En el ciberespacio existen todo tipo de personas que trabajan con información sensible capaz de generar impacto positivo o negativo. Algunos agentes externos o incluso empleados internos dentro de la empresa, solo en busca de beneficio a través del robo de información o su plagio, pueden ocasionar un impacto negativo, pero muchas veces este tipo de incidentes ocurren porque nosotros mismos no tenemos cuidado en las custodias de los ficheros sin avisar. Las técnicas de cifrado actuales podrían proporcionar el beneficio de mejorar la custodia de los datos tanto en tránsito y destino como reposo.
La notificación de violación de seguridad del artículo 33 del RGPD es de obligatorio cumplimiento, pero no tienen por qué resultar algo difícil y problemático gracias a los avances en tecnología. Es más, el cumplimiento de este artículo aplicando la tecnología puede jugar a nuestro favor, y nunca en contra. Antes de explicar los detalles es bueno conocer el contenido del mismo.
¿Quieres saber cómo? No esperes más y continúa leyendo, pues “la tecnología por sí sola no basta. También tenemos que poner el corazón” – Jane Goodall
¿Qué establece el artículo 33 del RGPD?
Creemos que un buen paso para comenzar a hablar de este apartado es leer literalmente lo que el Reglamento establece. Sin más, te lo presentamos:
Artículo 33
Notificación de una violación de la seguridad de los datos personales a la autoridad de control
- En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
- El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
- La notificación contemplada en el apartado 1 deberá, como mínimo:
a) describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados:
b) comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
c) describir las posibles consecuencias de la violación de la seguridad de los datos personales;
d) describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. - Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
La tecnología IRM nos ayuda a evitar la notificación de violación de seguridad
Sí. Así es. Has leído bien. La tecnología IRM (Information Right Management) nos ayuda a evitar la notificación de violación de seguridad porque, sencillamente, evita cualquier tipo de violación o fuga de información. Su sistema, integrado por el control remoto, hace que no perdamos el dominio ni el poder sobre nuestros archivos originales en ningún momento. Esta herramienta brinda a los despachos de abogados la posibilidad de gestionar el derecho de la información. Pero ¿cómo consigue realmente evitar la notificación de violación de seguridad establecida en el artículo 33?
Ya que el IRM es una medida preventiva a la espera de que se produzca una fuga de información con datos personales, gracias a su implantación en los despachos de abogados ya es posible actuar para mitigar los posibles riesgos negativos que vienen establecidos en el inciso número D: “describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos”.
¿Por qué los despachos de abogados deberían contar con tecnología IRM?
Unirse a los avances en tecnología es una decisión inteligente de las empresas, pues tomar riesgos, así como apostar por las nuevas herramientas, a veces puede ser la mejor manera de crecer y aprender. La tecnología IRM brinda la posibilidad de mantener los permisos de control sobre nuestros documentos, y despliega todo su potencial cuando la información es compartida con terceras personas. El entorno laboral en el que se desenvuelve la actividad de los despachos de abogados está protagonizado por el almacenamiento e intercambio de numerosos datos, causa principal por la que deberían contar con este tipo de tecnología. El sistema IRM puede proporcionales la capacidad de mantener controlada y protegida la información en todo momento. ¿Todavía estás dudando de su uso?
En general, en las empresas existe cierta preocupación por los posibles ciberataques a los datos almacenados en la nube, así como en sus equipos de trabajo. Las regulaciones, además, se están volviendo cada vez más exigentes, pues basta con echar un vistazo a las novedades que introduce el Reglamento General de Protección de Datos (RGPD), aplicable a partir del próximo 25 de mayo. La seguridad de la información ha ido adquiriendo, así, un nuevo enfoque, y el uso del IRM se ha convertido en una posibilidad real en materia de gestión de los derechos de la información.
¿Qué entendemos por violación de seguridad?
En primer lugar, voy a aclarar de qué se trata esto de notificar la violación de seguridad. El RGPD se refiere a: “Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Un ejemplo claro de violación de la seguridad, en base a esta definición, es un ciberataque.
Las consecuencias pueden ser muy graves, pues si no se toman medidas a tiempo es posible que lo daños alcancen el ámbito material o inmaterial de las personas físicas, tales como la usurpación de identidad. ¿Cómo se sentirán nuestros clientes cuando sean conscientes de que hemos perdido el control sobre sus datos personales? Si esto ocurre, el responsable de ficheros tendrá que notificarlo inmediatamente, un hecho para el que la Agencia Española de Protección de Datos (AEPD) ha desarrollado una guía.
CONCLUSIÓN
Tomar medidas antes de que ocurra la violación de seguridad. A modo de conclusión, solo nos queda decirte que, gracias a la tecnología IRM combinada con el cifrado de datos, es posible protegerse de los daños potenciales de una violación de seguridad y cumplir con el artículo 33 del RGPD. El IRM es una medida preventiva, y también es una tecnología cuyo diseño fue pensado a priori, considerando la alta probabilidad de que puedan ocurrir fugas de información y se pueda aminorar el daño reputacional, de negocio, continuidad del negocio, y, por supuesto, fugas de datos personales. Así, las empresas, en general, y los despachos de abogados, en particular, no deberían prescindir de su implantación.
¡Mantener el poder sobre nuestros documentos nunca fue tan fácil!