Próxima entrada en vigor de normativa europea sobre ciberseguridad, privacidad y protección de datos

blog

En las próximas semanas entrarán en vigor, a diferentes niveles, tres importantes normativas de rango europeo: la directiva europea de ciberseguridad (NIS, Network and Information Systems), el reglamento europeo sobre protección de datos (GDPR, European General Data Protection Regulation), así como el reglamento europeo sobre privacidad y comunicaciones electrónicas (E-Privacy). Estas tres directivas europeas serán efectivas de manera plena (es decir, con su aparato sancionador en vigor), a partir del 10 de mayo de 2018 (NIS) y del 25 de mayo de 2018 (GDPR y E-Privacy).

 

La directiva NIS, denominada oficialmente “DIRECTIVA (UE) 2016/1148 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, es un conjunto de directrices que deben cumplir los Estados miembros, destinado, fundamentalmente, a la preservación de las infraestructuras críticas para el funcionamiento del Estado y de la sociedad, ante posibles ciberataques que puedan mermar o, incluso, dejar fuera de servicio, cualquiera de estas infraestructuras.

Para alcanzar estas metas, la directiva NIS establece las siguientes exigencias:

  • Obligación para los Estados miembros de adoptar una estrategia nacional de seguridad de redes y sistemas informáticos. Para ello, deberán ser designados por parte de los Estados miembros, autoridades competentes en seguridad de redes y sistemas informáticos.
  • Obligación para los Estados miembros a que designen uno o varios Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT).
  • Creación de un grupo de cooperación entre los Estados miembros, al objeto de facilitar el intercambio de información sobre incidentes de seguridad.
  • Obligación para los Estados miembros a identificar a los Operadores de Servicios Esenciales (OSE) y los Proveedores de Servicios Digitales (PSD) establecidos, para cada sector, en su territorio.

Dentro de estos Operadores de Servicios Esenciales del Estado, estarían incluidos los prestadores los siguientes servicios:

  • Proveedores de energía, como electricidad, petróleo, gas, etc.
  • Banca y entidades de crédito.
  • Transporte aéreo, marítimo, ferrocarriles y carreteras.
  • Infraestructuras del mercado financiero.
  • Sector sanitario, incluyendo hospitales y clínicas privadas.
  • Suministro y distribución de agua potable.
  • Infraestructuras digitales como proveedores de servicios de Internet (ISP), servidores de nombres de dominios (DNS), etc.
  • Mercados virtuales.
  • Motores de búsqueda en Internet.
  • Servicios en la nube.
  • Etc.

La Directiva NIS obliga a todas las empresas que presten los servicios indicados anteriormente, a tomar todas las medidas conducentes a prevenir y a mitigar los efectos de cualquier ciberataque o incidente de seguridad en las redes y en los sistemas informáticos de dichas compañías. Por otra parte, la directiva NIS también obliga a la notificación de cualquier tipo de incidente de seguridad, así como a la adopción de medidas, no sólo técnicas, sino también organizativas, para gestionar los riesgos de seguridad en las organizaciones, teniendo en cuenta la tecnología subyacente, las mejores prácticas del mercado y el principio de proporcionalidad.

Para ser considerado un OSE, la entidad deberá cumplir con los siguientes requisitos:

  • Debe ser una entidad que presta un servicio esencial para el mantenimiento de actividades sociales o económicas, es decir, un servicio esencial para el funcionamiento del Estado y la sociedad.
  • La prestación de dicho servicio depende de las redes.
  • Un incidente (definido por la propia directiva NIS como todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas informáticos), tendría efectos negativos en la prestación del servicio.

Para ser considerado un PSD, por su parte, la entidad deberá ser uno de los siguientes prestadores de servicios:

  • Un mercado en línea.
  • Un motor de búsqueda en línea.
  • Un servicio de computación en nube.

Los OSE deberán cumplir los siguientes requisitos en materia de seguridad:

  • Adopción de medidas de seguridad adecuadas a los posibles riesgos que pudieran darse en la organización, con el objetivo de garantizar la continuidad de la prestación del servicio.
  • Notificación de manera inmediata a la autoridad competente o al CSIRT, sobre cualquier incidente que tenga efectos perturbadores en la prestación de los servicios esenciales.
  • Dichas notificaciones deberán contener la información suficiente que permita a las distintas autoridades, determinar cualquier efecto transfronterizo de la incidencia.

Los PSD, por su parte, deberán adoptar medidas adecuadas, al objeto de hacer frente a los riesgos existentes para la seguridad de las redes y sistemas informáticos que se utilizan en el marco de la oferta de servicios esenciales en la Unión Europea.

Los Estados miembros deberán observar la implantación de las medidas en estas organizaciones, del tal forma que las autoridades competentes podrán exigir información y pruebas de la aplicación de las medidas a los OSE y a los PSD. Dentro de este marco, cuando se produzca un incidente, será necesaria la intervención de un perito informático que determine, de manera independiente, el grado de cumplimiento de la normativa. Especialmente relevante será la intervención del perito informático, contratado de manera independiente por el OSE o el PSD, en caso de que la Administración sancione a la organización por incumplimiento de la normativa y la organización desee demostrar que todas las medidas habían sido implantadas.

 

Continuando con nuevas normativas que entrarán brevemente en vigor, el reglamento de protección de datos, denominado oficialmente “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”, es una normativa orientada a la protección de los datos de carácter personal. Este reglamento pretende avanzar un paso más en el control de la protección de los datos personales de los ciudadanos, derogando la directiva que se transpone en España en la Ley Orgánica de Protección de Datos (LOPD).

Las principales novedades que presenta este reglamento son las siguientes:

  • Ámbito de aplicación. Se recogen tres supuestos: (i) los tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas; (ii) los tratamientos llevados a cabo por los órganos de la Administración General del Estado, para ciertas actividades contempladas en el marco del Derecho de la Unión Europea; (iii) los tratamientos efectuados por parte de las autoridades competentes y sus agentes con fines de seguridad pública y en el ámbito de la investigación y persecución de infracciones penales.
  • Consentimiento explícito. La principal novedad es que el silencio del consumidor ya no se puede entender como consentimiento. Este consentimiento debe determinarse a partir de una acción que lo exprese. Se necesitará conocimiento explícito, no tácito. Ello obliga a las empresas a llevar un registro de consentimiento.
  • Menores. En España, es obligatorio que el consentimiento en menores de 14 años esté validado por la madre, el padre o el tutor legal. Los avisos de privacidad deben ser entendibles y más si el público es menor de edad.
  • Tipología de datos protegidos. Ya lo eran la ideología, la afiliación partidista, sindical, la raza, los datos médicos y otros. Ahora se añaden los datos genéticos.
  • Derecho al olvido. Los consumidores y usuarios pueden solicitar el borrado de los datos si ya no son necesarios para cumplir el motivo por el que se solicitaron.
  • Derecho a la portabilidad. Consiste en solicitar los datos proporcionados a un responsable en un formato válido, al objeto de poderlos trasladar a otro responsable si así se desea.
  • Incidentes de seguridad. Los fallos que se produzcan, deberán ser comunicados obligatoriamente a la Agencia Española de Protección de Datos, así como a los afectados.
  • Ventanilla única. Los responsables se podrán dirigir a esa autoridad única si se tratan datos procedentes de diferentes Estados de la Unión Europea. También podrán hacerlo las organizaciones con diversos responsables repartidos por varios países. Para ello se ha creado el Comité Europeo de Protección de Datos.
  • Aumentan las multas. El castigo administrativo puede llegar hasta los 20 millones de euros o un 4% del volumen de negocio del ejercicio anterior de la organización. Si la segunda cantidad es mayor, ése será el importe de la multa.
  • Delegado de Protección de Datos (DPO, Data Protection Officer). Se crea la figura del Delegado de Protección de Datos, que deberá ser el responsable, dentro de la organización (puede ser alguien externo a la organización), de los datos protegidos por la organización.

Una vez más, el perito informático jugará un papel fundamental en la puesta en marcha de este reglamento, vigilando su implantación como DPO o, determinando, mediante informe pericial informático, si la componente técnica de la normativa fue implantada, en caso de que la AEPD sancione a una organización por un posible incumplimiento.

 

Para finalizar, el reglamento de E-Privacy, denominado oficialmente “REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas)”, es una propuesta impulsada por la Comisión Europea, que tiene como objetivo proteger la privacidad y el contenido de las comunicaciones informáticas de los usuarios. Se trata de un reglamento que pretende salvaguardar la privacidad de todas las comunicaciones.

Una de las principales causas que llevaron a la Comisión Europea a impulsar esta propuesta de reglamento, es la de establecer un control mucho más estricto por parte de los usuarios para recibir publicidad en todos los estados miembros de la Unión Europea, lo cual afecta directamente a las marcas, a los gestores de páginas web, a las empresas de comercio electrónico y a las tiendas online. Este Reglamento derogará la directiva que se transpone en España en la Ley de Servicios de la Sociedad de la Información (LSSI). Sin embargo, este reglamento no solo cubre las cookies, sino que regula todas las tecnologías que tratan datos, tanto si son personales como si no lo son. Incluye, por ejemplo (sin ser una lista excluyente), las direcciones MAC, el número del dispositivo o IMEI, las direcciones IP, herramientas de rastreo, etc. Por tanto, supone una nueva norma a la que muchos sectores, como el publicitario y el comercio electrónico, deberán adaptarse, además de al Reglamento General de Protección de Datos (GDPR).

Una de las novedades introducidas por el reglamento, es la obtención del consentimiento a través de las preferencias del navegador, dejando a un lado los molestos avisos sobre cookies de todas las páginas web. Asimismo, también se introducen conceptos como los “metadatos sobre comunicaciones electrónicas” (que sustituye al concepto de “datos de tráfico”), así como los distingue del concepto de “contenido de las comunicaciones electrónicas”. Establece que estos metadatos se podrán tratar por motivos de seguridad, para detectar fallos técnicos y evitar fraudes o abusos del servicio, o para dar servicios de valor añadido (siempre que se cuente con el consentimiento), debiéndose eliminar o anonimizar cuando se haya llevado a cabo la comunicación, excepto cuando existan motivos legales para mantenerlos. Por otro lado, el reglamento también introduce novedades sobre los programas de bloqueo de anuncios, los dispositivos del internet de las Cosas (IOT, Internet of Things), o las comunicaciones comerciales. El régimen sancionador será el del Reglamento General de Protección de Datos (GDPR).

El perito informático será también fundamental en la implantación de este reglamento, así como en la ayuda que deberá prestar a las organizaciones cuando se produzca una sanción por parte de la Administración y se deba demostrar que las medidas técnicas de la normativa habían sido adecuadamente puestas en marcha.

Comparte