Actualmente podemos afirmar que la palabra ‘Ciberseguridad’ nos suena a la gran mayoría, pero ¿sabemos realmente hasta qué punto puede afectar a nuestro día a día, tanto a nivel personal como profesional?
Los datos que maneja cualquier empresa o autónomo son uno de sus activos más valiosos. Cuando esos datos son de carácter personal, hay que tratarlos cumpliendo con todas las normativas vigentes con implicaciones directas o indirectas. Es por ello que legislativamente se han ido creando con el paso de los años diversas normativas relacionadas con la Ciberseguridad, la privacidad y la protección de datos encaminadas a protegerlos, prevenir situaciones que puedan afectarles, y establecer garantías y entornos de trabajo seguros.
Así pues, la ciberseguridad se hace muy necesaria en el día a día de muchas entidades y así lo evidencia los más de 120.000 incidentes de ciberseguridad que se registraron en 2018 en España, la mayoría de ellos a empresas privadas.
Los responsables, que pueden ser tanto grandes empresas, pymes o autónomos, deben ofrecer garantías suficientes y aplicar medidas de seguridad sobre los datos de carácter personal, no sólo para cumplir formalmente las distintas normativas relacionadas sobre ciberseguridad y protección de datos, sino también para salvaguardar esa valiosa información, ya que una mala gestión de la ciberseguridad tiene un gran impacto económico y un riesgo reputacional que genera una situación de desconfianza entre clientes, accionistas, trabajadores, contactos y demás interesados.
PRINCIPALES LEYES SOBRE CIBERSEGURIDAD
Las principales leyes que afectan a grandes empresas, pymes y autónomos desde el punto de vista de la ciberseguridad son:
El Reglamento sobre la Ciberseguridad relativo a ENISA (Agencia europea para la Ciberseguridad). Este reglamento europeo no sólo busca aumentar la confianza de los usuarios en relación al uso de dispositivos conectados, sino también fortalecer la industria europea de ciberseguridad y el Mercado Único Europeo, creando estándares y esquemas europeos de certificación de ciberseguridad que sirvan para evaluar, desde un mercado único digital, los nuevos productos y servicios y procesos de TIC.
Otra de las normas que están relacionadas con la ciberseguridad es Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) que es una norma nacional aprobada desde el año 2002 que regula determinados aspectos jurídicos de los Servicios de la Sociedad de la Información cuyas principales actividades se centran básicamente en comercio electrónico a través de páginas web, contratación en línea, información y publicidad, y servicios de intermediación. Todas estas actividades tienen la particularidad de que van a constituir una actividad lucrativa para la empresa o el autónomo. Como ejemplo claro de ciberseguridad en el comercio electrónico (e-commerce) se exige que el responsable de la página web, además de tener registrado el dominio, tenga un protocolo “Https” de comunicación de internet que protege la integridad y la confidencialidad de los datos de los usuarios entre sus ordenadores y el sitio web, donde la “s” final significa seguridad. Para ello debes obtener un certificado de seguridad.
Además como exigencia fundamental esta ley obliga a los titulares de la web a indicar de forma permanente, fácil, directa y gratuita en su página web:
- Su nombre o denominación social y datos de contacto
- Su Número de Identificación Fiscal (NIF).
- Número de inscripción en el Registro Mercantil o cualquier otro registro público, que le corresponda.
- Si se ejerce una profesión regulada, los datos del colegio profesional y el número de colegiado
- Información sobre la condiciones generales de contratación o venta, precio de los productos, indicando si incluye o no los impuestos aplicables y los gastos de envío.
- Los códigos de conducta a los que esté adherido, en su caso.
Relacionada con la LSSI-CE, existen unas obligaciones relacionadas las cookies. Te recordamos que las cookies son archivos creado por un sitio web que contiene pequeñas cantidades de datos y que se envían entre un emisor y un receptor. Su propósito principal es identificar al usuario almacenando su historial de actividad en un sitio web específico, de manera que se le pueda ofrecer el contenido más apropiado según sus hábitos, ya sea tienda online, un blog o una web informativa. Lo importante para todo empresario o autónomo es que antes de ser instaladas las cookies en el dispositivo correspondiente, el usuario debe dar su consentimiento después de que se le haya facilitado información clara y completa sobre cuáles son, cómo se utilizan y su duración.
Por otro lado nos encontramos la Ley de Propiedad Intelectual (LPI) también conocida como la ley del Copyright, que viene a proteger una serie de creaciones originales tanto literarias, artísticas como científicas expresadas en cualquier medio. Reconoce dos derechos para los autores o ejecutantes que son por un lado, los derechos morales y por otro, los patrimoniales. Tanto las empresas como autónomos tienen la obligación de pagar derechos de autor y proteger los derechos de creaciones propias. Cabe matizar que cuando la creación sea por parte de un empleado, se deberá respetar el derecho de reconocimiento de la obra, a no ser que el empresario pueda demostrar que el empleado lo ha realizado en el ejercicio de sus funciones, siendo titular exclusivamente el empresario.
Por último, quizás la más importante por el, no solo por la obligatoriedad sino por el severo régimen sancionador en caso de incumplimiento. Nos referimos a la normativa sobre protección de datos que jerárquicamente gira entorno al RGPD 679/2016 y la LOPD-GDD 3/2018. El primero es un reglamento de ámbito europeo de obligado cumplimiento para todos los estados miembros, y la segunda es una norma de ámbito nacional, heredera de la anterior LOPD 15/1999. Ambas normas son, por tanto, aplicables actualmente de forma conjunta y complementaria.
Estas normativas te obligan a detectar las posibles amenazas asociadas a los tratamientos que realizamos y que afecten a los derechos de la persona interesada, así como medir el riesgo de que se materialicen, para poder aplicar las medidas de seguridad técnicas y organizativas que te aseguren el mínimo riesgo asumible. En el caso de que este riesgo fuese alto o muy alto, tendrás, además, que realizar una evaluación del impacto para poder determinar si es factible o no que realices este tratamiento, es decir, realizar un análisis de riesgos y en base a su resultado, definir y aplicar las medidas de seguridad ajustadas a tus necesidades.
Cumplir con las normativas que afectan a las empresas, organizaciones y autónomos puede marcar la diferencia, ya que los clientes, interesados, pacientes, usuarios y proveedores podrán comprobar que se respetan en todo momento sus derechos y libertades. Además, el hecho de no obedecer e incumplir las exigencias que establece la normativa vigente, ya sea por desconocimiento, imprudencia o premeditadamente, incurre en sanciones económicas que pueden llegar hasta los 20.000.000 € o 4% de facturación anual en sanciones muy graves, lo que podría traer consigo incluso el cierre de la empresa.
Hoy día se hace más necesario que nunca que los responsables cuenten con el respaldo, y el asesoramiento especializado de expertos en la materia, por ello te aconsejo que eches un vistazo a nuestra web. En ella encontrarás confianza, experiencia y, sobretodo, un servicio de consultoría que te ayudará a que verdaderamente seas proactivo, de una forma sencilla y económicamente viable.
