El pasado 20 de junio la Vicepresidenta de la Comisión Europea y Comisario de Justicia de la UE, Viviane Reding, anuncio una profunda revisión de la legislación comunitaria de protección de datos. Las empresas que operan dentro de la UE pronto serán requeridas por ley para revelar públicamente las violaciones de la seguridad de sus datos.
Este es un anuncio bienvenido y que lleva mucho tiempo rondando el mercado. La legislación vigente, de Octubre de 1995, ya no es adecuada para lo que en los términos de Reding es la «sociedad de Internet». La aparición de Internet, las redes sociales, los teléfonos inteligentes, tabletas y computación en la nube significa que dejamos atrás una huella digital con todos los movimientos virtuales que hacemos.
El perfil de riesgo de cada individuo que interactúa en el mundo digital ha aumentado de manera exponencial. Como consecuencia las empresas tienen nuestros datos personales sensibles, que pueden ser robados y explotados por los delincuentes. Sin ir más lejos durante estos días hemos conocido todos, a través de los principales medios de comunicación, los accesos no autorizados a la red corporativa de nuestras Fuerzas de Seguridad del Estado, y la publicación de datos sensibles.
La diversidad de la legislación de la UE provoca dolores de cabeza para las empresas que se sitúan en las fronteras nacionales. Los costos administrativos de hacer negocios en países con leyes de protección de datos significativamente diferentes en combinación con la incertidumbre jurídica que lo acompaña es un problema que necesita rectificación.
Las recientes oleadas de delitos provocados por distintas fuentes son una realidad, y son el catalizador para el anuncio de Reding, al igual que ha estimulado las llamadas para la reforma de la protección de datos a nivel federal en los EE.UU. La legislación del estado de California fue la primera en aprobar una ley de notificación de violación de datos en 2003, y muchos otros estados pronto siguieron su ejemplo. Pero en el caso de la UE, se ha llevado a cabo un conjunto de leyes dispares en los distintos países, y es perjudicial para las empresas y los consumidores. Los EE.UU. están tratando de ordenar esto, con una ley Federal «Actuar sobre datos seguros» que recientemente ha sido aprobado por una subcomisión de la Cámara.
Una norma común para la notificación de violación de datos simplifica las reglas para las empresas con presencia en ambas jurisdicciones. Esto debe mejorar la confianza del cliente sobre los estándares de seguridad, sobre la preservación de la misma y sobre los datos de sus proveedores de servicios.
Sin embargo, habrá que buscar respuesta a la siguiente pregunta, ¿la obligación de notificar los casos graves de violación de la seguridad de datos proporcionara un incentivo suficiente a las empresas para mejorar realmente sus prácticas de seguridad?.
Es natural el interés mostrado por parte de los consumidores que alojan sus datos sobre empresas del mercado y demanda una constitución e implantación de las mejores prácticas, que es un desafío al que se enfrentan las empresas de hoy en día.
En el Reino Unido ya se han tomado algunas medidas adicionales para abordar esta cuestión, y desde el pasado 6 de abril de 2010 la Oficina del Comisionado de Información del Reino Unido tiene el poder de multar a todas las organizaciones con importes de hasta £500.000 para las infracciones de datos. El tamaño de la multa impuesta es proporcional a la gravedad de la infracción, los recursos financieros de la organización y el sector al que pertenece.
El sector financiero del Reino Unido se encuentra actualmente regulado con penas aún más duras. En 2009, la FSA multó a empresas como HSBC con más de 3 millones de libras por carecer de los sistemas de seguridad y las normas necesarias para evitar pérdidas de datos personales.
En Europa, desde mayo de 2011, existen otros sectores regulados, como son el de Telecomunicaciones y el de proveedores de servicios de internet, estos sectores están sujetos a la Directiva de Privacidad-e – Directiva Europea 2002/58/EC – a través de la Amenda 2009/136/EC.
Quizás la imposición de multas en toda la UE y en los EE.UU sea el conductor adicional para motivar a todas las organizaciones para proteger plenamente sus datos evitando de esta forma la exposición de los mismos en fuentes no apropiadas.
El número creciente de ataques cibernéticos con éxito ha aumentado considerablemente la conciencia entre las empresas y el público en general acerca de la cantidad de datos valiosos existentes en sus sistemas y el valor que estos datos de clientes suponen para los delincuentes. Los firewalls perimetrales ya no son suficientes. Los datos sensibles deben ser cifrados, las estaciones de trabajo deben ser protegidas con altas medidas de seguridad, a menos que una empresa esté dispuesta a sufrir, como ya ha pasado con Sony, Google y muchas otras.