Categoría: Empresas

bookmark_borderEquipos portátiles y seguridad

Posted on by Félix J. Haro

laptopEl mayor problema que plantea el almacenamiento de datos en ordenadores y otros dispositivos portátiles es que su movilidad implica un riesgo directo de robo o extravío. Uno de los objetivos a conseguir es que en estos casos no pueda utilizarse la información que contienen: datos de clientes, de prospectos, de la estrategia del negocio, etc.

¿Qué soluciones están a nuestra disposición?

-Autenticación: pueden utilizarse las “Smart Cards”, donde se almacenan las contraseñas, o dispositivos de autenticación biométricos (huella digital). Prefiero los últimos, porque a nadie se le puede olvidar su propio dedo

– Servicios de “tracking”: quizá todavía suene a ciencia-ficción en España, pero ya hay empresas que empiezan a ofrecer la recuperación de la información del equipo perdido, e incluso el borrado del disco duro. Eso siempre que el ladrón de turno se conecte a internet, claro.

– Cifrado: ¿y si se separa el disco duro del portátil?, ¿dónde quedan los medios de protección mediante autenticación?… Debe buscarse una solución que permita encriptar cualquier tipo de fichero. Y que además no almacene la clave en el mismo disco duro.

Una combinación de las anteriores soluciones a la que se sume la debida concienciación del personal permitirá minimizar los riesgos. Aunque el 100% de seguridad siempre es inalcanzable

bookmark_borderPrestación de servicios y medidas de seguridad

Posted on by Félix J. Haro

candadoAcabo de leer una interesante Sentencia (Sentencia de la Audiencia Nacional, Sala de lo Contencioso-Administrativo, de 16 de marzo de 2006) donde se confirma una sanción de 300.000 euros a Iberia impuesta por la Agencia Española de Protección de Datos. Aparece extraviado en el aeropuerto de El Prat (Barcelona) un listado con nombres de pasajeros a los que había que entregar su equipaje, que previamente Iberia había perdido. La encargada de hacer esto es una empresa subcontratada, que es la que perdió este listado.

Al no incluirse en el contrato de prestación de servicios las previsiones del artículo 12 LOPD, la Agencia Española de Protección de Datos sancionó a Iberia: no se garantizaron las medidas de seguridad, y se consideró el tratamiento de la tercera empresa como una cesión no consentida por los titulares.

Esto me hace pensar en las empresas de mensajería que acceden a la identificación del destinatario del paquete/carta, y a su dirección postal, siendo esto es necesario para prestar su servicio.

La LOPD las considera encargadas del tratamiento (artículo 12, acceso a datos por cuenta de terceros). Se deben responsabilizarse de las medidas de seguridad que corresponden a los datos que reciben para el cumplimiento de su servicio. Datos a los que corresponde el nivel de seguridad básico.

Entre otras cosas se ha de evitar su pérdida, pero…¿no es este el riesgo más alto que corre una empresa de paquetería, los extravíos de paquetes o cartas? Tratando un grandísimo volumen de envíos, mayor es el porcentaje de riesgo que asumen.

¿Qué ocurre si no se incluyen las condiciones que marca el artículo 12 en el contrato de prestación de servicios? La consecuencia es que se les tratará igual que a Iberia, quien era responsable de la seguridad de los datos que cede para que le presten el servicio.

¿No debieran tener una especial diligencia estas empresas de paquetería en el tratamiento de datos? Debieran observar por sí mismas las medidas de seguridad. De lo contrario, con no firmar el contrato que impone el artículo 12 LOPD, o no marcar sus estipulaciones en el contrato de prestación de servicios, quedarán exentas de responsabilidad en caso de extravío de datos personales. Y esto no es lógico.