Es noticia
Ni los colegios de abogados cumplen la ley: España no cifra los datos de los usuarios
  1. Tecnología
pocos cumplen las normas de protección de datos

Ni los colegios de abogados cumplen la ley: España no cifra los datos de los usuarios

Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española. Sin embargo, empresas privadas y públicas incumplen la LOPD

Foto:

Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una gran cantidad de empresas y Administraciones Públicas, pero muchas de ellasno lo hacen por desidia o desconocimiento.

Dentro de nuestras fronteras deben cifrar su información todos los sujetos que traten datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Sin embargo, el número es un poco más generosoya que se debeincluir también a otros muchos, como por ejemplo todos los que manejen ficheros de datos personales o realicen los tratamientos de datos de carácter personal que se indican en el artículo81.3 RLOPD, los abogados en el ejercicio de su profesión, las Administraciones Públicas en cumplimiento del Esquema Nacional de Seguridad o las empresas que acepten el BYOD, por poner sólo algunos ejemplos.

El Ilustre Colegio de Abogados de Madrid por ejemplo proporciona una herramienta profesional de correo eléctronico que envía a cada colegiado el usuario y contraseña en texto plano y ofrece un sistema de envío de correos por defecto sin cifrar. Que por cierto, la mayoría utiliza. Perono son los únicos.Según ha explicado eldirector general deSophosPablo Teijeira a este periódico "deltop 10de bufetes de abogados que hay en España, sólo dos cifran sus datos".

La razón de que sean tantos los que incurran en este grave error está en que el órgano encargado de suministrar este servicio al Colegiode Abogados de Madrid esel mismo que lo hace a la inmensa mayoría que hay en España:el Consejo General de la Abogacía. Preguntado al respecto, Pere Lluis Huguet, presidente de la Comisión de Informática de la Abogacía, ha reconocido que efectivamente el correo viene por defecto sin cifrar, pero que el verdadero problema no es del servicio (ya que también disponen de otro más seguro que nadie utiliza), sino de concienciación de los propios abogados. "Da igual qué plataforma ofrezcamos porque la mayoría de despachos que conozco al final utilizapara trabajar servicios de correo tan inseguros como Yahoo, Hotmail o Google sin cifrar. Desde el Consejo General de la Abogacía llevamos tiempo luchando para que esta realidad cambie".

Según Pablo Fernández Burgueño, socio del despacho Abanlex, "los abogados utilizan este tipo de correos para recibir y enviar información sensible de sus clientes, información que tiene que ir cifrada. Al no estarlo incumplenla Ley de Protección de Datos yponen en riesgo el derecho del cliente a no declarar contra sí mismo en caso de que le sustraigan la información, además de exponerse a multasy ser expulsados del propio Colegio".

placeholder

"Si, por ejemplo, un abogado tiene un cliente que es culpable de un delito pero que el tribunal leha declarado inocente, y le sustraen información incriminatoriaguardada sin cifrar, podríanreabrir el casoincurriendo el letrado en distintos delitos como el de conservar las cosas con el máximo deber del secreto", ha añadido.

¿Un problema de ignorancia o de la plataforma tecnológica?

Francisco J. López, director de Tecnología del Consejo General de la Abogacía Española, ha explicadoque, a pesar de que por defecto los datos no vayan cifrados, los abogados pueden elegir que sí lo esténen otro servicio del Programa Cliente de correo. El problema es que para cifrar los datos el jurista necesita que el cliente también se haya creado un certificado y se lo envíe. Algo que, según Burgueño casi nadie está dispuesto a hacer y por si fuera poco muchos desconocen, entre otras cosas por la falta de información de la propia plataforma.

La mayoría de despachos que conozco utiliza para trabajar servicios de correo tan inseguros como Yahoo, Hotmail o Google sin cifrar

Laprimera vez que enTeknautas pusimos a pruebaesta herramienta comprobamos que, efectivamente, el correo muestra una pestaña de Correo seguro al hacer click en Propiedades. En esta opción se puede crear una nueva contraseña y obtener un certificado avanzado de firma electrónica. Es decir, un certificado con el que, en principio, se podría llegar a cifrar. Pero tras redactar un correo y pulsar el botón Cifrar el servicio generó este error: Insufficient directory access rights.

Tras probar el mismo sistema desde varios navegadores, obtuvimos el mismo resultado que se habría encontrado un abogado cualquiera. Es decir, ninguno. También lo intentamos con y sin la firma electrónica. Pero nos resultó imposible. Según el correo que nos enviaron con el usuario y contraseña, debería haber instrucciones en la web del ICAM. Las buscamos y encontramos un documento en el que no se daba ninguna indicación.

placeholder

Buscamos la solución en la web de CommuniGate. Lo que encontramos fue a otros usuarios quejándose de que la contraseña estuviera en texto plano e indicaciones de que esta versión flash, que es la que usa el ICAM, no permite el uso de cifrados SSL, por lo que cada usuario tiene que cifrar por su cuenta. Al solicitar a un abogadoal azar que enviaseun correo cifrado desde esta plataformale ocurrió lo mismo.Tras no saber hacerlo aseguró que "todo esto se podría solucionar creando unaherramienta más sencilla o directamente contratando una soluciónde cifrado por defecto. De esta formalos abogados no tendríamostantos problemas".

Al respecto, Francisco J. López ha reconocido que "es posible que muchos abogados pueden incurrir en incumplimiento de la Ley de Protección de Datos si no utilizan adecuadamente las herramientas informáticas, el correo y otras. Pero no sólo los abogados, también los ingenieros o los funcionarios o cualquier otro colectivo. Es muy importante concienciar a todos de la importancia de la privacidad y seguridad en los medios electrónicos".

Los otros sectores que tampoco cifran los datos

El robo de datos a las empresas está a la orden del día. Un ejemplo lo tenemos en JP Morgan, donde los ciberdelincuentes accedieron a los datos de 76 millones de clientes. Para Pablo Teijeira, "además de contar con servicios de protección de red, es muy importante que las empresas cifren la información susceptible de ser sustraída, para así preservar la confidencialidad de la información".

Los colegios de abogados no son los únicos que incumplen la normativa. La Administración Pública tampoco se libra. Según Teijeira este sector es, tras el de la abogacía, el que menos tiene en cuenta el cifrado de datos. "Hay excepciones, pero la regla general es que no la lleven a cabo". Y lo mismo sucede con multitud de empresas.

En una ocasión una empresa me llegó a decir que, si tenía que cumplir con todas las normas, prefería cerrar y marcharse a otro país

Según un experto en consultoría y auditoría que ha preferido mantener el anonimato, "la mayoría de clientes que nos llegan solicitando información no cumple con algún requisito. Y el cifrado de datos es uno de ellos. Las compañías anteponen la comodidad a la seguridad. Y la seguridad nunca es cómoda. En una ocasión una empresa me llegó a decir que, si tenía que cumplir con todas las normas, prefería cerrar y marcharse a otro país".

Cifrar los datos no es complicado.Lo único que hay que hacer es contratar una solucióncualquiera e instalarla. Exactamente igual a como se hace con un programa de antivirus. El problema, según Cristina Sirera,abogada especializada en protección de datos y privacidad en Elzaburu, es que "la Ley de Protección de Datos es de difícil cumplimiento en toda su amplitud. Son tantas las reglas que es muy complicado que las empresas lascumplan todas".

La Agencia Española de Protección de Datos (AEPD) es la encargada develar por el cumplimiento de esta normativa, aunque normalmente actúa a través de denuncia. Preguntados al respecto, han señalado que"la responsabilidad del cifradoes siempre del que trata los datos. Lo normal es que alguien interponga alguna denuncia, pero en cualquier casotenemos potestadpara actuar de oficio".

Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una gran cantidad de empresas y Administraciones Públicas, pero muchas de ellasno lo hacen por desidia o desconocimiento.

Administraciones Públicas
El redactor recomienda