José de la Cruz Director técnico de Trend Micro Iberia

Tras varios años invertidos en su redacción y después de alrededor de 24 meses desde que fuera ratificado oficialmente, el Reglamento General de Protección de Datos (GDPR) de la UE es casi inminente. Los últimos debates pueden haber movido a pasar de la concienciación a la disposición, pero aún hay mucho por decidir sobre la nueva ley. ¿Con qué rapidez los reguladores impondrán multas importantes? ¿Qué tecnologías y procesos de ciberseguridad se considerarán "avanzados" para los fines de cumplimiento? ¿La regulación ayudará o dificultará la innovación?

Lo único que las organizaciones no tienen es el lujo de poder elegir: si alguno de sus clientes es ciudadano de la UE, debe cumplir la nueva normativa. Entonces, ¿qué pasará después? Una vez llegue la medianoche del 25 de mayo, el famoso día D, ¿qué podemos esperar ver?

1) No habrá grandes multas... por ahora

El GDPR otorga a los reguladores el poder de sancionar a las empresas con una multa máxima del 4% de la facturación anual global, o 20 millones de euros, lo que sea mayor. Pero a diferencia de lo que se ha pronosticado en muchos titulares y estrategias FUD de marketing, es poco probable que busquen poner en práctica estas atribuciones desde el principio. De hecho, la autoridad de supervisión del Reino Unido, la Oficina del Comisionado de Información (ICO), se ha pronunciado al respecto y ha manifestado públicamente:"Es alarmista insinuar que ejecutaremos este punto de forma temprana en las organizaciones por infracciones menores o que las multas máximas se convertirán en la norma... Siempre hemos preferido la zanahoria al palo, es decir, incentivar, más que castigar”. 

Dicho esto, estas multas están lejos de ser simbólicas y, a medida que pase el tiempo, y la paciencia de los reguladores se reduzca, las posibilidades de mayores sanciones financieras aumentarán. La pregunta de los 20 millones de euros es ¿cuándo será exactamente esto? Lo más probable es que las primeras multas cuantiosas no provengan de una brecha importante, sino posiblemente de un caso presentado por una persona cuyos nuevos derechos de portabilidad de datos, borrado, acceso, etc. no se hayan respetado por una organización. El impacto reputacional de un caso así podría derivar en un daño mucho mayor para la marca y la confianza del cliente que la multa general.

Aquellas organizaciones que aún están dispuestas a arriesgarse a no cumplir, deberían recordar que los reguladores también tendrán el poder de suspender las transferencias de datos a otros países -como EE.UU. y, potencialmente, la Gran Bretaña post-Brexit- e incluso cerrar completamente el procesamiento de datos. Eso dejaría a cualquier organización moderna fuera del negocio rápidamente.

2) Extorsión relacionada con GDPR

Los ciberdelincuentes no son nada si no son ingeniosos. Hemos visto que las tácticas de extorsión se vuelven cada vez más populares, sobre todo ante el enorme repunte del ransomware en los últimos años, por el cual la víctima se ve obligada a pagar o perderá el acceso a sus archivos para siempre. Es muy posible que los black hats ataquen una organización y roben datos de clientes o siembren malware con el objetivo de extorsionar primero a la compañía objetivo.

Aunque todavía no está claro exactamente qué multas están dispuestos los reguladores a imponer por los tipos específicos de ataque, el hacker podría estimar la pena probable y luego exigir un rescate menor a esa cantidad. Algunos CEO podrían decantarse por pagar, al estilo de Uber, para mantener el incidente en silencio. Si se niegan, los atacantes podrían optar por el plan B y vender los datos robados online.

3) Un incidente relacionado con el proveedor

El GDPR forzará un cambio radical en la forma en que las organizaciones gestionan a sus proveedores y partners. De hecho, según la nueva normativa, los procesadores de datos, como los proveedores de servicios en la nube, son igualmente responsables de las infracciones junto con el controlador de los datos. Las cadenas de suministro de las organizaciones modernas son en realidad redes complejas interdependientes que a muchos les resultará difícil mapear y asegurar.

Por eso, es probable que veamos un incidente importante derivado de un problema con un proveedor, muy probablemente un proveedor en un llamado "tercer país" fuera de la UE donde las leyes locales de protección de datos son menos rigurosas. Asegurarse de que contratistas, proveedores y procesadores tengan las mismas políticas, procedimientos y controles de seguridad es crucial para mantener contentos a los reguladores del GDPR.

4) No decir toda la verdad

A pesar de la amenaza de multas, daños de reputación e importantes interrupciones del servicio, algunas empresas pueden sentirse tentadas a mantener en silencio las violaciones graves de la regulación. De hecho, el rol del Delegado de Protección de Datos (DPO) como un experto en cumplimiento independiente dentro de la organización puede marginales, creándose una cultura de "nosotros contra ellos" que podría alimentar este tipo de pensamiento.

Sobra decir que esto sería un enorme error de cálculo que finalmente acarreará serias repercusiones. El GDPR trata de impulsar que las organizaciones sean más abiertas, transparentes y responsables. Ocultar el mal manejo de los datos del cliente muestra un desprecio deliberado por estos principios clave.

Desde un punto de vista algo menos grave, podemos encontrar organizaciones que no dicen toda la verdad sobre un incidente de una brecha de datos simplemente porque no tienen suficiente información a mano. Esta es la razón por la cual la monitorización continua de la red, la detección avanzada de fallos y los planes de respuesta a incidentes son esenciales, dado el estricto requisito de notificación de 72 horas que estipula el GDPR. Aumentar la visibilidad de sus flujos de datos y los controles de seguridad es imprescindible. Las organizaciones que terminen descubriendo una brecha a través de un tercero estarán inmediatamente en desventaja, y pueden encontrar difícil cumplir los estrictos límites de tiempo de manera efectiva. Recuerde: una interrupción por ransomware también podría ser cubierta por el GDPRsi la empresa no puede "restaurar la disponibilidad y el acceso a los datos personales de manera oportuna". Esto hace que sea esencial mantener una política de buenas prácticas de backup de acuerdo con la regla 3-2-1.

Si bien la falta de notificaciones es una infracción grave de la ley, también podemos ver que muchas pymes sobreinformarán después del 25 de mayo. Depende de los reguladores tener claro qué constituye un incidente y que las empresas busquen orientación al respecto. De lo contrario, el impacto podría ser un desperdicio de recursos para ambas partes. 

5) Un período de ajuste

Lo más importante que debe recordar sobre el GDPR es que no se trata de un esfuerzo de cumplimiento puntual, como las prisas que surgieron por arreglar el problema del año 2000, popularmente conocido como el “Efecto 2000”. Al contrario, es un proceso continuo que deberá ser constantemente evaluado y evolucionará a lo largo del tiempo. Esas son buenas noticias, ya que es probable que esto dé como resultado un período de gracia de facto desde la fase más temprana de vida del GDPR, a medida que los reguladores y las organizaciones se abren paso en torno a la nueva ley.

Para tener éxito a largo plazo, las juntas directivas deben ver la regulación como un negocio, en lugar de como un riesgo de seguridad. La estrategia debe formularse teniendo en cuenta a todas las partes interesadas de toda la organización, incluidos los departamentos de TI, legales, de cumplimiento y los propios propietarios de los datos. El resultado final es que el GDPR ha llegado para quedarse, por lo que las empresas deben unirse, aceptar el cambio y aprender a innovar, crecer y competir en medio de un nuevo panorama regulatorio.