Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas. Muchas de ellas no cifran por miedo o desconocimiento. El cifrado de datos no es complicado, el coste es asequible y los beneficios se muestran desde el inicio.
Hoy en día es más sencillo cifrar que hace años. Las herramientas de cifrado son cada vez más comunes, así como los fabricantes que desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los tamaños. Cifrar de forma correcta y siguiendo los parámetros indicados en la normativa española vigente es uno de los medios técnicos respaldados por las autoridades nacionales por el cual se garantiza la protección del derecho fundamental a la protección de datos, además de respaldar la seguridad de los valores de la empresa y otorgar confianza a los operadores del mercado.
El Gabinete Jurídico de la Agencia Española de Protección de Datos recuerda en su Informe 494/2009 cuál es la importancia del cifrado correcto, de manera que sea legal y suficiente: «La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación».
Obligados a cifrar
Pero, ¿quién debe cifrar la información en España? Ha de cifrar la información un gran número de empresas. Podríamos decir que deben hacerlo todos los sujetos que traten datos personales contenidos en ficheros a los que se deban aplicar medidas de seguridad de nivel alto. Sin embargo, el número es un poco más generoso, ya que debemos incluir también a otro tipo de sujetos que llevan a cabo actividades como el tratamiento de datos de carácter personal referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas; abogados en el ejercicio de su profesión; empresas que aceptan el BYOD; empresas que deseen adoptar medidas de seguridad que superen el mínimo exigido…
Cuando la normativa española exige cifrado, otorga a las empresas dos posibilidades: un sistema de cifrado o cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Únicamente son válidos los sistemas de cifrado que garantizan que la información no se entienda ni pueda manipularse por terceros. Cualquier sistema no es suficiente. Pero ¿cuáles son éstos? ¿Quién los ha auditado? ¿Hay alguna lista de los que permiten cumplir la Ley y los que no?
A la Agencia Española de Protección de Datos (AEPD) se le consultó si los sistemas de cifrado de ciertas herramientas, como las de compresión de archivos (ZIP) y los sistemas de claves de los PDF, eran suficientes para cumplir la normativa. El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe 0494/2009, respondió: no son suficientes.
Existen técnicas, dice la AEPD, que actualmente se pueden emplear como alternativa al cifrado de datos, como son la esteganografía para el caso de ocultación de mensajes a nivel de aplicación o la transmisión mediante espectro ensanchado (spread-spectrum) para el caso inalámbrico a nivel físico. Todas ellas con una implementación y una gestión mucho más compleja y problemática que la que ofrecen los actuales sistemas de cifrado. En 2009 la Agencia afirmó que aún no se disponía de tecnologías más ágiles para preservar la confidencialidad de la información que emplear herramientas de cifrado, aunque en un futuro puedan aparecer.
No sólo cifrar
Pero no sólo es necesario cifrar, sino hacerlo de manera que la información no sea inteligible ni manipulada por terceros. Sin esta última condición, no se cumplirá lo estipulado en el citado artículo 104. Esto implica dos cosas:
- Por un lado, que el sistema de cifrado a emplear no esté comprometido, es decir, que no se conozca forma de romperlo.
- Por otro lado, que se cuente con un sistema de gestión de claves, en particular, y con un procedimiento de administración de material criptográfico, en general.
Ante la pregunta de si los sistemas de cifrado de WinZip y PDF son suficientes, la AEPD contestó lo siguiente: «Los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable».
La Agencia concluye lo siguiente:
- Para un uso particular, los sistemas generales de cifrado (ZIP, PDF, etc.) podrían considerarse adecuados, según el caso.
- Para un uso profesional, los sistemas generales de cifrado son insuficientes para el intercambio de información con las garantías que se precisan en el Reglamento.
La respuesta para cumplir la normativa se encuentra en las herramientas profesionales pensadas, diseñadas y probadas para cumplir al detalle la normativa vigente en España en materia de cifrado.
En caso de que el cifrado no se realice de forma correcta y los datos quedaran expuestos a terceras personas sin autorización para observarlos, se estaría llevando a cabo una cesión o comunicación pública de datos, definida en la Ley Orgánica de Protección de Datos (LOPD) como «toda revelación de datos realizada a una persona distinta del interesado» (Artículo 3).
La repercusión económica de la imposición de la sanción, de 40.001 a 300.000 euros, es considerable. Sin embargo, este importe no será el único que haya que pagar, ya que será complementado con el propio de la indemnización que, en su caso, haya que abonar a los damnificados por la fuga de datos y su exposición indebida. Cuando la norma obliga a cifrar datos, el cifrado se debe realizar. Hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación, como nos recuerda la Agencia en su Informe 494/2009 y como nos indica la propia LOPD en su articulado.
Únicamente son válidos los sistemas de cifrado que garantizan que la información no sea inteligible
Seguridad y confidencialidad
Cifrar siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número elevado de sujetos están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad. En el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales. Determinadas empresas que no tienen la obligación de cifrar eligen hacerlo para trabajar bajo el amparo de su seguridad. Estas empresas protegen su información frente a terceros bajo un velo de opacidad, lo que hace el manejo y la transmisión de información sea más ágil y sencilla.
Las empresas pueden elegir cumplir los «mínimos exigibles» que marca la normativa de protección de datos o pueden dotar a sus procesos de mayor seguridad y confidencialidad. Cuando una corporación usa datos y realiza tratamientos de nivel bajo y medio puede optar por asegurar la información por medio del cifrado. El Gabinete Jurídico de la Agencia Española de Protección de Datos afirma, en el Informe 0477/2009, que, aun cuando no sea imperativa, «la medida de cifrado de los datos puede ser adoptada voluntariamente por el responsable del fichero» para superar los mínimos exigibles marcados por la norma.
Más información, en el Primer Informe sobre la necesidad legal de cifrar información y datos personales realizado por Abanlex, con la colaboración de Sophos.