Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
El RGPD (Reglamento General de Protección de Datos), que entró en vigor en 2018, ha tenido un impacto económico significativo en la ciberseguridad y las operaciones de las empresas europeas. Estos son los principales beneficios económicos identificados por la CNIL:
Fortalecimiento de la ciberseguridad y reducción de riesgos. El RGPD exige a las empresas una mayor inversión en ciberseguridad para proteger los datos personales, reduciendo así el riesgo de ciberataques y sus consecuencias económicas (pérdidas financieras, daño a la reputación, interrupciones de la actividad). Esta obligación de cumplimiento fomenta una mejor gestión de riesgos y la implementación de sistemas de información más robustos.
Creación de un clima de confianza y mejoras reputacionales. Al garantizar un alto nivel de protección de datos, el RGPD fomenta la confianza de consumidores y socios, elemento sencial para el desarrollo de la economía digital. Las empresas perciben una mejora en su imagen de marca y reputación, especialmente en las relaciones B2B, lo que puede facilitar el acceso a nuevos mercados y fortalecer su competitividad.
Beneficios para los consumidores y el bienestar económico. Los consumidores se benefician de un mayor control sobre sus datos, lo que limita los riesgos de solicitudes abusivas, elaboración de perfiles excesivos o uso fraudulento de su información personal. Esta mayor protección se traduce en importantes mejoras en el bienestar, aunque estas siguen siendo difíciles de cuantificar con precisión.
Efectos en la innovación, la competencia y la racionalización de las opciones. El RGPD armoniza las normas en Europa, creando un espacio para la libre circulación de datos y fomentando la innovación dentro de un marco seguro. También ayuda a corregir ciertas “fallas del mercado” al hacer que las operaciones económicas sean más racionales y transparentes.
Sin embargo, subsisten algunas Limitaciones. Los beneficios económicos son más accesibles para las grandes empresas, que disponen de mayores recursos para el cumplimiento normativo, pero también son auditadas con mayor frecuencia por las autoridades. Los estudios económicos suelen centrarse en los costes del RGPD, mientras que los beneficios reales siguen siendo difíciles de medir y objetivar.
El presente artículo reenvía a otros enlaces, entre ellos el Estudio elaborado por la CNIL. El artículo ha sido traducido del francés al castellano por el suscrito con la ayuda del aplicativo Google Translator.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: [email protected]
_____________________________________________________
Ciberseguridad: los beneficios económicos del RGPD
5 de junio de 2025
La CNIL (Autoridad Nacional de Protección de Datos de Francia) ha publicado un análisis del impacto económico del RGPD en la ciberseguridad. Al reforzar las obligaciones en este ámbito, el reglamento habría permitido de evitar, por ejemplo, la suplantación de identidad, por valor de entre 90 y 219 millones de euros en Francia, por daños cibernéticos.
En su evaluación del impacto económico del RGPD, cinco años después de su entrada en vigor , la CNIL observó que los estudios económicos sobre el impacto del RGPD se centran principalmente en los costes y no abordan sino marginalmente sus beneficios. Por lo tanto, la CNIL se ha comprometido a estudiar estos beneficios y a proponer un análisis cuantitativo. El análisis utiliza el ángulo de la ciberseguridad (artículos 32, 33 y 34 del RGPD) para destacar los beneficios de este último.
En la economía de la ciberseguridad, la seguridad informática se considera una decisión de inversión empresarial. Esta decisión de inversión sigue una lógica de rentabilidad: la inversión en ciberseguridad se sopesa frente a su coste y al riesgo de cíberataque.
Sin embargo, este cálculo realizado por la empresa no considera un elemento crucial: el impacto de su inversión en el resto de la sociedad, lo que en economía se denomina externalidad. Debido a estas externalidades, el nivel de inversión espontánea de las empresas en la seguridad de los sistemas de información no es óptimo en ausencia de regulación. Las reglamentaciones como el RGPD permiten subsanar esta deficiencia del mercado al exigir la implementación de normas de seguridad que beneficien no solo a las personas afectadas, sino también a las empresas y a sus socios.
Por ello, la CNIL se ha comprometido a estudiar los beneficios del RGPD mediante un análisis cuantitativo desde la perspectiva de la ciberseguridad. A continuación, se presenta un resumen de las principales conclusiones del análisis completo.
Los diferentes tipos de externalidades en la ciberseguridad
Existen tres tipos principales de externalidades según el actor económico afectado: otras empresas, los cíberdelincuentes y los clientes/usuarios.
Externalidades que afectan a otras empresas
El nivel de ciberseguridad de una empresa también depende de la inversión en ciberseguridad de otras empresas. Un virus informático puede propagarse de una máquina a otra de la misma forma que un virus real se propaga por contagio. Por lo tanto, cuando una empresa invierte en ciberseguridad, contribuye a crear un entorno general más resiliente a la cíberdelincuencia, mediante un mecanismo comparable a la inmunidad colectiva:
- en el marco de la relación de subcontratación, puesto que la seguridad de los datos del responsable del tratamiento depende del nivel de seguridad de su proveedor de servicios;
- con empresas asociadas, o incluso competidoras, que puedan, por ejemplo, “beneficiarse” del alto nivel de seguridad de datos de un sector, en una lógica de “círculo virtuoso”.
Sin embargo, una empresa no tiene ningún incentivo para considerar los beneficios que sus inversiones en ciberseguridad aportan a sus competidores, lo que limita su inversión en esta área.
Externalidades para los cíberdelincuentes
La falta de inversión en ciberseguridad aumenta la rentabilidad de los delitos cibernéticos, en particular los que se producen mediante ransomware (ataques destinados a extorsionar para obtener un rescate).
Cuando las medidas de seguridad son insuficientes, los ataques tienen mayor probabilidad de éxito. Cuanto más exitosos sean los ataques, mayores serán los rescates que podrán exigir los ciberdelincuentes, asegurándose al mismo tiempo de que un cierto número de víctimas finalmente pague. Los ciberdelincuentes ajustan el monto de los rescates para maximizar sus ganancias equilibrando dos parámetros. Por un lado, un rescate demasiado alto puede disuadir a las víctimas de pagar; por otro, un rescate demasiado bajo no maximizaría las ganancias.
Dado que solo unas pocas empresas están dispuestas a pagar sumas muy elevadas, la estrategia óptima depende del número de ataques exitosos. Si estos son poco frecuentes, resulta más rentable exigir rescates moderados que la mayoría de las víctimas estén dispuestas a pagar. Por otro lado, si el número de ataques exitosos es alto, aumenta la probabilidad de que una empresa atacada acepte pagar una suma muy elevada. Por lo tanto, resulta más ventajoso para el cíberdelincuente establecer rescates elevados para maximizar sus ganancias con estos pagos excepcionales.
Así, la falta de inversión en ciberseguridad crea un círculo vicioso: fomenta el éxito de los ataques, fortalece la capacidad de los ciberdelincuentes para exigir sumas cada vez mayores y, en última instancia, aumenta la rentabilidad y la gravedad de los delitos cibernéticos.
Externalidades que afectan a los clientes
Las filtraciones de datos afectan con frecuencia a empresas que realizan tratamiento de datos personales de sus clientes/usuarios (personas físicas). Estos datos pueden utilizarse para llevar a cabo nuevos ciberataques contra la persona afectada (phishing, usurpación de identidad, robo de credenciales). Las personas que sufren las consecuencias negativas de una filtración de datos no siempre pueden saber cuál es la empresa originaria de la filtración de sus datos personales.
Cuando una empresa comunica una fuga de datos, se expone a ciertas consecuencias: pérdida de reputación, caída de su valoración, pérdida de confianza de los clientes, etc. Para evitar estas repercusiones, su comportamiento espontáneo en ausencia de regulación es no revelar estos incidentes.
Este fenómeno de externalidad negativa no es óptimo, ya que lleva a las empresas afectadas a eludir la responsabilidad por las consecuencias negativas causadas a sus clientes debido a su falta de inversión en ciberseguridad, lo que reduce su incentivo para reforzar sus protecciones. Al hacerlo, también impediría que el titular de los datos se mantenga alerta y tome las medidas necesarias para protegerse.
El RGPD ha declarado ilegal esta opacidad; los responsables del tratamiento de datos están obligados a informar a la autoridad de protección de datos de cualquier infracción, así como a los interesados en caso de alto riesgo de violación de datos personales. El incumplimiento de estas obligaciones expone a la empresa a sanciones. Al reducir esta externalidad, el RGPD permite, por tanto, beneficios para la sociedad en su conjunto.
Frecuentemente, estas diversas externalidades no se tienen en cuenta al determinar las cantidades que invertirán en ciberseguridad. El resultado es una inversión insuficiente en la seguridad de los sistemas de información ante la ausencia de obligaciones regulatorias como el RGPD.
Los beneficios del RGPD desde una perspectiva de ciberseguridad
El cumplimiento del RGPD contribuye así al combate contra la falta de inversión en ciberseguridad.
Por ejemplo, al exigir a las partes interesadas que revelen las violaciones graves de datos a las personas afectadas (artículo 34), estas pueden decidir dejar de hacer negocios con empresas que no cuenten con un nivel adecuado de ciberseguridad. Esta disposición permite así a reducir las externalidades que afectan a los clientes de la empresa. La empresa debe asumir sus responsabilidades, lo que la impulsa a invertir más en ciberseguridad.
Así, la investigación económica ha analizado las consecuencias vinculadas a la usurpación de identidad:
- Al comparar la cantidad de violaciones de datos antes y después de la implementación de la política, los economistas descubrieron que las notificaciones de violaciones de datos llevaron a una disminución del 2,5% al 6,1% en las usurpaciones de identidad.
- Comparando esta reducción con el coste de las usurpaciones de identidad en Francia, es posible calcular que se han evitado entre 90 y 219 millones de euros de pérdidas desde 2018 en Francia y entre 585 millones y 1.400 millones de euros a nivel de la UE;
- Teniendo en cuenta el nivel de indemnización por estas pérdidas y el impacto de las usurpaciones de identidad en la confianza de las víctimas en las compras en línea, es posible estimar que el 82% de estas pérdidas evitadas benefician a las empresas.
Estas ganancias representan solo una pequeña fracción de los beneficios totales del RGPD en la reducción de la cíberdelincuencia. Se trata únicamente del impacto de una de sus disposiciones en un tipo específico de cíberdelito (la usurpación de identidad). A esto hay que sumar el impacto positivo del cumplimiento del RGPD en el ransomware, las botnets (red de programas conectados a través de internet), el malware, etc. Sería conveniente que los economistas profundizaran en la dimensión de la ciberseguridad para ofrecer una visión más completa sobre este tema.
Para descargar
Economía de la ciberseguridad y beneficios del RGPD
[ PDF-478.4 KB ]
Texto de referencia
Para profundizar
