El Cybersecurity Open Day comenzó con una mesa redonda en la que se estudió la protección de datos en tiempos de COVID-19. En ella participaron Carlos Saiz, director del Data Privacy Institute; Marcos Judel, presidente de la APEP (Asociación Profesional Española de Privacidad); Maite Avelino, colaboradora de ISACA Madrid; y Rodolfo Tesone, presidente fundador de ENATIC (Asociación de Expertos Nacionales de la Abogacía TIC). Yolanda Duro, responsable de desarrollo de negocio de RED SEGURIDAD, moderó el encuentro.
“Con la pandemia, la privacidad se ha dado a conocer mucho más. De hecho, el Reglamento General de Protección de Datos tiene una gran incidencia en esta situación. Es una norma dura no solo por su régimen sancionador, sino por la doble obligación que conlleva a las empresas: su cumplimiento y la demostración que se está cumpliendo. Pero esta dureza es lo suficiente flexible para que haya una serie de políticas para luchar contra la pandemia dentro de los márgenes legales”, comenzó su exposición el representante de la APEP.
Precisamente en esta etapa de la pandemia a la que se refirió Marcos Judel, las organizaciones tuvieron que tomar decisiones, en ocasiones, impulsivas. Entre ellas, optar por el teletrabajo. Unas decisiones que han conllevado dudas sobre protección de datos y que los profesionales de esta materia han tenido que solventar. A lo que se le une un crecimiento de los ciberataques. “Los ‘malos’ saben que si las empresas mandan trabajadores a casa, con ordenadores domésticos, sus equipos son más vulnerables. Es más, tienen todo tipo de datos para explotar”, advirtió al respecto Saiz, del Data Privacy Institute. “Por ello”, continuó, “las compañías deben apostar por redes seguras, por formar y concienciar a los empleados y por contar con los medios adecuados. Teletrabajar no es mandar a casa a un trabajador para desempeñar allí sus labores profesionales. Es ampliar el perímetro de seguridad”.
Análisis de contingencia
La primera etapa de la pandemia se caracterizó por la improvisación de las organizaciones ante la eventualidad que representaba el coronavirus. Ahora, con la segunda ola en pleno apogeo, las empresas deben estar preparadas y contar con un plan de contingencia acorde a los riesgos que entraña esta enfermedad para las empresas. Al respecto se pronunció Rodolfo Tesone, de ENATIC, quien afirmó que ahora “es importante analizar lo que ha pasado y hacia dónde va a ir la compañía”. En opinión de este experto, las organizaciones se deben preguntar si tienen un sistema de protección de datos actualizado y si disponen de un plan de continuidad que incluya elementos como la ciberseguridad, la protección de datos, la transformación de la empresa y el teletrabajo, entre otros.
Un criterio compartido por Judel, de la APEP, que denunció que las organizaciones no contarán con protocolos u hojas de ruta en los que se especificaran los medios de los que disponen ante este tipo de contingencias. “Toda esta situación provocó multitud de consultas sobre brechas de seguridad, comunicaciones a la Agencia Española de Protección de Datos, etc. Situaciones que desbordaron a las empresas. Pero ahora estamos en una nueva normalidad, en la que debemos establecer unos protocolos en los que el delegado de protección de datos esté integrado en un entorno multidisciplinar donde pueda ayudar a tomar decisiones”, aseguró durante su intervención.
A modo de ejemplo, Maite Avelino, representante de ISACA Madrid, puso el foco en uno de los sectores que no está demasiado maduro en materia de protección de datos: la educación. “Si hay un positivo, ¿cómo se comunica a los padres?”, se preguntó al respecto. “Hay que cuidar esa información porque si sale a la luz un positivo citando nombre y apellidos y el interesado no quiere divulgarlo se están vulnerando los derechos de este”, advirtió.
Privacidad de los empleados
A la pregunta acerca de cuáles han de ser las principales directrices para que las empresas salvaguarden la protección de datos y la privacidad de los empleados, Maite Avelino fue muy clara: “las empresas tienen que hacer hincapié en clasificar la información sensible y no sensible”.
Tesone, de ENATIC, incidió en la importancia de la planificación. “¿Las organizaciones han compilado todo lo acontecido en los últimos seis meses respecto a las medidas y soluciones establecidas?”, se cuestionó. “Hay que concretar estas medidas, el calendario, el presupuesto, etc.”, continuó. “Si no lo hacemos, pondremos parches y, en un tiempo, dejaremos una serie de minas que, desde el punto de vista legal, constituyen una vulnerabilidad y pueden suponer un conflicto con las administraciones públicas o con nuestros empleados”, afirmó el panelista.
Por último, Saiz, del Data Privacy Institute, se refirió a los derechos de los trabajadores en todo este contexto: “los empleados tienen sus derechos y su identidad, pero la compañía tiene la obligación de saber qué están haciendo”.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de esta crónica.
¿Quieres leer el contenido completo?
Archivado en: