Una vez más la reunión del jueves ISACA reunió a un gran número de asistentes atraídos por la temática del RGPD. En esta ocasión la charla-coloquio llevaba el título de “La protección de datos en la cadena de suministro”
La sesión estuvo dirigida por María Jesús Casado Robledo de la Intervención General del Estado, asistida por Maite Avelino y otra asociada del capítulo de Madrid.
Ma Jesús fue planteando distintas preguntas que los asistentes habían hecho llegar previamente en el formulario de inscripción. Esta forma de plantear la reunión facilita el intercambio de opiniones y el aprendizaje. Que en definitiva es el objetivo de los que asistimos. Es decir, no interesa profundizar y aclarar dudas sobre el reglamento, que tanta incertidumbre genera en distintos aspectos.
LAS MEDIDAS DE SEGURIDAD APROPIADAS
Una de estas dudas, la principal me atrevería a decir, es cuáles son las medidas de seguridad apropiadas que se deben aplicar en la protección de los datos personales. Y es que, a estas alturas, a casi un mes del límite de la obligatoriedad de adecuación al nuevo reglamento, seguimos sin directrices expresas de la AEPD, y no se prevé que se pronuncie sobre ellas. En su defecto, si ha proporcionado distintas guías, como la Guía del Reglamento General de Protección de Datos para responsables de tratamiento, la Guía práctica de Análisis de riesgos, y la Guía práctica de Evaluaciones de impacto; todas ellas disponibles en este enlace .
En realidad, la identificación de las medidas apropiadas de seguridad, como muchos auditores de seguridad habrán deducido hace meses, debe ser el resultado de un análisis de riesgos aplicado a los tratamientos de datos personales.
ARTÍCULOS Y CONSIDERANDOS
En cuanto a la interpretación de la norma, un aspecto muy interesante que se aclaró en la reunión es la diferencia entre articulo y considerando. Mientras que el término artículo refleja los aspectos en los que se han puesto de acuerdo todos los países de la comisión, el considerando se refiere a los puntos en los que no se han puesto de acuerdo. Para que os hagáis una idea, el RGPD consta de 173 considerandos y 99 artículos, todos ellos de obligado cumplimiento.
LA RESPONSABILIDAD DE LA SEGURIDAD DE LOS DATOS Y EL DEBER DE DEMOSTRAR
Otro tema que causa bastante polémica es quien tiene la responsabilidad de la seguridad de los datos, y quien es el que debe demostrarla. ¿Es el responsable del tratamiento, o quizás el encargado? La respuesta a ambas preguntas es, sin duda, el responsable del tratamiento. Aunque éste delegue el procesamiento de los datos personales en un tercero (el encargado), la responsabilidad seguirá siendo suya porque no se permite su delegación. Y el deber de demostrarla es también del responsable, mientras que el encargado del tratamiento debe aplicarla siguiendo las indicaciones del responsable, y se le puede pedir también que la justifique. Hasta aquí la teoría, pero en la práctica ¿qué ocurre?
Algunos de los asistentes a la reunión, tanto del sector privado como del público, manifestaron que en general los responsables del tratamiento, a día de hoy, no disponen de la información precisa para cumplir con el nuevo reglamento; y habitualmente dejan en manos de los encargados la toma de decisión sobre la selección de medidas de seguridad. Seguramente los encargados tendrán más conocimiento sobre esta materia, pero los responsables deberían proporcionarles una mínima información como la clasificación de los datos y el análisis de riesgos. Sin estos datos, a los encargados del tratamiento no les queda otra salida que aplicar unas medidas de seguridad mínimas basándose en lo que se les solicite en el contrato del tratamiento, aunque éstas no sean las adecuadas.
Se barajaron varios motivos para justificar la falta de información de los responsables, tales como el cambio de enfoque del reglamento (orientado al dato / orientado al tratamiento), la falta de documentación de los procesos, el desconocimiento de la ubicación y clasificación de los datos, e incluso el desconocimiento del reglamento. Para suplir esta carencia, lo más apropiado es que el DPD (delegado de Protección de Datos) supervise los tratamientos y asesore al responsable sobre todo lo relativo a la interpretación y aplicación de la norma. En este sentido, hay que tener en cuenta que sólo las empresas que realizan tratamientos de alto riesgo están sujetas a la obligación de la existencia del DPD, por lo que se ve clara la necesidad de que los responsables reciban una formación y entrenamiento adecuados.
SOPORTE INTERNACIONAL
Interesante también fue una consulta acerca de si la actividad de soporte de TI, que muchas empresas realizan de forma remota y desde fuera de la Unión Europea, se debe interpretar como una transferencia internacional de datos. En este punto, aunque no se llegó a una conclusión determinante, lo que parece claro es que habría que estudiar cada caso de forma aislada. No es lo mismo hacer un soporte remoto de una aplicación, en la que no intervienen datos personales, que un soporte en el que hasta ahora se permitía solicitar volcados de datos, y que, a partir de ahora, si se trata de datos personales, éstos deben estar protegidos por unas medidas de seguridad adecuadas reflejadas en el contrato.
¿ES UN PROBLEMA LA SUBCONTRATACIÓN?
Pero no podía terminar la jornada sin tratar el tema de la aplicación del reglamento en la cadena de suministro. Y aunque fue el último aspecto que se debatió en la sesión, fue el que más polémica suscitó, y el que más intervenciones de los asistentes produjo.
A modo de resumen, se puede decir que la subcontratación de servicios es una práctica que está muy extendida, sobre todo en el ámbito de la empresa privada. Un ejemplo podría ser la contratación de los servicios básicos de alojamiento web y correo corporativo de una empresa. Pongamos que la empresa española “A” da un servicio completo a sus clientes que incluye alta del dominio, desarrollo web, alojamiento de la web, correo electrónico, y soporte. Pero esta empresa, en realidad el servicio que ejecuta es simplemente la gestión de estos servicios, porque el desarrollo web lo subcontrata a una empresa de la India, el alojamiento de la web, el correo y el soporte a una empresa rumana, que a su vez lo subcontrata a una empresa ucraniana, y el registro del dominio a una empresa americana. En este escenario, ¿cómo sabe un cliente europeo que sus datos, y los de sus clientes alojados en la aplicación web, cumplen la normativa europea de protección de datos? ¿Tiene el cliente visibilidad de dónde y quien los procesa? ¿Cómo se podría garantizar que toda la cadena de suministro aplica las medidas de protección de datos adecuadas?
Pues bien, entre las respuestas de los asociados de ISACA se escucharon términos como la transparencia en la cadena de subcontratación, y la adhesión a códigos de conducta y la aplicación de mecanismos de certificación (reflejados en el artículo 24.3 del RGPD).
Mientras que en el ámbito de la administración pública este asunto se resuelve pidiendo a los proveedores que sus servicios cumplan el ENS (Esquema Nacional de Seguridad), en el privado no se está exigiendo actualmente de forma generalizada ninguna certificación. En algunos sectores se empiezan a establecer ciertos cumplimientos, como el caso de la Banca europea, que, a partir de julio de 2018, pedirá la implantación de las recomendaciones EBA, o el caso de servicios SaaS (Amazon y Microsoft) que están acreditando las medidas de seguridad mediante los informes SOC 2. En esta línea tenemos en España la calificación de seguridad Leet Security, que otorga una “puntuación” de las medidas de seguridad integradas en los servicios de TI, y que está reconocida por entidades como INCIBE y ENISA.
Por último, comentar, que aunque no se respondió a todas las preguntas que llevaba preparadas Mª Jesús Casado, creo que la sesión fue de gran utilidad para todos, y estamos esperando ya la siguiente jornada para seguir profundizando en la comprensión del reglamento.