La ciberseguridad y la protección de los datos personales adquieren cada día una mayor importancia, incluso para los Gobiernos nacionales y la Unión Europea, quienes desde el año 2015 han originado una labor legislativa con el fin de mejorar la competitividad entre las empresas, garantizando la conectividad, la inmediatez y la ubicuidad, aunque comporta hoy en día un importante desafío. Pero ¿qué regulación existe actualmente en materia de ciberseguridad?

Normativa sobre Ciberseguridad

La ciberseguridad es fundamental para la prosperidad y la seguridad nacional, así como para el funcionamiento mismo de los sistemas democráticos. De acuerdo con el Índice Global de Ciberseguridad de la ONU: “la ciberseguridad es un ecosistema en el que las leyes, las organizaciones, las competencias, la cooperación y la ejecución técnica deben estar en armonía para maximizar su eficacia”.

La Estrategia para el Mercado Único Digital ha originado la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA (la Agencia de Ciberseguridad de la Unión Europea) sobre la certificación de la ciberseguridad de las tecnologías de la información y la comunicación (en adelante, “Propuesta de Reglamento de Ciberseguridad”), a finales de octubre del año 2017.

La nueva normativa propuesta tiene por objeto basarse en las medidas establecidas en virtud de la Estrategia de Ciberseguridad y la Directiva SRI 2016/1148, en la que se establecen obligaciones para todos los Estados miembros, de adoptar una estrategia nacional de seguridad de las redes y sistemas de información.

En España esta Directiva aún no se ha implementado en el ordenamiento jurídico, continúa pendiente de aprobación, existiendo únicamente un Anteproyecto de Ley.
De acuerdo con lo anterior, la normativa en materia de ciberseguridad aún está por concretar, pero el impacto económico de la ciberdelincuencia en la Unión Europea ascendía al 0,41% del PIB de la UE en el año 2013, es decir, alrededor de 55.000 millones de euros.

Hasta la fecha, ningún marco jurídico, tal y como afirma la propia Propuesta de Reglamento en materia de Ciberseguridad, ha sido capaz de hacer frente al ritmo de la innovación digital.

En este sentido, la normativa de referencia que contribuye a la creación de un marco jurídico en materia de Ciberseguridad está compuesto por el Código de Telecomunicaciones, el Reglamento General de protección de Datos, la Directiva SRI, el Reglamente eIDAS, el Escudo de privacidad UE-EE y la Directiva sobre la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo, fundamentalmente.

¿A quién afecta la normativa de ciberseguridad?

La normativa de ciberseguridad afecta a todos países y a todos los ciudadanos en el mundo digital.

Según el Eurobarómetro sobre la “Actitud de los europeos frente a la ciberseguridad”, el 73% de los usuarios de internet se muestran preocupados porque los sitios web puedan mantener desprotegida su información personal en línea y el 65% de los usuarios están preocupados porque las autoridades públicas no puedan mantener protegida su información personal.

La mayoría de los encuestados manifiestan su preocupación porque podrían haber sido víctimas de un programa informático malicioso en algún dispositivo suyo, de una usurpación de identidad, de un fraude de tarjeta bancaria o de un fraude bancario en línea.

Sanciones y relación con la protección de datos

La seguridad y la privacidad se han venido definiendo bajo un sólo derecho fundamental, el derecho a la intimidad, hasta que, con el Tratado de Lisboa, en diciembre del año 2009, la Carta de Derechos Fundamentales de la Unión Europea pasó a ser jurídicamente vinculante lo que provocó que el derecho a la protección de datos se desligara del derecho a la intimidad.

No obstante lo anterior, con independencia de que jurídicamente hayan sido reconocidos ambos derechos de forma independiente, indudablemente un fallo de seguridad puede provocar una brecha a la intimidad. Por ello, la ciberseguridad es una forma de garantizar la protección de los datos personales que son tratados por personas físicas y por empresas, con una determinada finalidad y amparados en un título legítimo, de acuerdo con la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales y el artículo 6 del Reglamento General de Protección de Datos.

Un tratamiento ilícito de datos personales podría conllevar sanciones de hasta veinte millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de empresas.

Letslaw

En LETSLAW contamos con profesionales especializados en ciberseguridad y protección de datos. Para más información, pincha aquí.