Las entidades públicas y privadas se hallan inmersas en procesos de transformación digital en plena Revolución 4.0 y, en este contexto, la ciberseguridad y la conformidad regulatoria (“compliance”) constituyen pilares esenciales sobre los que deben sustentarse los mismos y el desarrollo paralelo de la sociedad y economía digital.

Los nuevos marcos regulatorios europeos en materia de ciberseguridad, protección de la información corporativa y protección de datos personales, pretenden contribuir a crear los marcos de seguridad y confianza necesarios para el desarrollo de la sociedad y economía digital.

La apuesta por la ciberseguridad y “compliance” por parte de las entidades inmersas en procesos de transformación digital es creciente. Y 2018 se está caracterizando por una prolífica actividad legislativa en España, para la transposición, desarrollo y/o adecuación a los nuevos marcos europeos en materia de protección de secretos empresariales, protección de datos personales y seguridad en redes y sistemas de información.

En materia de protección de la información corporativa confidencial, la Unión Europea (UE) aprobó en su día la Directiva UE 2016/943, del Parlamento Europeo y del Consejo, de 8 de junio de 2016, para armonizar la legislación europea en esta materia, con el objetivo de proteger la innovación y la competitividad empresarial.

El plazo de transposición de la Directiva finaliza el 9 de junio y se acaba de aprobar la remisión a las Cortes Generales del Proyecto de Ley de Secretos Empresariales, al objeto de transponer al ordenamiento jurídico español dicha Directiva.

En materia de ciberseguridad, la Directiva NIS se aprobó para dar una respuesta efectiva a los problemas de seguridad de redes y sistemas de información en la UE, estableciendo medidas de seguridad dirigidas a operadores de servicios esenciales y proveedores de servicios digitales (mercado en línea, buscadores y servicios “cloud”).

La fecha límite para su transposición era el 9 de mayo de 2018, si bien, el Anteproyecto de Ley sobre la Seguridad de las Redes y Sistemas de Información, para proceder a su transposición, se halla en tramitación.

Asimismo, la UE aprobó el pasado mes de enero el Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, actualmente en vigor, por el que se establecen normas para la aplicación de la precitada Directiva NIS, donde se regulan medidas de seguridad específicas a aplicar por los proveedores de servicios digitales.
En materia de protección de la privacidad, desde el pasado 25 de mayo de 2018, la norma de referencia en España y Europa en materia de protección de datos de carácter personal para los sectores público y privado es el RGPD/GDPR. Parecía que se iba a acabar el mundo ese día. Seguimos vivos.

El Reglamento Europeo impone la seguridad proactiva, la seguridad gestionada por defecto y en el diseño (“Privacy by design and by default”), estableciendo el marco de seguridad para la protección de los datos personales.

Y por último, actualmente se están tramitando nuevos marcos, tanto a nivel nacional como europeo, entre otros, la propuesta de Reglamento Europeo en materia de e-privacy y comunicaciones electrónicas -que cada vez soy más escéptico en que vea finalmente la luz en su redacción actual-, una nueva LOPD (en fase de “proyecto”) -a la que le auguro todavía un largo camino de varios meses hasta su aprobación a la vista de las múltiples enmiendas presentadas-, la propuesta de Reglamento para facilitar la libre circulación de datos no personales en la UE, el anteproyecto de Real Decreto por el que se desarrollan la Ley 39/2015 y Ley 40/2015, de 1 de octubre (e-Administración), o la finalización del plazo de transposición de la Directiva 2016/680 UE, del Parlamento Europeo y del Consejo, de 27 de abril, relativa al tratamiento de datos personales para fines de prevención, investigación, detección y enjuiciamiento de infracciones penales.

Oportunidad de mejora
Todos estos marcos deben ser abordados por empresas y Administraciones Públicas, no sólo como un conjunto más de obligaciones legales que cumplir, sino como una necesidad y una oportunidad para la mejora de su organización, procesos, negocio, protección de activos, seguridad de su información o, incluso, continuidad de sus actividades. Y no sólo para las mismas, sino para la propia sociedad y economía digital de la que forman parte, al objeto de proporcionar los marcos de seguridad y confianza necesarios para su desarrollo y crecimiento.

Los nuevos marcos resultan igualmente de aplicación a los proveedores de servicios digitales sobre los que empresas y Administraciones Públicas están sustentando sus actividades, servicios y negocio, y sus procesos de transformación digital, lo que sin duda, comporta seguridad para las mismas y para dichos procesos.

A modo de ejemplo, si los últimos informes sobre transformación digital -entre otros, el reciente informe del Instituto de Economía Digital (Icemd) de ESIC, elaborado con Kantar Millward Brown-, identifican la tecnología “cloud” como un termómetro de medición de la digitalización real de una empresa, un proveedor de este tipo de servicios debe de cumplir con los distintos marcos regulatorios precitados que le afecten, tanto en materia de seguridad como de privacidad, sin perjuicio de las medidas y compromisos contractuales contraídos con sus clientes.

Así como, en su caso, los requerimientos corporativos que el propio proveedor haya definido, ya sea bajo formato SLA/ANS (“Service Level Agreement”/Acuerdo de Nivel de Servicio), código tipo corporativo, normas corporativas vinculantes o adhesión a estándares de referencia, como por ejemplo la Norma ISO/IEC 27017- sobre controles de seguridad para servicios “cloud”-, la Norma ISO/IEC 27018:2014 Tecnología de la Información -código de prácticas para la Protección de la Información de Identificación Personal (PII) en la “nube” en calidad de procesadores PII-, o la Norma ISO/IEC 29100:2011 Tecnología de la Información-Técnicas de Seguridad- Marcos de Privacidad.

En conclusión, y especialmente por lo que al sector privado se refiere, la seguridad y el compliance en los procesos de transformación digital, exigibles a clientes y proveedores, a mi juicio deben abordarse, no sólo como un marco legal más que cumplir, sino como una necesidad y oportunidad de mejora para el negocio, para el aseguramiento y consecución de los objetivos estratégicos; incluso como una inversión, proporcionando seguridad técnica y jurídica al negocio, sus procesos, sus clientes, mercado y a la sociedad y economía en general.