Desde enero de 2020, el sistema operativo Windows 7 no recibirá más actualizaciones de soporte. Básicamente, Microsoft ha decidido no actualizar más el sistema. ¿Qué conlleva esto? Que algunos soportes importantes del sistema, como el de seguridad, estarán totalmente obsoletos en poco tiempo. Puede parecer que no, pero la noticia tiene suma transcendencia para bastantes autónomos, pues muchos de ellos siguen usando Windows 7 en sus respectivos negocios sin asesoramiento de los profesionales en nuevas tecnologías.
Desde hace varios meses, Microsoft viene advirtiendo a los usuarios de este hecho a través de una notificación en una ventana emergente. Con ello, la compañía pretende dejar claro a todos sus clientes que, a partir de enero de 2020, no se podrá hacer nada para atajar cualquier problema de seguridad que pueda darse en el antiguo sistema.
El problema de todo ello se basa en el conflicto que hay entre ese sistema de seguridad obsoleto y el reciente Reglamento General de Protección de Datos (RGPD), vigente desde el 25 de mayo de 2018. Es más que probable que todavía haya muchos negocios que no hayan integrado todos los cambios que trajo el RGPD, pese al amplio margen que dio la Unión Europea para terminar de adaptar la normativa del reglamento. Esto se traduce, para los autónomos, en un riesgo diario de multas que pueden llegar a la cifra de 10 y 20 millones de euros. Solo por no actualizar el sistema operativo a Windows 10, un negocio puede acabar afrontando estas sanciones.
Negligencia en el uso de datos por no actualizar Windows 7
El Reglamento General de Protección de Datos marca la obligación de cualquier negocio de tomar todas las medidas necesarias para que la seguridad de los datos de sus clientes esté garantizada. Por tanto, tener Windows 7 (o, lo que es lo mismo, un sistema operativo que no recibe ya ningún tipo de actualización de seguridad) es motivo para ser sancionado bajo el pretexto de incurrir en negligencia con los datos de los clientes.
El RGPD también obliga a los autónomos a notificar a la Agencia Española de Protección de Datos (AEPD) cualquier tipo de brecha de seguridad que ponga en riesgo los datos personales de los clientes. Esta notificación ha de hacerse en un tiempo máximo de 48 horas desde que se detecte dicho problema.
Por tanto, no actualizar el sistema operativo no tiene ningún riesgo de sanción por sí solo siempre que no ocurra nada. Pero, en caso de que algo ocurra con la seguridad y con los datos personales de los clientes, el autónomo puede verse envuelto en graves problemas con las autoridades de la Unión Europea.
Los fallos que tengan lugar en la ciberseguridad del negocio son competencia del Delegado de Protección de Datos (DPD). Esta nueva figura puede corresponder a cualquier trabajador cualificado del negocio o al propio autónomo en caso de que tenga las competencias adecuadas.
En cualquier caso, la figura del Delegado de Protección de Datos es obligatoria para muchos negocios. Será él quien tenga que iniciar un proceso de actuación en caso de que se abra una brecha de seguridad. En el caso de que el accidente de seguridad sea de alto riesgo (por ejemplo, que se hayan podido recopilar las contraseñas de los clientes), será obligatorio informar a la AEPD, de la misma forma que a los clientes afectados.
Inseguridad jurídica en el procedimiento a ejecutar en caso de brecha de seguridad
Como se ha mencionado anteriormente, no actualizar el sistema operativo, en un principio, no tendría consecuencias para el autónomo mientras no ocurra nada. Ahora bien, si hay un accidente de seguridad, las consecuencias podrían ser catastróficas para él. Tras la obligatoria comunicación a la Agencia Española de Protección de Datos (AEPD), esta impondrá a la empresa una sanción por no haber tomado las medidas adecuadas para prevenir estos ataques, en definitiva, por no haber actuado diligentemente en la protección de datos.
No obstante, es cierto que la ley no especifica qué medidas han de tomarse, hecho que provoca desconcierto en no pocas empresas. No se indica concretamente si se debe tener un antivirus o un firewall ni tampoco, directamente, si poseer un sistema operativo vulnerable en la empresa es susceptible (o no) de incurrir en infracción.
Habitualmente, cuando un sistema operativo dejaba de recibir actualizaciones, se iba renovando de forma gradual, pero no de forma impuesta. Esto es lo que ocurría con el sistema de Windows XP, que se mantuvo años después de que acabase el soporte oficial, recibiendo incluso actualizaciones excepcionales por parte de Microsoft durante vulnerabilidades importantes.
En Windows 7 esto ha cambiado debido a dos motivos. El primero es la entrada en vigor del Reglamento General de Protección de Datos. El segundo es el negocio de Microsoft de proporcionar actualizaciones de seguridad en caso de que se pague un extra, hecho que muchas empresas no pueden permitirse.