¿Por qué resulta tan apremiante que las empresas incorporen a un Data Protection Officer (DPO)?

En mayo de 2018 será de obligado cumplimiento una directiva europea que obliga a las empresas de un cierto tamaño que manejan datos sensibles de clientes o empleados a tener un DPO. Este nuevo puesto no tiene porqué estar en plantilla, las empresas pueden contratar estos servicios que se vuelven obligatorios a partir del año que viene.

¿Qué perfil y qué funciones asume un DPO?

Como su nombre indica, su principal función es la protección de datos. Además, tiene que saber qué hacer con esos datos, cómo se protegen y conocer a la perfección la legislación, la directiva europea. A partir de ahí, las labores son muy amplias, es un perfil muy «cross», su función no es específica de un solo departamento.

Ante una brecha de seguridad donde se pueden robar datos, tiene que poner en marcha procedimientos . En este caso, debe comunicarlo a las autoridades pertinentes y a los implicados. Esto antes no se hacía, pasaba todo lo contrario, se ocultaba. Ahora la mentalidad ha cambiado y empresas como Google que han sufrido ataques lo hacen público al mercado por los riesgos que tiene y por las responsabilidades que puedan tener.

Estamos asistiendo a ciberataques y hackeos que son cada vez más sofisticados. ¿Cómo pueden protegerse las empresas?

La protección absoluta no existe, es un tema de riesgo. En cualquier organización existe la posibilidad de que te entren. Hay dos tipos de organizaciones: las que les han entrado y las que todavía no lo saben. El tiempo medio de detección de una intrusión es alrededor de unos 200-300 días. Hay una empresa, Equifax, que guardaba datos financieros de sus clientes y de la seguridad social, datos de transacciones financieras, préstamos que habían pedido las personas… todo esto fue robado. Hicieron pública esta brecha de seguridad en mayo de este año y hasta finales de julio no se dieron cuenta de la magnitud. Los datos de estas personas están a la venta en internet al mejor postor. Las personas están pidiendo indemnizaciones y han pegado un bajón enorme en bolsa.

¿Considera que las empresas españolas están concienciadas con respecto a la importancia de la protección de datos?

Las empresas españolas se han callado las cosas, muy pocas han hecho pública las situaciones de riesgo. Es por un tema de imagen y reputación. Muchas veces los técnicos no han dicho nada para que no llegue a niveles ejecutivos. Ha pasado mucho.

Quien no respete esta protección de datos se expone a una sanción que puede llegar a los 20 millones de euros o un porcentaje muy alto de la facturación de las empresas. Por la cuenta que las trae, tienen que declarar una brecha de seguridad. El que tu tengas esta brecha no quiere decir que te vayan a sancionar. Si tú lo anuncias y tus procedimientos han sido adecuados, has tomado las medidas proporcionales de seguridad, has formado a tus empleados, no te van a sancionar. Si tienes un plan de reacción ante una brecha de seguridad y sabes qué riesgo tienen tus clientes, has hecho bien tu trabajo y te has protegido.

¿La figura del DPO es correctiva o preventiva?

El DPO tiene que poner orden en la parte técnica de ciberseguridad pero asegurarse que el resto de departamentos funciona acorde a ello y formar a los empleados. Este perfil tiene que tomar medidas preventivas, monitorizar que es lo que está pasando, vigilar la compañía, detectar anomalías y mejorar el proceso donde las medidas no son estáticas. Tiene que estar al día de las actualizaciones y sistemas. El caso de WannaCry que tiró por la borda el sistema de seguridad inglés fue un problema de actualización. Es muy importante tener un plan de acción cuando se sufre un ciberataque para reaccionar a tiempo y revertir el daño lo antes posible.