Con el nuevo curso se han producido importantes cambios en el orden legislativo que pueden afectar tanto a las políticas de privacidad que tienen implantadas las compañías, como a sus políticas de seguridad de la información.
Índice de temas
Protección de datos de carácter personal
Ante la falta de aprobación del Proyecto de LOPD, que implemente el Reglamento Europeo de Protección de Datos (RGPD) en España, todavía en tramitación parlamentaria, el pasado 6 de septiembre el Gobierno convalidó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
A través de la presente norma se regulan, mientras no entre en vigor la nueva LOPD, materias que no afectando al contenido esencial del derecho fundamental a la protección de datos y, por tanto, no sujetas a reserva de ley orgánica, no admiten demora para la aplicación del RGPD.
El RGPD establece el régimen sancionador directamente aplicable en España, pero resultaba absolutamente necesario regular con carácter urgente aspectos que afectan directamente al procedimiento sancionador.
Puntos clave de la norma:
– Potestad de inspección: Los funcionarios de la Agencia Española de Protección de Datos (AEPD) o aquellos otros funcionarios a los que su Director delegue la función inspectora son los competentes para ejercer los poderes de investigación e inspección.
– Facultades: Estos funcionarios, con condición de agentes de la autoridad, podrán acceder a instalaciones, solicitar toda la documentación e información necesaria para su investigación e incluso requerir la ejecución de los protocolos para el tratamiento de datos.
Resultaba absolutamente necesario regular con carácter urgente aspectos que afectan directamente al procedimiento sancionador
Para la entrada en domicilios deberá contarse con el consentimiento del sujeto responsable o resolución judicial.
– Sujetos responsables: Pueden incurrir en responsabilidad derivada del régimen sancionador del RGPD: los Responsables y Encargados del Tratamiento, los representantes designados en la UE y las entidades de certificación y entidades acreditadas de supervisión de los códigos de conducta.
En ningún caso, los delegados de protección de datos pueden ser sancionados.
– Prescripción de las infracciones: En el plazo de 3 ó 2 años, dependiendo de la infracción.
– Prescripción de las sanciones: En atención a la cuantía, en el plazo de 1 año (importe igual o inferior 40.000€), a los 2 años (importe entre 40.000 y 300.000€) ó 3 años (más de 300.000€).
– Procedimientos sancionadores: Serán inadmisibles las denuncias que no versen sobre protección de datos, carezcan de fundamento, sean abusivas, no se aporten indicios y, en algunos casos, cuando el sujeto responsable haya adoptado las medidas correctivas oportunas.
Como particularidad, con carácter previo a su admisión, la AEPD puede remitir al DPO o, en caso de que no se haya designado, al Responsable o Encargado del Tratamiento, la reclamación, para que dé respuesta en el plazo de un mes.
– Medidas provisionales: Durante los procedimientos, la AEPD podrá acordar medidas como el bloqueo cautelar de los datos, cesación del tratamiento o la atención inmediata del derecho del interesado.
– Contratos de encargado de tratamiento: Los contratos suscritos con anterioridad al 25 de mayo de 2018 seguirán vigentes hasta la fecha de su vencimiento y, en caso de plazo indefinido, hasta el 25 de mayo del 2022.
Ciberseguridad
Por su parte, el pasado 9 de septiembre entró en vigor el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de la información, que traspone al ordenamiento jurídico español la Directiva europea sobre ciberseguridad (NIS) .
¿A quién afecta?
• En primer lugar, a entidades establecidas en España que presten servicios esenciales para la comunidad que dependan de las redes y sistemas de información para el desarrollo de su actividad.
Se aplica a los sectores críticos incluidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas: energía, transporte, salud, seguridad, banca o infraestructura digital (proveedores de servicios de DNS, registros de nombres de dominio de primer nivel).
• Asimismo, la norma aplica a los proveedores de determinados servicios digitales, tales como e-commerce, buscadores y proveedores de servicios cloud, con sede en España o no siendo europeos hayan designado representante a efectos del RGPD en España.
Quedan excluidos cuando tengan la consideración de pequeñas empresas, es decir, cuando ocupen a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supere los 10 millones de euros.
¿Qué implica?
1. Nuevas obligaciones para la gestión de los riesgos para la seguridad
Para cumplir el fin de la norma, que no es otro que alcanzar y mantener un elevado nivel de seguridad en las redes y sistemas de información, las entidades afectadas deberán implantar medidas técnicas y organizativas, adecuadas y proporcionadas, para garantizar la seguridad de las redes y sistemas de información utilizados en la prestación de sus servicios y para prevenir y reducir al mínimo el impacto de los incidentes de seguridad informática.
Estas medidas basadas en un análisis de riesgos y en una evaluación previa de los mismos serán objeto de desarrollo reglamentario.
2. Notificación de incidentes de seguridad
Los incidentes de seguridad que afecten a las redes y sistemas de información empleados para la prestación de los servicios esenciales y digitales deberán notificarse a la autoridad de control, a través de los equipos de respuesta a incidentes de seguridad informática (o CSIRT).
Los operadores de servicios esenciales deberán notificar todo incidente que pudiera afectar significativamente al servicio esencial; mientras que los proveedores de servicios digitales lo harán cuando el incidente tenga un efecto importante en el servicio digital en cuestión y se tenga la información necesaria para valorar el impacto del incidente.
Además, se regula la obligación de cooperación de las autoridades competentes y los CSIRT con la Agencia Española de Protección de Datos en caso de que el incidente afecte a datos personales.
Aun cuando las entidades sujetas a esta norma no estén obligados a la notificación de incidentes de seguridad, lo podrán hacer voluntariamente.
En todo caso, la notificación conllevará la obligación de resolver los incidentes notificados, en su caso, con la ayuda especializada de los CSIRT.
La norma también prevé la posibilidad de notificación del incidente al público y terceros interesados, cuando la autoridad competente así lo ordene.
3. Comunicación a autoridad competente
Los operadores de servicios esenciales deberán designar y comunicar a la autoridad competente la persona responsable de la seguridad, que actuará como punto de contacto.
Los proveedores de servicios deberán comunicar su actividad a la autoridad competente, en el plazo de 3 meses desde que su inicio.
4. Autoridades competentes y facultades de inspección y control
Por lo demás, se establecen quienes son los CSIRT, dependiendo si la entidad es un operador de servicios esenciales o un proveedor de servicios digitales.
Y quienes son las autoridades competentes en la materia y sus funciones, principalmente, de supervisión del cumplimiento de las obligaciones que establece la norma, establecer obligaciones específicas y dictar instrucciones técnicas y guías orientativas, recibir las notificaciones sobre incidentes de seguridad informática y el ejercicio de la potestad sancionadora.
Para la supervisión del cumplimiento de las obligaciones, esta norma otorga las facultades de requerir a los sujetos obligados toda la documentación sobre políticas de seguridad y su aplicación efectiva, así como de auditar. En el caso de los operadores de servicios esenciales esta facultad se podrá ejercer en cualquier momento por iniciativa propia; en el caso de los proveedores de servicios digitales, únicamente previa denuncia.
5. Régimen sancionador
Se prevén sanciones que van desde el requerimiento de adopción de medidas para subsanar deficiencias a multas de hasta 1.000.000 euros.
Mireia Paricio Zaragozá, Abogada en el área de Propiedad Intelectual, TIC y Privacidad de DA Lawyers
