Transposición de la Directiva NIS y seguridad de los datos personales
Una exigencia fundamental del Reglamento General de Protección de Datos (RGPD) es que los datos personales sean tratados de forma segura. Para que esto ocurra cada organización debe utilizar las medidas técnicas y organizativas adecuadas que garanticen la confidencialidad, integridad y disponibilidad de los datos personales.
En nuestro anterior artículo mensual, que trataba sobre la protección de datos por defecto, mencionamos el principio de responsabilidad proactiva. Este principio exige no sólo cumplir con la normativa, sino también disponer de los medios para poder demostrar que se ha cumplido.
A pesar de su importancia, ni la actual normativa ni las autoridades de control han detallado cuáles son las medidas de seguridad concretas que deben aplicarse.
El nuevo Real Decreto 43/2021, publicado el 26 de enero de 2021, establece una serie de medidas que buscan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información y que pueden ser tomadas como ejemplo de medidas de seguridad que cualquier empresa puede aplicar.
Medidas de seguridad impuestas por el RD 43/2021
El RD 43/2021 culmina la transposición de la Directiva 2016/1148, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (Directiva NIS).
Esta norma afecta a los que denomina Operadores de Servicios Esenciales (OSE) y Prestadores de Servicios Digitales (PSD).
Los OSE son aquellas organizaciones en las que un incidente (en la seguridad de sus redes y sistemas de información) pueda provocar efectos perturbadores significativos en la prestación de un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales.
Los PSD, por su parte, son aquellas medianas o grandes empresas que ofrecen servicios de mercados en línea, motores de búsqueda en línea o servicios de computación o almacenamiento en nube.
A estas organizaciones el reglamento les impone una serie de obligaciones:
- Nombrar, antes del 28 de abril, a un responsable de la seguridad de la información (CISO).
- Aprobar, antes del 28 de julio, unas políticas de seguridad de las redes y sistemas de información y formalizarlas en una “Declaración de Aplicabilidad”. En ellas deberán delimitarse los tratamientos que incluyan datos personales, pues como generan una serie de riesgos específicos, deberán tomarse medidas correctoras específicas dirigidas a atajarlos o reducirlos.
- Crear un protocolo de notificación de incidentes a la autoridad competente, el cual, cuando afecten a datos personales, deberá contemplar lo previsto en el RGPD.
- Establecer una política de gestión de riesgos de los proveedores externos, que implica redactar cláusulas contractuales y mecanismos de supervisión que acrediten que estos terceros han tomado las medidas adecuadas.
Como hemos visto, los OSE y PSD tienen la obligación de tomar estas medidas, pero esto no impide que otras organizaciones, sometidas al RGPD, puedan utilizarlas. Al contrario, todos los mecanismos mencionados pueden ser aplicados por cualquier empresa que quiera demostrar que está tomando las medidas técnicas y organizativas adecuadas para salvaguardar sus datos personales.
Por ende, estas medidas constituyen una buena práctica que puede adoptar cualquier organización en beneficio de su negocio, máxime si trata datos sensibles (de raza, sexo, religión, opinión, salud…) o si el tratamiento supone un elevado riesgo para los interesados (elaboración de perfiles, decisiones automatizadas, monitorización de personas…).
Miembro del Grupo de Expertos ITSM4Privacidad
Team Leader del Grupo de Expertos ITSM4Privacidad