Querido lector, hoy te queremos contar algo que afecta a todas las empresas por igual. Da igual la antigüedad de la empresa, como sí sois una empresa de nueva creación, o el tamaño de la plantilla de empleados. Os cuento esto porque, en la actualidad, las empresas más propensas a trabajar con datos personales como son: despachos de abogados, clínicas médicas, servicios de alojamiento, farmacéuticas, compañías de seguros, o similares, incluso podríamos decir que las comunidades de vecinos están obligadas por los datos de los propietarios. Pero, en general, como empresas que trabajan con información sensible, se encuentran regidos por el nuevo Reglamento General de Protección de Datos (RGPD). ¿Sabes lo que significa esto? Que, si no lo adaptas a lo exigido en el Reglamento antes del próximo 25 de mayo, estás más expuesto a sufrir sanciones por parte de los organismos encargados (AEPD) de velar por su cumplimiento ante posibles denuncias.
Vayamos por partes y empecemos por el artículo 32.
¿Qué establece el artículo 32 del RGPD?
Un total de 99 artículos componen el Reglamento General de Protección de Datos, y solo 1 se ha convertido hoy en el motivo principal de escribir este post. Necesitamos que sepas qué es lo que establece y por qué queremos destacar su relevancia.
Artículo 32
Seguridad del tratamiento
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales no transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Sabemos que la lectura del Reglamento puede resultar poco amena, por lo que no nos vamos a andar con rodeos. El artículo que acabamos de presentarte forma parte de las exigencias del RGPD, un punto en el que resulta necesario destacar su relevancia. A pocos meses de la aplicación de estos preceptos para la ejecución de la LOPD, los despachos de abogados necesitan contar con las medidas técnicas y organizativas que garanticen la seguridad del tratamiento.
Conclusiones: ¿Cómo ayuda el cifrado a cumplir con el artículo 32?
De manera resumida, por la siguiente razón: porque el cifrado aporta el complemento de la integridad en un fichero con los algoritmos de encriptado, bien mediante los AES 128, o bien mediante los algoritmos de cifrado 256. Además, se trata de la medida más eficaz para las empresas y tiene un coste asequible.
La técnica del cifrado de datos no es simplemente la medida más adecuada para los despachos de abogados, sino que, además, se trata de una obligación impuesta por la Ley Orgánica de Protección de Datos (LOPD) para determinados supuestos. Por ejemplo: “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizarán cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.
Gracias a la implantación de las técnicas del cifrado, despachos, hospitales, comunidades de vecinos y cualquier entidad obligada a cumplir con el RGPD pueden mantener la confidencialidad de la información con la que trabajan, que en muchas ocasiones se corresponde con el recurso más importante de esta. De la misma forma, el cifrado permite protegerla de todas las consecuencias de un ataque, sobre todo en términos de prestigio y confianza.
¡Mantén segura la información de tu ámbito corporativo y evita las sanciones!
Recordando la historia: alterar los datos es una medida con memoria romana
Cifrar o encriptar significa alterar los datos. La técnica ha probado su eficacia desde la Edad Antigua, el líder militar Julio César reemplazó cada una de las letras, de los mensajes que enviaba, por otra que se encontraba más adelante en el alfabeto. En la actualidad, esto se conoce como ‘código del César’, pero se ha convertido en una técnica poco compleja.
Por ello, con el paso de los años, muchos profesionales han trabajado con esta base para desarrollar nuevos métodos de cifrado/encriptado que garanticen la seguridad de la información. Este viaje al pasado no es solo una mirada hacia el origen del cifrado, sino un reflejo de que esta necesidad preventiva ha existido desde siempre.
No es fácil encontrar sistemas de protección de los datos que aporten el complemente de la integridad, pero el cifrado lo ha conseguido gracias a los algoritmos utilizados. No queremos que las empresas sean recordadas por los daños sufridos en una intrusión significativa, sino que, lo que pretendemos, es concienciar de la importancia real de contar con las medidas necesarias para evitarlo. El cifrado es una medida posible y asequible, fácil de utilizar y encaminada a proteger los dispositivos, las comunicaciones, la imagen y la información confidencial de los despachos de abogados. ¿Alguna razón más que me deje en el tintero?
¡No pongas precio a tu prestigio!