GDPR: La aplicación de la normativa es muy costosa
A este respecto, el Reglamento es muy claro. El artículo 34 establece: "Teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el objeto, el contexto y la finalidad del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y la libertad de las personas físicas, el responsable del tratamiento y el encargado del tratamiento establecen medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, que incluyen, entre otras, cuando proceda... "(ver GDPR: el reglamento completo).
DESCARGUE NUESTRO EBOOK GRATUITO
Por lo tanto, una pequeña empresa con una capacidad económica que no puede garantizar la nivel adecuado de seguridadPor ejemplo, para el tratamiento de datos genéticos, no lleva a cabo esta actividad.
Por otro lado, no se espera que pueda tener el nivel de seguridad que puede permitirse llegar a empresas más estructuradas con más dinero. Así pues, el Reglamento no le obliga a dar el paso más largo de la pierna, sino a estructurar acciones (incluso a coste financiero cero) que permitan a la empresa realizar los tratamientos que realiza, garantizando los derechos de las personas a las que se refieren los datos aplicar medidas que minimicen el riesgo que conlleva (ver nuestro Libro electrónico sobre el RGPD).
Además, el principio que introduce el GDPR es el de la rendición de cuentas o la responsabilidad del titular de hacer todo lo posible para garantizar los derechos de los interesados.
¿Qué quiere decir el Reglamento?
Pongamos algunos casos concretos para entenderlo:
- compartir el nombre de usuario y la contraseña entre empleados de la misma realidad;
- uso de la misma contraseña para varios sistemas, sitios y aplicaciones;
- uso de contraseñas mnemotécnicas (fechas de nacimiento, nombres de personas, palabras comunes);
- uso de aplicaciones, sistemas sin códigos de acceso;
- uso de post-it con el nombre de usuario y la contraseña del ordenador, la impresora, la red.
Es evidente que:
- si hay sin credenciales de accesoUn posible atacante no tendrá que perder tiempo para encontrarlos;
- si 2 personas compartir las llavesEn caso de problemas, será difícil identificar a los que puedan haber cometido una ligereza;
- a contraseña repetida es la facilitación que se proporciona a quienes quieren adivinarla para llevar a cabo acciones contrarias a la ley: Me activo para encontrarlo una vez y luego reutilizarlo en todos los sistemas a los que tenga acceso el legítimo titular;
- a contraseña mnemotécnica es el más sencillo de replicar ya que se encuentra entre los primeros intentos que cualquier sistema automático (y cualquier atacante incluso no especialmente experimentado en ciberseguridad) realiza con un alto grado de éxito (si no total).
¿Qué riesgos conlleva la aplicación del Reglamento?
En caso de control, en todas las situaciones enumeradas, será difícil para cualquier propietario de una empresa decir que ha hecho todo lo posible para minimizar el riesgo del tratamiento. Eliminar estas malas prácticas no tiene un coste financiero significativo, sobre todo si se compara con el riesgo que conlleva y la sanción prevista en caso de que se descubra.
Bastará con partir de una responsabilidad de todas las personas sobre el valor de los datos de la empresa (actividades de formación) y utilizar programas hoy muy extendidos y, en muchos casos, gratuitos, llamados gestores de contraseñas (gestores de contraseñas). Permiten guardar todas las credenciales que hay que recordar teniendo que memorizar sólo la de acceso al programa.
La simple instalación de un buen antivirus en todos los sistemas y su actualización periódica no sólo va encaminada a mejorar la seguridad de los datos (y por tanto de los tratamientos realizados), sino que también permite reducir el riesgo de un dispositivo fuera de servicio, de todo el sistema de información de la empresa con los costes que implica una parada de producción.