LA GESTIÓN DE RIESGOS NORMATIVOS EN LOS PROCESOS DE TRANSFORMACIÓN DIGITAL

Carlos Alberto Saiz Peña
Socio de EcixGroup
Vicepresidente de ISMS Forum

RESUMEN

La transformación digital que están desarrollando las compañías, y que se ha acelerado por la pandemia de Covid19, implica nuevos y variados riesgos normativos que afectan de manera frontal a las organizaciones. Resulta necesario prepararse para anticipar tales riesgos, ayudar a la empresa a proteger los activos intangibles derivados de la transformación digital, así como potenciar sus capacidades digitales para mitigar los riesgos de los requisitos normativos derivados del teletrabajo, la protección de datos, la ciberseguridad, el Big Data, etc.

ARTÍCULO

Según una encuesta de la Consultora IDC[1]más del 75% de las empresas encuestadas están llevando a cabo o comienzan ahora a llevar a cabo una transformación digital de su negocio”.

Sin duda, la crisis del Covid 19 ha producido una aceleración espectacular en tales procesos de Transformación Digital de muchas de las compañías de nuestro país. Nos ha supuesto nuevas formas de trabajar, la promoción del tele-trabajo, otra manera de atender a clientes, otra manera de relacionarse con proveedores…

A continuación vamos a tratar algunos de los riesgos en materia de cumplimiento y ciberseguridad que lleva aparejado estos procesos:

Compra de Tecnología, Infraestructura y servicios asociados

Algunos de los riesgos más importantes a considerar en este sentido son:

  • Debida homologación y conocimiento previo de los proveedores cuya tecnología, infraestructura o servicio vamos a contratar. La urgencia en la necesidad de contratar debe llevar aparejada una oportuna labor de diligencia debida para conocer no solo la solvencia técnica y económica del proveedor, sino también su nivel de cumplimiento en materia de prevención de delitos, garantías en relación con aspectos de ciberseguridad y protección de datos, auditorías y certificaciones, estar dotado de los correspondientes planes de continuidad, etc.
  • Especial atención a las condiciones de contratación de las grandes tecnológicas. Muchas compañías han contratado y están contratando los servicios y tecnología de las grandes multinacionales tecnológicas de EEUU que imponen sus condiciones generales de contratación y no existe un espacio para la negociación de apenas cualquier aspecto.

Si bien muchas de esas condiciones han sido “europeizadas”, conviene prestar especial atención a aspectos como la jurisdicción competente en caso de conflicto, la no alineación completa a la normativa de protección de datos europea (RGPD), la transición del servicio hacia otro proveedor en caso de resolución anticipada, el posterior uso de la información una vez finalizado el contrato p.e. en servicios Cloud, la necesidad de acceder a información en tiempo real en caso de investigaciones, peticiones por Autoridades, análisis forenses, etc.

  • Evaluar la necesidad de requerir una autorización del Regulador competente. Especialmente en el sector financiero ya existen diferentes normativas e iniciativas, que van en aumento, cuyo objetivo es regular obligaciones para instituciones financieras para el caso de externalizar determinados procesos, entre los que se encuentran algunos que habitualmente las entidades de crédito formalizan en formato “outsourcing” en tecnología Cloud (p.e. la EBA Autoridad Bancaria Europea, publicó en 2019 las Directrices sobre Externalización)

Ciberseguridad

Sin duda, todas las instituciones con competencias en materia de Ciberseguridad (INTERPOL, ENISA, INCIBE, CNI, CNPIC…) han coincidido en declarar un aumento significativo de ciberataques durante la crisis del Covid19. La Ciberseguridad se sitúa en una de las preocupaciones centrales de las organizaciones en las que hay que invertir recursos humanos y tecnológicos para tener una adecuada protección y además cumplir con los requisitos regulatorios aplicables.

En este sentido, los principales ataques y vulnerabilidades que hemos podido comprobar en estos últimos meses son:

  • Equipos domésticos sin actualizaciones, antivirus, etc.
  • Uso de conexiones no seguras (necesidad de conexiones VPN a herramientas corporativas, intranet, etc.)
  • Ataques de malware y ransomware, ataques de phising (suplantación de organismos de salud, gobiernos, instituciones, etc.)
  • Herramientas interactivas fraudulentas (p.e. mapas de seguimiento de contagios)
  • Profesionales no formados y no habituados para teletrabajo (nuevas herramientas, menos tiempo para formación o puesta en marcha, etc.)

De esta misma manera, las organizaciones son conscientes de que no solo deben proteger su propia infraestructura tecnológica y servidores, sino que el perímetro de protección es mucho mayor debido a la cantidad de información corporativa que puede estar alojada y siendo tratada por colaboradores, proveedores y terceras partes que también están sometidos a riesgos y posibles ataques provenientes desde el ciberespacio.

En este punto, cobra más sentido que nunca la necesidad de realizar labores de diligencia debida ante proveedores y terceras partes, que nos permitan dotarnos de un sistema de confianza en los sistemas de ciberseguridad y protección de datos que dichos terceros aplican a “nuestra información y datos” en su propia infraestructura y con su personal.

Con este enfoque, resulta fundamental que desde nuestras áreas de Control, Riesgos, Compliance, Compras, etc. manejemos diferentes escenarios de valoración de proveedores para tener unos criterios de confiabilidad mínimos a la hora de mantener relaciones mercantiles con ellos, como por ejemplo:

 

Protección de Datos

El cumplimiento de la normativa de protección de datos es quizá uno de los elementos más importantes dentro de las funciones de cumplimiento en el acompañamiento al negocio en su Transformación Digital. Tener bien asentados conceptos tan nucleares como Privacy by Design, Accountability, enfoque a Riesgos, etc. dentro de las diferentes área de una empresa posibilitan construir una estructura de tratamiento de datos con buenos pilares.

También es fundamental tener una figura fuerte como Delegado de Protección de Datos y un buen Gobierno de la Privacidad dentro de las organizaciones grandes y complejas , que permitan tener una adecuada interlocución entre la corporación y los diferentes negocios que son responsables de los diferentes tratamientos de datos que se realizan.

En este sentido, como dice Mar España, directora de la Agencia Española de Protección de Datos[2], “las nuevas tecnologías son un elemento indispensable para afrontar este futuro imparable, un motor de progreso que permite abrirse a nuevos mercados y nuevas posibilidades. No obstante, no puede hablarse de innovación de forma ajena a los derechos fundamentales. La responsabilidad digital está estrechamente vinculada con el respeto a los derechos humanos y especialmente al derecho fundamental a la protección de los datos personales, que ha de entenderse como un valor. La convergencia de tecnologías como la IA, el big data, el internet de las cosas, la biometría, el blockchain, el 5G o el uso de datos genéticos debe aplicarse de forma responsable y proactiva”.

Asimismo, no podemos olvidar que muchas de las contrataciones que se realizan de entornos tecnológicos en modelo Cloud, conllevan una transferencia internacional de datos personales que debe estar debidamente regulada y soportada por alguna de las opciones que permite la normativa.

Resulta especialmente importante considerar la situación actual, y esperemos que temporal, que se ha producido tras la publicación de la conocida sentencia Schrems II. Se trata de la Sentencia de 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE que anula la Decisión 2016/1250 de la Comisión que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU. Esta Decisión sustituía a su vez a Puerto Seguro (Safe Harbor), que también fue declarado inválido por el TJUE en octubre de 2015.

En este sentido, conviene buscar una solución práctica para poder regular dichas transferencias internacionales con solvencia mientras los proveedores preparan sus condiciones contractuales para dar máximas garantías y mientras que políticamente se busca un acuerdo entre Europa y EEUU que permita agilizar dichas transferencias con un instrumento robusto que genere más certidumbre jurídica que con el modelo anterior.

Compartir

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp