Como afecta el RGPD a la seguridad de los software de SST

El tiempo estimado de lectura es de 6 minutos

 Escucha la lectura de este artículo

 

Este pasado verano conocíamos la noticia que KERAD GAMES, empresa del futbolista del Barça Gerard Piqué, cerraba la persiana después de 6 años en el mundo de los videojuegos online. Uno de los motivos que trascendió como causa de la liquidación de la empresa fue, aparte de las pérdidas acumuladas, la imposibilidad de afrontar la enorme inversión que la sociedad debía realizar para adecuar su actividad al nuevo Reglamento General de Protección de Datos (RGPD). La noticia nos da una idea del impacto del RGPD en las empresas que tienen todo o parte de su core business centrado en el desarrollo de software.

Son varias las dudas que surgen entorno al impacto del RGPD en las empresas: ¿Qué debo solicitar a mi proveedor de software para dar cumplimiento al RGPD? ¿Qué medidas de seguridad va a aplicar mi proveedor de software para dar cumplimiento al RGPD? ¿Qué debo hacer yo como empresa que gestiona los datos personales de mi plantilla? En el ámbito de los softwares SST el tema toma aún más relevancia, puesto que es habitual que este tipo de aplicativos traten datos especialmente protegidos, como son los de salud.

¿Cómo afecta el RGPD a la seguridad de los softwares SST?

Antes de contestar a la pregunta que pone título a este post, un caso real: Carlos, director general de la empresa LIANTES SA, estaba satisfecho por el contrato que acababa de firmar con PRL ESPAÑA SL, proveedor de software SST. Había comprobado que la empresa era solvente técnicamente (o eso creía), y había preguntado, como persona informada en el tema, si los servidores en los que se alojaba el software estaban físicamente situados en Europa. Carlos sabía que un servidor fuera de Europa a priori no cumpliría con los estándares de seguridad del RGPD, y por eso había procurado buscar un proveedor de software SST que tuviese subcontratado el servicio de hosting a una empresa española. En este caso la empresa de hosting se llamaba AXARQUÍA SL y tenía los servidores en Málaga.

Pasados unos meses el responsable de seguridad de LIANTES SA detectó una fuga de datos que dejó al descubierto información sensible de los trabajadores de la empresa. Dicha sociedad encargó una pericial informática que determinó que la fuga había sido causa de un error en el mantenimiento del software SST, mantenimiento que se había producido desde Vietnam.

¿Vietnam? Carlos no daba crédito. ¿Cómo unos datos alojados en Málaga podían haber sido tratados por una empresa de Vietnam? La respuesta era simple: la empresa AXARQUÍA SL, para ahorrar costes, había subcontratado un servicio low-cost de mantenimiento de hosting que accedía a los servidores desde el sudeste asiático. Carlos googleó “transferencia internacional de datos” y enseguida se dio cuenta que la Agencia Española de Protección de Datos sancionaba duramente los tratamientos de datos fuera de Europa que no contaran con las mínimas garantías marcadas por el RGPD, como era el caso.

El RGPD responsabiliza, ante todo, al responsable del tratamiento (en nuestro caso, LIANTES SA). El responsable del tratamiento debe elegir un proveedor de software SST que ofrezca garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas, de acuerdo con lo establecido en el RGPD, y que garantice la protección de los derechos de las personas afectadas. Existe, por tanto, un deber de diligencia en la elección de la empresa de software SST.

¿Cuáles son estas garantías?

Como decíamos, corresponde a LIANTES SA realizar la evaluación de riesgos para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de las personas afectadas. Así mismo PRL ESPAÑA SL también debe evaluar los posibles riesgos derivados del tratamiento, teniendo en cuenta los medios utilizados (tecnologías, recursos etc.) y otras circunstancias que puedan incidir en la seguridad. Así, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, LIANTES SA y PRL ESPAÑA SL establecerán las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo existente que incluyan, entre otros:

  • La seudoanimización y el cifrado de datos personales;
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Para transmitir al usuario del programa esta seguridad el software debe estar dotado de las siguientes características:

  1. Las configuraciones del software deben tener la máxima privacidad posible. Eso implica que, para cada perfil de usuario, se debe restringir el acceso única y exclusivamente a la información que necesitará. Esto, a la práctica, significa que sólo el personal con funciones relacionadas directa o indirectamente con la prevención de riesgos laborales deberá contar con los permisos para acceder a la información de los trabajadores que conste volcada en el citado software.
  2. Esta privacidad debe estar introducida desde el principio, es decir, desde el diseño y por defecto. A la práctica esto se concreta en un consejo: a partir de ahora, invita siempre a las reuniones preparatorias de nuevos proyectos a tu asesor en materia de LOPD y al responsable de seguridad de tu empresa. Ellos deberán validar que todos los pasos que el proyecto dará están conformes con el RGPD.
  3. Cada responsable con funciones relacionadas directa o indirectamente con la prevención de riesgos laborales deberá tener un registro de los datos personales que trata y una persona responsable. El software forma parte de la empresa y por tanto debe tener dicho registro. Es decir, se guardará un documento que indique cómo el software utiliza los datos personales y contendrá la siguiente información: el responsable del tratamiento, los fines del tratamiento, descripción de las categorías de interesados, el período de almacenamiento y la accesibilidad a los datos.
  4. Se deben cumplir rigurosamente los principios relativos al tratamiento de datos personales recogidos en el RGPD (que no abordaremos en este artículo).
  5. Debe obtenerse el consentimiento de los usuarios para procesar los datos. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal. Por tanto, el silencio, las casillas ya marcadas o la inacción no constituyen consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Si llegados al final del artículo la pereza se ha apoderado del lector quizás sea un buen momento para recordar que el legislador europeo ha escogido, en el marco del RGPD, un mazo tamaño XXL para castigar a los infractores: “Multas de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa”. Con esta nueva política sancionadora el RGPD quiere evitar que las grandes empresas tengan la tentación de infringir y pagar la multa, como venían haciendo hasta ahora (con la LOPD del 1999 las multas no superaban los 600.000 €).

Prevencontrol

PrevenControl es la firma especializada en seguridad y salud laboral que propone soluciones eficaces e innovadoras para la mejora del negocio y la reputación de sus clientes a través de la consultoría, el uso de la tecnología y la formación.
¡Contáctanos!

¿Quieres recibir puntualmente las novedades de PrevenBlog? Suscríbete a nuestro blog!

Dejar un comentario

*