arbol de noticias logo

Árbol de Noticias

La información al alcance de todos

 

IAITG

...NORMATIVA, LA TECNOLOGÍA Y LA GESTIÓN
 Conclusiones del Curso de Experto en Ciberseguridad y Privacidad.
Madrid, 04 de febrero de 2013.- Vivimos en un mundo globalizado, interconectado a la Red, repleto de vasos comunicantes entre la parte técnica, legal y de gestión empresarial en el que subyacen enormes ventajas pero también grandes peligros que han de tenerse en cuenta y prevenirlos para lograr generar confianza en nuestras estructuras, y, con ello, ganar la de nuestros socios y clientes, actuales y futuros, para mejorar la actividad empresarial.

Son estos desafíos por los que las normativas y la concepción sobre protección de datos y ciberseguridad se están cambiando. Ahora, el reto es formar personales que sepan trabajar en este nuevo entorno.

Esta sería la principal conclusión del Curso de Experto en Ciberseguridad y Privacidad desarrollado del 28 al 30 de enero en Madrid, organizado por la IAITG y la Organización Médico Colegial (OMC). Un curso multidisciplinar (Derecho, tecnología y gestión de empresa) que ha servido para reunir a algunos de los máximos expertos del país en Ciberseguridad y Privacidad aplicadas a sus diferentes materias. Dirigido por Antoni Bosch, director general de IAITG y director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid, estas jornadas han servido para ofrecer un panorama del actual estado de la ciberseguridad y la privacidad en nuestro entorno empresarial, en las instituciones y, también en el ámbito personal.

Cumplir con la normativa y establecer los medios de protección necesarios para evitar ataques internos o externos a cualquiera de los sistemas de nuestras empresas permiten evitar sanciones y obtener la confianza de los clientes y trabajadores. Por lo tanto, parece claro que hace falta formar a profesionales que tengan en cuenta estas tres patas (normativa, técnica y gestión de empresa) sobre las que gravita el futuro éxito de nuestro tejido empresarial.

Para Íñigo Núñez, director general de Dagonpress y partner de la agencia EFE,  "este trabajo es básico para el negocio y la imagen de marca, evita riesgos ciertos y transciende de los departamentos técnicos o jurídicos, aportando una ventaja competitiva".

Derecho, empresa y tecnología

"El concepto anglosajón de vivir para trabajar frente al español de trabajar para sobrevivir". Para Eloy Velasco Núñez, magistrado del Juzgado Central de Instrucción 6 de la Audiencia Nacional, esta diferencia en la apreciación de lo que podríamos denominar "cultura empresarial" es clave para comprender la importancia de la aplicación de Ley Orgánica 5/2010 sobre Responsabilidad Penal de las Personas Jurídicas. Una ley, casi sin jurisprudencia por su reciente promulgación (diciembre de 2010), que establece que si desde su empresa se comete alguno de los delitos tipificados por esta ley pueden imputar penalmente tanto al responsable directo del hecho como al administrador de la empresa.

Un concepto clave para comprender las reticencias que muestra la sociedad española a la hora de establecer mecanismos para vigilar la actuación interna de los empleados, sistemas de prevención que son habituales en Estados Unidos y los países anglosajones para impedir que una actuación aislada (revelación de secretos, vulnerar la intimidad, acceso sin autorización a datos o programas informáticos, dañar o alterar datos o programas informáticos, etc.) ponga en peligro la continuidad de la empresa y, por tanto, la del resto de los empleados.

Una norma (la responsabilidad penal de las personas jurídicas) que, según José Manuel Maza Martín, magistrado de la sala segunda del Tribunal Supremo, "significa que hay que dirimir si el delito se ha cometido por falta de control de la empresa y en el que su correcta aplicación desde los tribunales, representa un auténtico reto para los juristas que deberán tener en cuenta la dificultad que entraña dilucidar si el acto delictivo se ha cometido por falta de control de la empresa, y que les lleva a replantearse una teoría del delito a través de la persona jurídica y las consecuencias de su correcta o incorrecta aplicación".

Según los tres jueces presentes en los cursos, la falta de normativa legislativa cuando se trata de temas en los que de alguna forma intervienen las nuevas tecnologías es evidente; lo que provoca la indefensión de los jueces de instrucción que tienen que actuar en función de su buen criterio o buscar referencias y símiles (muy lejanos) en el actual código penal. Para Manuel Marchena Gómez, magistrado de la sala segunda del Tribunal Supremo, "la ley de enjuiciamiento criminal está totalmente desfasada en lo que respecta a la parte tecnológica". Marchena preside actualmente la Comisión encargada por el Gobierno que está preparando un borrador de anteproyecto para, entre otras cosas, actualizarla y dar solución a buena parte de estos problemas.

Contexto político en Europa

En este contexto multidisciplinar, la intención de Bruselas es desarrollar el mercado interior, defender la Justicia, la libertad, la privacidad y favorecer la cooperación administrativa. Según Francisco García Morán, director general de Informática de la Comisión Europea, "para conseguirlo, la clave está en compartir información y la interoperabilidad en temas de seguridad".

La Agenda Digital Europea, aprobada en junio de 2010, surge por una falta de infraestructuras y de interoperabilidad, un aumento del cibercrimen; falta de confianza de los ciudadanos; carencia de profesionales; falta de inversión en seguridad lógica y muchas lagunas en lo de se denomina Gobierno Electrónico.

Ante este panorama, las políticas de seguridad de la UE se basan en la prevención, la persecución del cibercrimen y del ciberterrorismo, y la protección. Los principios de la estrategia europea pasan por reforzar la seguridad (pública y privada); las acciones unificadas y coherentes contra el cibercrimen; las propuestas legislativas; concienciar a las empresas e instituciones y apoyar en materia de seguridad a los países que lo necesiten para su transposición legal. ¿Cómo desarrollarla?: a través de sinergia, cooperación y colaboración para lograr al menos compromisos de normas de comportamiento.

Con respecto a las acciones concretas de Europa, tenemos la propuesta de Reglamento europeo para la Protección de datos, que tiene previsto su entrada en vigor para 2014, y una nueva Directiva contra el cibercrimen, más difícil de llevar a cabo próximamente y que tendría que transponerse a las distintas legislaciones de los Estados miembros.

Con el nuevo Reglamento europeo estamos ante una reforma horizontal que va a cambiar el paradigma de la protección de datos. Para Jorge Carrera Domenech, consejero de Justicia en la Representación Permanente de España ante la UE, "esta reforma se hacía imprescindible en aras a fortalecer el mercado único, consensuar criterios (ahora existen 27 directivas distintas), y facilitar la circulación y la protección de datos. Siempre, minimizando la utilización de datos personales y bajo el principio de respetar los derechos fundamentales de los afectados pero buscando un equilibro que no limite la competitividad, la economía y el buen funcionamiento del tejido empresarial”.

"La tecnología y la Privacidad van o deberían ir unidas". Según Leopoldo Mallo, director general de Alcatraz Solutions, "existen herramientas tecnológicas que realizan todas estas tareas de forma transparente y permiten a las empresas e instituciones cumplir con la normativa, evitar riesgos y multas, dedicándose por completo al core de sus negocios".

E-Salud, historias clínicas

El curso de experto también ha revisado el estado de nuestra E-Salud. Cada vez que un ciudadano acude a su médico de cabecera, a urgencias, a un especialista de un hospital y, en general, a cualquier profesional de la salud, se le abre una historia clínica. La historia clínica es un documento válido desde el punto vista clínico y legal donde se recoge la información necesaria (asistencial, preventiva y social) para la correcta atención de los pacientes.

Son datos considerados sensibles o especialmente protegidos por la Ley (al mismo nivel que el origen racial y la vida sexual) y dependen enormemente de la confianza entre el médico y el paciente. Una confianza que debe estar apoyada por la tecnología y los conocimientos sobre la ley que permitan salvaguardar los datos contenidos en las historias clínicas.

"En estos momentos el sistema sanitario (tanto público como privado) está diseminado y no es interoperable (a pesar de existir la tecnología que lo permitiría)". Son palabras de Joan Camps Pons, director de Estrategia Tecnológica del Consejo General de Oficiales de Médico de España. La clave está en asegurar un acceso seguro de los médicos a la información de los pacientes, con total trazabilidad.

Un acceso a una información muy sensible en la que participan tanto quienes pagan los servicios de Salud (administraciones públicas, autoridades de salud, aseguradoras privadas), como los que prestan esos servicios (centros de atención primaria, hospitales, farmacias, atención domiciliaria), los actores (ciudadanos/pacientes, profesionales) y los responsables de la custodia de la información. La clave está en buscar un modo eficiente de consumir los recursos buscando los mejores resultados".

www.iaitg.eu