La Ciberseguridad en los Despachos de Abogados. Parte 2

La seguridad en los Despachos de Abogados. Parte 2

Artículo anterior:  Ciberseguridad en Despachos de Abogados (I)

Amenazas. Origen Interno y Externo

Seguimos con los artículos dedicados a la seguridad en los despachos de abogados. Hoy vamos a tratar el segundo artículo de un total de 8, dedicado a la Fuga de Información.
La protección de la Información, se debe articular en base a tres principios básicos:
1.- CONFIDENCIALIDAD. La Información del Despacho solo será accesible por el personal autorizado.
2.- INTEGRIDAD de la INFORMACIÓN. Es decir, que dicha información sea correcta, y esté libre de modificaciones y errores.
Que no haya sido objeto de alteraciones o modificaciones malintencionadas, ya que supondría un riesgo si estamos basando nuestras decisiones en ellas.
3.- DISPONIBILIDAD. La información estará accesible para las personas o sistemas autorizados, cuando sea necesario.

Fuga de Información en los Despachos de Abogados

También llamamos Fuga de Información a la pérdida de la confidencialidad, de manera que personal del despacho que no esté autorizado, accede a dicha información privilegiada.
Las consecuencias de una Fuga de Información de nuestro despacho van a ser siempre negativas: Por un lado, en lo que se refiere a la Reputación del Despacho, dañará la imagen pública del mismo, generando desconfianza e inseguridad en los clientes y, por otro lado, la publicación de la información puede generar consecuencias a terceras personas, cuyos datos se hayan hecho públicos.

Por otra parte hay un conjunto de normas y leyes, que ponen especial atención al uso y tratamiento de datos de carácter personal:

  • Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal. Más conocida como LOPD.
  • Su Reglamento de desarrollo: Real Decreto 1720/2007, de 21 de diciembre.
  • El recientemente publicado Reglamento Europeo 2016/679 de 27 de abril, de Protección de Datos y que será de obligado cumplimiento a partir del 25 de mayo de 2018. (RGPD).

En esta última norma destaca la Obligación de Seguridad en el tratamiento de los datos y que está recogido en el artículo 32 (apartado 1 y 2):

Artículo 32. (RGPD):

1.-Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Despachos de Abogados. Seguridad en la Información.
Despachos de Abogados. Seguridad en la Información.

Competencias

Por lo tanto en relación a la competencia para conocer este tipo de situaciones, La Agencia Española de Protección de Datos (AEPD), es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre Protección de Datos.

Sus competencias son garantizar y tutelar el Derecho Fundamental a la Protección de Datos de carácter personal de los ciudadanos.

Reglamento Europeo de Protección de Datos

El Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el Responsable de Tratamiento y que vienen recogidos en los Considerandos 85 al 87 y en los artículos del Reglamento 33 y 34, donde se establece la obligación por parte del Responsable de Tratamiento de que, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que tenga constancia, de comunicarlo a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (p.ej. Porque tales datos iban cifrados…).
También deberá comunicar al afectado, en caso de que pueda entrañar un grave riesgo para sus derechos y libertades, manteniendo le en todo momento informado sobre las acciones y gestiones que se vayan produciendo. (Artículo 34 del RGPD).

Por lo tanto, este deber de información se producirá a fin de que el afectado pueda cambiar las contraseñas, números secretos de las tarjetas de crédito o cuentas bancarias y correos electrónicos.

En el próximo post trataremos entre otros asuntos EL ORIGEN DE LAS AMENAZAS

De Legalis Consultores, sobre textos de la propia Agencia Española de Protección de Datos (AEPD) sobre la materia y publicados en su página web.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOKwww.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER@LegalisConsult

Gracias y…Te esperamos

2ª Parte. Las Empresas y La Protección de Datos.

Las Empresas y La Protección de Datos.

2ª parte.

Vamos a definir cada una de las figuras que aparecen en la Ley para entender bien sus responsabilidades.

Vamos a analizar en este post la figura del «Responsable de Ficheros» y sucesivamente iremos también analizando al «Personal de la Empresa» y los «Usuarios».

Toda Empresa necesita tener acceso a una información determinada que es vital para el desarrollo de su actividad, y esa información es aquella que utilizarán los trabajadores
(en función del puesto que ocupen).

La Sociedad de la Información ha supuesto la llegada de nuevos riesgos para la empresa:

Derechos de Autor, Derecho Intelectual, Patentes, Marcas

Centros de Trabajo.

Los Centros de Trabajo han experimentado un incremento en cuanto al uso de tecnologías informáticas que permiten un tratamiento de la información capaz de generar todo tipo de procesos.

El “tratamiento de los datos personales” es uno de los avances que han proporcionado las nuevas tecnologías aplicadas al trabajo.
Las empresas también se preocupan de proteger sus “recursos”.
La información de las empresas, sus clientes, sus proveedores y todos los datos de las empresas, posiblemente sean el mejor “activo” de las mismas.

El control de los recursos de una empresa supone la concienciación de su personal.

Actualmente las empresas, por lo general, vigilan el comportamiento de su personal para el desarrollo de su trabajo,
para que sea lo más correcto posible.

El Control que las empresas realizan a sus trabajadores implica el tratamiento de datos personales, y frente a este tratamiento, los trabajadores también tienen sus derechos.

1.- RESPONSABLE DE FICHEROS.

El responsable de ficheros es toda aquella persona física o jurídica, pública o privada u órgano de la administración que decide sobre la finalidad, contenido y uso del tratamiento de datos.
Es aquella que ha creado un “fichero de datos” para un fin concreto.

La finalidad y uso de cada fichero deben de conocerse por parte de los empleados.

Los titulares de los ficheros deberán de identificarlos y registrarlos en la Agencia Española de Protección de Datos. (A.E.P.D.),
y cumplir con las medidas de seguridad que necesariamente se deben de implementar.

Una vez creado el fichero, se procederá a la recogida de datos para incorporar al fichero creado.

Toda actividad contraria a lo anteriormente descrito será ilegal.
Los ficheros de datos del responsable de ficheros contienen datos personales, de clientes, proveedores, empleados, etc… Estos son los considerados “Interesados” o “Afectados”.

Responsabilidades del Responsable de Ficheros:

Un trabajador o usuario de los sistemas de datos personales de las empresas no son los responsables de ficheros.

La responsabilidad del correcto uso de los datos será del Responsable del Fichero aunque el mal uso haya venido por parte de un trabajador.

Otra cosa es que a nivel interno, y a posteriori, el responsable de ficheros depure responsabilidades con dicho trabajador.

Es por ello fundamental que la empresa destine los recursos necesarios para la “concienciación” del personal que tiene acceso a datos personales y los somete a tratamiento.

Es el responsable de ficheros quien está obligado a proporcionar todas las medidas necesarias para garantizar la mayor seguridad de la información de la que es propietario y gestor.

Deberá contar además con una buena auditoría (necesaria cada periodo bianual, sobre todo en aquellos casos de utilizar datos de nivel Alto) en materia de protección de datos y seguridad informática para cumplir con la legislación.

A parte de la concienciación al personal trabajador deberá también minorizar los riesgos que se traducirá al final en un beneficio para la empresa.

De Legalis Consultores.

 

Logotipo Legalis Consultores

Legalis Consultores.

Si te ha gustado el artículo sobre Protección de Datos en la Empresa, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos  por FACEBOOK: www.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER: @LegalisConsult

Gracias y…Te esperamos.