>> Doble fondo
Nº 109 ABRIL 2014
El cumplimiento incumplible
A efectos normativos, la privacidad y la ciberseguridad siguen yendo cada una por un lado. Y seguramente ello se deba a la ignorancia y a la desorganización imperantes en la esfera político-legislativa, y no necesariamente a que un infiltrado esté moviendo los hilos para que la mano derecha no se entere de lo que hace la izquierda.
José de la Peña Múñoz Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla
El hecho es que el asunto habría que arreglarlo, porque afecta de lleno al cumplimiento legal; de no hacerse, en vez de que las normas garanticen derechos, lo que harán será dificultar su ejercicio, y, de paso, nos dejarán a los europeos más sobrerregulados que nunca y trufados de burocracias cruzadas.
Me explico: como es sabido, se está debatiendo en la UE la futura nueva directiva de seguridad de redes y de información, y el texto plantea algunos problemas en varios frentes, entre otros el de los mecanismos que se habiliten para el intercambio de información sobre incidentes y la cooperación de algunos sectores con las fuerzas de seguridad, las autoridades nacionales competentes y los Cert nacionales y gubernamentales, entre otros. Algunos sectores deberán cooperar con Europol en la protección de datos, como es el caso de los de la Energía, la Banca, el Mercado de Valores, la Sanidad, las Administraciones y los ya obligados Operadores de Telecomunicaciones y de Internet.
Al tiempo, y antes de su disolución para elecciones, el Parlamento Europeo aprobó la propuesta de Reglamento General de Protección de Datos (personales) para que, aunque exista un paréntesis electoral, no haya que empezar de nuevo y el procedimiento de tramitación siga su curso –eso sí, lentísimo– con la pelota en el tejado del Consejo y ante la mirada atenta de la Comisión.
Algunos Estados miembros y lobbies no quieren el Reglamento General ni en pintura. Y una de las cosas que menos les gusta –además de la fórmula de cálculo de las multas por incumplimiento– es la que alude a la notificación de quiebras en la seguridad.
Así pues, nos podríamos encontrar en un escenario en el que habría que notificar incidentes a autoridades competentes en materia de ciberseguridad (algunos ya tienen obligación), y, al tiempo habría que notificar a varios las quiebras/brechas de seguridad en materia de privacidad. Y a nadie se le escapa que un incidente de ciberseguridad, además de ser un hecho técnico, presenta otras enmarañadas dimensiones, porque puede constituir un acto tipificado en el Código Penal y, a la vez, un hecho que vulnere la legislación sobre protección de datos personales, que pudiera evidenciar por añadidura una falta de celo de los responsables de ficheros en la implantación de controles de seguridad en el orden organizativo y técnico. Y todo ello adobado con lo que por España gastamos: el vigente Reglamento de la LOPD, el Esquema Nacional de Seguridad, lo que disponga la nueva Ley General de Telecomunicaciones, lo que se desarrolle reglamentariamente en base a la Ley de Seguridad Privada y las normativas sectoriales en materia de ciberseguridad que están por sobrevenir.
Esta situación bien merece, al menos, una gubernamental pensada al más alto nivel.
Consulte el contenido de Doble Fondo de números anteriores aquí
