"Las empresas son responsables de lo que le ocurra a su información"

El 90% de la actividad de Aidcon se concentra en Andalucía, principalmente en la provincia de Málaga, aunque también da servicio al resto del país a través de su sistema informático. Actualmente, su cartera de clientes se encuentra entre 300 y 400 pequeñas y medianas empresas.

¿Cómo define a Aidcon?

Somos una consultora pequeña y especializada, esa sería la definición rápida, que es por lo que siempre hemos optado, por la especialización y por ser los mejores o de los primeros en algo. No se puede abarcar todo ni querer hacer todo bien.

Estamos en el ámbito de la privacidad y la seguridad de la información. Eso cubre fundamentalmente temas normativos, que son de obligado cumplimiento para nuestro cliente y temas normativos que no son de cumplimiento pero son de mejora, en relación a la organización de la seguridad de la empresa.

¿Qué engloba la seguridad de la información?

Engloba fundamentalmente lo que exigen las normativas. Ahora lo que hay que cumplir es un reglamento europeo. Se establece claramente que las empresas son responsables de lo que le ocurra a su información, como un ciberataque o una pérdida de información, es siempre responsabilidad de la empresa y tiene que poner todos los medios a su alcance para que eso no ocurra. Y cuando ocurre, las empresas están obligadas a reportar ese incidente a la autoridad, a las Agencias de Protección de Datos de cada país.

¿Deben cumplir todas las compañías con la normativa?

No, no todas las empresas. Una nueva Ley Orgánica de Protección de Datos (LOPD) española y aprobada en diciembre de 2018 lo ha aclarado con un listado de tipologías de empresas que necesitan tener la figura de un delegado de protección de datos, por ejemplo, un colegio.

Depende de los tipos de datos que se manejan, un hospital no es lo mismo que un taller o una tienda. Y depende mucho también del volumen de datos y de los sistemas de tratamiento y explotación de los datos. Pero los comercios también hacen lo que se dice un «tratamiento sensible» de los datos, porque no tienen solo los datos básicos de un cliente, como nombre, dirección... Sino que pueden hacer explotación estadística, de marketing, publicitaria, pueden cruzar datos... Todo tipo de operaciones que requieren consentimiento de la persona y que necesita medidas de seguridad más avanzada.

El no cumplimiento de estas normativas acarrea una sanción importante...

Ahora son unas cifras enormes, pero hay voluntad por parte de la Agencia Española de Datos de no poner la multa por delante.

Nosotros, como empresa asesora, cuando hacemos una presentación a una empresa o colectivo, el tema de la multa no lo ponemos. Si nos preguntan, lo hablamos, pero no lo ponemos porque convencer por miedo es la peor manera de convencer. Esa empresa que solo lo hace por el miedo a la sanción nunca va a estar concienciada. Nosotros queremos que las empresas lo hagan porque estén concienciadas. Es necesario y es bueno también para la empresa.

Aún así, la multa leve creo que va hasta dos millones de euros de sanción y la grave hasta cuatro millones de euros o incluso el 4 por ciento de la facturación mundial de la empresa.

Desde su creación, ¿cómo se ha adaptado Aidcon a los cambios en el mundo de las TIC?

Efectivamente, el escenario ha ido cambiando mucho y bastante rápido. Antes era raro el que utilizaba, por ejemplo, el correo electrónico. Las medianas y grandes empresas tenían un servidor que gestionaban ellas mismas, creaban las cuentas y gestionaban la seguridad de ese servicio de correo electrónico.

Esto ha desaparecido en muchas, y las aplicaciones en la nube cada vez es más normal. Las aplicaciones ya no las tiene la empresa, no hay un servidor, hay un servicio con un proveedor. Pero no es que te desentiendas, le trasladas la responsabilidad al proveedor.

Este traslado hacia programas externos, al concepto de software como servicio, genera un montón de oportunidades para empresas que quieren cumplir [con la regulación].

¿Aumenta o disminuye el riesgo con la externacionalización de los programas?

Lo cierto es cuando se traslada a un tratamiento en la nube, normalmente se gana en seguridad, porque la empresa cuando tiene un servidor este es un aspecto más de las muchas preocupaciones que puede tener una empresa.

Un proveedor te ofrece un acuerdo de nivel de servicio que garantiza el propio servicio en un 99,9%. Esto puede suponer una interrupción máxima del servicio de 10 minutos en el año. Porque tienen los medios y se dedican solo a eso.

Aidcon es una consultora, auditora y formadora. ¿Por qué es importante formar al cliente?

Un proyecto de consultoría siempre conlleva que formemos hasta donde podamos, porque las empresas, aunque te contratan por asesoramiento, sí asumen un papel esencial y responsable.

Hemos tenido el acierto y la suerte de convencer a la gran mayoría de nuestros clientes de que esto es un proceso vivo, que siempre van a surgir cosas, por ejemplo, por los cambios normativos.

¿Cómo augura el futuro para la seguridad de la información?

Lo que ya se está viendo es lo que más va a cambiar, la cultura de protección de datos, no de manera puntual, sino con continuidad. Además, tecnológicamente están habiendo muchos avances que requieren repensar muchas cosas, por ejemplo, el tratamiento masivo de información, el denominado «big data», para obtener valor en el ámbito comercial. Como esto crece, crecerán las situaciones que hay que controlar y la necesidad de normalizar algunos aspectos que son demasiado laxos todavía.