Cómo y cuándo cifrar documentos para cumplir la legislación de protección de datos

Valoración del Usuario:  / 5
MaloBueno 

1.Según la LOPD, ¿Cuándo debe cifrarse la información?

La Ley Orgánica de Protección de Datos impone la obligación de cifrar la información que contenga datos de carácter personal en varios supuestos. Los más relevantes pueden ser los siguientes:

  • El artículo 93.3 del Reglamento de que desarrolla la LOPD (en adelante RLOPD), especifica que las contraseñas deben almacenarse de forma ininteligible. La manera más fácil es codificando dichas contraseñas.
  • El artículo 101 del RLOPD establece que los soportes, los dispositivos portátiles y las copias de seguridad que contengan datos especialmente protegidos deben ser cifrados antes de ser trasladados o tratados fuera de la oficina del Responsable del Fichero.
  • El artículo 104 del RLOPD obliga a cifrar los datos especialmente protegidos enviados a través de redes de telecomunicaciones (por ejemplo, Internet)

2.Usos legalmente no aceptados para cifrar la información

Cifrar la información no se puede hacer de cualquier forma, sino de una forma que garantice de manera razonable que dicha información no va a poder ser descodificada por terceras personas no autorizadas. La seguridad absoluta no existe, así que cabe plantearse qué técnicas de codificación son razonablemente adecuadas y cuáles no. En el mundo jurídico, quien tiene la última palabra al respecto son la Agencia Española de Protección de Datos (en adelante AEPD) y la jurisprudencia.

En este sentido, el informe 494/2009 de la AEPD establece que para que el sistema de cifrado sea legal es necesario que dicho sistema “no esté comprometido, es decir, que no se conozca forma de romperlo”. En este sentido, dice la AEPD que el cifrado de “archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades “. Por tanto, no sería legal cifrar archivos utilizando las herramientas de proteger mediante contraseña los documentos PDF, Zip u otros análogos.

3.Usos legalmente aceptados para cifrar la información

Son legales los cifrados basados en un sistema que no esté comprometido. Los expertos en seguridad informática se reirían de esta afirmación, pues todos los sistemas con rompibles o “hackeables”. De todos modos, existen varias soluciones - de software, de hardware o mixtos - general y legalmente aceptados como seguros. Algunos son gratuitos y otros son de pago.

A modo de ejemplo, en el 2011, la revista “PCActual” publicó una comparativa de programas gratuitos de cifrado y guarda de claves. Sería deseable disponer de comparativas más recientes.

Es muy popular y fácil de usar el software gratuito AxCrypt (actualmente van por la versión 1.7). Es recomendable para las PYMEs.

4.En el futuro

Las técnicas de la encriptación evolucionan rápido y es importante para las empresas estar permanentemente informados de las principales novedades, sobre todo para garantizarse que el sistema “seguro” que utilicen no se vea comprometido en el futuro.

Como curiosidad, pueden ser interesantes estos artículos publicados recientemente en Internet:

 

José Picón Rodríguez
Abogado Socio
Picón y Asociados Abogados
Share