Alrededor de 20 meses fue el lapso estipulado por la Unión Europea (UE) para que todos sus países miembros transpusieran a sus reglamentos nacionales la legislación de la UE en materia de seguridad de redes y protección de datos. El término «transponer» se refiere específicamente, según la Real Academia Española, a la incorporación que hace un país miembro en su ordenamiento interno de una directiva emanada de la UE.
Debido al retraso en el cumplimiento de esta adecuación de 17 países del viejo continente, la Comisión Europea emitió una carta de emplazamiento, considerada legalmente el primer paso del procedimiento para una infracción. La invitación de esta notificación es a transponer plenamente a sus derechos nacionales el primer acto legislativo a escala de la UE sobre ciberseguridad. De no cumplir con lo estipulado en los próximos dos meses, Austria, España, Bélgica, Bulgaria, Croacia, Dinamarca, Francia, Grecia, Hungría, Irlanda, Letonia, Lituania, Luxemburgo, Países Bajos, Polonia, Portugal y Rumania podrían recibir un dictamen motivado.
¿Qué busca la Unión Europea?
La intención del cumplimiento de esta normativa reside en uniformar el nivel de seguridad de las redes y los sistemas de información en la UE. A través de estas medidas cada Estado desarrollará capacidades en esta área, fomentando la cooperación y mejorando los mecanismos de notificación de incidentes de los operadores de servicios y proveedores.
La Unión Europea lleva más de dos años trabajando en blindar la seguridad de sus usuarios en la red. A través del Reglamento de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigencia el pasado 24 de mayo de 2016 y su propósito es establecer mecanismos legales para la manipulación de los datos de los usuarios en internet. Tiene acción sobre toda empresa o individuo que ofrezca bienes o servicios a cualquier ciudadano de la UE, sin importar el lugar donde se encuentre la mencionada empresa o individuo. También aplica para quienes monitorizan comportamientos en la red cuando se trate de acciones realizadas en la UE.
De igual manera, el reglamento especifica que sus medidas protegen los derechos y las libertades fundamentales de los ciudadanos europeos, particularmente la garantía a la protección de datos personales. Sin embargo, aclara que no está restringida ni prohibida la libre circulación de datos personales.
A través del GDPR se impone la obligatoriedad de un consentimiento otorgado por el usuario para la recolección de sus datos personales. La autorización debe ser explícita, informada y revocable en cualquier momento que la persona por voluntad propia lo desee. Se debe contar con un consentimiento para cada uno de los objetivos de la recolección.
De igual manera, el instrumento otorga al derecho a la portabilidad, referida a la potestad de los usuarios para pedir sus datos a una empresa y entregárselos a otra compañía o individuo. Estos datos incluyen los registros de la actividad y también puede ser solicitada una copia para el usuario.
El principio de responsabilidad activa
Entre los lineamientos de la normativa se diseñó el principio de responsabilidad activa para que las empresas se hagan responsables del manejo de los datos de sus usuarios y ajusten sus procedimientos en torno a la ley. En ese sentido, se requiere del diseño de protocolos específicos para atender situaciones en donde se ponga en riesgo las garantías establecidas. La organización debe responder en las próximas 72 horas de la ocurrencia de cualquier evento que violente la seguridad.
Para colaborar con la transición de los países miembros el Mecanismo Conectar Europa aporta 38 millones de euros de financiamiento hasta 2020.
Fuentes consultadas