6 de junio de 2008

¿Y qué hacemos con los datos?

Como casi todos los avances, los tecnológicos aplicados al desarrollo profesional de la abogacía, estos vienen con una suerte de letra pequeña, de servidumbre, o de inconveniente para aquellos que nos aprovechamos de las ventajas de la innovación.

La informática aplicada al despacho de abogado no es una excepción. Los ficheros informáticos alojados en nuestro ordenador, en nuestro servidor, o en nuestra PDA contienen con frecuencia información en absoluto baladí. Comenzando por el orden penal, y terminando por los procedimientos de familia, pasando por asuntos relativos a incapacidades laborales y opciones de asignación tributaria en la declaración de la renta; manejamos datos muy sensibles.

Obviamente la prohibición de difusión de estos datos esta reglada, junto con otras cuestiones, con el secreto profesional del abogado respecto de las informaciones obtenidas de su cliente como resultado del ejercicio de la profesión.

Pero esos datos están alojados cada vez con mayor frecuencia en un ordenador, a través de archivos de distintos formatos, y además en equipos que se conectan intermitente o constantemente a internet.

Huelga decir que el equipo informático no es abogado, ni nada sabe de secreto profesional, y que entregará con eficiencia a quien sepa solicitarle de la manera adecuada los datos que aloja en los soportes a ello destinados: discos duros, cederrones o deuvedés, llaves USB, a quien le facilite la contraseña adecuada al login del acceso al servidor central de internet o de la correspondiente extranet.

Por ello es necesario proteger y custodiar los datos con una serie de medidas de seguridad que ya en su día fuimos desgranando desde estas páginas, medidas dirigidas no sólo a la protección de la integridad de aquellos, sino a impedir el acceso a la información a personas no autorizadas para ello.

Como era de prever, la ley ha entrado también a regular esta parcela de la actividad de la sociedad, implantando medidas tendentes al control de los datos personales y a regular como y de qué manera ha de conocerse la existencia de los archivos en los que se alojan, como han de custodiarse los mismos, y el funcionamiento del acceso del interesado a ellos.

Obviamente no estoy poniendo en conocimiento ninguna novedad. La regulación a la que hago referencia, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, existe como su propio nombre indica, desde el final del pasado siglo; junto con el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.

No obstante, la modificación de la ley por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, y la aparición del reglamento del desarrollo de la ley mediante Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y su reciente entrada en vigor, han comenzado a encender las luces de alarma en muchos despachos profesionales, no tanto respecto a cómo encarar el tratamiento de los datos personales que los clientes recopilan en su actividad, sino a hacerlo con los propios, y fruto de esta inquietud y de alguna consulta de compañeros angustiados, el letrado firmante se ha visto en la obligación de repasar un poco el status quo actual de la materia.

Partiendo de la premisa de que la ley nos dice que datos de carácter personal son cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables, algunos compañeros han sentido ante esta información sudores fríos, al darse cuenta que, excepto la grapadora, casi todo lo que hay en su despacho, desde el diploma colgado en la pared, hasta la agenda, es un dato personal susceptible de protección por la ley, y por tanto de obligada y adecuada custodia por el profesional.

Llegados a este punto, el primer paso que debemos dar de cara al cumplimiento de la ley, además de la custodia adecuada de los datos; es la comunicación de la propia existencia de los mismos bajo nuestra titularidad a través de el organismo competente, en concreto la agencia de protección de datos.

El trámite es relativamente simple y sencillo. A través de la página web de la agencia (https://www.agpd.es), desde el menú superior, en la opción RESPONSABLE FICHEROS, y en la sub-opción INSCRIPCIÓN DE FICHEROS, podemos cumplimentar online el correspondiente formulario al efecto de dejar adecuadamente registrado nuestro fichero de datos, haciendo llegar a la agencia de protección de datos el formulario autentificado mediante nuestra firma digital, obteniendo un recibo telemático de la presentación.

Si todo ha ido bien, en un par de días tendremos en nuestro buzón de correo ordinario la resolución administrativa que acuerda la inscripción de nuestro fichero. Con este simple gesto, estamos cumpliendo la ley, y además evitando una sanción por infracción que puede ser leve o grave según el caso, con una multa que pude desplazarse por una horquilla entre los 600 y los 300.000 euros, según nos informan los artículos 44 y 45 de la ley.

Pero inscribir el fichero tiene su miga. En primer lugar hay que reflexionar sobre la cualificación de los datos que tenemos en nuestro poder, ya que según sea el carácter de estos, tienen un distinto tratamiento.

La ley establece tres niveles, datos de nivel alto, medio y básico.

El nivel alto estaría constituido por ficheros con datos: de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.

La primera en la frente. Como ya habrá descubierto más de un compañero, en un despacho profesional es el pan nuestro de cada día tratar con datos de afiliación sindical (en muchos procedimientos laborales), o recabados con fines policiales sin consentimiento de las personas afectadas (en cualquier atestado) y obviamente, aquellos derivados de actos de violencia de género.

El nivel medio alberga datos relativos a la comisión de infracciones administrativas o penales; aquellos que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito); de Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias; de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros; de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias; de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social; que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización.

Es decir, que si quedaba algún abogado en ejercicio que no acababa de verse en el nivel alto, habrá de reconocer que irremediablemente se encuentra en el nivel medio.

Finalmente, en el nivel básico la ley incluye cualquier otro fichero que contenga datos de carácter personal. También aquellos ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros; cuando se trate de ficheros o tratamientos no automatizados o sean tratamientos manuales de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y o - en los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.

Como era de esperar, el nivel básico es la categoría residual que incluye todo aquello no abarcado en las dos anteriores, y que engloba la actividad propia de asociaciones, comunidades de propietarios, datos de facturación normal de una empresa o profesional (clientes y proveedores), relaciones para domiciliaciones bancarias de efectos.

Que cada letrado haga sus propias reflexiones, pero el que suscribe ha declarado sus datos como de nivel alto.

Esta calificación obliga a adoptar una serie de medidas de seguridad en el tratamiento que el reglamento detalla

De entrada, la distribución de los soportes que contengan datos de carácter personal ha de realizarse cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte (compresión y protección con contraseña, cifrado mediante firma digital, etc.). Es decir que nada de enviar un cederrón con un expediente completo por mensajero a un compañero sin tomar las precauciones pertinentes.

Los accesos a los datos protegidos han de almacenarse, conservando, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado, y en el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. Este control que permite el registro de los datos detallados de acceso a los ficheros protegidos han de estar bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación del mismo, debiendo además conservarse de los datos de acceso al fichero durante un periodo mínimo de dos años.

Aunque esto parece muy complejo, analizando con detenimiento lo que la norma exige, puedo afirmar sin miedo a equivocarme que cualquier sistema operativo trae de serie mecanismos que permiten cumplir con este requisito de conservación de los datos de acceso a los ficheros objeto de protección. En cualquier caso, existe una amplia oferta de programas informáticos de gestión de expedientes específicos para abogados que ya incluyen esta funcionalidad de serie.

Además, el responsable de seguridad competente ha de encargarse de revisar periódicamente la información de control de acceso registrada y elaborar un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

Solventado el acceso a los datos, sabiamente, la ley nos obliga a conservar no sólo una copia de respaldo o seguridad, sino otra del procedimiento de recuperación de los datos; ambas en un lugar diferente de aquel en que se encuentren los equipos informáticos que tratan los datos.

Es decir, que ya nos podemos olvidar de guardar el deuvedé de la copia de seguridad en el cajón de debajo de la mesa del despacho. Como anécdota, recuerdo a un escrupuloso compañero que guarda la backup de su despacho en la caja de seguridad de una entidad bancaria, sustituyéndola semanalmente.

Este requisito está prácticamente resuelto. Hace tiempo que existen servicios remotos de copias de seguridad, y desde hace algún tiempo incluso nuestro consejo está ofreciendo esta funcionalidad a través del Servicio de Copias de Seguridad Electrónica Online que ofrece el Consejo General de la Abogacía (https://www.redabogacia.org/rabackup/home.jsp)

Finalmente la transmisión de datos de carácter personal a través de redes de telecomunicaciones (internet como norma general) se somete a requisitos de seguridad similares a la distribución de soportes, esto es, se ha de realizar cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

Solventamos esta exigencia con encriptación de archivos con nuestra firma digital o usando cualquiera de los numerosos programas de cifrado existentes, muchos de ellos gratuitos y prácticamente infranqueables técnicamente en un tiempo razonable.

Pero no todo iba a ser tan sencillo. No basta, por una parte, con comunicar a la agencia de protección de datos la existencia del fichero de datos y su nivel correspondiente, y por la otra adoptar las medidas de seguridad adecuadas a dicho nivel.

Además es necesario recordar que el artículo 9 de la Ley establece en su punto 1 que "el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural".

El Real Decreto de 2007 al que antes hacía referencia, aprobó el Reglamento de desarrollo de la Ley que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal. Dicho documento tiene el nombre de Guía de Seguridad, y se trata de un documento que ha de encontrarse en todo centro donde se traten los datos.

Es el responsable del fichero, es decir, el letrado titular del despacho, quien ha de elaborar e implantar la normativa de seguridad mediante este documento, que el reglamente califica como de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

El documento o guía de seguridad debe contener, como mínimo, los siguientes aspectos: ámbito de aplicación del documento con especificación detallada de los recursos protegidos; medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento; funciones y obligaciones del personal; estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan; procedimiento de notificación, gestión y respuesta ante las incidencias; procedimientos de realización de copias de respaldo y de recuperación de los datos.

Todo ello sin olvidar que el documento deberá mantenerse en todo momento actualizado y debe ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo, debiendo adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

En cualquier caso, y con independencia de lo que esté consignado en el documento o guía de seguridad, siempre habrá que atenerse a lo dispuesto en la Ley y en el Real Decreto de desarrollo de la misma y en el resto de previsiones relativas a la protección de datos de carácter personal, y que la utilización de esta guía debe, en todo caso, tener en cuenta los aspectos y circunstancias aplicables en cada caso concreto, sin prejuzgar el criterio de la Agencia Española de Protección de Datos en el ejercicio de sus funciones.

Con estos apuntes, como siempre, pretendo dar unas indicaciones al compañero que se ha visto desbordado por la regulación del tratamiento de los datos de carácter personal. Una lectura reposada de las normas de aplicación, herramientas básicas que se pueden obtener gratuitamente por internet, un poco de paciencia y algo más de tiempo harán que nuestro fichero este protegido a los niveles requeridos legalmente, como si el mítico cancerbero se encargara de su custodia.

1 comentario:

Anónimo dijo...

Hola, en relación a la IP.
Por ejemplo, si uno se conecta a una página de tipo enviar amigo o la misma de enviar comentario o de recordar contraseña, sin que haya Captcha, y con un programa accede indefinidamente a esa página, la IPquedaría guardada y se podría identificar a esa persona que se conecta.

Pero la cuestión es si esa situación es legal o no? Es decir, conectarse a una página indefinidamente, mediante programa automático, y enviar a un amigo o escribir comentarios. No hay ánimo de lucro, pero se considera spam ? de quién ??

se considera ataque al servidor web eso si la página es pública, está en internet accesible a todos ? si de forma manual estoy 24 horas dando F5 sobre la misma página se consideraría ataque ??

Muchas gracias y saludos.