La transformación digital implica nuevos y variados riesgos normativos que afectan de manera directa a las organizaciones. Resulta necesario prepararse para anticiparse a ellos, ayudar a la empresa a proteger los activos intangibles derivados de la transformación, así como potenciar sus capacidades digitales para mitigar los riesgos de los requisitos normativos derivados del teletrabajo, la protección de datos, la ciberseguridad, el big data, etc.

Sin duda, la crisis de la COVID-19 ha producido una aceleración espectacular en los procesos de transformación digital de muchas compañías de nuestro país. La pandemia nos ha traído nuevas formas de trabajar, la promoción del teletrabajo, otras formas de atender a los clientes, de relacionarse con los proveedores… Este nuevo escenario comporta una serie de riesgos en materia de cumplimiento y ciberseguridad.

COMPRA DE TECNOLOGÍA, INFRAESTRUCTURA Y SERVICIOS ASOCIADOS

Entre los aspectos más importantes que se han de considerar en este sentido está, por ejemplo, el poner atención a la necesaria homologación y al conocimiento previo de los proveedores cuya tecnología, infraestructura o servicio vayamos a contratar. La urgencia en la necesidad de contratar debe llevar aparejada una oportuna labor de diligencia para conocer no solo la solvencia técnica y económica del proveedor, sino también su nivel de cumplimiento en materia de prevención de delitos, las garantías que ofrece en relación con la ciberseguridad y la protección de datos, las auditorías a las que se ha sometido y las certificaciones que puede presentar, si está dotado de los correspondientes planes de continuidad, etc.

El nuevo escenario comporta una serie de riesgos en materia de cumplimiento y ciberseguridad

Además, hay que prestar una especial atención a las condiciones de contratación que imponen las grandes multinacionales tecnológicas de EEUU, las cuales apenas dejan espacio para la negociación de algún aspecto.

Aunque muchas de esas condiciones han sido “europeizadas”, conviene que estemos vigilantes ante aspectos como la jurisdicción competente en caso de conflicto, la no alineación completa con la normativa de protección de datos europea (RGPD), la transición del servicio hacia otro proveedor en caso de resolución anticipada, el posterior uso de la información una vez finalizado el contrato (por ejemplo, en servicios cloud), la necesidad de acceder a información en tiempo real en caso de investigaciones, peticiones por autoridades, análisis forenses, etc.

También es importante evaluar la necesidad de requerir una autorización del regulador competente. Especialmente en el sector financiero, ya existen diferentes normativas e iniciativas, cada vez más numerosas, cuyo objetivo es establecer obligaciones que limiten a las instituciones financieras a la hora de externalizar determinados procesos, entre los que se encuentran algunos que habitualmente las entidades de crédito formalizan en formato outsourcing en tecnología cloud. Por ejemplo, la EBA (Autoridad Bancaria Europea) publicó en 2019 las directrices sobre externalización.

RIESGOS EN CIBERSEGURIDAD

Sin duda, todas las instituciones con competencias en materia de ciberseguridad (Interpol, ENISA, Incibe, CNI, CNPIC…) han coincidido en declarar que se ha producido un aumento significativo en el número de ciberataques. La ciberseguridad se sitúa como una de las preocupaciones centrales, en la que hay que invertir recursos humanos y tecnológicos para establecer una adecuada protección y, además, cumplir con los requisitos regulatorios aplicables.

Durante estos últimos meses, los principales ataques y vulnerabilidades que hemos podido detectar están relacionados con:

• Equipos domésticos sin actualizaciones, antivirus, etc.
• Uso de conexiones no seguras.
• Ataques de diverso malware, ransomware o phishing.
• Herramientas interactivas fraudulentas, como los mapas de seguimiento de contagios.
• Profesionales no formados para el teletrabajo ni habituados a él (nuevas herramientas, menos tiempo para formación o puesta en marcha, etc.).

Por tanto, las organizaciones son conscientes de que no solo deben proteger su propia infraestructura tecnológica y sus servidores. El perímetro de protección se ha ampliado debido a la cantidad de información corporativa que puede estar alojada en colaboradores, proveedores y terceras partes, y que está siendo tratada por ellos, sobre quienes también pesan riesgos y que pueden ser objeto de ataques.

Es fundamental que —desde nuestras áreas de control, riesgos, compliance, compras, etc.— manejemos diferentes escenarios de valoración de proveedores

En este punto cobra más sentido que nunca la necesidad de realizar labores de diligencia debida ante proveedores y terceras partes, que nos permitan dotarnos de un sistema de confianza en la ciberseguridad y la protección de datos que dichos terceros aplican a “nuestra información y datos” en su propia infraestructura y con su personal.

Con este enfoque, resulta fundamental que —desde nuestras áreas de control, riesgos, compliance, compras, etc.— manejemos diferentes escenarios de valoración de proveedores para dotarnos de unos criterios de confiabilidad mínimos a la hora de mantener relaciones mercantiles con ellos.

PROTECCIÓN DE DATOS

El de la normativa de protección de datos es quizá uno de los elementos más importantes dentro de las funciones de cumplimiento en el acompañamiento al negocio en su transformación digital. Tener bien asentados conceptos tan nucleares como privacy by design, accountability, enfoque a riesgos, etc., dentro de las diferentes áreas de una empresa posibilita construir una estructura de tratamiento de datos con buenos pilares.

También es fundamental contar con una figura fuerte como delegado de protección de datos, y con un buen gobierno de la privacidad dentro de las organizaciones grandes y complejas, elementos ambos que permitan tener una adecuada interlocución entre la corporación y los diferentes negocios que son responsables de los diversos tratamientos de datos que se realizan.

“No puede hablarse de innovación de forma ajena a los derechos fundamentales”. Mar España, directora de la Agencia Española de Protección de Datos

En este sentido, como señaló Mar España, directora de la Agencia Española de Protección de Datos, en un artículo publicado en Cinco Días el pasado 28 de enero: “Las nuevas tecnologías son un elemento indispensable para afrontar este futuro imparable, un motor de progreso que permite abrirse a nuevos mercados y nuevas posibilidades. No obstante, no puede hablarse de innovación de forma ajena a los derechos fundamentales. La responsabilidad digital está estrechamente vinculada con el respeto a los derechos humanos y especialmente al derecho fundamental a la protección de los datos personales, que ha de entenderse como un valor. La convergencia de tecnologías como la inteligencia artificial, el big data, el Internet de las Cosas, la biometría, el blockchain, el 5G o el uso de datos genéticos debe aplicarse de forma responsable y proactiva”.

Asimismo, no podemos olvidar que muchas de las contrataciones que se realizan de entornos tecnológicos en modelo cloud conllevan una transferencia internacional de datos personales que debe estar debidamente regulada y soportada por alguna de las opciones que permite la normativa.

Resulta especialmente importante considerar la situación actual, y esperemos que temporal, que se ha producido tras la publicación de la conocida Schrems II. Se trata de la sentencia de 16 de julio de 2020 del Tribunal de Justicia de la Unión Europea (TJUE), que anula la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU. Esta Decisión sustituía a su vez a Puerto Seguro (Safe Harbor), que también fue declarado inválido por el TJUE en octubre de 2015.

En este sentido, conviene buscar una solución práctica para poder regular dichas transferencias internacionales con solvencia, mientras los proveedores preparan sus condiciones contractuales para dar máximas garantías. Todo ello mientras, políticamente, se busca un acuerdo entre Europa y EEUU que permita agilizar estas transferencias con un instrumento robusto que genere más certidumbre jurídica que con el modelo anterior.

Artículo elaborado por Carlos A. Saiz, Vicepresidente de ISMS Forum.