Por Óscar López
En los últimos tiempos, la atención de empresas y profesionales en relación con la protección de datos se ha vuelto hacia la figura del DPO (Data Protection Officer), debido a que el nuevo Reglamento Europeo (REPD) la señala explícitamente. En cambio, la figura del responsable de seguridad de la información (CISO, por sus siglas en inglés) no se menciona explícitamente en el REPD, lo cual no quiere decir, ni mucho menos, que desaparezca su responsabilidad. Así, pues, el CISO no debe confiarse.
La ciberdelincuencia, la seguridad y protección de los datos personales es un tema estrella del que no podemos aislarnos, máxime dados los últimos acontecimientos que, como el ataque a escala mundial del famoso software malicioso wannacry, nos están poniendo en nuestro sitio: aumento alarmante de los ataques a los sistemas y a la información.
En mi opinión, es una a realidad incuestionable que por muchos Centros de Inteligencia y de Seguridad que operen, de manera preventiva, en nuestro país, Europa y resto de países civilizados, el papel del CISO frente a la gestión responsable del tratamiento de datos personales y las amenazas de seguridad de los sistemas en su organización es fundamental. No estamos solos… pero casi. El DPO y el CISO van juntos de la mano para garantizar un resultado eficaz: gestión, control y protección de los datos personales.
Debemos recordar que uno de los aspectos más relevantes del REPD, de entrada en vigor en mayo del 2018, es la incorporación del principio de accountability o responsabilidad del responsable (art. 24) a través del cual el legislador deja claro que debemos garantizar y poder acreditar que tratamos los datos (y los custodiamos) aplicando las medidas técnicas y organizativas apropiadas para nuestra organización.
Se confirma así la interpretación jurisprudencial de «obligación de resultado» en cuanto a la custodia de los datos personales y la necesidad de garantizar la implantación de las medidas de seguridad idóneas que impidan el acceso y tratamiento indebido, la manipulación, el uso ilegal y los daños colaterales que puedan acarrear.
El nuevo marco legal ya no nos facilita un catálogo de medidas, como ocurre con la LOPD y su reglamento de desarrollo que nos servía de dócil guía para garantizar nuestra diligencia, sino que nos interpela, como adultos que somos (desde el año 1992 -LORTAD, ¡que recuerdos! -a esta parte ya hemos tenido tiempo de pasar la difícil adolescencia), a establecer las medidas de seguridad adecuadas al riesgo (art.32 REPD) y evitar el impacto que nos pueda acarrear una posible violación de seguridad que afecte a los datos personales. Por ello, y frente a hacking, spoofing, adware y spyware, rootkits, cracking, phishing y otras , cada día más originales, formas de delinquir vulnerando sistemas, tanto el encargado como el responsable del tratamiento, todos a una, asumen una responsabilidad en su gestión, siendo garantes, y están obligados a colaborar activamente, para garantizar la seguridad de los datos, la protección debida de la intimidad, y el cumplimiento de la ley.
Frente a la creciente amenaza de la ciberdelincuencia, el legislador ya ha actuado tipificando delitos en nuestro código penal (197,197 bis,264, 413 al 418 y 442, entre otros) y regulando obligaciones legales (el REPD es la última «estafeta»). Ahora nos toca a nosotros actuar (DPOs y CISOs) evaluando riesgos y adoptando decisiones y medidas de control idóneas, y ahí no sólo el papel del DPO es relevante, el del CIO, CISO o responsable de seguridad tiene mucho que aportar. Porque la gestión responsable de la protección de datos es cosa de todos dentro de una organización.
No olvidemos que el cumplimiento diligente de la normativa sobre protección de datos y de la implantación de medidas de seguridad exige un control, una gestión continua y una capacidad de acreditación, tareas que nos permitirá vivir en una cultura ética, de cumplimiento y respeto a la ley y nos evitará sustos, incluso responsabilidades de índole penal que el art. 31 bis Código Penal traslada a nuestra organización, si se diera el caso.