Para empezar…

El trabajo es una de nuestras fuentes principales de ingresos, desarrollo, autoestima y actividad física y mental. Suficiente para trabajar en su éxito, ¿verdad?

Se trata de un pilar motor de nuestras vidas, de manera que es imprescindible mantener su equilibrio. En la actualidad, la normativa por la que se rigen las empresas en materia de protección de datos es cambiante y creciente, y los despachos de abogados, como espacios de tratamiento de datos personales, deben ajustarse a las nuevas exigencias. Para conseguirlo, necesitamos que entre en juego la palabra ‘seguridad’. Por eso, hoy queremos compartir contigo, y explicarte con detalle, todos los aspectos que necesitas tener en cuenta para mantener la seguridad en tu despacho de abogados.


 

ÍNDICE

 
1. ¿Sabes lo que es la seguridad de la información?
2. Cumplir con la normativa vigente
3. Todo lo que necesitas saber sobre la seguridad
4. Tomar conciencia de...
5. Contar con sistemas de protección de datos óptimos
6. Análisis de riesgos y evaluación de impactos

 


LA GUÍA DEFINITIVA PARA MANTENER LA SEGURIDAD EN TU DESPACHO DE ABOGADOS.png

 

  

  1. ¿SABES LO QUE ES LA SEGURIDAD DE LA INFORMACIÓN?

La seguridad es un factor clave en casi todos los aspectos que podamos imaginar. Seguridad en el sentido de confianza hacia algo o alguien, seguridad en el sentido de la ausencia de peligro, y seguridad en todos los sentidos que podamos imaginar. Los despachos de abogados cuentan con un activo crucial en su actividad: la información.

Aplicada la seguridad a este concepto, nos lleva a desembocar en una fusión de palabras: seguridad de la información. No es más que “el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información, buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma”.

Acabas de pulsar el botón de arranque en un viaje por la seguridad de la información. Un trayecto cuyo destino es su mantenimiento. ¿Te subes con nosotros?

 

  1. CUMPLIR CON LA NORMATIVA VIGENTE

Nos referimos al Reglamento General de Protección de Datos (RGPD), en régimen de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y aplicable a partir del próximo 25 de mayo. Su cumplimiento es obligatorio para todas aquellas empresas, profesionales, instituciones y entidades que disponen de datos de carácter personal.

Con motivo de su próxima aplicación, durante estos dos años de transición, los responsables del tratamiento de datos en los despachos de abogados deben haberse adaptado a las nuevas exigencias introducidas por el RGPD. Para que puedas hacerte una idea, estas son algunas de ellas:

  • Deber de información. Se añade la información que debe ser comunicada cuando se recaban los datos personales, de manera que se añaden: el tiempo máximo del mantenimiento de los datos; el derecho a presentar reclamación; la base jurídica del tratamiento; la identificación del Delegado de Protección de datos, si procede; si habrá, o no, trasferencia internacional.
  • Análisis de riesgo. Los despachos de abogados, como empresas poseedoras de información personal, deben analizar las vulnerabilidades informáticas y las posibles brechas de seguridad. El objetivo es establecer las medidas y soluciones necesarias para impedir los ataques y la pérdida de información por cualquier otra vía.
  • Consentimiento explícito. El silencio no puede entenderse como consentimiento, de manera que se obligará a que exista una declaración de los interesados o una especie de acción en la que se indique tal acuerdo. Con motivo de esta novedad, algunas empresas deberán modificar la manera en que llevan a cabo el registro y obtención del consentimiento.

 

  1. TODO LO QUE NECESITAS SABER SOBRE LA SEGURIDAD

Vías por las que se puede fugar la información

Cuando escuchamos hablar acerca de las fugas de información, brechas de seguridad, etc., puede ocurrir que, inmediatamente, pensemos en ciberataques. Sin embargo, debes saber que existen otras vías por las que se pueden producir este tipo de incidentes:

  • Envío de un correo electrónico con información a la persona equivocada.
  • Pérdida de documentos o dispositivos, como pendrive, que contienen datos.
  • Extravío del ordenador portátil o el teléfono móvil, donde almacenamos información personal.

seguridad en despachos de abogadosComo has podido observar, en muchas ocasiones, las brechas de seguridad y las fugas de información no vienen provocadas por factores externos a nosotros, tales como un taque informático por parte de hackers. Al contrario, ocurre que el error humano es el principal responsable del riesgo de nuestra información. Sea cual sea la vía, debemos estar preparados para proteger nuestros documentos y archivos.

Principales errores que pasan factura a la gestión de la seguridad

Conocer los errores más comunes que cometen los despachos de abogados es fundamental para mantener la seguridad. Entenderlos con detalle nos puede llevar a actuar a tiempo. Queremos que lo tengas en cuenta. Por eso, hoy vamos a compartir contigo los principales errores que pasan factura a los despachos de abogados:

  1. ¿Estás evitando la filtración de datos? Muchas empresas todavía no lo hacen, de manera que han sufrido filtraciones a gran escala, como ocurrió con Yahoo! en 2016. Por ende, la reputación de esta organización bajado de nivel.
  2. ¿Tienes precaución cuando compartes información con el exterior? Algunos despachos de abogados envían correos electrónicos sin contar con ningún sistema de protección, e incluso descuidan la comprobación del destinatario.
  3. ¿Sabes cómo dimensionar el impacto?
  4. ¿Proporcionas fiabilidad y disponibilidad? Los sistemas, las redes y los dispositivos conectados pueden fallar, de manera que debes contar con sistemas de protección que garanticen la calidad de tu servicio y, como consecuencia, se traduzca en la confianza de tus clientes. La información debe ser fiable y estar disponible.
  5. ¿Cumples con la normativa establecida? Recientemente, hemos mencionado la fecha del 25 de mayo de 2018. Es el momento en que comenzará a aplicarse el nuevo Reglamento General de Protección de Datos (RGPD). Los despachos de abogados deben estar adaptados a las exigencias establecidas en el mismo.

No se trata solo de 5 errores, sino que también son 5 conocimiento necesarios para evitar caer en actuaciones que puedan afectar a la gestión de la seguridad en los despachos de abogados.

Obligaciones del responsable del tratamiento de los datos

 Todos los despachos de abogados en España sin excepción, deberán cumplir con los requisitos de la Ley Orgánica de Protección de Datos (RGPD). Sin embargo, se encuentra dentro de las obligaciones del responsable de su tratamiento. Te lo contamos a continuación:

  • Inscripción de los ficheros. En base a lo establecido por la Agencia Española de Protección de Datos (AEPD), y de acuerdo con el RGPD, los despachos de abogados están obligados a notificar la creación de ficheros. La razón es que se trata de personas físicas y jurídicas que contienen datos de carácter personal. Previamente a la inscripción, los despachos de abogados deben notificarlo a la AEPD.
  • Alto nivel de seguridad. Los servicios jurídicos ofrecidos por los despachos de abogados requieren la utilización de información confidencial, propia del nivel más alto de seguridad. Hablamos de datos del tipo: origen racial, salud y vida sexual.
  • Cifrado de datos. Con motivo del anterior punto, es decir, de trabajar con datos que requieren el mayor nivel de seguridad expuesto en la LOPD, los despachos de abogados están obligados a cifrar la información.
  • Derechos ARCO. Los despachos de abogados deben dar a los clientes la posibilidad de ejercer el acceso, la rectificación, la cancelación y la oposición de los datos, cuatro derechos que el nuevo RGPD amplía hacia la supresión, limitación y portabilidad.
  • Auditoría. Se recomienda a los despachos de abogados que realicen una auditoría, al menos una vez cada dos años, para verificar que se esté cumpliendo la normativa vigente. Hablamos de las funciones del compliance o responsable de cumplimiento.
  • Consentimiento y deber de información. El despacho de abogados debe estar capacitado para dar a conocer al cliente todas las características del servicio que provee, una acción que responde al deber de información que viene recogido en el artículo 5 de la LOPD.

Posibles sanciones y multas

Como viene establecido en el artículo 83 del Reglamento, cada autoridad de control garantizará que la imposición de las multas administrativas de las infracciones de esta regulación sea individual, efectiva, proporcionada y disuasoria. Dependiendo de las circunstancias de cada caso, las multas serán de una determinada forma:

RGPD.jpg

  • Las sanciones pueden acceder de los 10 millones de euros, o el 2% como máximo del volumen de negocio total anual global, hasta los 20 millones de euros, o el 4% como máximo del volumen de negocio total anual global.
  • El tratamiento de la información, junto con su responsable, debe realizarse atendiendo a sus principales obligaciones. De lo contrario, el artículo 19 del RGPD establece que “las multas por infracciones en la protección de datos personales pueden alcanzar cifras de hasta 600.000€, calificándose estas faltas como leves, graves, o muy graves.

Cumplir con lo establecido en el RGPD del Parlamento Europeo y del Consejo es fundamental, no solo para evitar sanciones sino también para mantener la seguridad en los despachos de abogados. Sin embargo, existe una razón más importante aún, y es que el correcto tratamiento de la normativa nos permite garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas, especialmente de su honor, intimidad y privacidad personal.

 

  1. TOMAR CONCIENCIA DE…

La importancia de la seguridad

Para obtener resultados favorables en la seguridad de nuestro despacho de abogados no es suficiente con seguir determinadas directrices. Los pasos que demos tendrán poco sentido si no somos conscientes del porqué de estos. Hablamos de la toma de conciencia, una acción que toma especial importancia cuando se trata de alcanzar objetivos.

En este caso, es importante que los despachos de abogados tengan clara la importancia de la seguridad, de manera que vamos a explicarte 5 razones por las que la protección de datos debe ser un ejercicio protagonista en el servicio profesional de los juristas:

  1. La información, cuando se fuga a donde menos lo esperas, causa un gran impacto.
  2. Las fugas o brechas de información acaban con la confianza otorgada por los clientes.
  3. La empresa puede sufrir los efectos de la difamación, así como daños económicos, de reputación y dignidad.
  4. La información que se escapa de nuestro control puede ser utilizada para fines no deseados, como la venta global.
  5. En los peores casos, las brechas de seguridad pueden llevar al propio cierre del negocio.

De alguna manera, te acabas de poner en la piel de las víctimas. ¿Estás preparados para evitarlo?

Los despachos de abogados están obligados, por Ley, a cifrar sus datos

Nosotros, como abogados, somos los principales responsables de mantener la seguridad en nuestro despacho. Sin embargo, es importante que sepas quiénes intervienen en dicha actividad. Nos encontramos con:

  • El responsable del fichero. Es quien decide el fin para el que se van a utilizar los datos.
  • Agencia Española de Protección de Datos (AEPD). Es quien trata de “velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación oposición y cancelación de datos”.

De esta forma, solo podemos tener una respuesta a la pregunta: por Ley, ¿están obligados los despachos de abogados a cifrar sus datos? Claro que sí, aunque algunos todavía no lo sepan. La principal razón es que en estos espacios de trabajo se maneja información sensible incluida en el nivel más alto de seguridad. Un nivel para el que los artículos 101.3 y 104 del RGPD establece que:

“Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado” y que “cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes púbicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

 

  1. CONTAR CON SISTEMAS DE PROTECCIÓN DE DATOS ÓPTIMOS 

Ante la necesidad de proteger los datos, algunos profesionales han desarrollado sistemas y aplicaciones capaces de lograrlo de la manera más rápida, eficaz y sencilla. En este sentido, convine hablar de dos aspectos:

  • Cifrado/encriptado. Si nos ceñimos a la definición oficial establecida por la R.A.E. diremos que se trata de “transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje o texto cuyo contenido se requiere proteger”. Dicho de otra manera, cifrar significa transformar y lograr que nuestra información quede totalmente protegida de miradas ajenas.
  • IRM (Information Rights Management). Nos referimos a la gestión de los derechos de la información. Hablar de IRM implica hablar de tecnología, un sistema de control remoto que nos permite mantener en todo el momento el dominio y el control de acceso autorizado sobre nuestros archivos originales.

La mejor protección que podemos otorgar a nuestra información es, como consecuencia, aquella que integre ambas técnicas. ¿Es posible? 

Claro que sí. Pese a que, en la actualidad, existen muchos predicadores de protección de datos que se hacen pasar por profesionales, es importante detectar quiénes son expertos en la materia y quiénes no. Hasta el momento, solo los más preparados han logrado crear una aplicación que combina ambos factores (cifrado e IRM).

Y no solo eso, sino que se ha convertido en la única solución capaz de combinarlos de una manera sencilla para el usuario. Ha sido posible precisamente porque responde a las exigencias requeridas en el RGPD y porque, teniendo en cuenta la abundante actividad de los despachos de abogados, la aplicación permite la protección rápida gracias a su poder de control y al uso de claves simétricas y asimétricas. 

Sin embargo, es importante conocer las alternativas y posibilidades que nos ofrecen diferentes sistemas de protección de datos, sobre todo para entender que, a veces, no se trata de dos herramientas contradictorias sino complementarias. Nosotros lo tenemos en cuenta, por eso es importante que conozcas las principales diferencias que existen entre las tecnologías DLP e IRM.

 

  1. ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTOS

Se acerca uno de los mayores cambios en cuestiones de privacidad de los últimos veinte años, y somos conscientes de ello. Por eso, queremos dejar claro que actuar a tiempo siempre es un paso hacia adelante en la consecución del éxito. Los despachos de abogados se encuentran en los últimos minutos del partido, y es que solo quedan dos meses para la aplicación del nuevo RGPD. Se trata del tiempo que les queda para adaptarse al mismo.

El 25 de mayo de 2018 no espera a nadie. A partir de esta fecha, todas las empresas que acumulen y soliciten datos personales de clientes, proveedores, empleados, pacientes y visitantes, tendrán bajo la manga la responsabilidad de garantizar su seguridad. Por esta razón, la Agencia Española de Protección de Datos (AEPD) ha establecido, paso a paso, una guía de Análisis de Riesgos.

¿Qué es lo que establece esta guía? Se trata, nada más y nada menos, de todas aquellas situaciones en las que sería aconsejable llevar a cabo una evaluación de impacto. Para que lo comprendas, te contamos algunas de estas situaciones:

  • Si cedes o comunicas los datos personales a terceros.
  • Cuando el tratamiento de los datos acumula gran cantidad de estos respecto de los interesados.
  • Cuando llevas a cabo un tratamiento significativo no incidental de datos de menores o dirigidos especialmente a tratar sus datos.
  • Cuando en tu despacho de abogados tratas un gran volumen de información personal a través de tecnologías, internet, de datos masivos, construcción de ciudades inteligentes, etc.
  • “Cuando vayas a llevar un tratamiento destinado a evaluar o predecir aspectos personales relevantes de los afectados, su comportamiento, su encuadramiento en perfiles determinados, etc.”

 

Las brechas de seguridad empiezan a sonar muy chirriantes...

¡Sigue estos 6 pasos y no dejes la seguridad de lado!

 

Nuevo llamado a la acción