La Ciberseguridad en los Despachos de Abogados. Parte 6 y última

La Ciberseguridad en los Despachos de Abogados

La Fuga de datos como ilícito Deontológico

Artículo anterior: La Ciberseguridad en los Despachos de Abogados. Parte 5

Como señalábamos, este tipo de incidentes (“Fuga de Información del Despacho”), dentro del colectivo de la Abogacía tiene un componente añadido, como es el de la aplicación de la normativa deontológica, tanto desde el punto de vista de la prevención, como del sancionador, gracias a la cual se protegen los principios sobre los que se asienta el ejercicio de la profesión y, en particular, la obligación de no defraudar la confianza del cliente.

En este caso y, sin perjuicio de la eventual responsabilidad del despacho por los daños que pueda ocasionar a sus clientes, el actual “Código Deontológico” de la abogacía española contiene una serie de preceptos con incidencia directa en esta materia.

Código Deontológico de la Abogacía en España

En su Preámbulo señala: “El Abogado debe actuar siempre honesta y diligentemente, con competencia, con lealtad al cliente, respeto a la parte contraria, guardando secreto de cuanto conociere por razón de su profesión y si cualquier abogado así no lo hiciere, su actuación individual afecta al honor y dignidad de toda la profesión”.

Este deber de diligencia del abogado para con su cliente, también se contempla en el artículo 13.10 del Código Deontológico, cuando dice: “El abogado asesorará y defenderá a su cliente con diligencia y dedicación, asumiendo personalmente la responsabilidad del trabajo encargado, sin perjuicio de las colaboraciones que recabe”.

Estatuto General de la Abogacía Española

Por su parte el Estatuto General de la Abogacía española,
también se refiere a este deber de diligencia en varios de sus artículos.

Si bien a los efectos que ahora interesan destacan:

Artículo 42.1 y 2. En virtud del cual, “el abogado está obligado con la parte por él defendida, además de las que se deriven de sus obligaciones contractuales, a cumplir con la misión de defensa que se le encomienda, con el máximo celo y diligencia, y guardando el secreto profesional”.

Para ello, en el apartado 2 del artículo 42 se establece:

“el abogado realizará diligentemente las actividades profesionales que le imponga la defensa del asunto encomendado, ateniéndose a las exigencias técnicas, deontológicas y éticas adecuadas a la tutela jurídica del asunto en cuestión”.

Secreto Profesional

En todo este aspecto relativo a la “Fuga de Información”, cobra una especial relevancia todo lo relacionado con el Secreto Profesional, el cual se erige como Derecho y Deber primordial de la Abogacía.

Este tipo de “Obligaciones de Confidencialidad”, no son sólo personalísimas del abogado afectado, sino que también debe hacerlas extensivas al resto del personal del despacho y a todos sus colaboradores con carácter ilimitado en el tiempo.

A la vista de la existencia de riesgos derivados de la “Fuga de Información”, el artículo 21.1 del Código Deontológico obliga a la cobertura de su responsabilidad profesional con medios propios o con aseguramiento en cuantía adecuada a los riesgos que implique.

Pólizas de Seguro de Responsabilidad Civil

De ahí la importancia de que las Pólizas de Seguros de Responsabilidad Civil que se contraten, …

… cubran los eventuales daños causados por eventos provocados por ciberincidentes de esta naturaleza.

De Legalis Consultores sobre textos legales.

Y en especial sacados de la propia web de la Agencia Española de Protección de Datos (AEPD): www.aepd.es

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es
y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

La Ciberseguridad en los Despachos de Abogados. Parte 5

La Ciberseguridad en los Despachos de Abogados. Parte 5.

«Gestión de la Fuga de Información».

Post anterior: Ciberseguridad en Despachos de Abogados. Parte 4

Vamos a analizar el Plan para la Gestión de la Fuga de Información a tener en cuenta en un Despacho de Abogados, para reforzar su capacidad de prevención y de acción ante un incidente de estas características.

1.- Fase Inicial.

Los momentos inmediatamente posteriores a la detección de una Fuga de Información son especialmente críticos.

Una adecuada y rápida gestión en las primeras fases pueden suponer una eficaz reducción del impacto del incidente y una minimización de sus efectos.

Por lo tanto, una vez tengamos conocimiento del incidente, deberemos informar internamente de la situación, activando el Protocolo de Actuación que tengamos diseñado en nuestra organización para estos casos.

Hay que incidir en la “prudencia” y “confidencialidad”.
Si la Fuga de Información conlleva Datos Personales, el Reglamento Europeo de Protección de Datos recoge que el Responsable de Tratamiento tiene obligación de comunicar la violación de seguridad ante la Agencia Española de Protección de Datos en las 72 horas siguientes a haber tenido conocimiento de que se ha producido la misma.

Además deberá comunicar al interesado si ésta entraña un alto riesgo para sus derechos y libertades.

2.- Fase de Lanzamiento.

Habrá que convocar a los miembros del Comité o Gabinete de Crisis, es decir, al equipo de gestión, responsable de tomar las decisiones durante este proceso.

Hay que mantener la calma y actuar de forma coordinada y organizadamente, a fin de evitar decisiones incorrectas o que puedan provocar consecuencias negativas adicionales.

3.- Fase de Auditoría.

En esta Fase se trata de obtener la máxima información posible sobre el incidente.

Por eso es necesario llevar una Auditoría Interna con el objeto de determinar:

A.- Cantidad de Información que ha podido ser sustraída.

B.- El tipo de Datos. Si son datos de carácter personal y de que nivel.

C.- Examinar si la información es de la misma entidad o es externa, con especial consideración a los datos de nuestros clientes.

D.- Establecer y acotar la causa principal de la filtración. Si tiene un origen técnico o humano.

Además de la Auditoría Interna, habrá que realizar una Auditoría Externa, con el objeto de conocer el tamaño, gravedad y nivel de difusión de la filtración en el exterior de la organización.

E.- Determinar el alcance de la información sustraída.

F.- Establecer que información se ha hecho pública.

G.- Recoger las noticias y otros contenidos que hayan aparecido en los medios de comunicación o redes sociales.
H.- Conocer las reacciones.

En esta Fase el tiempo de reacción es crítico. (Plazo no superior a 12 horas desde que se ha conocido el incidente).

Imagen quienes somos

4.- Fase de Evaluación.

Es por ello que, con toda la información recopilada, se podrá iniciar el proceso de valoración del incidente, así como sus posibles consecuencias e impacto.

Es recomendable establecer las tareas a emprender, así como una planificación detallada para cada una de ellas.
También se debe de actuar con agilidad.

Dentro de las principales tareas de Ciberseguridad, se encuentran las siguientes:

Actuaciones para cortar la filtración y evitar nuevas Fugas de Información.

  • Revisión de la difusión de la Información y mitigación de la misma. En especial si se trata de información confidencial o datos de carácter personal.
  • Actuación con los afectados, ya sean internos o externos.
  • Tareas para la mitigación de las consecuencias legales o posibles incumplimientos de la normativa de Protección de Datos de carácter Personal o de otra normativa.
  • Determinación de consecuencias económicas que puedan afectar a la organización y su posible mitigación.
  • Examinar los activos de la organización que hayan podido ser afectados y su alcance.
  • Planificación del contacto y la coordinación con los cuerpos y fuerzas de seguridad del estado.

5.- Fase de Mitigación

Esta fase se centra en tratar de reducir la brecha de seguridad y evitar que se produzcan nuevas Fugas de Información en el menor tiempo posible.

También en esta Fase se trata de mitigar la difusión de la información sustraída, en especial si se encuentra publicada en internet.

Se contactará con los sitios que han publicado la información, con los motores de búsqueda, y se solicitará su retirada, en especial si se tratase de información sensible o protegida por el secreto profesional o la Ley de Protección de Datos.

También se pondrá el incidente en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado (Policía y Guardia Civil) o de la Fiscalía de Cibercriminalidad Informática y también hay que ponerlo en conocimiento de la Agencia Española de Protección de Datos (AEPD).
Convendría además que se ponga en conocimiento del propio Colegio de Abogados, si se considerase adecuado por la gravedad del incidente o de la cantidad o calidad de los datos afectados.

6.- Fase de Seguimiento

Una vez completadas las Fases anteriores, se procederá a evaluar el resultado y la efectividad de las acciones realizadas en relación con las consecuencias y su impacto.
Se podrá realizar en esta fase una Auditoría más completa de Ciberseguridad, a partir de la cual se puedan diseñar e implementar medidas definitivas para evitar nuevas Fugas y restablecer el normal funcionamiento de los servicios e infraestructuras que pudieran haberse visto afectadas.

De Legalis Consultores (Ignacio Puig Carles) sobre varios textos jurídicos sobre la materia y en especial de la página web de la Agencia Española de Protección de Datos.

Legalis Consultores

Logotipo Legalis Consultores

Te agradeceríamos puedas compartir en tus redes sociales este artículo sobre“Ciberseguridad en los Despachos de Abogados. Parte 5y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Síguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

 

Revelación de Secretos (Parte 3)

  

Revelación de Secretos (Parte 3)

Artículo 197 del Código Penal español

Seguimos con el artículo 197 de nuestro Código Penal Español y, en concreto en su apartado 5 establece que:

Si los delitos contemplados en los apartados 1 y 2, que ya vimos en el primer segundo post sobre este tema:

Revelación de Secretos. Parte I  Revelación de Secretos. Parte II

se realizasen por personas encargadas o responsables de ficheros o soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de tres a cinco años y, en el caso que esos datos reservados se difundiesen, cediesen o revelasen, se impondrá la pena en su mitad superior.

Vemos la relación intrínseca con la Protección de Datos y la responsabilidad de los responsables de ficheros de salvaguardar citados datos.

En el punto 6 apunta que igualmente:

Cuando los hechos delictivos de los apartados anteriores afectasen a datos de carácter personal que revelen:

“ideología”, “religión”, “creencias”, “SALUD”, “origen racial” o “vida sexual”, o la victima fuese un menor o incapaz,
se impondrán las penas en su mitad superior.

El apartado 7 trata de estos mismos hechos pero en aquellos supuestos que haya un fín lucrativo y en el apartado 8 cuando se producen por parte de un grupo criminal u organización.

Artículo 198 del Código Penal español

El artículo 198 del mismo Código Penal trata de cuando la Autoridad o Funcionario Público que,
fuera de los casos contemplados por la ley y, sin mediar causa legal por delito, prevaleciéndose de su cargo, realizase cualquiera de las conductas descritas en el artículo 197,
será castigado con las mismas penas previstas en el mismo pero en su mitad superior,
además de la “Inhabilitación Absoluta” por tiempo de seis a doce años.

Artículo 199 del Código Penal español

Hay que mencionar también el artículo 199 del mismo código respecto a lo que traté en mi primer post y es el referido a los profesionales que incumplen su “deber de sigilo” o “reserva” y divulguen dichos secretos profesionales de sus clientes a terceras personas,
donde al margen de poder ser condenados a penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses,
podrán ser inhabilitados para su profesión por un periodo de dos a seis años.

Y hasta aquí terminamos con el “Delito de Descubrimiento y Revelación de Secretos”,
dentro de los “Delitos contra la Intimidad”.

De Legalis Consultores (Ignacio Puig Carles)

Logotipo Legalis Consultores

Legalis Consultores

Si te ha gustado el artículo, te agradecería lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

Siguenos también por FACEBOOK: www.facebook.com/legalisconsultores.es

y en TWITTER: @LegalisConsult

Gracias y…Te esperamos.

Las Empresas y la Protección de Datos.(VI). Los Afectados (1ª parte).

Las Empresas y la Protección de Datos. Los Afectados (I).

Apuntes Jurídicos.

Los «afectados» o «interesados» son las personas físicas titulares de los datos personales que vayan a ser objeto de tratamiento.

Es decir, las personas que forman parte de un fichero de datos o cuyos datos personales se vayan a someter a tratamiento.

“Tratamiento” son las operaciones y procedimientos técnicos, automatizados o no, que permiten la recogida, grabación, conservación, elaboración, bloqueo y cancelación, así como la cesión de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

En las Empresas serían pues:

Los clientes, Proveedores, candidatos que aspiran a un puesto de trabajo en la entidad, Empleados, Colaboradores…

Debemos tener en cuenta que el Responsable de Ficheros es el titular de los ficheros, fue quien los creó, por ello deberá informar a los “afectados” y les debe de comunicar la finalidad del tratamiento, usos, destinatarios de los datos y la posibilidad de ejercer los derechos de acceso, rectificación, cancelación u oposición (Derechos A.R.C.O.).

Es por ello que los “afectados” tienen una serie de mecanismos legales en defensa de sus derechos.
El personal o “afectado” no responderá en el procedimiento administrativo de la Agencia Española de Protección de Datos de posibles “infracciones”.

Otra cosa es que por la vía Civil o Penal es donde la empresa podría pedir todo tipo de responsabilidades.

El Personal que somete datos a tratamiento debe:

  • Guardar el “Deber de Secreto” (art. 10 de la LOPD).
  • Guardar el “Secreto Profesional”, aún después de finalizar la relación laboral con el Responsable de Ficheros. Independientemente del nivel de seguridad.

Cuando se trata datos personales por terceros ajenos a la empresa (por ejemplo Una Asesoría Fiscal…),
se debe de celebrar un contrato que se guardará en el “documento de seguridad”.

Los empleados forman parte de un fichero: De Personal de la Empresa, De Recursos Humanos (RR.HH) es el Responsable de Ficheros quien le pone el nombre de su registro.

En ese momento el personal debe de ser informado de que sus datos quedan archivados en dicho fichero.

Los que tratan datos personales o información reservada deberán firmar un contrato o “compromiso de confidencialidad” que está relacionado con el deber de secreto.

El Código Penal reconoce como delito conductas que se refieren a la protección de datos y al apoderamiento de bases de datos personales, utilizarlas o modificarlas, sin estar autorizados o en beneficio de otros.

(art.197 y siguientes del Código Penal) .

En el próximo artículo trataremos también el tema de los Afectados: Las empresas y la Protección de Datos (2ª parte).
De Legalis Consultores (sobre apuntes de la AEPD).

 

Logotipo Legalis Consultores

Legalis Consultores.

Si te ha gustado el artículo, nos gustaría lo puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es

También, puedes seguirnos por FACEBOOK: www.facebook.com/legalisconsultores.es

Además, estamos presentes en TWITTER: @LegalisConsult

Gracias y…Te esperamos.