El Derecho de Nuevas Tecnologías regula las actividades ligadas al ámbito tecnológico y asegura su cumplimiento. La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) y la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) son dos normativas bajo este ámbito.
Recientemente se ha aprobado un Reglamento de ámbito europeo que ha supuesto un cambio fundamental en el ámbito de la protección de datos. Esto es así porque este reglamento, que es de aplicación directa en todos los Estados Miembros, establece nuevos requerimientos para que las empresas protejan adecuadamente la información que manejan de terceros.
En la sociedad actual, donde la tecnología juega un papel muy importante, este Reglamento ha supuesto una regulación mucho más protectora y que contempla la casuística especial asociada al uso de tecnología en las empresas. Aunque el texto normativo de la LOPD seguirá vigente durante un periodo de dos años, las empresas deben ir adaptando sus procesos para que, en mayo de 2018, estén plenamente adaptadas a las exigencias del Reglamento.
Algunos de los aspectos que se deben tener en cuenta en un proceso de consultoría de protección de datos son los relacionados con el uso que las empresas dan a la tecnología. En los últimos tiempos, ha quedado demostrado que la tecnología es usada por los ciberdelincuentes para llevar a cabo el secuestro de datos y el robo de información importante en las organizaciones.
Los principales aspectos que pueden suponer mayor riesgo por parte de las empresas en cumplimiento de la protección de datos y el uso de la tecnología son:
– Software e información en la nube: Cada vez es más habitual que las empresas dispongan de servicios en la nube contratados con terceros donde depositan sus datos e información. Es necesario que las empresas analicen los servicios que contratan y se aseguren de que los proveedores cumplen con todos los requerimientos para ofrecer el servicio de manera segura.
– Equipos informáticos: El uso de servidores de datos o equipos informáticos para guardar y almacenar la información es menos seguro que usar servicios en la nube, pero también necesita un nivel adecuado de protección. Adoptar medidas como limitar el acceso a la información a las personas estrictamente necesarias, proteger el acceso a los datos con contraseña o hacer copias de seguridad recurrentes de la información que contienen estos dispositivos es fundamental.
En las situaciones señaladas en las que se contrata el almacenamiento de datos a un tercero, es necesario tener claro que, según la legislación, se puede trasladar el tratamiento de los datos pero no la responsabilidad de su protección. En el nuevo Reglamento se establece que es posible trasladar al menos parte de la responsabilidad por el tratamiento a un tercero con el que se contrate. En este caso, es importante que el proveedor pueda implementar las medidas de protección de datos tanto a nivel técnico como a nivel de gestión. Para ello, habrá un controlador que asesore en las medidas a adoptar. La normativa es muy clara ya que también responsabiliza al tercero de un incumplimiento.
