Cifrar
datos de forma correcta es una de las obligaciones que impone la normativa
española
OBLIGACIÓN PARA LOS ABOGADOS
Los
abogados utilizan frecuentemente el correo electrónico para recibir y enviar
información sensible de sus clientes, pero esta información tiene que ir
cifrada. "Al no estarlo incumplen la Ley de Protección de Datos
y ponen en riesgo el derecho del cliente a no declarar contra sí mismo en
caso de que le sustraigan la información, además de exponerse a multas y
ser expulsados del propio Colegio".
A
estos efectos “Únicamente son válidos los sistemas de cifrado que garanticen
que la información no sea inteligible ni manipulada por terceros,” destaca
Pablo Fernández, que añade: “cifrar siempre es conveniente, aunque no haya
ninguna ley que obligue a ello. Un número elevado de sujetos están obligados a
cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad.
En el resto de casos, cifrar es de una utilidad extraordinaria, ya que refuerza
la seguridad, genera confianza y evita situaciones comprometidas en los
tribunales.”
Además
de contar con servicios de protección de red, es muy importante que las
empresas cifren la información susceptible de ser sustraída, para así preservar
la confidencialidad de la información. El cifrado es la mejor forma de
protección de datos, incluso si sufrimos un ataque tanto externo como interno,
aunque fuesen capaces de robar nuestros ficheros, estos no les serían de
ninguna utilidad al no poder acceder a la información que contienen.”
"“El
robo de datos a las empresas está a la orden del día, como demuestra el caso de
Domino’s Pizza o el más reciente de JP Morgan, donde los ciberdelincuentes
accedieron a los datos de 76 millones de clientes del banco”.
Según
la consultora, el cifrado de los datos se puede realzar sin excesiva
dificultad, con un coste razonable y con la seguridad de que se cumple la ley
de forma adecuada.
¿Quién está obligado en España a cifrar la información que maneja?
Según
el informe, en España deben cifrar su información un gran número de empresas.
En general, deben hacerlo todos los sujetos que traten datos personales
contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel
alto. Sin embargo, el número es un poco más generoso, ya que se deben incluir
también otro tipo de sujetos que realizan actividades que se destacan a
continuación:
1. Los sujetos que tengan los siguientes
ficheros de datos personales o realicen los tratamientos de datos de carácter
personal que se indican (art. 81.3 RLPOD):
§ Los que se
refieran a datos de ideología, afiliación sindical, religión, creencias, origen
racial, salud o vida sexual.
§ Los que contengan
o se refieran a datos recabados para fines policiales sin consentimiento de las
personas afectadas.
§ Aquéllos que
contengan datos derivados de actos de violencia de género.
2. Los sujetos obligados al cumplimiento de la
normativa de prevención del blanqueo de capitales y de la financiación del
terrorismo (art. 2 Ley 10/2010), respecto de determinados ficheros que están
obligados a crear (art. 15 y 32 Ley 10/2010).
3. Los sujetos que gestionan ficheros de
whistleblowers, respecto del conjunto ordenado de datos de carácter personal de
alertadores y potenciales incumplidores (Informe AEPD).
4. Los Abogados en el ejercicio de su
profesión, respecto del fichero de clientes (arts. 18 y 24 CE y art. 5 Código
Deontológico)
5. Las Administraciones públicas en
cumplimiento del Esquema Nacional de Seguridad (Anexos RD 3/2010).
6. Las empresas adheridas a un Código Tipo que
obligue al cifrado (art. 72 RLOPD).
7. Las empresas que aceptan el BYOD (CCN-CERT
IA-21/13).
8. Las empresas que deseen
proteger sus creaciones (art 1 LPI).
9. Las empresas que deseen
proteger sus secretos comerciales (art. 13 LCD).
10. Las empresas que deseen proteger o
minimizar el espionaje industrial (art. 278, 279 y 280 CP).
11. Las empresas que deseen adoptar medidas de
seguridad que superen el mínimo exigido (art. 81.7 RLPOD).
No hay comentarios:
Publicar un comentario