159 millones de euros en multas por vulnerar el Reglamento General de Protección de Datos (RGPD) en Europa durante 2020. Casi 700 brechas de datos notificadas a la Agencia Española de Protección de Datos en lo que llevamos de año. Unos consumidores cada vez más exigentes en lo que a la salvaguarda de su información personal se refiere. Y los delincuentes, nuevamente, sacando tajada de las carencias de ciberseguridad en las organizaciones.
El panorama se antoja difícil al cumplirse tres años de la entrada en vigor del RGPD. La clave de su requerido éxito pasa por entenderla como algo más que una obligación. ¿Qué oportunidades brinda? ¿Qué grado de aceptación tiene en nuestro país? De éstas y de otras cuestiones hablamos con Drew Bagley, vicepresidente de CrowdStrike para el área de privacidad.
Pregunta: ¿Con qué objetivos nace el RGPD?
Drew Bagley: El reglamento europeo marca las normas relacionadas con la protección de las personas físicas en lo relacionado con el proceso de sus datos personales y legisla sobre la libertad de movimientos de los datos personales. La regulación protege los derechos fundamentales y la libertad de las personas y en particular sus derechos sobre la protección de los datos personales.
P: Hay voces críticas con el reglamento, ¿por qué se considera que no está resultando todo lo eficaz que debería?
D.B: Siempre hay lugar para la mejora. Sin embargo, el objetivo del RGPD para proteger los derechos de protección de datos y las obligaciones para quienes trabajan con datos personales ha conseguido un importante éxito, sobre todo porque ha llevado la protección de datos a los Consejos de Administración.
Sin embargo, se ha usado demasiada energía en los últimos tres años discutiendo sobre cómo restringir los flujos de datos entre fronteras cuando las mayores amenazas a la protección de datos llegan desde ciberataques sofisticados. Aquí es donde el RGPD brilla debido a las exigencias que impone a las empresas sobre la puesta en marcha de políticas de ciberseguridad que sirvan para proteger los activos de un riesgo. A lo que me refiero es a que las organizaciones deben priorizar la ciberseguridad como parte de su estrategia de mitigación de riesgos dentro del RGPD.
P: ¿Qué aceptación tiene el RGPD entre las empresas y en qué las ha ayudado su puesta en marcha?
D.B: Se supone que las empresas tienen que informar de brechas en sus bases de datos a la autoridad pertinente en 72 horas desde que el ataque es descubierto, pero un estudio de CrowdStrike revela que tres de cada diez empresas que ha sido víctima de un ciberataque no lo hacen. Sorprende que muchas organizaciones sigan ignorando sus obligaciones para informar de los ataques, subestimando las capacidades de los cibercriminales. De hecho, poco más de la mitad (55%) se considera preparada ante un evento de seguridad, y sólo un 34% cuenta con protocolos específicos en caso de ser atacada.
La buena noticia es que aunque la entrada en vigor del reglamento europeo supuso verdaderos quebraderos de cabeza para una de cada cinco empresas, la misma cifra de organizaciones cree que era una norma necesaria. Un tercio cree que, gracias al nuevo reglamento, los datos de los europeos están más protegidos y una importante mayoría (58%) afirma que ahora están más preparadas ante una ciberintrusión. De hecho hasta un 28% de organizaciones confirma que gracias a la aplicación del reglamento pudo minimizar los efectos de ataques sufridos.
P: ¿Cuál es el nivel de cumplimiento por parte de las empresas españolas con respecto a la media global europea?
D.B: Las cifras españolas son similares a las de otros países. Tal vez encontremos más organizaciones españolas en las que se han tenido que adoptar más medidas adicionales relacionadas con la ciberseguridad o más empresas en las que hubo que invertir más para adaptarse al reglamento, pero la adopción del reglamento ha sido bienvenida por dos de cada diez empresas, como en el resto de países europeos. Lo que destaca en el caso de España es que la adopción del RGPD como respuesta a posibles ciberataques ha sido especialmente positiva: tres de cada cuatro empresas así lo ven, frente a menos del 45% de las organizaciones alemanas o al 57% de las italianas, por ejemplo.
Por otro lado, cuatro de cada diez empresas españolas admite que ahora, gracias al RGPD, protege mejor sus datos que antes y un tercio ha visto cómo el RGPD les ha salvado de una ciberintrusión, más del doble que en cualquier otro país europeo.
P: ¿Están nuestros datos más protegidos que hace tres años, cuando este reglamento entró en vigor?
D.B: El RGPD convirtió la protección de datos en una preocupación al nivel del Consejo de Administración de las empresas y la ciberseguridad es una parte clave de la protección de datos. Esto ha incentivado a las empresas europeas a invertir en ciberseguridad, no sólo para proteger sus datos frente a brechas de seguridad sino también para prevenir sanciones. De hecho, muchas de las sanciones más importantes impuestas por el RGPD en los tres años de historia de este reglamento se han debido a fallos relacionados con la ciberseguridad.
Además, el RGPD ha influido en varios desarrollos legislativos sobre protección de datos en todo el mundo y muchas organizaciones han mejorado la forma de manejar sus datos gracias a este reglamento.
P: ¿Existen datos sobre la cantidad de empresas que han sido sancionadas por incumplimiento?
D.B: Según un informe de DLA Piper, las multas relacionadas con el RGPD son cada vez más frecuentes. En 2020 crecieron un 39%. En toda la UE se han impuesto sanciones por valor de unos 332 millones de euros.
P: ¿Qué hace falta para incrementar su efectividad? ¿Cuál es el papel de los estados a la hora de tratar de garantizar su cumplimiento?
D.B: Los gobiernos nacionales deben seguir alertando sobre los riesgos –y priorizando las sanciones en aquellos casos en los que los riesgos son mayores- y sobre la recompensa que puede suponer cumplir con el reglamento. Estoy pensando por ejemplo en la guía de mejores prácticas publicada por ENISA.
P: Por último, ¿cuándo puede una empresa considerar que ya ha hecho los deberes y que ya se acoge definitivamente el reglamento?
D.B: Las organizaciones deben recordar que el RGPD se basa en principios y, por lo tanto, cumplir con él es un proceso interactivo: no existe el “ya está” cuando hablamos de protección de datos. Cumplir con el reglamento exige a las organizaciones poner en marcha procesos apropiados de evaluación y protección de las actividades relacionadas con sus datos.
Las sanciones de la UE en los últimos tres años dejan claro que las amenazas relacionadas con la ciberseguridad son uno de los mayores problemas a la hora de cumplir con el RGPD, por lo que es importante que las empresas inviertan en tecnologías apropiadas para mitigar los riesgos actuales. Los ataques tipo “ransomware-as-a-service” o basados en autenticación no se previenen con enfoques tecnológicos que no cumplen con el reglamento, por lo que es difícil de imaginar cómo una empresa puede admitir que cumple el RGPD si no cuenta con tecnologías de protección ante ciberataques.
