La Ciberseguridad en los Despachos de Abogados. Parte 6 y última

La Ciberseguridad en los Despachos de Abogados

La Fuga de datos como ilícito Deontológico

Artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 5

Como señalábamos, este tipo de incidentes (“Fuga de Información del Despacho”), dentro del colectivo de la Abogacía tiene un componente añadido, como es el de la aplicación de la normativa deontológica, tanto desde el punto de vista de la prevención, como del sancionador, gracias a la cual se protegen los principios sobre los que se asienta el ejercicio de la profesión y, en particular, la obligación de no defraudar la confianza del cliente.

En este caso y, sin perjuicio de la eventual responsabilidad del despacho por los daños que pueda ocasionar a sus clientes, el actual “Código Deontológico” de la abogacía española contiene una serie de preceptos con incidencia directa en esta materia.

Código Deontológico de la Abogacía en España

En su Preámbulo señala: “El Abogado debe actuar siempre honesta y diligentemente, con competencia, con lealtad al cliente, respeto a la parte contraria, guardando secreto de cuanto conociere por razón de su profesión y si cualquier abogado así no lo hiciere, su actuación individual afecta al honor y dignidad de toda la profesión”.

Este deber de diligencia del abogado para con su cliente, también se contempla en el artículo 13.10 del Código Deontológico, cuando dice: “El abogado asesorará y defenderá a su cliente con diligencia y dedicación, asumiendo personalmente la responsabilidad del trabajo encargado, sin perjuicio de las colaboraciones que recabe”.

Estatuto General de la Abogacía Española

Por su parte el Estatuto General de la Abogacía española,
también se refiere a este deber de diligencia en varios de sus artículos.

Si bien a los efectos que ahora interesan destacan:

Artículo 42.1 y 2. En virtud del cual, “el abogado está obligado con la parte por él defendida, además de las que se deriven de sus obligaciones contractuales, a cumplir con la misión de defensa que se le encomienda, con el máximo celo y diligencia, y guardando el secreto profesional”.

Para ello, en el apartado 2 del artículo 42 se establece:

“el abogado realizará diligentemente las actividades profesionales que le imponga la defensa del asunto encomendado, ateniéndose a las exigencias técnicas, deontológicas y éticas adecuadas a la tutela jurídica del asunto en cuestión”.

Secreto Profesional

En todo este aspecto relativo a la “Fuga de Información”, cobra una especial relevancia todo lo relacionado con el Secreto Profesional, el cual se erige como Derecho y Deber primordial de la Abogacía.

Este tipo de “Obligaciones de Confidencialidad”, no son sólo personalísimas del abogado afectado, sino que también debe hacerlas extensivas al resto del personal del despacho y a todos sus colaboradores con carácter ilimitado en el tiempo.

A la vista de la existencia de riesgos derivados de la “Fuga de Información”, el artículo 21.1 del Código Deontológico obliga a la cobertura de su responsabilidad profesional con medios propios o con aseguramiento en cuantía adecuada a los riesgos que implique.

Pólizas de Seguro de Responsabilidad Civil

De ahí la importancia de que las Pólizas de Seguros de Responsabilidad Civil que se contraten, …

… cubran los eventuales daños causados por eventos provocados por ciberincidentes de esta naturaleza.

De Legalis Consultores sobre textos legales.

Y en especial sacados de la propia web de la Agencia Española de Protección de Datos (AEPD): www.aepd.es

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es
y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 5

La Ciberseguridad en los Despachos de Abogados. Parte 5.

“Gestión de la Fuga de Información”.

Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4

Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.

1.- Fase Inicial.

Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.

Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.

Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.

Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.

Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.

2.- Fase de Lanzamiento.

Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.

Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.

3.- Fase de Auditoría.

En esta Fase se trata de obtener la máxima información posible sobre el incidente.

Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:

A.- Cantidad de Información que ha podido ser sustraída.

B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.

C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.

D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.

Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.

E.- Determinar el alcance de la información sustraída.

F.- Establecer que información se ha hecho pública.

G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.

En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).

Imagen quienes somos

4.- Fase de Evaluación.

Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.

Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.

Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:

Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.

  • Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
  • Actuación con los afectados, ya sean internos o externos.
  • Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
  • Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
  • Examinar los activos de la organización que hayan podido ser afectados y su alcance.
  • Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.

5.- Fase de Mitigación

Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.

También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.

Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.

También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.

6.- Fase de Seguimiento

Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 1

La Información en los Despachos de Abogados

 Vamos a tratar en los próximos 6 artículos que iremos publicando a partir de hoy y durante todas las semanas, la importancia que tienen para los despachos de abogados, los “bienes intangibles”.

Sobre todo en lo que respecta a la INFORMACIÓN de los DESPACHOS DE ABOGADOS.

Dichos bienes deben ser debidamente protegidos de una manera fundamental.

Información. Bienes Intangibles

La INFORMACIÓN de los Despachos de Abogados, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines no deseados: extorsión, desprestigio…e incluso para comercializar con ella.

Por tanto, la Fuga de Información en los Despachos de Abogados, es una de las mayores amenazas a las que nos enfrentamos hoy en día.

Sobre todo porque la profesión de abogados se fundamenta en la Confianza que los clientes depositan en estos profesionales.

Estamos obligados a adoptar una serie de medidas que salvaguarden de la responsabilidad legal y deontológica a la que estamos sujetos como profesionales.

La Ciberseguridad

Por ello la Ciberseguridad debe ser un elemento indispensable en la estrategia de nuestro despacho. La protección frente a las amenazas: virus, daños informáticos, ataque a páginas web, fraude, robo de identidad online, destrucción de información… nos debe llevar a reaccionar con medidas de prevención para poder evitar o minimizar las filtraciones de información y la posible pérdida de imagen de nuestro despacho.

Cualquier incidencia de este tipo en nuestra organización, necesariamente va a afectar a terceras personas: clientes, proveedores u otros compañeros de profesión.

Tampoco deberemos de olvidar las posibles medidas que ayudan a la sensibilización, formación, concienciación y educación de todos los miembros de la organización.
Precisamente porque la mayoría de los datos son tratados por “personas”, es por ello que cada vez se producen ataques basados en la “ingeniería social” (p.ej. Suplantación de identidad del socio del despacho debido a la información que consta de él en las redes sociales), cuyo objetivo va a ser el engañar al personal de la organización o provocar errores en la gestión interna al objeto de que el Ciberataque tenga éxito.

En cuanto a la Ciberseguridad se dice que “el usuario es el eslabón más débil de la cadena”.

En el próximo artículo (parte 2), profundizaremos más sobre el aspecto real de la fuga de información dentro de los despachos de abogados.

De Legalis Consultores sobre textos de la materia publicados por la Agencia Española de Protección de Datos (AEPD) en su página oficial. Agencia de Protección de Datos.

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
Síguenos también por 
FACEBOOKwww.facebook.com/legalisconsultores.es
y en 
TWITTER@LegalisConsult
Gracias y…Te esperamos.

Cloud Computing en Despachos de Abogados y el Derecho a la Protección de Datos (II).

Cloud Computing (II).

Despachos de Abogados.

…Por tanto, como decía en mi anterior post (I), “el Consejo General de la Abogacía” y “la Agencia Española de Protección de Datos” (AEPD):

Han decidido elaborar un documento para señalar cuáles son los aspectos fundamentales y esenciales que deben tomarse en consideración por parte de los “Despacho de Abogados”
a la hora de contratar estos servicios de Cloud Computing para su actividad diaria y su relación con los clientes.

Antes de contratarlo se deben de tener en cuenta:

1.- La Responsabilidad del Despacho sobre el tratamiento de los datos, normativa y jurisdicción aplicada.

2.- Seguridad y Confidencialidad de los Datos.

3.- El Contrato de servicio del “Cloud Computing” tiene que firmarse tanto desde el punto de vista técnico como jurídico.

Se tendrá en cuenta lo establecido en la Ley 15/1999 de 13 de diciembre :

Ley Orgánica de Protección de Datos y de su Reglamento que lo desarrolla.

Serán Responsables del Tratamiento aquellos despachos que lo contraten ya que van a decidir sobre su finalidad, contenido y uso del tratamiento de los datos.

El Prestador del Servicio del Cloud Computing será el Encargado del Tratamiento.

El Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros tiene una gran importancia.

Secreto Profesional y Responsabilidad Ética y Jurídica.

Uno de los principios fundamentales de la protección de datos es el de la seguridad y un deber irrenunciable de la profesión de abogado es el “Secreto Profesional” y la “Responsabilidad Ética y Jurídica” de salvaguardar la información de los clientes y de los que disponga de la otra parte.

Se impone pues a los despachos de abogados una diligencia cualificada a la observancia por el proveedor de los servicios de todas las garantías legales relativas  a los requerimientos de seguridad exigidos en relación a los datos, documentos y actuaciones amparadas por ese Secreto Profesional.

El cifrado de los datos almacenados y las medidas de índole técnico y organizativos, los procedimientos de copias de seguridad, de migración de datos, de acceso a los mismos por personas autorizadas, auditorías, estructura de los ficheros, medidas de seguridad, copias de respaldo y de recuperación de los datos en los ficheros…

Es por todo ello  por lo que debe estar muy bien estipulado  todos estos elementos en el contrato entre el despacho y el proveedor de servicios.

 

Logotipo Legalis Consultores

Para más información  podrán encontrarla en www.aepd.es y en cloudcomputing@redabogacia.org

Si te ha gustado el artículo, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

Esta web utiliza cookies propias y de terceros para analizar nuestros servicios y mostrarle publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de sus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de sus datos para estos propósitos. Más informaciónPersonalizar Cookies   
Privacidad