Ambigüedad en el nuevo reglamento de protección de datos

Una vez conocido el esperado Anteproyecto de Ley Orgánica de Protección de Datos que se está llevando a estudio entre los distintos órganos políticos españoles, adaptándonos al Reglamento (UE) 2016/679, algunos nos podemos sentir decepcionados al no disponer de claras directrices a la hora de implantar medidas técnicas y organizativas exactas.

El Reglamento de Desarrollo 1720/2007 de nuestra Ley Orgánica de Protección de Datos, en su Título VIII, despliega una serie de medidas aplicables según el método de tratamiento de los datos (automatizado o manual) y según el nivel de seguridad de los mismos (básico, medio y alto). La ventaja para el Responsable de Fichero, o Responsable de Tratamiento según la nueva denominación, es que tenía claramente definidas y detalladas las medidas mínimas, sin lugar a dudas.

El nuevo Reglamento Europeo de Protección de Datos, en su considerando 83, muy cabalmente, todo sea dicho, explica que las medidas aplicables, como el cifrado de datos, “deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse”. Pero no define con exactitud estas medidas, ya que, por otra parte, los avances tecnológicos no deberían ser los que impusieran una legislación reactiva. Dicho de otra manera, que no tengamos que legislar cada vez que la tecnología da un salto.

Por este motivo, el Responsable de Tratamiento o su Delegado de Protección de Datos deberá asumir un papel más activo a la hora de conocer las posibles vulnerabilidades técnicas de sus dispositivos y redes. No hablamos de simples actualizaciones de sistema operativo. Estaríamos hablando, por ejemplo, de escoger el tipo de cifrado de la contraseña de la red inalámbrica de su oficina (desechando aquellos como el WEP), hablaríamos de una política automatizada de cambio de contraseñas periódico que además obligase a no repetir contraseñas mediante un histórico, de la actualización de firmware de los routers, de limitar el uso de archivos locales fuera del control de las políticas de seguridad corporativas, etc.

La balanza siempre debió romperse del lado de la seguridad frente al de la comodidad, pero al no definir con exactitud las medidas aplicables ni el RGPD 679/2016 ni el reciente Anteproyecto de Ley Orgánica, la objetividad del órgano inspector estará en entredicho, pues aquellos criterios que como Responsables de Tratamiento pudiésemos considerar adecuados en función del estado de la técnica y su coste de aplicación pueden ser muy distintos dependiendo del punto de vista.

En resumen, siempre que los costes no lo impidan, deberemos blindar nuestros sistemas con las mejores medidas disponibles y con software a prueba de fugas, ya que en un procedimiento de inspección se podría utilizar este argumento como motivo de sanción.