29 de abril de 2019
29.04.2019
La Opinión de Málaga
Entrevista

"Las empresas son responsables de lo que le ocurra a su información"

Juan Carlos López es director de la consultora malagueña Aidcon

29.04.2019 | 14:01
Imagen de Juan Carlos López.

Desde hace casi 16 años, esta compañía se dedica a ofrecer un servicio de consultoría, asesoramiento, auditoría y formación a empresas de diferentes sectores para garantizar un correcto tratamiento de la información, en base a las normativas nacionales y europeas de obligado cumplimiento, apostando siempre por la concienciación empresarial por la protección de datos.

Juan Carlos López, ingeniero técnico de Telecomunicaciones, es el director general de la consultora malagueña Aidcon, una compañía con casi 16 años de experiencia en asesoramiento técnico y jurídico para empresas en el campo de la seguridad de la información y protección de datos.

El 90% de la actividad de Aidcon se concentra en Andalucía, principalmente en la provincia de Málaga, aunque también da servicio al resto del país a través de su sistema informático. Actualmente, su cartera de clientes se encuentra entre 300 y 400 pequeñas y medianas empresas.

¿Cómo define a Aidcon?
Somos una consultora pequeña y especializada, esa sería la definición rápida, que es por lo que siempre hemos optado, por la especialización y por ser los mejores o de los primeros en algo. No se puede abarcar todo ni querer hacer todo bien.
Estamos en el ámbito de la privacidad y la seguridad de la información. Eso cubre fundamentalmente temas normativos, que son de obligado cumplimiento para nuestro cliente y temas normativos que no son de cumplimiento pero son de mejora, en relación a la organización de la seguridad de la empresa.

¿Qué engloba la seguridad de la información?
Engloba fundamentalmente lo que exigen las normativas. Ahora lo que hay que cumplir es un reglamento europeo. Se establece claramente que las empresas son responsables de lo que le ocurra a su información, como un ciberataque o una pérdida de información, es siempre responsabilidad de la empresa y tiene que poner todos los medios a su alcance para que eso no ocurra. Y cuando ocurre, las empresas están obligadas a reportar ese incidente a la autoridad, a las Agencias de Protección de Datos de cada país.

¿Deben cumplir todas las compañías con la normativa?
No, no todas las empresas. Una nueva Ley Orgánica de Protección de Datos (LOPD) española y aprobada en diciembre de 2018 lo ha aclarado con un listado de tipologías de empresas que necesitan tener la figura de un delegado de protección de datos, por ejemplo, un colegio.

Depende de los tipos de datos que se manejan, un hospital no es lo mismo que un taller o una tienda. Y depende mucho también del volumen de datos y de los sistemas de tratamiento y explotación de los datos. Pero los comercios también hacen lo que se dice un «tratamiento sensible» de los datos, porque no tienen solo los datos básicos de un cliente, como nombre, dirección... Sino que pueden hacer explotación estadística, de marketing, publicitaria, pueden cruzar datos... Todo tipo de operaciones que requieren consentimiento de la persona y que necesita medidas de seguridad más avanzada.

El no cumplimiento de estas normativas acarrea una sanción importante...
Ahora son unas cifras enormes, pero hay voluntad por parte de la Agencia Española de Datos de no poner la multa por delante.

Nosotros, como empresa asesora, cuando hacemos una presentación a una empresa o colectivo, el tema de la multa no lo ponemos. Si nos preguntan, lo hablamos, pero no lo ponemos porque convencer por miedo es la peor manera de convencer. Esa empresa que solo lo hace por el miedo a la sanción nunca va a estar concienciada. Nosotros queremos que las empresas lo hagan porque estén concienciadas. Es necesario y es bueno también para la empresa.

Aún así, la multa leve creo que va hasta dos millones de euros de sanción y la grave hasta cuatro millones de euros o incluso el 4 por ciento de la facturación mundial de la empresa.

Desde su creación, ¿cómo se ha adaptado Aidcon a los cambios en el mundo de las TIC?
Efectivamente, el escenario ha ido cambiando mucho y bastante rápido. Antes era raro el que utilizaba, por ejemplo, el correo electrónico. Las medianas y grandes empresas tenían un servidor que gestionaban ellas mismas, creaban las cuentas y gestionaban la seguridad de ese servicio de correo electrónico.

Esto ha desaparecido en muchas, y las aplicaciones en la nube cada vez es más normal. Las aplicaciones ya no las tiene la empresa, no hay un servidor, hay un servicio con un proveedor. Pero no es que te desentiendas, le trasladas la responsabilidad al proveedor.

Este traslado hacia programas externos, al concepto de software como servicio, genera un montón de oportunidades para empresas que quieren cumplir [con la regulación].

¿Aumenta o disminuye el riesgo con la externacionalización de los programas?
Lo cierto es cuando se traslada a un tratamiento en la nube, normalmente se gana en seguridad, porque la empresa cuando tiene un servidor este es un aspecto más de las muchas preocupaciones que puede tener una empresa.

Un proveedor te ofrece un acuerdo de nivel de servicio que garantiza el propio servicio en un 99,9%. Esto puede suponer una interrupción máxima del servicio de 10 minutos en el año. Porque tienen los medios y se dedican solo a eso.

Aidcon es una consultora, auditora y formadora. ¿Por qué es importante formar al cliente?
Un proyecto de consultoría siempre conlleva que formemos hasta donde podamos, porque las empresas, aunque te contratan por asesoramiento, sí asumen un papel esencial y responsable.

Hemos tenido el acierto y la suerte de convencer a la gran mayoría de nuestros clientes de que esto es un proceso vivo, que siempre van a surgir cosas, por ejemplo, por los cambios normativos.

¿Cómo augura el futuro para la seguridad de la información?
Lo que ya se está viendo es lo que más va a cambiar, la cultura de protección de datos, no de manera puntual, sino con continuidad. Además, tecnológicamente están habiendo muchos avances que requieren repensar muchas cosas, por ejemplo, el tratamiento masivo de información, el denominado «big data», para obtener valor en el ámbito comercial. Como esto crece, crecerán las situaciones que hay que controlar y la necesidad de normalizar algunos aspectos que son demasiado laxos todavía.

Compartir en Twitter
Compartir en Facebook

Especial Declaración de la renta

Declaración de la renta

Renta 2018

 

Cómo solicitar y confirmar el borrador, las deducciones de la renta, cita previa... y todo lo que necesitas para tu declaración de la renta.