• 31 octubre, 2014

Aclaraciones sobre la obligación de cifrar datos personales

Blog - Obligación de cifrado de datos personales | UCELAY Bufete de Abogados Mercantiles en MadridEl Cifrado de datos personales es una obligación impuesta por la Ley Orgánica de Protección de DatosLey Orgánica de Protección de Datos para determinados supuestos regulados por ella. Pero no en todos los casos. Comentamos esto último porque determinadas informaciones, como esta noticia de El Confidencial, requieren aclararse o matizarse, cuando menos, para no inducir a confusiones innecesarias.

Efectivamente, el punto de partida es la necesidad de cifrar los soportes o la comunicación de datos que reúnen la condición de ser de alta protección si los mismos, sus ficheros o tratamientos merecen tal calificación según la propia normativa de datos personales.

Así, existen dos previsiones en el Reglamento que desarrolla la LOPD que se aplican a efectos de cifrado de datos cuando estamos en presencia de tratamientos de datos de nivel alto. Estos son el artículo 101.3 y el 104 del Reglamento. El primero prevé que: Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos y el segundo establece que “Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros“.

Por su parte, el artículo 81.3 regula las medidas de seguridad de nivel alto al regular lo siguiente: Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:

a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
c) Aquéllos que contengan datos derivados de actos de violencia de género.

Como es de ver, las medidas de cifrado de datos se deben aplicar única y exclusivamente a los supuestos donde se traten datos que encajen en los supuestos que se acaban de describir en el párrafo anterior.

Por tanto, es enormemente imprecisa y ambigua toda esta referencia del artículo: Dentro de nuestras fronteras deben cifrar su información todos los sujetos que traten datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto.Sin embargo, el número es un poco más generoso ya que se debe incluir también a otros muchos, como por ejemplo todos los que manejen ficheros de datos personales o realicen los tratamientos de datos de carácter personal que se indican en el artículo 81.3 RLOPD, los abogados en el ejercicio de su profesión, las Administraciones Públicas en cumplimiento del Esquema Nacional de Seguridad o las empresas que acepten el BYOD, por poner sólo algunos ejemplos.

La generalización es problemática por cuanto, en primer lugar, no se puede decir que los obligados a cifrar datos son más que los que tienen datos de alta protección porque también se incluyan “Todos los que manejen ficheros de datos personales o realicen los tratamientos de datos de carácter personal que se indican en el artículo 81.3 RLOPD” porque dicho artículo se refiere solamente a quienes manejen datos de alta protección. No se puede redundar en lo anterior y decir que al mismo tiempo que el supuesto se extiende a más sujetos. En segundo lugar, un Abogado no siempre trata datos personales de nivel alto de sus clientes o de terceros, baste pensar en uno especializado en Protección de Datos (No es imposible que aún así trate algún dato ocasional alto pero será en un 1% de sus casos seguramente o menos). En segundo lugar, porque aún cuando un Abogado tenga en sus archivos datos de un sindicato o de una persona con una incapacidad o que dirige una reclamación de responsabilidad civil contra un hospital, por ejemplo, no todos los datos ni todos los tratamientos contenidos en el archivo tienen por qué contener o revelar datos de nivel alto. Insistimos, no cabe entender, sin más matices, que las comunicaciones de los Abogados (Ni las Administraciones o Empresas en general) deban cifrarse. Ni la Ley lo exige ni la AEPD lo sanciona sin más.

Únicamente será el caso si se envían datos personales de nivel alto o si se contienen ficheros con datos de nivel alto en sus soportes sin cifrar. Por ejemplo, enviar un DNI por correo electrónico no está sujeto a cifrado si en el propio correo no se indica que es un DNI de una persona enferma del corazón, por ejemplo, dado que es un dato de nivel básico. Y así en múltiples comunicaciones que tiene el Abogado con su cliente o con terceros. Del mismo modo, en un asunto concreto de salud, un Abogado puede cifrar la parte que contenga datos de salud y dejar sin cifrar el resto de información.

También es cuestionable el ejemplo que se ha publicado y que permite hacer el llamativo titular de la noticia: El Ilustre Colegio de Abogados de Madrid por ejemplo proporciona una herramienta profesional de correo electrónico que envía a cada colegiado el usuario y contraseña en texto plano y ofrece un sistema de envío de correos por defecto sin cifrar. Que por cierto, la mayoría utiliza. Pero no son los únicos. Según ha explicado el director general de Sophos Pablo Teijeira a este periódico “del top 10 de bufetes de abogados que hay en España, sólo dos cifran sus datos”.

El ejemplo exige matizar porque, sin solución de continuidad, dos párrafos antes acaba de hablar de las obligaciones de cifrado de datos del artículo 81.3 del Reglamento y el envío de contraseñas, en cambio, se rige por el artículo 93 y concordantes de dicha norma la cual requiere confidencialidad pero no cifrado, esto es, la normativa no exige que se cifre sino que se remitan de manera que se garantice su confidencialidad  e integridad y está regulado como medida de nivel básico. Son exigencias distintas y “donde la Ley no distingue tampoco puede hacerlo el operador jurídico”, máxime en el ámbito de la regulación administrativa.

Y es que el artículo asume, por un lado, que enviarlo en texto plano no hace cumplir la Ley y, por el otro, que cifrarlo es la solución (lo compartimos en parte en el sentido de que es mejor no enviar claves en texto plano pero nos parece que debe ampliarse la respuesta para no inducir a confusión porque la realidad jurídica no es tan sencilla).

La cuestión es que, por una parte, la Ley exige “que se garantice la confidencialidad e integridad” lo que constituye una obligación absoluta de imposible cumplimiento dado que es imposible otorgar garantías respecto a cualquier sistema de seguridad. Por otro lado, aunque se envíen en texto plano las contraseñas, a las claves y al sistema enviados solamente se podrá acceder a través del correo electrónico del usuario que tendrá sus propios sistemas de seguridad. Es decir, para un usuario normal es imposible acceder a dichas claves si no se salta la protección de acceso al ordenador y después vulnerar el cliente web o de escritorio del correo electrónico de un tercero, lo que exige conocimientos superiores a los del usuario medio desde un punto de vista técnico o acceder ilegalmente al ordenador, terminal, servidor o teléfono móvil del usuario, lo que, en su caso puede constituir un delito. Queremos decir que si se enviaran las claves por fax donde casi cualquiera puede acceder en un espacio abierto, la violación sería clara pero al enviarse por correo electrónico la cuestión es muy matizable.

Por otra parte, no cualquier cifrado de datos sería válido. Por ejemplo, dice la AEPD en un informe que: “tanto el cifrado que ofrecen los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable. Aunque para el uso particular pudieran considerarse adecuadas, no así para el intercambio de información con las garantías que se precisan en el Reglamento“. Nos parece acertado que la AEPD informe de lo que le parece más seguro en cada caso para dar pautas al cumplir la normativa, lo que nos parecería cuestionable jurídicamente hablando es que la AEPD pudiera usar tal planteamiento para estimar incumplida una obligación de confidencialidad o de cifrado pues la Ley no define los parámetros del cifrado ni las garantías de confidencialidad lo que provoca una inseguridad jurídica notable sin duda porque, como decíamos, el acento de la obligación reside en garantizar la confidencialidad de las contraseñas pero no existe una sola empresa de seguridad informática que garantice la confidencialidad de la información. Lo que debería hacer el legislador, lege ferenda, en este aspecto, es definir qué medida legal considera como mínimo imprescindible y no establecer una obligación de máximos que, como decimos, es imposible de asumir (Y dice el artículo 1106 del Código Civil que: “Las condiciones imposibles, las contrarias a las buenas costumbres y las prohibidas por la ley anularán la obligación que de ellas dependa“).

A continuación,el artículo dice que: el Director de Tecnología del Consejo General de la Abogacía Española, ha explicado que, a pesar de que por defecto los datos no vayan cifrados, los abogados pueden elegir que sí lo estén en otro servicio del Programa Cliente de correo. El problema es que para cifrar los datos el jurista necesita que el cliente también se haya creado un certificado y se lo envíe. Algo que, según Burgueño casi nadie está dispuesto a hacer y por si fuera poco muchos desconocen, entre otras cosas por la falta de información de la propia plataforma.

La referencia transcrita postula que la única manera de enviar información de alta protección mediante un mecanismo de cifrado de datos es mediante previa recepción de un certificado de encriptación por parte del destintario pero no es esa la única opción que facilita la Ley. Efectivamente, si acudimos de nuevo al articulo 81.3 del Reglamento, observamos que éste prevé que la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Esta alternativa legal implica que no es preciso encriptar el correo en sí (aunque sea recomendable y más conociendo que las Agencias de Inteligencia de los países espían a los ciudadanos a través de su correo), basta con enviar la información de alta protección en archivo adjunto cifrado con una aplicación cualquiera de cifrado de datos robusta como Axcrypt por ejemplo. Luego se le llama al destinario para darle la clave para abrir el archivo y se le indica el programa con que podrá hacerlo (Incluso se le puede enviar mediante un archivo autoejecutable que no requiera previa instalación). Lo que es mucho más sencillo que pedirle al cliente o destinatario que use sistemas de cifrado de datos como GPG en su correo porque a veces es más fácil instalar que configurar y son apps más sencillas de usar que las de cifrado de datos del correo. También se puede subir el archivo a un servidor de la empresa o bufete y darle un enlace de descarga al destinatario. Si el servidor tiene las medidas de seguridad adecuadas, la parte del destinatario se simplifica enormemente.

A continuación, el referido diario relaciona nuevamente con el cifrado de datos una grave sustracción de datos a JP Morgan. Como recomendación de seguridad genérica y alegal es correcta pero a los efectos legales de la normativa de protección de datos la premisa no es adecuada si no se refiere única y exclusivamente a datos de nivel alto de protección dado que como entidad financiera, por definición legal, su grado de protección es de nivel medio, no alto. Legalmente no se pueden mezclar conceptos aunque todo ello sea muy recomendable.

En definitiva, valoramos positivamente todas las llamadas de atención posibles para que los sujetos sometidos a la normativa de protección de datos cumplan con la Ley y extremen las cautelas y es cierto que las empresas y profesionales suelen preferir comodidad a seguridad, pero estimamos que hacer afirmaciones generales del tenor transcrito es tan impreciso como erróneo y también que, desde el momento en que existe un departamento de informática o un servicio externo de mantenimiento informático a un profesional o empresa u organización las soluciones técnicas existentes hoy día reducen y a menudo eliminan cualquier incomodidad que sirva de pretexto para no cumplir con las medidas de seguridad.

Aclaraciones sobre el cifrado de datos | UCELAY Bufete de Abogados Mercantiles en Madrid

Consulte

91 445 03 07