31 Oct Ni los colegios de abogados cumplen la ley: España no cifra los datos de los usuarios
Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una gran cantidad de empresas y Administraciones Públicas, pero muchas de ellas no lo hacen por desidia o desconocimiento.
Dentro de nuestras fronteras deben cifrar su información todos los sujetos que traten datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Sin embargo, el número es un poco más generoso ya que se debe incluir también a otros muchos, como por ejemplo todos los que manejen ficheros de datos personales o realicen los tratamientos de datos de carácter personal que se indican en el artículo 81.3 RLOPD, los abogados en el ejercicio de su profesión, las Administraciones Públicas en cumplimiento del Esquema Nacional de Seguridad o las empresas que acepten el BYOD, por poner sólo algunos ejemplos.
A pesar de las consecuencias que puede acarrear no cifrar los datos (los artículos 44 y 45 de la LOPD prevén sanciones de hasta 600.000 euros), algunas empresas y organismos públicos no lo hacen. Uno de estos sectores es, paradójicamente, el de los colegios de abogados.
El Ilustre Colegio de Abogados de Madrid por ejemplo proporciona una herramienta profesional de correo eléctronico que envía a cada colegiado el usuario y contraseña en texto plano y ofrece un sistema de envío de correos por defecto sin cifrar. Que por cierto, la mayoría utiliza. Pero no son los únicos. Según ha explicado el director general de Sophos Pablo Teijeira a este periódico “del top 10 de bufetes de abogados que hay en España, sólo dos cifran sus datos”.
La razón de que sean tantos los que incurran en este grave error está en que el órgano encargado de suministrar este servicio al Colegio de Abogados de Madrid es el mismo que lo hace a la inmensa mayoría que hay en España: el Consejo General de la Abogacía. Preguntado al respecto, Pere Lluis Huguet, presidente de la Comisión de Informática de la Abogacía, ha reconocido que efectivamente el correo viene por defecto sin cifrar, pero que el verdadero problema no es del servicio (ya que también disponen de otro más seguro que nadie utiliza), sino de concienciación de los propios abogados. “Da igual qué plataforma ofrezcamos porque la mayoría de despachos que conozco al final utiliza para trabajar servicios de correo tan inseguros como Yahoo, Hotmail o Google sin cifrar. Desde el Consejo General de la Abogacía llevamos tiempo luchando para que esta realidad cambie”.
Según Pablo Fernández Burgueño, socio del despacho Abanlex, “los abogados utilizan este tipo de correos para recibir y enviar información sensible de sus clientes, información que tiene que ir cifrada. Al no estarlo incumplen la Ley de Protección de Datos y ponen en riesgo el derecho del cliente a no declarar contra sí mismo en caso de que le sustraigan la información, además de exponerse a multas y ser expulsados del propio Colegio”.
“Si, por ejemplo, un abogado tiene un cliente que es culpable de un delito pero que el tribunal le ha declarado inocente, y le sustraen información incriminatoria guardada sin cifrar, podrían reabrir el caso incurriendo el letrado en distintos delitos como el de conservar las cosas con el máximo deber del secreto”, ha añadido.
¿Un problema de ignorancia o de la plataforma tecnológica?
Francisco J. López, director de Tecnología del Consejo General de la Abogacía Española, ha explicado que, a pesar de que por defecto los datos no vayan cifrados, los abogados pueden elegir que sí lo estén en otro servicio del Programa Cliente de correo. El problema es que para cifrar los datos el jurista necesita que el cliente también se haya creado un certificado y se lo envíe. Algo que, según Burgueño casi nadie está dispuesto a hacer y por si fuera poco muchos desconocen, entre otras cosas por la falta de información de la propia plataforma.
La primera vez que en Teknautas pusimos a prueba esta herramienta comprobamos que, efectivamente, el correo muestra una pestaña de Correo seguro al hacer click en Propiedades. En esta opción se puede crear una nueva contraseña y obtener un certificado avanzado de firma electrónica. Es decir, un certificado con el que, en principio, se podría llegar a cifrar. Pero tras redactar un correo y pulsar el botón Cifrar el servicio generó este error: Insufficient directory access rights.
Tras probar el mismo sistema desde varios navegadores, obtuvimos el mismo resultado que se habría encontrado un abogado cualquiera. Es decir, ninguno. También lo intentamos con y sin la firma electrónica. Pero nos resultó imposible. Según el correo que nos enviaron con el usuario y contraseña, debería haber instrucciones en la web del ICAM. Las buscamos y encontramos un documento en el que no se daba ninguna indicación.
Buscamos la solución en la web de CommuniGate. Lo que encontramos fue a otros usuarios quejándose de que la contraseña estuviera en texto plano e indicaciones de que esta versión flash, que es la que usa el ICAM, no permite el uso de cifrados SSL, por lo que cada usuario tiene que cifrar por su cuenta. Al solicitar a un abogado al azar que enviase un correo cifrado desde esta plataforma le ocurrió lo mismo. Tras no saber hacerlo aseguró que “todo esto se podría solucionar creando una herramienta más sencilla o directamente contratando una solución de cifrado por defecto. De esta forma los abogados no tendríamos tantos problemas”.
Al respecto, Francisco J. López ha reconocido que “es posible que muchos abogados pueden incurrir en incumplimiento de la Ley de Protección de Datos si no utilizan adecuadamente las herramientas informáticas, el correo y otras. Pero no sólo los abogados, también los ingenieros o los funcionarios o cualquier otro colectivo. Es muy importante concienciar a todos de la importancia de la privacidad y seguridad en los medios electrónicos”.
Los otros sectores que tampoco cifran los datos
El robo de datos a las empresas está a la orden del día. Un ejemplo lo tenemos en JP Morgan, donde los ciberdelincuentes accedieron a los datos de 76 millones de clientes. Para Pablo Teijeira, “además de contar con servicios de protección de red, es muy importante que las empresas cifren la información susceptible de ser sustraída, para así preservar la confidencialidad de la información”.
Los colegios de abogados no son los únicos que incumplen la normativa. La Administración Pública tampoco se libra. Según Teijeira este sector es, tras el de la abogacía, el que menos tiene en cuenta el cifrado de datos. “Hay excepciones, pero la regla general es que no la lleven a cabo”. Y lo mismo sucede con multitud de empresas.
Según un experto en consultoría y auditoría que ha preferido mantener el anonimato, “la mayoría de clientes que nos llegan solicitando información no cumple con algún requisito. Y el cifrado de datos es uno de ellos. Las compañías anteponen la comodidad a la seguridad. Y la seguridad nunca es cómoda. En una ocasión una empresa me llegó a decir que, si tenía que cumplir con todas las normas, prefería cerrar y marcharse a otro país”.
Cifrar los datos no es complicado. Lo único que hay que hacer es contratar una solución cualquiera e instalarla. Exactamente igual a como se hace con un programa de antivirus. El problema, según Cristina Sirera, abogada especializada en protección de datos y privacidad en Elzaburu, es que “la Ley de Protección de Datos es de difícil cumplimiento en toda su amplitud. Son tantas las reglas que es muy complicado que las empresas las cumplan todas”.
La Agencia Española de Protección de Datos (AEPD) es la encargada de velar por el cumplimiento de esta normativa, aunque normalmente actúa a través de denuncia. Preguntados al respecto, han señalado que “la responsabilidad del cifrado es siempre del que trata los datos. Lo normal es que alguien interponga alguna denuncia, pero en cualquier caso tenemos potestad para actuar de oficio”.
Fuente: El Confidencial