Skip to content

5 Errores sobre protección de datos en abogados, en ámbito digital

19 diciembre, 2016

Si hace unos días nos hacíamos eco de los cambios normativos con respecto al nuevo reglamento de protección de datos, en el sentido de como los mismos afectaban a la practica diaria del abogado en su versión más física (Y si hay alguien que piensa que el trabajo de una abogado no es físico, que se pegue todo un día de guardia,  a ver que me cuenta), en este artículo vamos a centrarnos en lo que sería la parte más virtual o tecnológica del ejercicio de la abogacía, y con esto no me refiero al cosas como Watson o su inteligencia artificial, sino a esos elementos tecnológicos que se han introducido ya en la práctica diaria del abogado como pueden ser el correo electrónico o los programas de gestión, en los cuales, también podemos poner en riesgo la privacidad de nuestros clientes.

1-Las copias de seguridad

Lo primero, aclarar para algún despistado que no lo sepa que las copias de seguridad son las copias que realizamos de nuestros sistemas informáticos de una manera estable en el tiempo, o al menos que deberíamos hacer. Una de las novedades de este nuevo reglamento y que implica el principio del privacy by design y by default es que nosotros mismos seremos quienes determinemos la importancia de los datos personales que almacenemos y esa importancia se le dará en función de las medidas de seguridad que le apliquemos a dichos datos, pasamos por tanto de un sistema donde era el propio reglamento español de protección de datos el que fijaba las medidas necesarias (Pongo español para que no hay confusión con el europeo que ahora nos ocupa) para ser ahora nosotros mismos los que debemos determinar en función de los datos que tratemos y como los tratemos (Es decir, que datos almacenemos y que hagamos con ellos) cual es su importancia y dicha importancia vendrá determinada por las medidas de seguridad que fijemos a los mismos.

Una de estas medidas y que se debe volver imprescindible no es otra que las copias de seguridad de nuestros archivos digitales y es algo que he encontrado que en más de un despacho no se lleva a cabo por la falta de importancia de las mismas. Realizar la copia de seguridad es en la actualidad algo sumamente fácil ya que prácticamente todos los sistemas operativos, tanto móviles como de equipos informáticos te permiten hacer copias de seguridad de la información con carácter periódico, ya se realicen en la nube (Que es lo más habitual y de lo que hablaremos más adelante) o se realicen en otro servidor o sistema de almacenamiento que tengamos disponible, y que ya comenzará a generar nuestro propio sistema de privacidad con muy poco esfuerzo, ya que se realizan de manera automática.

A su vez, tenemos que tener en consideración que si tratamos datos especialmente protegidos (Datos sexuales, religiosos, políticos, sindicales, junto con las novedades del reglamento, datos genéticos y datos biométricos) es imprescindible que estas copias de seguridad se lleven a cabo en un lugar físico distinto a donde se encuentran los servidores principales donde guardamos la información.

2-El correo electrónico y las opciones de copia del mensaje.

Dentro del mundo de la abogacía uno de los elementos que usamos más asiduamente no es otro que el correo electrónico, asociados al mismo encontramos algún que otro error en lo que concierne al apartado de privacidad y en este sentido debemos hacer varias consideraciones:

Respecto al correo en si, gran parte de nosotros usamos cuentas de correo de google, el servicio conocido como Gmail o en su caso, un mapeado de nuestro dominio a través de google aps (Es decir usamos una cuenta de correo profesional, que está vinculada a nuestro despacho, pero que se aloja en los servidores de Google y tiene una apariencia similar a Gmail). Este tipo de comportamientos que no son en si un incumplimiento de la LOPD, ya que con ello se realizamos una transferencia internacional de datos  autorizada tras la entrada en vigor del Privacy Shield (O escudo de privacidad en castellano, pero me vais a permitir que deje el nombre en inglés, primero, porqué mola más, y segundo, porque no puedo evitar que tras el caso Snowden, el nombre me suene a pitorreo) pero el uso de este tipo de cuentas, aunque legal, no nos debe hacer olvidar un dato más que relevante, todos esos correos están siendo leídos por Google (Al que definitivamente se le olvidó eso del Don’t Be Evil) y es un hecho, que en función a la información que tratemos, no debemos olvidar bajo ningún concepto.

No obstante no está demás saber que las cuentas que pone a disposición el CGAE a través de aquí nos permiten cumplir con la normativa (Al menos desde la parte de transferencia de datos por lo que parece), te permiten recuperar correos más antiguos de lo habitual (Lo cual nos puede ser más que útil a efectos de usarlos como práctica probatoria) y son gratuitas, por lo que no está de más echarles un ojo (Conste que esto no es emplazamiento publicitario)

Visto primero el tema de los servidores de correo, otro de los errores comunes es a la hora de mandar correos el tema de las copias, es decir, parece que aun hay mucha gente a la que el tema de CCO o Con Copia Oculta no le suena, y es que si vamos a mandar un correo a varias personas y son nuestros clientes, no podemos darle el correo de los mismos a un tercero sin su consentimiento, por lo que la mejor manera de hacerlo es tramitarlo con la opcíon de copia oculta de tal modo que no cederemos a terceros la dirección de correo electrónico de ningún modo y nos cubriremos así en salud y también, la de la privacidad de nuestros clientes.

3- Uso de Whatsapp

Si antes decíamos que el correo electrónico se utiliza de una manera muy amplia,  de whatsapp que decir, pues que es el servicio de mensajería instantánea más utilizado en todo el mundo, y nosotros y nuestros clientes no van a ser menos de tal modo que es más que frecuente ver como muchos abogados se comunican con sus clientes a través de este sistema, sobre ello, mas que enrollarme más, os dejo este artículo aquí, donde veréis porque el uso de este sistema es ilegal a efectos de privacidad en nuestro apis, situación que no cambia con el nuevo reglamento, que sintetizando mucho, se circunscribe a que realiza transferencia internacional de datos no autorizada, no hay contrato de encargado del tratamiento ninguno al respecto y mucho menos con las mismas medidas que las que nosotros establezcamos, por no hablar de la posibilidad de uso publicitario de nuestras cuentas con la última actualización de la aplicación (Aunque ahora hayan reculado, al menos, formalmente)

4- Sistemas de almacenamiento en la nube

Antes hacía referencia , con respecto a las copias de seguridad a los sistemas de almacenamiento en la nube o Cloud, este no deja de ser un sistema a través del cual podemos almacenar información en un sistema de almacenamiento virtual, o como dice mi amiga Iurisfriky, guardar las cosas en el ordenador de otra persona, porque al fin y al cabo, no dejan de ser lo mismo, a través del sistema Cloud, lo que hacemos es almacenar la información en servidores de empresas terceras a lo largo del mundo que nos posibilitan su acceso, subida y descarga de información a través de Internet. Esta genialidad, porque nadie puede negar que cómodo es un buen rato, no está exenta de determinados riesgos a efectos de privacidad, ante todo, estamos almacenando y tratando información en los servidores de un tercero, por lo que debemos saber que medidas de seguridad se van a implantar en el mismo, y que como poco, sean las mimas que nosotros tenemos implantadas, donde se almacenará dicha información y como queda reflejada esa situación contractualmente, es decir, necesitamos tres elementos a los efectos de poder hacer un uso legal de este tipo de herramientas, que deben venir recogidos en el contrato de encargado del tratamiento.

Este contrato puede definirse conforme al artículo 3 G de la LOPD como:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

El nuevo reglamento de protección de datos por su parte establece lo siguiente con respecto a la figura del responsable delñ tratamiento:

El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:

  • a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  • b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • c) tomará todas las medidas necesarias de conformidad con el artículo 32;
  • d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
  • e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
  • f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
  • g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

En este sentido podemos ver como se han ampliado las responsabilidades y funciones de dicho encargado del tratamiento, aunque para lo que nos interesa, son 3 los elementos fundamentales que debemos considerar en este sentido:

  • La existencia del contrato, ya sea en un contrato propiamente inter partes, ya sea en las condiciones de contratación del propio servicio, donde se determine datos a tratar y como se hará dicho tratamiento, su nivel de protección y medidas de seguridad a implementar.
  • La ubicación física de los servidores donde se va a almacenar la información, ya que de encontrarse fuera del territorio de la UE, sería ilegal, salvo que estuviese vinculado a Privacy Shield, esto, lo podemos mirar en la web http://www.privacyshield.gov/list
  • Que las medidas de seguridad sean al menos, las mismas, a las que tu tienes establecidas en tus sistemas, dada la obligación que antes hemos mencionado que se establece con respecto a las mismas con los encargados del tratamiento

5- Contraseñas y demás medidas de seguridad

Que las normas establecidas a efectos de protección de datos son casi imposibles de cumplir no creo que extrañe a nadie, simplemente con ver el listado que el Reglamento Español de protección de datos establece, conozco más de uno que se marea o bosteza, o incluso las dos por partes iguales, no obstante, si que existen determinadas opciones que podemos llevar a cabo de forma cómoda y sin complicarnos mucho que nos pueden ayudar con este requisito del privacy by design and by defalult a la vez le sacamos más rendimiento a los datos que almacenamos de nuestros clientes.

a) Uso y cambio de contraseñas: Si bien no vamos a conseguir otro valor añadido que la consecución de la privacidad de los clientes, el hecho de tener distintas contraseñas para cada servicio o aplicación es un deber para un abogado, y si ya las cambiamos cada determinado tiempo, pues mejor que mejor. Y no, contraseñas como 1234, secreta o password no son buenas contraseñas para nada, si quieres saber como de segura es tu contraseña o aun mejor, como conseguir una contraseña segura, utiliza mayúsculas, letras, números y símbolos. Para hacer pruebas, nada mejor que https://howsecureismypassword.net/, donde puedes ir haciendo pruebas sobre como de segura es tu contraseña.

b) Custodia: El deber de diligencia a la hora de tratar los datos nos obliga a que usemos usuario y contraseña a la hora de acceder a los mismos, a no dejar nuestro equipo informático (Portátil , pc o incluso el móvil) disponible sin contraseña , es decir, tener diligencia a la hora de tratar los datos personales de nuestros clientes. A su vez, nos permitirá mantener la calidad de los datos que tan importante deben ser para nuestro trabajo.

C) Cifrado: Por cifrado debemos entender el hecho de que el contenido sólo sea accesible si se tiene la contraseña para poder ver la información, es decir, que no se transmita por texto plano. El ejemplo más claro y fácil es al momento de envíar información sobre nuestros clientes a terceros por correo electrónico, la misma debe estar cifrada, es decir, no ir en texto plano, circunstancia que podemos solventar de forma tan fácil como comprimiendo la información en un archivo .rar o .zip donde la contraseña sea sólo conocible por el receptor del correo electrónico.

Y respecto a medidas de seguridad podríamos estar largo rato hablando, las medidas de custodia, comunicación de datos etc… también son más que recomendables, no obstante, para empezar, con estas es más que suficiente.

Y con esto, que no es poco, os dejo hasta la próxima

Anuncios
Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: