Seguridad de la información y del dato como binomio de crecimiento
Si no se aceptan las cookies, se requiere el pago de una tasa o suscripción, una situación que ha generado el malestar entre los usuarios
La seguridad del siglo XXI es la seguridad de la información. A su vez, en el dato se almacena gran parte de su poder. A finales de 2023 los usuarios nos encontramos con un cambio en las políticas de privacidad de algunas plataformas en línea. Si no aceptas las cookies, se requiere el pago de una tasa o suscripción. Esta situación ha generado el malestar de los usuarios, que no podemos entender cómo un servicio hasta ahora “teóricamente” gratuito, pasa a ser un servicio de pago, salvo que se otorgue un consentimiento determinado.
En esta opinión vinculante aborda precisamente la licitud de ese consentimiento, con los requerimientos incluidos en el Reglamento General de Protección de Datos (RGPD), establecido como un consentimiento libre, informado, inequívoco y específico para finalidades concretas, y afirma que deben tenerse en cuenta los siguientes criterios: condicionalidad, perjuicio, desequilibrio de poder y granularidad.
Ahora bien, el responsable debe evaluar si una tasa es adecuada, y qué importe es apropiado, teniendo en cuenta las circunstancias concretas y las posibles consecuencias negativas que puede sufrir el usuario, como la exclusión de un servicio o no poder acceder a sus redes profesionales, por ejemplo. En definitiva, que los usuarios no pueden sentirse obligados al pago de la tasa, porque esto significaría que no es válido el consentimiento otorgado, conculcando el artículo 5.1)f del RGPD.
El Comité establece la necesidad de desarrollar, en la medida de lo posible, mecanismos que proporcionen una “alternativa equivalente”, pero gratuita, es decir, que no implique pago de una tasa, y que no implique ni el uso de publicidad comportamental. Junto a ello, es también necesario considerar el modelo de negocio de estas grandes plataformas, basado en una cantidad ingente de datos que les permite no sólo inferir información sobre los usuarios, también extraer otras conclusiones que se utilizan para vender publicidad, y por tanto, financiar los servicios que ofrece.
Dentro de esta estrategia de mejora operativa en la seguridad de la información lanzada desde Europa para este año 2024, se encuentra la Directiva NIS-2, que entrará en vigor a partir del 17 de octubre del presente año. Con ella, se pretende incrementar la exigencia entre gobernanza corporativa y ciberseguridad para las empresas. Además, será el mismo consejo de administración el encargado de cumplir y hacer cumplir dichas obligaciones legales. Por lo tanto, asumen un papel muy operativo y de absoluta responsabilidad. De ahí la importancia de la incorporación de la ISO 31022 sobre Gestión de Riesgos Legales, aportando el valor de la seguridad operacional y de la Información como un gran propiciador del nacimiento de futuros contratos.
En este contexto geopolítico y estratégico, Enisa analiza el contexto de amenazas para Europa de la siguiente forma. Primero, abarca diez áreas ( las más problemáticas por sus consecuencias para personas y países ). A continuación propone 16 líneas de mejora, y termina con cinco conclusiones.
Nos centraremos en las conclusiones de este Informe. En primer lugar, coordinar sesiones de trabajo en las que participen todos los Estados miembros para definir una lista de mecanismos de cibercrisis a escala de la Unión Europea que permitan una evaluación común de los incidentes e identificar a los actores que deben intervenir en función de la gravedad, lo que daría lugar a un modelo de plan de respuesta a las cibercrisis. En segundo lugar, desarrollar ejercicios de simulación a escala europea que pongan a prueba, en particular, a los actores y procedimientos a nivel operativo, con el objetivo de practicar la asignación de tareas, la cooperación y la fluidez de acción de cada país durante una cibercrisis.
En tercer lugar, apoyar a los Estados miembros en la creación de plataformas de comunicación seguras para intercambiar información con entidades esenciales, incluso para la comunicación informal, durante una crisis cibernética. En cuarto lugar, garantizar que las autoridades nacionales de gestión de cibercrisis de los Estados miembros, en coordinación con el Grupo de Cooperación NIS, actualicen periódicamente los mapas de entidades críticas de su país. Y en quinto y último lugar, apoyar la organización de sesiones de media training para los ejecutivos de las autoridades nacionales de gestión de cibercrisis de los países.
Concluimos este análisis jurídico y estratégico reafirmando la necesidad de una gestión eficaz de riesgos, tanto legales como operativos, a través de un sistema integrado de gestión. El miedo activa. Los miedos paralizan. Seamos, por lo tanto, siempre proactivos.
Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días