Es muy fácil percibir el Reglamento europeo de Protección de Datos (en adelante, RGPD) como una carga burocrática para nuestra organización.
Podemos llegar a pensar que se trata de un lastre, de una nueva serie de exigencias y costes que nada nos aportan y que creemos excesivos.
Sin embargo, si tenemos esa sensación quizá sea porque no estamos enfocando las cosas de forma adecuada.
Hace poco, en una de las charlas que solemos impartir a nuestros clientes sobre protección de datos, a uno de los asistentes le preocupaba que un criminal pudiera infectar sus ordenadores, cifrar todos los datos y exigirle el pago de un rescate para recuperarlos. La respuesta me pareció evidente: si cumplimos con nuestras obligaciones al tratar los datos, esto no debería preocuparnos.
En efecto, una de esas obligaciones es la de mantener una copia de seguridad actualizada en un lugar diferente a donde se encuentran los datos originales. De modo que ante semejante chantaje digital lo que haríamos sería formatear el disco duro afectado, reinstalar los datos de la copia de seguridad y dejar al criminal con tres palmos de narices. Repercusión negativa para nuestra organización, cero.
Esto debería suponernos un alivio. Nos encontramos en una época en la que distintos tipos de amenazas digitales se ciernen sobre nuestros sistemas informáticos. No solo por esa posibilidad de que nos chantajeen tras haber cifrado nuestros ficheros. Podría ser también que una intrusión revelara información confidencial que nos sea valiosa. Los usuarios de nuestros servicios podrían ver expuestas sus contraseñas, cosa que podría causarles un grave daño reputacional. Es posible incluso que tuvieran que hacer frente a cuantiosas indemnizaciones a los interesados, como consecuencia de las brechas en su seguridad.
Teniendo en cuenta este panorama tan poco halagüeño, ¿no es de agradecer cualquier ayuda que se nos ofrezca para evitarlo?
Pues bien, el RGPD puede ser esa ayuda. Muchos de sus principios, por no decir todos, están pensados para evitar o reducir los riesgos derivados de la «ciberdelincuencia» o del abuso de datos ajenos.
Pensemos por ejemplo en el requisito de la protección de datos desde el diseño y por defecto. Si lo cumplimos, esto que parece una innecesaria obligación nos facilitará crear tratamientos de datos sólidos y blindados contra usos indebidos. ¡Incluso desde antes de empezar a diseñar el servicio!.
Lo mismo ocurre con la necesidad de realizar evaluaciones de impacto de nuestros tratamientos más sensibles. Resulta evidente que gracias a ellas podremos detectar de antemano las amenazas más graves y desarrollar estrategias que nos permitan reducir o eliminar su impacto.
¿Y qué decir de la figura del Delegado de Protección de Datos, cuya misión principal es ayudarnos a defender esos datos de cualquier riesgo que pueda aparecer? ¿O del protocolo de actuación ante violaciones de seguridad, que nos facilita el ser conscientes de cómo pueden cristalizar dichos riesgos?
Por lo tanto, quizá sea buena idea enfocar la situación desde el punto de vista contrario: el RGPD no nos ofrece exigencias, sino ayudas.
Fabián Plaza Miranda, Auren Abogados