Willis Towers Watson analiza el nuevo Reglamento de Protección de Datos

Willis Towers Watson y Audisec han celebrado la jornada ‘Reglamento General de Protección de Datos (RGPD). Necesidades de consultoría, soluciones tecnológicas y transferencia aseguradora’, con el objetivo de abordar las modificaciones que introduce la nueva legislación y su influjo en las empresas. La nueva normativa, que entró en vigor en España el 25 de mayo de 2016 y es de aplicación directa a partir del 25 de mayo de 2018, presenta novedades en cuanto a la gestión del riesgo: evaluación de impacto, notificación de brechas de seguridad e incremento de sanciones.

Para analizar cada uno de estos campos se ha contado con 5 expertos: Fernando Redondo, director de Gerencia de Riesgos y Cristina Fernández-Miranda, directora de Instituciones Financieras y Riesgos Especiales de Willis Towers Watson; Antonio Quevedo, CEO, y Alejandro Delgado, director de Operaciones de Audisec; y Carlos Rodríguez, CyberEdge Product Leader de AIG.

Con respecto a la gestión del riesgo, la 1ª obligación que se ha establecido en el RGPD para las empresas se centra en la evaluación de aquellos elementos que pueden suponer un peligro para la protección de la información sensible. Además, se han incluido la evaluación de impacto sobre la protección de datos y la continuidad con las auditorias bienales. En consecuencia, según Cristina Fernández-Miranda “es imprescindible tomar medidas de control previas a la puesta en marcha del RGPD. Para ello debemos poner en marcha las valoraciones del riesgo y evaluaciones de impacto, ya que nos permitirá conocer nuestra exposición para poder realizar posteriormente una trasferencia del riesgo al mercado asegurador de una forma medible y justificada”.

Para dar respuesta a los diferentes requerimientos legales, en la jornada se ha propuesto a los asistentes realizar una gerencia de riesgo transfiriendo los mismos mediante la contratación de pólizas de Protección de Datos o pólizas de Ciberriesgos: “Son 2 propuestas que se complementan, dado que a través de la 1ª, las compañías localizan las posibles brechas de seguridad y mediante la contratación de pólizas se garantiza la cobertura ante este tipo de amenazas”.

Por último, la nueva legislación ha determinado la obligatoriedad de notificar a las autoridades competentes cualquier violación de las brechas de seguridad en 72 horas desde que tenga conocimiento el responsable de protección de datos de la organización, pero siempre sin dilación indebida y adicionalmente en aquellas situaciones en las que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de los interesados se tendrá que hacer una comunicación a los afectados.

Las consecuencias del incumplimiento de la normativa pueden conllevar sanciones que irán de los 10 millones o el 2% de la facturación anual en los casos graves a los 20 millones de euros o el 4% de la facturación global anual en los casos muy graves.

Fernando Redondo explica que “la nueva regulación lo que está pidiendo a las empresas es que tomen conciencia de la importancia de los datos con los que trabajan, de su protección y de la necesidad de avisar a los perjudicados en caso de que la seguridad de los mismos se haya podido ver violentada”.