La Ley Orgánica de Protección de Datos 15/1999 en su artículo 9 instaba al Responsable de Fichero a adoptar medidas técnicas y organizativas para evitar, genéricamente, el acceso no autorizado a datos. Según el Reglamento de Desarrollo RD 1720/2007, dependiendo de la forma de tratamiento de los datos, esas medidas podían ser meramente físicas. En el caso en el que el tratamiento de los datos es automatizado, la gestión y distribución de los soportes y dispositivos de tratamiento de datos exige el cifrado de los datos como medida a implantar en los ficheros de nivel alto de seguridad.

El nuevo Reglamento Europeo UE 2016/679, en su artículo 32, vuelve a dirigir nuestra atención al cifrado de datos personales. A pesar de que deja en manos del responsable de tratamiento la libertad de decidir, en función del “estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas”, las medidas técnicas y organizativas a aplicar, una de ellas sería también el cifrado de datos personales.

El espíritu del nuevo RGPD está enfocado a utilizar desde un inicio estrategias y políticas internas de protección de datos desde el diseño y por defecto, lo que en mi opinión supone ser ambicioso en la consecución de un estándar cualitativo. El responsable de tratamiento debe interiorizar como parte de su filosofía de trabajo estos criterios y asumirlos como una ventaja de su organización en lugar de un mal necesario.

Dificultad operativa de la encriptación o cifrado

Comencemos por la definición del término. Según la Real Academia Española de la Lengua, “encriptar” es una palabra de origen griego pero incorporada desde el inglés, que se debe sustituir por la castellana “cifrar”, en su acepción “transcribir con una clave”. No obstante, el hecho de que utilicemos habitualmente una clave para acceder a alguna información no significa que esa información esté debidamente protegida.

Como ejemplo podemos recordar el hecho de que, cuando establecíamos una contraseña de usuario para inicio de sesión en el sistema operativo Windows 98, podíamos saltarla pulsando la tecla ESC de nuestro teclado. Por tanto, de manera genérica, los archivos almacenados en nuestro ordenador con Windows 98 protegidos con contraseña de inicio de sesión estaban, a efectos prácticos, desprotegidos.

El asesoramiento de un profesional de sistemas informáticos enfocará la aplicación de medidas de seguridad a 3 distintos niveles: físico, sistema y aplicación. Por ejemplo:

  • Establecer medidas que impidan el acceso físico a los dispositivos y soportes que almacenen la información.
  • Sistemas lógicos de almacenamiento de archivos que cifren y limiten el acceso a la información a condición de una adecuada identificación y autenticación de usuario, según su perfil.
  • Aplicaciones de acceso local o remoto que no generen una caché en el dispositivo y que igualmente exijan identificación y autenticación de usuarios, limiten los intentos reiterados de acceso denegados, controlen los tiempos de disponibilidad de la información, registren todo intento de acceso a la información y se restrinja el tipo de información accedida según el perfil del usuario.

La automatización en la incorporación de esta batería de medidas será clave para la percepción de las mismas como un beneficio. Utilizar identificación biométrica del usuario es mucho más rápido y efectivo que las claves alfanuméricas de un teclado, pero supone adoptar medidas especiales de seguridad sobre el almacenamiento de las mismas. Y de ningún modo ofrecer la posibilidad de almacenamiento automático de contraseñas, ya que su efectividad sería nula.

Por otro lado, no olvidemos que el nuevo Reglamento Europeo de Protección de Datos exige en muchos casos una evaluación de impacto relativa a Protección de Datos, por la que se deberá auditar la vulnerabilidad de nuestros sistemas, de manera técnica. Un auditor de sistemas pondrá a prueba la protección contra intrusiones, la capacidad de soportar ataques de stress que paralicen nuestros servidores, la complejidad requerida de las contraseñas de usuarios y la posibilidad de accesos genéricos… En definitiva, que la respuesta a la pregunta sobre las posibilidades de pérdida o robo de información por medios físicos o informáticos sea IMPROBABLE.

El motivo de este interés en estas evaluaciones reside en el Artículo 34 del Reglamento: “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”. Ahora piense usted (sí, usted), los costes de estas comunicaciones no desde el punto de vista económico en primera instancia, sino de imagen de su empresa. Qué pensará de usted su cliente cuando le diga que sus datos han volado o se los ha podido llevar alguien. Ahora nos hemos entendido. Y evitaríamos esta comunicación cifrando los datos.