"Ante una pérdida de datos, lo fundamental es que la empresa demuestre que estaba preparada en materia de ciberseguridad"

Según su informe, España está un 8% por debajo de la media europea en cuanto al cumplimiento de la normativa de protección de datos, ¿a qué se debe?

Hay que tener en cuenta que una de las razones es que el tejido industrial español está compuesto, mayoritariamente, por pequeñas y medianas empresas. Prácticamente ninguna de las empresas de mayor tamaño ha tenido problemas en abrirse a estos protocolos de seguridad, pero otras más pequeñas no los llevan tan a rajatabla por su propia cultural empresarial y también, todo hay que decirlo, porque en nuestro país no se han impuesto grandes multas a las empresas por incumplir el reglamento.

¿Qué tiene que hacer una empresa para adaptarse a la normativa? ¿Cuáles son las principales soluciones en ciberseguridad que tiene que implementar?

Considero que es muy importante el papel que pueden jugar los ‘partners’ o socios tecnológicos de las compañías de seguridad, en relación con las pequeñas y medianas empresas. Una empresa de zapatos, por ejemplo, se dedica a fabricar zapatos, no entiende de tecnología, por lo que necesita expertos que le aconsejen sobre qué soluciones necesita para cumplir con las recomendaciones.  

El cifrado es algo fundamental. Todos los datos importantes deben estar cifrados y protegidos mediante ‘backups’ (copias de seguridad) o medidas que hagan que la información pase a ser anónima. Ante una pérdida de datos, lo fundamental es que  la empresa pueda demostrar que estaba preparada en materia de ciberseguridad.  

Cuando hablamos de pérdida de datos, ¿nos referimos solo a ciberataques?

Una pérdida de datos puede ser algo tan sencillo como tener almacenados documentos o datos sensibles en un disco, un pendrive o una copia de seguridad, y perder esa unidad. Si esos datos han sido cifrados previamente, el problema no es el mismo. Y lo mismo ocurre si el documento robado es una base de datos, por ejemplo, con pedidos de la empresa, desde la que no sea posible acceder a información de los clientes por encontrarse en otra base de datos distinta a la que se ha perdido. En definitiva, el GDPR no dice que no pierdas esos datos, sino que dispongas de soluciones para que las consecuencias de una pérdida sean las mínimas posibles.

¿Qué es lo peor que le puede pasar a una empresa que sufra una pérdida de datos, más allá de la multa impuesta?

Lo primero que se da es una pérdida de confianza por parte de los clientes hacia esa empresa. Si yo sé, por ejemplo, que la papelería de mi calle ha sufrido un ciberataque, es normal que decida cambiar de papelería, aunque esta no haya sido la culpable del robo de información. Por otra parte, y salvando las multas que ya hemos mencionado, la empresa puede empezar a recibir demandas, tanto de particulares como de colectivos, denunciando que sus datos personales no han sido protegidos de una manera adecuada.

¿Cómo puede un usuario mantener a salvo su información personal? Me refiero tanto al cederlos a una empresa como en su rutina diaria.

Hay que tener en cuenta que, una vez que el usuario proporciona sus datos a una empresa, ya los está poniendo en manos de las medidas de seguridad que esa empresa haya tomado previamente. Damos por hecho que una empresa pequeña no va a contar con las mismas soluciones de ciberseguridad que una empresa grande. Pero es cierto que el usuario puede prevenir las consecuencias de una posible pérdida de datos tomando precauciones como la de utilizar diferentes contraseñas para los distintos servicios en los que esté dado de alta.

Como parte de su día a día, es muy recomendable que, además de eliminar cada cierto tiempo el historial de páginas visitadas desde su navegador, borre también las cookies. Y lo que es más, debe evitar aceptar según qué tipo de cookies al entrar a una web, en base a si quiere recibir recomendaciones más o menos personalizadas, sin estar sometido a un seguimiento continúo. En materia de ciberseguridad, toda precaución es poca.