Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de
Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
El RGPD (Reglamento General de Protección de
Datos), que entró en vigor en 2018, ha tenido un impacto económico
significativo en la ciberseguridad y las operaciones de las empresas europeas.
Estos son los principales beneficios económicos identificados por la CNIL:
Fortalecimiento de la
ciberseguridad y reducción de riesgos.
El RGPD exige a las empresas una mayor inversión en ciberseguridad para
proteger los datos personales, reduciendo así el riesgo de ciberataques y sus
consecuencias económicas (pérdidas financieras, daño a la reputación,
interrupciones de la actividad). Esta obligación de cumplimiento fomenta una
mejor gestión de riesgos y la implementación de sistemas de información más
robustos.
Creación de un clima de
confianza y mejoras reputacionales. Al
garantizar un alto nivel de protección de datos, el RGPD fomenta la confianza de
consumidores y socios, elemento sencial para el desarrollo de la economía
digital. Las empresas perciben una mejora en su imagen de marca y reputación,
especialmente en las relaciones B2B, lo que puede facilitar el acceso a nuevos
mercados y fortalecer su competitividad.
Beneficios para los
consumidores y el bienestar económico. Los consumidores se benefician de un mayor control sobre
sus datos, lo que limita los riesgos de solicitudes abusivas, elaboración de
perfiles excesivos o uso fraudulento de su información personal. Esta mayor
protección se traduce en importantes mejoras en el bienestar, aunque estas
siguen siendo difíciles de cuantificar con precisión.
Efectos en la
innovación, la competencia y la racionalización de las opciones. El RGPD armoniza las normas en Europa,
creando un espacio para la libre circulación de datos y fomentando la
innovación dentro de un marco seguro. También ayuda a corregir ciertas
"fallas del mercado" al hacer que las operaciones económicas sean más
racionales y transparentes.
Sin
embargo, subsisten algunas Limitaciones.
Los beneficios económicos son más accesibles para las grandes empresas, que
disponen de mayores recursos para el cumplimiento normativo, pero también son
auditadas con mayor frecuencia por las autoridades. Los estudios económicos
suelen centrarse en los costes del RGPD, mientras que los beneficios reales
siguen siendo difíciles de medir y objetivar.
El
presente artículo reenvía a otros enlaces, entre ellos el Estudio elaborado por
la CNIL. El artículo ha sido traducido del francés al castellano por el
suscrito con la ayuda del aplicativo Google Translator.
A fin de acceder a normas similares y
estándares europeos, las empresas, organizaciones públicas y privados
interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones,
auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_____________________________________________________
5 de junio de 2025
La CNIL (Autoridad Nacional de Protección
de Datos de Francia) ha publicado un análisis del impacto económico del RGPD en
la ciberseguridad. Al reforzar las obligaciones en este ámbito, el reglamento
habría permitido de evitar, por ejemplo, la suplantación de identidad, por
valor de entre 90 y 219 millones de euros en Francia, por daños cibernéticos.
·
En su evaluación del impacto económico del
RGPD, cinco años después de su entrada en vigor , la CNIL observó
que los estudios económicos sobre el impacto del RGPD se centran principalmente
en los costes y no abordan sino marginalmente sus beneficios. Por lo tanto, la
CNIL se ha comprometido a estudiar estos beneficios y a proponer un análisis
cuantitativo. El análisis utiliza el ángulo de la ciberseguridad (artículos 32,
33 y 34 del RGPD) para destacar los beneficios de este último.
En la economía de la ciberseguridad, la seguridad
informática se considera una decisión de inversión empresarial. Esta decisión
de inversión sigue una lógica de rentabilidad: la inversión en ciberseguridad
se sopesa frente a su coste y al riesgo de cíberataque.
Sin embargo, este cálculo realizado por la empresa no
considera un elemento crucial: el impacto de su inversión en el resto de la
sociedad, lo que en economía se denomina externalidad. Debido
a estas externalidades, el nivel de inversión espontánea de las empresas en la
seguridad de los sistemas de información no es óptimo en ausencia de regulación.
Las reglamentaciones como el RGPD permiten subsanar esta deficiencia
del mercado al exigir la implementación de normas de seguridad que
beneficien no solo a las personas afectadas, sino también a las empresas y a sus
socios.
Por ello, la CNIL se ha comprometido a
estudiar los beneficios del RGPD mediante un análisis
cuantitativo desde la perspectiva de la ciberseguridad. A
continuación, se presenta un resumen de las principales conclusiones del
análisis completo.
Los diferentes tipos de externalidades en la
ciberseguridad
Existen tres tipos principales de externalidades según
el actor económico afectado: otras empresas, los cíberdelincuentes y los clientes/usuarios.
Externalidades que afectan a otras empresas
El nivel de ciberseguridad de una empresa también
depende de la inversión en ciberseguridad de otras empresas. Un virus
informático puede propagarse de una máquina a otra de la misma forma que un
virus real se propaga por contagio. Por lo tanto, cuando una empresa invierte
en ciberseguridad, contribuye a crear un entorno general más resiliente
a la cíberdelincuencia, mediante un mecanismo comparable a la inmunidad
colectiva:
·
en el marco de la relación de
subcontratación, puesto que la seguridad de los datos del responsable del tratamiento depende del nivel de seguridad de su proveedor
de servicios;
·
con empresas asociadas, o incluso
competidoras, que puedan, por ejemplo, “beneficiarse” del alto nivel de
seguridad de datos de un sector, en una lógica de “círculo virtuoso”.
Sin embargo, una empresa no tiene ningún incentivo
para considerar los beneficios que sus inversiones en ciberseguridad aportan a
sus competidores, lo que limita su inversión en esta área.
Externalidades para los cíberdelincuentes
La falta de inversión en ciberseguridad aumenta la
rentabilidad de los delitos cibernéticos, en particular los que se producen
mediante ransomware (ataques destinados a
extorsionar para obtener un rescate).
Cuando las medidas de seguridad son
insuficientes, los ataques tienen mayor probabilidad de éxito. Cuanto
más exitosos sean los ataques, mayores serán los rescates que podrán exigir los
ciberdelincuentes, asegurándose al mismo tiempo de que un cierto número de
víctimas finalmente pague. Los ciberdelincuentes ajustan el monto de los
rescates para maximizar sus ganancias equilibrando dos parámetros. Por un lado,
un rescate demasiado alto puede disuadir a las víctimas de pagar; por otro, un
rescate demasiado bajo no maximizaría las ganancias.
Dado que solo unas pocas empresas están dispuestas a
pagar sumas muy elevadas, la estrategia óptima depende del
número de ataques exitosos. Si estos son poco frecuentes, resulta más rentable
exigir rescates moderados que la mayoría de las víctimas estén dispuestas a
pagar. Por otro lado, si el número de ataques exitosos es alto, aumenta la
probabilidad de que una empresa atacada acepte pagar una suma muy elevada. Por
lo tanto, resulta más ventajoso para el cíberdelincuente establecer rescates
elevados para maximizar sus ganancias con estos pagos excepcionales.
Así, la falta de inversión en ciberseguridad crea un
círculo vicioso: fomenta el éxito de los ataques, fortalece la capacidad de los
ciberdelincuentes para exigir sumas cada vez mayores y, en última instancia,
aumenta la rentabilidad y la gravedad de los delitos cibernéticos.
Externalidades que afectan a los clientes
Las filtraciones de datos afectan con
frecuencia a empresas que realizan tratamiento de datos personales de sus
clientes/usuarios (personas físicas). Estos datos pueden utilizarse para llevar
a cabo nuevos ciberataques contra la persona afectada (phishing, usurpación de identidad, robo de credenciales). Las personas que sufren
las consecuencias negativas de una filtración de datos no siempre pueden saber cuál
es la empresa originaria de la filtración de sus datos personales.
Cuando una empresa comunica una fuga de datos, se
expone a ciertas consecuencias: pérdida de reputación,
caída de su valoración, pérdida de confianza de los clientes, etc. Para
evitar estas repercusiones, su comportamiento espontáneo en ausencia de
regulación es no revelar estos incidentes.
Este fenómeno de externalidad negativa no es óptimo,
ya que lleva a las empresas afectadas a eludir la responsabilidad por las
consecuencias negativas causadas a sus clientes debido a su falta de inversión
en ciberseguridad, lo que reduce su incentivo para reforzar sus protecciones.
Al hacerlo, también impediría que el titular de los datos se mantenga alerta y
tome las medidas necesarias para protegerse.
El RGPD ha declarado ilegal esta opacidad; los
responsables del tratamiento de datos están obligados a informar a la autoridad
de protección de datos de cualquier infracción, así como a los interesados en caso de alto riesgo de violación de datos personales. El incumplimiento de estas
obligaciones expone a la empresa a sanciones. Al reducir esta externalidad, el
RGPD permite, por tanto, beneficios para la sociedad en su conjunto.
Frecuentemente,
estas diversas externalidades no se tienen en cuenta al determinar las
cantidades que invertirán en ciberseguridad. El resultado es una inversión
insuficiente en la seguridad de los sistemas de información ante la ausencia de
obligaciones regulatorias como el RGPD.
Los beneficios del RGPD desde una perspectiva
de ciberseguridad
El cumplimiento del RGPD contribuye así al combate contra
la falta de inversión en ciberseguridad.
Por ejemplo, al exigir a las partes
interesadas que revelen las violaciones graves de datos a las personas
afectadas (artículo 34), estas pueden decidir dejar de hacer negocios
con empresas que no cuenten con un nivel adecuado de ciberseguridad. Esta
disposición permite así a reducir las externalidades que afectan a los clientes
de la empresa. La empresa debe asumir sus responsabilidades, lo que la impulsa
a invertir más en ciberseguridad.
Así, la investigación económica ha analizado las
consecuencias vinculadas a la usurpación de identidad:
·
Al comparar la cantidad de violaciones de
datos antes y después de la implementación de la política, los economistas
descubrieron que las notificaciones de violaciones de datos llevaron a
una disminución del 2,5% al 6,1%
en las usurpaciones
de identidad.
·
Comparando esta reducción con el coste de
las usurpaciones de identidad en Francia, es posible calcular que se
han evitado entre 90 y 219 millones de euros de pérdidas desde 2018 en
Francia y entre 585 millones y 1.400 millones de euros a nivel de la UE;
·
Teniendo en cuenta el nivel de indemnización
por estas pérdidas y el impacto de las usurpaciones de identidad en la confianza
de las víctimas en las compras en línea, es posible estimar que el 82%
de estas pérdidas evitadas benefician a las empresas.
Estas ganancias representan solo una pequeña
fracción de los beneficios totales del RGPD en la reducción de la cíberdelincuencia.
Se trata únicamente del impacto de una de sus disposiciones en un tipo
específico de cíberdelito (la usurpación de identidad). A esto hay que sumar el
impacto positivo del cumplimiento del RGPD en el ransomware, las botnets (red
de programas conectados a través de internet), el malware, etc. Sería conveniente que los economistas profundizaran
en la dimensión de la ciberseguridad para ofrecer una visión más completa sobre
este tema.
ia del documento
Para descargar
Economía de la ciberseguridad y beneficios del RGPD
[ PDF-478.4 KB ]
Texto de referencia
Para profundizar
·
El impacto económico del RGPD, 5 años
después
#Ciberseguridad #Economía #RGPD #Violación de datos
No hay comentarios:
Publicar un comentario