Las empresas cada vez son más "digitales"; cuentan ya con una red de trabajo y dispositivos electrónicos (laptops, smartphones, IOTs, etc) conectados permanente o puntualmente a servidores y puertos abiertos. Esto se ha acentuado con motivo del "COVID-19" y el teletrabajo y conlleva el reto de la ciberseguridad. ¿Por qué? si los puertos están abiertos, las comunicaciones son bidireccionales. Cualquier puerto es una entrada potencial de virus o hackers; con riesgo grave de que haya datos técnicos, personales, económicos o de negocio a la vista. La seguridad digital debe gestionarse con suficiente profesionalidad o preparación. No hacerlo bien hará perder a la empresa tiempo y dinero por "ramsonware" o, lo que es peor, su información comercial o tecnológica quedará al descubierto añadiendo, además, el daño reputacional.
La información debe salir encriptada y las copias de seguridad deben estarlo también para minimizar riesgos y daños. El Reglamento Europeo de Protección de Datos 679/2016 establece que, obligatoriamente, se informe a los afectados de los fallos referentes a sus datos. Esto abre una vía más fácil y directa de reclamar daños a la propia empresa por lo que debe cumplir aún mejor.
Nuestra experiencia nos permite ayudarles a gestionar sus redes, bases de datos, dispositivos y copias de seguridad. Podemos establecer las medidas técnicas necesarias y otras alarmas u avisos que minimicen los riesgos de su empresa o negocio.
Servicios de:
• Cifrado SSL o TLS por defecto para garantizar que los datos están cifrados y seguros
• Control de accesos a través de APIs globales con canales encriptados y trazabilidad de los accesos.
• Conexiones punto a punto y VPN para conectar con redes locales que ofrezcan mayor disponibilidad y menor latencia que las conexiones de Internet existentes.
• Alta disponibilidad "por defecto".
• Protección frente a ataques de denegación de servicio para garantizar la disponibilidad.
¡ Consúltenos!. info(arroba)consultoreslegales.es
La "Protección de Datos" (European Privacy Act) obliga, desde 2018, a todas las empresas, entidades o negocios a adaptarse al nuevo Reglamento Europeo 679/2016. Este supuso un salto cualitativo importante en cuanto a responsabilidad y obligación de realizar un análisis de riesgos respecto a la Directiva europea anterior y la propia Ley española "LOPD" (Ley 15/1999).
A consecuencia de esta norma también se debe cumplir en España la nueva "LOPD" (ahora LOPDGDD, Ley Orgánica 3-2018, en vigor desde el 7/12/2018).
Las empresas deben cumplir desde entonces esta normativa europea y sentencias como la de safe harbour, etc.; el enfoque cambia siendo ahora obligatorio una responsabilidad proactiva, con un análisis de riesgo serio y profundo que determine cuáles éstos y, si se asumen, qué medidas se toman para minimizarlos.
Las sanciones pueden llegar a 20 Millones de euros ó el 4% de la facturación anual para los casos más graves.
Las COOKIES:
La llamada "Ley de Cookies" en 2012 modificó la LSSICE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico de 2003) y obligó a cumplir con el deber de informar a los usuarios de páginas Web y Apps del uso que se hace de cookies propias o de terceros.
Si bien esta normativa lleva años en vigor, resultó fortalecida por el Reglamento Europeo 679/2016 y, desde el 30/10/2020, la Agencia Española de Protección de Datos exige mayores requisitos para su cumplimiento.
(Ver su informe de julio-2020).
El cumplimiento de la Normativa de Protección de Datos implica:
- Implantar las medidas técnicas y organizativas necesarias para la seguridad de los datos personales (Privacidad desde el diseño y por defecto).
- Disponer de una "Evaluación de Impacto" o de riesgos en la Protección de Datos.
- Implantar medidas organizativas y con contratos adecuados
- Trasparencia: informar de los derechos a los afectados (por "capas") y el consentimiento que estos den deberá ser expreso.
- Formar a los propios empleados de sus obligaciones y cómo actuar.
- Dependiendo de qué tipo de datos que se manejen y cantidad (sensibles, masivos y perfiles) la empresa puede estar obligada a nombrar un DPO/DPD, es decir, un Delegado de Protección de Datos (Data Protection Officer).
Ahora, la normativa afecta también a aquellas empresas que "ofertan bienes o servicios" a ciudadanos europeos o los que residen en la Unión aunque dichas empresas actúen desde fuera de la UE. (Art. 3. R-679/2016)
Muchas empresas fallan a la hora de gestionar las bases de datos bien problemas de ciberseguridad (no encriptar, no actualizar el software) o deshacerse de manera inadecuada de dispositivos antiguos (móviles, portátiles, etc), se necesita un plan y un método de trabajo con gente suficientemente preparada o, en su caso, gestores externos que supervisen.