación, basada en medidas estandarizadas según la tipología de los datos personales tratados, con el RGPD el enfoque a riesgos es imprescindible, dejando al responsable del tratamiento de los datos la decisión mediante un proceso formal de evaluación de aplicar aquellas medidas acorde con los riesgos resultantes sobre la privacidad de los titulares o de los propietarios. Además, nótese que aparece por primera vez el concepto de resiliencia asociado a la protección de datos, término que incide más aún en el cambio de paradigma y que plantea una transformación a todos los niveles: organizativo, el enfoque a riesgos, la gestión de cambios, la seguridad y privacidad desde el diseño y por defecto, la integración de la seguridad física y lógica, la responsabilidad proactiva, etc.
Por otro lado, y desde el punto de vista organizativo y de gobierno, podemos decir que este nuevo enfoque ha forzado una integración total de la protección de la privacidad a lo largo de toda la organización, involucrando de manera activa a todos los ámbitos: legal y jurídico, tecnología, riesgos, seguridad lógica, seguridad física, recursos humanos, responsables de áreas o departamentos, incluso a la dirección de la organización que debe ejercer la responsabilidad proactiva y velar porque el cambio propuesto sea real y efectivo.
El nuevo modelo promovido por el RGPD ha hecho que muchas de las figuras o roles que han emergido en la última década, fruto del aumento de la madurez de la cultura de la seguridad y de los modelos organizativos, tomen un mayor peso y se transformen en roles imprescindibles para la protección de la privacidad y de la seguridad. En la actualidad, las figuras que se encuentran relacionadas con la seguridad de la información son:
- CISO (Chief Information Security Officer): es el director de la seguridad de la información. Desempeña sus funciones en el ámbito ejecutivo y tiene el objetivo de alinear la estrategia de la organización y los objetivos con la estrategia de seguridad y el programa de gestión de seguridad de la información.
- CIO (Chief Information Officer): es el director de sistemas de información y su labor principal es la confluencia de los sistemas con los objetivos de la empresa. El CIO analiza qué beneficios puede sacar la empresa de las nuevas tecnologías y gestiona sus riesgos y el rendimiento de los propios sistemas.
- CTO (Chief Technology Officer): es la vertiente técnica del CIO. Se encarga de la supervisión continua de los sistemas de la empresa. Es el responsable del equipo de ingeniería y de la implementación de la estrategia técnica con aras de mejorar el producto o el servicio.
- CDO (Chief Data Officer): es el responsable de la estrategia relacionada con los datos y la información, el gobierno de datos, el control y desarrollo de políticas y la explotación efectiva de los datos.
Asimismo, y durante los últimos años, diversas motivaciones han hecho emerger la figura de un nuevo rol, el CSO (Chief Security Officer), cuyo objetivo es proporcionar una visión integral de la seguridad, tradicionalmente entendida como física y lógica. Tales motivaciones se podrían resumir en:
- La necesidad de afrontar de manera integral nuevas amenazas por los cambios en el contexto externo e interno, por ejemplo nuevas formas de terrorismo, fraude externo e interno, etc.
- El mayor grado de centralización y la dependencia sobre los sistemas de información, además de la necesidad de proteger las áreas, las instalaciones que los contienen y a las personas como algo crítico para el negocio.
- La aparición de regulaciones que impulsan un modelo integral, entre otras, la Ley de Protección de Infraestructuras Críticas, el ENS (Esquema Nacional Seguridad) y actualmente el RGPD.
Ante este conglomerado de acrónimos, el RGPD ha instaurado una nueva figura, conocida como DPO (Data Protection Officer), formado por un perfil jurídico-técnico en el esquema de gobierno del dato y cuya designación es obligatoria cuando nos encontremos bajo algunos supuestos. Sus funciones son:
- Informar y asesorar al responsable o encargado sobre la legislación.
- Supervisar el cumplimiento de la legislación y regulación aplicables.
- Supervisar la evaluación de impacto en la privacidad.
- Cooperar con la autoridad de control y ser el punto de enlace con la empresa.