La seguridad en los Despachos de Abogados. Parte 2
Artículo anterior: Ciberseguridad en Despachos de Abogados (I)
Amenazas. Origen Interno y Externo
Seguimos con los artículos dedicados a la seguridad en los despachos de abogados. Hoy vamos a tratar el segundo artículo de un total de 8, dedicado a la Fuga de Información.
La protección de la Información, se debe articular en base a tres principios básicos:
1.- CONFIDENCIALIDAD. La Información del Despacho solo será accesible por el personal autorizado.
2.- INTEGRIDAD de la INFORMACIÓN. Es decir, que dicha información sea correcta, y esté libre de modificaciones y errores.
Que no haya sido objeto de alteraciones o modificaciones malintencionadas, ya que supondría un riesgo si estamos basando nuestras decisiones en ellas.
3.- DISPONIBILIDAD. La información estará accesible para las personas o sistemas autorizados, cuando sea necesario.
Fuga de Información en los Despachos de Abogados
También llamamos Fuga de Información a la pérdida de la confidencialidad, de manera que personal del despacho que no esté autorizado, accede a dicha información privilegiada.
Las consecuencias de una Fuga de Información de nuestro despacho van a ser siempre negativas: Por un lado, en lo que se refiere a la Reputación del Despacho, dañará la imagen pública del mismo, generando desconfianza e inseguridad en los clientes y, por otro lado, la publicación de la información puede generar consecuencias a terceras personas, cuyos datos se hayan hecho públicos.
Por otra parte hay un conjunto de normas y leyes, que ponen especial atención al uso y tratamiento de datos de carácter personal:
- Ley 15/1999 de 13 de diciembre, de Protección de Datos de carácter Personal. Más conocida como LOPD.
- Su Reglamento de desarrollo: Real Decreto 1720/2007, de 21 de diciembre.
- El recientemente publicado Reglamento Europeo 2016/679 de 27 de abril, de Protección de Datos y que será de obligado cumplimiento a partir del 25 de mayo de 2018. (RGPD).
En esta última norma destaca la Obligación de Seguridad en el tratamiento de los datos y que está recogido en el artículo 32 (apartado 1 y 2):
Artículo 32. (RGPD):
1.-Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2.- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Competencias
Por lo tanto en relación a la competencia para conocer este tipo de situaciones, La Agencia Española de Protección de Datos (AEPD), es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre Protección de Datos.
Sus competencias son garantizar y tutelar el Derecho Fundamental a la Protección de Datos de carácter personal de los ciudadanos.
Reglamento Europeo de Protección de Datos
El Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el Responsable de Tratamiento y que vienen recogidos en los Considerandos 85 al 87 y en los artículos del Reglamento 33 y 34, donde se establece la obligación por parte del Responsable de Tratamiento de que, tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que tenga constancia, de comunicarlo a la autoridad de control competente, a menos que pueda demostrar la improbabilidad de que citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (p.ej. Porque tales datos iban cifrados...).
También deberá comunicar al afectado, en caso de que pueda entrañar un grave riesgo para sus derechos y libertades, manteniendo le en todo momento informado sobre las acciones y gestiones que se vayan produciendo. (Artículo 34 del RGPD).
Por lo tanto, este deber de información se producirá a fin de que el afectado pueda cambiar las contraseñas, números secretos de las tarjetas de crédito o cuentas bancarias y correos electrónicos.
En el próximo post trataremos entre otros asuntos EL ORIGEN DE LAS AMENAZAS
De Legalis Consultores, sobre textos de la propia Agencia Española de Protección de Datos (AEPD) sobre la materia y publicados en su página web.
Legalis Consultores
Te agradeceríamos puedas compartir en tus redes sociales y te suscribas a nuestro BOLETÍN DE NOTICIAS de www.legalisconsultores.es
También, puedes seguirnos por FACEBOOK: www.facebook.com/legalisconsultores.es
Además, estamos presentes en TWITTER: @LegalisConsult
Gracias y...Te esperamos
Una respuesta a «La Ciberseguridad en los Despachos de Abogados. Parte 2»