Las tendencias de Internet van y vienen. Sin embargo, un concepto que ha cobrado impulso constantemente durante la última década es el de la protección de datos y la privacidad. Ahora está consagrado en la legislación de la UE gracias al GDPR. Y hoy en día, consumidores y empresas son mucho más conscientes que nunca de sus derechos y responsabilidades online. Por ello, esta década ofrece una oportunidad fantástica para integrar los principios de privacidad por diseño en cada una de las organizaciones. Sin embargo, todavía queda mucho por hacer, para concienciar y cambiar los comportamientos, especialmente entre las empresas.
Por este motivo, Trend Micro es un orgulloso promotor y defensor de la iniciativa anual del Día de la Privacidad de los Datos, que se celebra en todo el mundo el 28 de enero.
De vuelta al principio
Fue este día, allá por 1981, cuando el Consejo de Europa abrió la firma el Convenio 108, el primer tratado internacional jurídicamente vinculante sobre la privacidad y la protección de datos. El Primer Día Europeo de la Protección de Datos se celebró en enero de 2007 para impulsar un mayor compromiso con las cuestiones de privacidad online y el resto es historia.
En los últimos 13 años, innumerables organizaciones se han descolgado de una manera muy pública. Desde el ya famoso error del HMRC en 2007 hasta el escándalo Cambridge Analytica en 2018, cada incidente ha puesto de manifiesto el impacto potencialmente catastrófico de los programas de protección de datos negligentes. Sin embargo, estos incidentes también han aumentado la conciencia pública y han impulsado a los legisladores. Gracias al GDPR, los ciudadanos europeos tienen más control sobre sus datos personales que nunca, mientras que las empresas deben superar un listón muy alto para demostrar que son custodios responsables de esos datos.
Mucho trabajo por delante
Pero todavía hay mucho que hacer. Los datos personales de navegación altamente sensibles siguen siendo compartidos a través de la cadena de suministro digital de adtech, miles de millones de veces al dí, sin consentimiento alguno de los consumidores. Las empresas de redes sociales continúan recogiendo grandes cantidades de datos de clientes, los dispositivos IoT y los asistentes inteligentes escuchan nuestras conversaciones más íntimas, y la creciente omnipresencia de la tecnología digital sigue suscitando inquietud entre los preocupados padres.
También hay preocupaciones para las empresas. El cumplimiento de la normativa GDPR no es algo fácil: sus vagas referencias a la tecnología «de vanguardia» y su enfoque en principios generales en lugar de controles prescriptivos, significan que no hay una solución sencilla que se pueda definir para marcar en una casilla. Para muchos, no habrá una forma al 100% de saber si cumplen con los requisitos hasta que ocurra un incidente y la empresa espere un veredicto oficial.
Ya ha habido más de 160.000 notificaciones de infracción en toda Europa desde que la normativa entró en vigor hace casi dos años, lo que ha dado lugar a multas de 114 millones de euros. Sin duda, éstas aumentarán a medida que los reguladores de toda la zona afilen sus cuchillos. El ICO ya ha manifestado su intención de multar a Marriott International y a BA con un total de 333 millones de euros por infracciones graves en las empresas.
¿Qué pasará después?
Por ahora, esto significa que las organizaciones deben garantizar que sus políticas de protección de datos están alineadas con la GDPR, incluso en la Gran Bretaña post-Brexit. Deben centrarse en los enfoques de mejores prácticas y marcos como los producidos por el NIST, Cyber Essentials e ISO. Y deben buscar asociarse con los expertos en seguridad adecuados: proveedores que puedan ofrecer protección multicapa en todas las partes de la infraestructura TI, desde el endpoint hasta los servidores, las redes y los gateways de email y web. El objetivo final es la privacidad-por-diseño: un compromiso para integrar la protección de datos en todo lo que hace una organización.
En Trend Micro, nos sentamos a ambos lados del debate sobre la privacidad de los datos. Nuestro programa Safety for Kids and Families (ISKF) ha ofrecido recursos vitales para los padres preocupados durante más de una década. Sin embargo, también ofrecemos asesoramiento experto y apoyo a las organizaciones que luchan por navegar en un complejo panorama normativo, a la vez que nos aseguramos de que sus clientes hagan lo correcto.
Como Campeón del Día de la Privacidad de los Datos, estamos trabajando duro en ambos frentes: para asegurarnos de que los consumidores conozcan sus derechos y tengan las herramientas y el conocimiento para mantenerse seguros online, y que las empresas tengan los controles y procesos adecuados para cumplir con sus responsabilidades de protección de datos. A medida que viajamos por una nueva década, todavía queda mucho trabajo por hacer.
José Battat
Director general de Trend Micro Iberia