Viernes, 13 julio 2018

Los expertos en seguridad informática encuentran una 'brecha' laboral gracias al nuevo RGPD

El Reglamento relativo a la protección de las personas físicas (RGPD), ha llegado como un huracán. Se ha hecho notar con numerosos correos electrónicos solicitando consentimientos, informando de políticas de privacidad, etc, pero también supone una oportunidad laboral.

El texto incorpora importantes novedades, entre las que destacan las obligaciones relacionadas con la responsabilidad proactiva. Exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos. Requiere que las organizaciones:

1. Analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

2. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En palabras de la guía de la Agencia Española de Protección de Datos (AEPD) “el RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo”.

– Análisis de riesgo

– Registro de actividades de tratamiento

– Protección de Datos desde la Protección de Datos

– Medidas de seguridad

– Notificación de “violaciones de seguridad de los datos”

– Evaluación de impacto sobre la Protección de Datos

– Delegado de Protección de Datos

 El RGPD y la Ciberseguridad

Como vemos en el listado superior, aparecen aspectos como análisis de riesgo y evaluación de impacto en los que no existe tradición en protección de datos, pero que sí que tienen histórico en sectores como el financiero o asegurador. UNIR ofrece formación de apoyo a esta materia en el Máster en Ciberseguridad, en el que se dedica una asignatura a aspectos legales y regulatorios, pero también otras como por ejemplo análisis de riesgos o auditoría de seguridad.

Y después, en el ámbito de la seguridad de información, la gestión de riesgos se ha desarrollado en diversas normas concretas. Por ejemplo la ISO 27001 “Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de la seguridad de la información – Requisitos” que constituye el marco para la implantación y posible certificación de un Sistema de Gestión de Seguridad de la Información (SGSI).

RGPD

Pero después fue la propia legislación la que llevó la exigencia de un SGSI en el ámbito público, y también para algunas organizaciones privadas que prestan servicios y tratan información del sector público. Ello sucedió con la aprobación (mediante el RD 3/2015 modificado por el RD 951/2015) del Esquema Nacional de seguridad (ENS).

Pues bien: el RGPD, a diferencia del RD 1720/2007, ya no remite a un catálogo de medidas de seguridad concreto sino que hace depender las medidas de seguridad de las que se deriven del análisis de riesgos y – en su caso -de las evaluaciones de impacto que se tengan que realizar cuando corresponda. Y el RGPD supone una invitación a poder remitirse a la aplicación de las medidas de seguridad recogidas en la ISO 27001 o el ENS, por ejemplo, si contribuyen a la protección de los datos de carácter personal.

La figura del Delegado de Protección de Datos (DPD).

El Delegado de Protección de Datos es un rol que se ha puesto de moda gracias al RGPD porque es exigible para todas las administraciones públicas y también para muchas empresas. El DPD es un garante de la protección de datos, pero como decíamos, es algo cada vez más complejo que tiene ramificaciones en otros estándares y marcos normativos como los que hemos mencionado.

Si bien la certificación del DPD puede ser recomendable, lo que sí que es totalmente exigible es su capacitación para el cumplimiento de sus tareas. En este sentido, el Máster Universitario en Protección de Datos de UNIR es una gran oportunidad formativa para poder abrirse camino en esta nueva profesión de Delegado de Protección de Datos.