Tras casi un mes desde la entrada en fuerza del GDPR (antes del 25 de mayo llevaba dos años en vigor, pero con moratoria de cumplimiento), la nueva reglamentación sigue ahí, como una gran desconocida para las empresas y para la sociedad.

“Todavía nos encontramos muchas compañías que no tienen una estrategia para cumplir el GDPR y como mucho dicen que a ver si para final de año…”, confirma un consultor experto durante la pausa para café de la jornada GDPR Day organizada por EIT Digital Spain en Madrid.

“El reglamento de protección de datos no es una cuestión de adaptarse [‘compliance’] sino de construir una sociedad mejor”, argumenta Aurelie Pols, experta en la materia que se aplica a diseccionar los puntos clave de los “99 artículos” de la normativa y aclarar las diferencias que establece entre Europa y el resto del mundo. “Antes, si tenías servidores en Europa se aplicaban las normas europeas, ahora se aplican a cualquier lugar si trabajas con ciudadanos que están en la UE”.

Pols subraya que “datos personales sobre pertenencia a sindicatos, u opiniones políticas no son privados en Estados Unidos. En Europa son datos sensibles los referidos a salud, raza, financiero, política, biométrica y genética. En todos esos casos es exigible el consentimiento del usuario. En los datos con seudónimo, con una clave que pueda servir para la identificación, también se aplica…”.

Grzegorz Jendroszczyk, de la scaleup Piwik Pro, vinculada a EIT Digital y que desarrolla sus herramientas para web analytics, advierte de los riesgos que comporta transferir datos recolectados a un tercero, no controlado, para su tratamiento con SaaS (software as a service).

Jendroszczyk se pone del lado de los usuarios para recordar que el Reglamento de Protección abarca las cookies (que identifican online) y considera datos personales la IP de conexión, que sirve para aportar ubicación; la huella que queda en la web, como combinación datos personales; y variables personalizadas, como los datos del departamento de origen de un mensaje desde una empresa. Toda la información que, combinada, puede servir para una identificación.

La clave “es el consentimiento” del usuario para ceder sus datos y permitir su tratamiento. Y el mejor arma de los usuarios es “el derecho a conocer lo que se guarda y a cambiar de opinión sobre el consentimiento”. Y en cuanto al “derecho al olvido”, un detalle relevante: aunque los datos guardados en backups no se procesan, “si pides que se borren tus datos, también tienen que borrarse en los backups”. El plazo es un mes y el GDPR establece que para la consulta de un usuario, sus datos guardados se le deben entregar en un formato normal y accesible (como CSV) y el procedimiento ha de ser gratuito.

Para Darragh Kelly, de Open Cloud Factory (soluciones de ciberseguridad en la nube), desde el punto de vista de las compañías, la palabra mágica del GDPR es “demostrar”, que se repite 34 veces en su texto. A las empresas se les exige que sean capaces de demostrar que cumplen las reglas y cómo aplican las políticas internas y en relación con los datos.

“El mayor riesgo para la seguridad es la falta de claridad”, asegura. “Cada cosa conectada a una red es un riesgo, sea un móvil, un portátil, un sensor o una cámara de seguridad. Todo está basado en un infraestructura. Es necesario saber quién se conecta, por cuánto tiempo… la visibilidad es un requisito previo para la seguridad”.

Kelly relata que, con la herramienta OpenNAC Enterprise de su organización, una multinacional financiera fue capaz de detectar un 60% más de dispositivos conectados a su red. Y eso le sirvió para controlar el ataque de ransomware Wannacry. “Si tienes conocimiento de qué se conecta puedes desplegar políticas de control, hacer segmentación de los tipos de dispositivos y aplicar diferentes criterios, porque no todas las cosas son iguales. Puedes mantener los elementos de alto riesgo en segmentos diferentes de tratamiento y si hay un ataque contra determinadas máquinas, hay más facilidades para aislarlas”.

Andrea Rossotti, de STAnD, llama la atención sobre otro punto débil de la seguridad: “La vulnerabilidad de las apps móviles basadas en APIs públicas”. Es el caso de Uber, que hace su negocio con aplicaciones desarrolladas sobre APIs de Google.

STAnD es el proyecto de un consorcio con cinco partners que aborda ese punto débil del software, centrándose especialmente ahora mismo en el área fintech. La herramienta que está desarrollando hace un análisis automático del software creado a partir de un API y si detecta un segmento susceptible de abrir puertas a alguna amenaza lo bloquea mediante un plugin que han bautizado como ‘obfuscation’. Sobra la traducción.