Noticias

Comienza el contenido principal

El Derecho de protección de datos personales como fuente normativa en el ámbito de la Ciberseguridad

| Noticias | Ciberseguridad

Carlos Rodríguez Sau y Vicente Moret Millás analizan en la revista AJA el nuevo contexto de la normativa de protección de datos personales y la normativa de ciberseguridad con la nueva directiva NIS2

El Real Decreto 43/2021 (que desarrolla el Real Decreto-ley 12/2018, de seguridad de las redes y sistemas de información, mediante el que se transpone la Directiva EU 2016/1148 conocida como «NIS 1») incorpora algunas provisiones mediante las que se incluye la obligación de respetar otras normas ajenas a la materia de la ciberseguridad en sentido estricto.

La referencia más clara y explícita, así como con mayor relevancia es a las normas de protección de datos personales, entre ellas el Reglamento General de Protección de Datos (Reglamento UE 2016/679) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Así, tanto los sujetos obligados a los que se aplica la normativa NIS 1, como los responsables de seguridad de seguridad de la información o CISO de los Operadores de Servicios Esenciales (OSE) asumen, dentro de las tareas individuales que integran su estatuto jurídico, obligaciones relativas a la protección de datos, siempre sometidas a una interpretación integradora con los preceptos básicos de la normativa fundamental de ciberseguridad.

En este sentido, como parte de la redacción literal del articulado del RD 43/20201, se establece que tanto el sujeto obligado, como su CISO, deberán aplicar la regulación de protección de datos en:

– El diseño de las políticas de seguridad de las redes y sistemas de información y en la elaboración de la Declaración de Aplicabilidad de medidas de seguridad (arts. 6.3 y 7.3).

– La homologación y supervisión de proveedores especialmente a los críticos que vayan a tratar datos personales a gran escala o sensibles (art. 6.3).

– La notificación de ciber-incidentes a realizar a su autoridad de supervisión que deberá incluir una comunicación especifica empleando los formularios aprobados por la Agencia Española de Protección de Datos (AEPD) cuando estos afecten a datos personales (art. 9.3). En este artículo se especifica que dicha notificación es independiente de la notificación que corresponda por dicha normativa de protección de datos a realizar ante la AEPD.

Es decir, la normativa de protección de datos que regula y protege los derechos y libertades fundamentales de los sujetos afectados por el tratamiento de sus datos personales, sirve ahora para determinar criterios legales para la seguridad de las redes y sistema de información de una entidad con obligaciones en materia de Ciberseguridad. La interpretación es distinta e independiente de la que correspondería a un potencial Delegado de Protección de Datos (DPO) de dicha entidad, quedando además fuera de la tutela de la autoridad nacional de control AEPD.

La naturaleza del bien jurídico a proteger es claramente diferente, siendo el criterio interpretativo finalista la seguridad del activo intangible del dato y la propia resiliencia de la entidad. Esta aproximación ya se venía anunciando por la European Union Agency for Cybersecurity (ENISA) desde 20191.

La interpretación lege ferenda que realizaba ENISA y recogida en nuestro RD 43/2021 se consolida y expande en la reciente normativa adoptada, en trámite de publicación, y que desplegará sus efectos en los meses venideros. Así, recientemente se han sancionado dos normas de enorme trascendencia para la gestión de la ciberseguridad en la Unión Europea: la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad («NIS 2») y el Reglamento sobre la resiliencia operativa digital del sector financiero («DORA»). Los efectos más significativos en relación con el enfoque desarrollado, es que, tanto NIS 2 como DORA, expandirán la aplicación de las normas de protección de datos, desde una interpretación, sometida a los fines propios de la normativa de Ciberseguridad, entre una multitud de «nuevos» obligados y de una manera mucho más rápida y sencilla que hasta ahora.

NIS 2 impondrá nuevas obligaciones en materia de gestión de la seguridad digital, obligando en su transposición nacional a dejar atrás lo previsto en el RD 43/2021. Por ejemplo, la aplicabilidad de NIS 2 se basa en una autoevaluación llevada a cabo por el sujeto obligado, al contrario de lo que pasaba con NIS 1, que optaba por un sistema de designación expresa por parte de los Estados miembros.

Adicionalmente la evolución de NIS 2 amplía además significativamente, tanto el número de categorías de sujetos obligados, como de las industrias sensibles (como la de la alimentación, o la farmacéutica, entre otras) que estaban excluidas del ámbito de NIS 1.

DORA, por su parte, es un Reglamento que cuando despliegue sus efectos actuará como lex specialis con respecto a NIS 2 para las entidades que participen, en el sector financiero y asegurador, desde la tipología de pymes en adelante, en términos de derecho de la UE, y unificará los requisitos de seguridad de la información que afectan a estas entidades, actualmente dispersos entre múltiples normas.

Además, la penetración de impactos derivados de la normativa de protección de datos es más severa y aguda. Baste como ejemplos, el precepto incluido en DORA, que establece como criterio de proveedor critico aquellos que realicen tratamientos de datos personales (incluidos los no personales) no sometidos al acervo comunitario. También es destacable la necesidad en el análisis y garantía de homologación de la cadena de proveedores de obligar a cumplir con la normativa de protección de datos desde la óptica del cumplimiento normativo en materia de ciberseguridad.

Respecto a los acuerdos de intercambio de información sobre inteligencia y ciberamenazas, la protección de los datos personales es también tenida en cuenta en el sentido que no debe constituir un obstáculo para el intercambio de inteligencia en el sector financiero. Por este motivo, los requisitos de protección de datos deben percibirse como un requisito básico que debe cumplirse para garantizar la salvaguardia de los derechos de las personas.

En definitiva, los CISO de aquellos nuevos actores esenciales o importantes según NIS2, en algunos casos en nuevos sectores, así como toda entidad del sector financiero y asegurador que exceda el umbral de una pyme comunitaria, tendrá que tener muy presente la normativa de protección de datos, no solo en el puro ámbito de la seguridad del dato, sino de los conceptos del RGPD, para determinar qué obligaciones y criterios en la esfera de la ciberseguridad se le impone si sus redes y sistemas de información tratan datos personales.

Se abre un nuevo contexto en el cual la normativa de protección de datos personales y la normativa de ciberseguridad deben ser contempladas como bloques regulatorios con conexiones. Los responsables del cumplimiento de ambos bloques reguladores deben trabajar de forma coordinada en el seno de las compañías obligadas, de forma tal que la seguridad del dato, uno de los principales activos de las empresas en la economía digital, se contemple de forma completa e integral.

Puede leer el artículo completo en Revista AJA.

Fin del contenido principal