GPRD: cuando el cumplimiento surge del código.

GPRD: cuando el cumplimiento surge del código.- 2024

Ante las crecientes amenazas a la ciberseguridad, los legisladores están integrando cada vez más restricciones en el diseño mismo de los productos. Una forma de reducir la superficie de ataque aguas arriba. Descifrado de las principales obligaciones.

Vivimos en una sociedad en la que el número de objetos conectados se está disparando: 1.800 millones en Europa, según un estudio de 2022 [1] llevado a cabo por ADEME (Agencia de Transición Ecológica) y ARCEP (Autoridad Reguladora de Comunicaciones Electrónicas, Correos y Distribución de Prensa), mientras aumentan los riesgos cibernéticos. Desde 2015, el coste anual mundial del ciberdelito se ha duplicado, alcanzando los 5.500 millones de euros en 2020. [2] !

Ya que está establecido que las brechas de seguridad suelen deberse a un fallo de diseño desde el principio y no al resultado de un ciberataque. [2]“por diseño” se ha consolidado gradualmente como el medio para “pensar en el cumplimiento” antes del diseño de un objeto o sistema conectado y luego a lo largo de su ciclo de vida.

GDPR: proteger los datos personales desde el diseño

El concepto “by-design” designa un principio de “cumplimiento por diseño” que se descompone en dos nociones relacionadas, por un lado, con la privacidad y, por el otro, con la seguridad.

Te invitamos a leer...La desventaja de los problemas de NIS2La desventaja de los problemas de NIS2

La mayoría de las veces, esto se traduce en obligaciones vinculantes.

Así, el RGPD dedica un artículo específico a lo que se denomina “privacidad por diseño” (RGPD, art. 25, §1). Para proteger eficazmente la “privacidad”, el texto europeo proporciona una lista no exhaustiva de medidas técnicas y organizativas restrictivas para proteger los datos personales, desde la concepción del procesamiento (GDPR, art. 32). En cuanto a medidas técnicas, podemos mencionar la seudonimización y cifrado de datos, el principio de minimización que limita la cantidad de datos recogidos en relación con la finalidad del tratamiento y el establecimiento de procedimientos de control que permitan garantizar la seguridad del tratamiento. evaluados, como pruebas de penetración para identificar posibles vulnerabilidades de seguridad.

Las medidas organizativas también deben permitir restringir, dentro de la estructura de la empresa o institución, el acceso a los datos, así como los resultados obtenidos al cruzarlos, formar al personal en cuestiones de protección de datos personales o implicar lo antes posible al delegado de protección de datos. posible al diseñar un proyecto. Además, el responsable del tratamiento tiene la obligación de realizar evaluaciones de impacto en la privacidad para mapear los riesgos (GDPR, art. 35). Tantas obligaciones para la empresa cuyo incumplimiento puede acarrear fuertes multas de hasta 10 millones de euros o el 2% de la facturación anual global de la empresa. [3] !

DSA: garantizar la información a los consumidores

Más recientemente, la Ley de Servicios Digitales, que entró en vigor el 25 de agosto de 2023, exige que “los proveedores de plataformas en línea que permitan a los consumidores celebrar contratos a distancia con profesionales” garanticen “que su interfaz en línea esté diseñada y organizada de manera que permite a los profesionales cumplir con sus obligaciones precontractuales de información, cumplimiento y seguridad de los productos que les impone la legislación aplicable de la Unión. » (DSA, art. 31).

Te invitamos a leer...Metodologías ágiles: cuidado con los desvíos en contratosMetodologías ágiles: cuidado con los desvíos en contratos

A veces, el concepto de "seguridad por diseño" es parte de un proceso de certificación de "seguridad por diseño" simple y no vinculante. Este es el caso de la Ley de Ciberseguridad de 2019, que alienta a los proveedores de TIC a garantizar [4] la seguridad del producto desde la fase de diseño y apoyarlo durante todo el ciclo de vida del producto (Ley de Ciberseguridad, art. 56). Sin embargo, debería generalizarse más porque es objeto de una propuesta de reglamento europeo, la “ley de ciberresiliencia”, que pretende imponer normas esenciales en materia de diseño de productos digitales, para garantizar su ciberseguridad. [5].

Por defecto complementario al por diseño

Junto con el diseño por defecto, se desarrolló otro concepto, “por defecto”. En una primera variante denominada “privacidad por defecto”, el operador tiene la obligación de garantizar que, por defecto, sólo se procesen los datos personales necesarios para cada fin de procesamiento específico (GDPR, art 25§2). El legislador europeo quería imponer aquí el nivel más alto de protección, que se aplica por defecto. Es con este objetivo que el usuario es el único que puede autorizar nuevos tratamientos (por ejemplo, al descargar una aplicación en su teléfono inteligente, le corresponde al usuario autorizar o no el acceso a la cámara).

En una versión de “seguridad por defecto”, la Ley de Ciberseguridad invita a los diseñadores a configurar sus productos, servicios y procesos “de tal manera que garanticen un mayor nivel de seguridad” (Ley de Ciberseguridad, considerando 13). De esta forma, el primer usuario recibe una configuración por defecto con los ajustes más seguros posibles, sin tener que realizar ninguna manipulación. Una vez puesto a disposición del usuario, el objeto o sistema conectado deberá configurarse de forma que sea, por defecto, resistente a las técnicas de explotación más extendidas, sin coste adicional.

Tantas reglas que tienen como objetivo garantizar su cumplimiento... ¡siempre que domines bien el sistema!

Te invitamos a leer...GDPR: Tik Tok multado con 345 millones de eurosGDPR: Tik Tok multado con 345 millones de euros

[1] https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/283889.pdf, citando a Ademe y Arcep (2022), Evaluación del impacto ambiental de la tecnología digital en Francia y análisis prospectivo, enero.
[2] Fuente: Dalloz, Larcier, Delegado de Protección de Datos
[3] En concreto, la multa puede ascender hasta 20 millones de euros o el 4% de la facturación global anual en caso de incumplimiento de los principios fundamentales del RGPD, de los derechos de las personas físicas, de las disposiciones sobre transferencias o del incumplimiento de una orden. de una autoridad. (Artículo 83°5 RGPD)
[4] Ley de Ciberseguridad, artículo 56.3: "La Comisión evaluará periódicamente la eficacia y el uso de los sistemas europeos de certificación de la ciberseguridad adoptados y determinará si la legislación pertinente de la Unión debe hacer obligatorio un sistema europeo específico de certificación de la ciberseguridad para garantizar un nivel adecuado de ciberseguridad para Productos TIC'
[5] Ver considerando 5 de la “ley de ciberresiliencia”


Para leer contenido relacioanado a "GPRD: cuando el cumplimiento surge del código." puedes ingresar a la categoría Actualidad.

Índice

Contenido relacionado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu puntuación: Útil

Subir