¡Pide presupuesto en 2 min! ✓
Glosario

Cifrado de datos. Qué es y cómo hacerlo

7 Mins read

En el mundo tecnológico en el que vivimos, casi toda nuestra información se encuentra en medios informáticos.

Y es necesario que la protejamos.

A continuación te vamos a dar las claves de cómo puedes proteger tu información crítica y de tus clientes ante accesos no autorizados: El cifrado de datos.

¿Qué es cifrar una información?

En primer lugar debemos dejar claro que es cifrar o encriptar.

La encriptación o cifrado es un proceso mediante el cual volvemos ilegible una determinada información.

La información una vez cifrada solo podrá verse si se aplica una clave previamente que debe conocer tanto el que cifra como el que descifra.

Es decir, solo se tendrá acceso a la la información si se utiliza una contraseña o código.

Tipos de cifrado

La normativa, tanto española como europea, permite los siguientes tipos de cifrado:

Cifrado convencional

Sistema profesional de cifrado robusto.

Alternativa al cifrado convencional

Cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros, como por ejemplo:

  •  Esteganografía: a través de este sistema, el emisor oculta mensajes a nivel de aplicación para su envío en forma de imágenes por medio de diferentes vías electrónicas, incluida la satelital.
  •  Spread-spectrum: el sistema de transmisión mediante espectro ensanchado permite el envío de mensajes ocultos para el caso inalámbrico a nivel físico.

Ámbitos de cifrado

El cifrado de los datos personales puede darse en dos ámbitos:

Medio de almacenamiento

Aquí cifraremos todo el dispositivo de almacenamiento de la información (disco duro), por lo tanto, sin conocer la clave de descifrado no podremos acceder a ninguna información contenida en él.

Carpetas o archivos

En este caso solo protegemos parte de la información almacenada, ya sea en la nube o en el disco duro.

Solo serán ilegibles las carpetas o archivos que elijamos para el cifrado, el resto se podrá acceder normalmente.

¿Obliga la Ley de Protección de Datos a cifrar la información?

La nueva normativa indica que se debe analizar el riesgo al que estarán sometidos los datos que se vayan a tratar, de manera que se puedan implementar las medidas de seguridad adecuadas, según el estado de la técnica.

Como vamos a observar, en la nueva normativa se abre el abanico para que sea obligatoria la implementación de determinados tipos de cifrado a todo tipo de dato o tratamiento, sin distinción, en función del riesgo que exista para estos y para sus titulares.

No obstante si que encontraremos diferentes normas que obligan al cifrado de ciertas actividades como:

  • hospitales
  • clínicas psicológicas
  • despachos de abogados

Normativas

LOPD

Las empresas que deben cifrar datos, según la Ley Orgánica de Protección de Datos (LOPDGDD) son aquellas que deben implantar medidas de nivel alto por razón de los datos que tratan o el tratamiento que realizan con ellos.

Es decir, se deben cifrar:

  • las que traten datos sensibles o especialmente protegidos.
  • las que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
  • si tratan datos derivados de actos de violencia de género.

Se exige que también se cifre:

  • cuando se transmita a través de redes públicas o inalámbricas los datos a los que nos hemos referido en el anterior párrafo
  • los dispositivos portátiles cuando se encuentren fuera de las instalaciones y contengan este tipo de datos

RGPD

En la nueva normativa europea ya no se obliga solo a determinados datos a ser cifrados.

Por supuesto que los datos sensibles deben ser cifrados, pero no solo estos, si no que debemos cifrarlos en función del riesgo que entrañe para el afectado el descubrimiento de los datos personales por otra persona o empresa no autorizada.

Cifrado Obligatorio

Por lo tanto si nos atenemos a lo que nos dice el RGPD será obligatorio cifrar los datos de carácter personal en los siguientes casos:

Cuando nos lo imponga el Estado

En nuestro país esta imposición la encontramos en la obligación que tenemos por la LOPD de cifrar los datos de nivel alto como:

  • origen étnico o racial
  • opiniones políticas
  • convicciones religiosas o filosóficas
  • afiliación sindical
  • datos de salud y vidas sexual
Si estamos adheridos a un Código de conducta

Si nuestra entidad esta adherida a un Código Tipo que regula las medidas de seguridad en nuestro sector de actividad, y este Código exige el cifrado, deberemos hacerlo si no queremos ser sancionados

La Evaluación de Impacto en la Protección de Datos nos lo ha recomendado

Determinadas empresas, por el tipo de tratamiento que realizan, deben cifrar los datos personales que gestionan, según las conclusiones de la evaluación de impacto que hayan realizado por imperativo legal.

Estas empresas son, entre otras, las que tratan datos biométricos o las que observan sistemáticamente y a gran escala zonas de acceso público.

Tenemos que suprimir o reducir un riesgo

Debe aplicarse la medida de cifrado si su implantación mitiga un riesgo cierto.

Cifrado voluntario

Como hemos comentado, cifrado es una de las medidas más adecuadas para mitigar los riesgos inherentes al tratamiento de datos de carácter personal de manera que se pueda mantener la seguridad.

Por lo que, aunque por el tipo de datos y los riesgos que detectemos no estemos obligados a cifrar los datos, nuestra recomendación es que lo hagamos siempre que:

  • no sea demasiado gravoso
  • queramos ser proactivos para la seguridad
  • deseemos ser un ejemplo de privacidad para otras empresas del sector
¿Por que cifrar es conveniente?

Aquellas empresas que hayan implementado un sistema de cifrado y sufran una brecha de seguridad que afecte a los datos personales que gestiona, están exentos de notificar la brecha de seguridad a los afectados, ya que al estar protegida la información no hay peligro para los derechos de los usuarios.

En cambio, aquellas empresas que no cifren están compelidas a informar a los usuarios sobre los ataques que sufran si las consecuencias incluyen la afección de sus datos personales.

LPBC

La Ley de Prevención de Blanqueo de Capitales, exige a sus sujetos obligados (es decir, las empresas que la tiene que cumplir) que cuando creen el fichero relativo al tratamiento de datos personales conforme a esta ley se apliquen las medidas de nivel alto (de la LOPD) y por tanto los datos deben de cifrarse.

Art 32 LPBC “serán de aplicación a estos ficheros las medidas de seguridad de nivel alto, que exigen el cifrado de datos”.

LGT

No existe una obligación clara para el cifrado de datos personales en la Ley General de Telecomunicaciones.

No obstante se ha incluido en este listado debido a que todas las compañías del sector cifran los datos de sus clientes para evitar tener que informarles sobre las brechas de seguridad que sufren en caso de que los atacantes hayan tenido acceso a los archivos encriptados.

CDAE

El Código Deontológico de la Abogacía Española, en su artículo 4, “obliga” a no defraudar la confianza de los clientes e instaura el secreto profesional como eje de la actividad jurídica.

El carácter de secreto y confidencial de la información exige su cifrado con el objetivo de convertirla en inteligible e inaccesible a terceros.

Por lo tanto, se entiende que deben aplicar medidas de nivel alto, para el tratamiento de datos personales de los clientes, de ahí la obligación de cifrar la información.

Gestión en nube

El empleo de servidores en la nube para la gestión de casos, para abogados y procuradores, está permitido por la normativa siempre que se respeten y se cumplan las medidas de seguridad de nivel alto.

Una de las principales herramientas de gestión en nube, que cumple con todos los parámetros y de la cual ya hemos hablando es Google G Suite.

LAP

En relación a los datos tratados por profesionales de la salud, la Ley de Autonomía del Paciente, todos los datos personales deben ser cifrados ya que:

  • en su artículo 7.1 promulga que “Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley”
  • al tratarse de datos de salud se le deben de aplicar medidas de nivel alto

Administraciones Públicas

En el sector público será obligatorio el cifrado de datos en determinadas actividades para asegurar:

  • el acceso
  • integridad
  • disponibilidad
  • autenticidad
  • confidencialidad
  • trazabilidad
  • conservación de los datos

En los servicios utilizados mediante medios electrónicos que gestionen en el ejercicio de sus competencias.

La normativa que lo exige es aquella que regula al Esquema Nacional de Seguridad, el RDL 3/2010 de 8 de enero.

Ejemplos concretos

Por lo tanto, una vez analizada toda la normativa se recomienda que los siguientes tipos de entidades cifren la información:

  • despachos de abogados
  • hospitales
  • clínicas
  • administraciones públicas
  • proveedores de servicios de telecomunicaciones
  • entidades de crédito
  • auditores de cuentas
  • notarios y registradores de la propiedad

Herramientas y guías de ayuda

¿No sabes como cifrar los datos?

A continuación te proponemos una serie de guías en las cuales encontraras todo lo necesario para cifrar los datos con seguridad

Cómo cifrar una carpeta en Windows

Cifrar es más sencillo de lo que se piensa.

Aquí encontraras una guía de cómo cifrar una carpeta en Windows y proteger los datos de carácter personal almacenados.

No todo vale. Cifrar los datos conforme a la AEPD

Cifrar la información no se puede hacer de cualquier forma.

Solo valdrá aquella forma en la que se garantice que la información no va a poder ser descifrada por terceros no autorizados.

Existen numerosas técnicas de cifrado, algunas son adecuadas y otras no.

La AEPD en su informe 494/2009 establece que para que el sistema de cifrado sea legal es necesario que dicho sistema “no esté comprometido, es decir, que no se conozca forma de romperlo”.

En este sentido, dice la AEPD que el cifrado de “archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades “.

Por tanto, no sería legal cifrar archivos utilizando las herramientas de proteger mediante contraseña los documentos PDF, Zip u otros análogos.

Aplicaciones recomendadas

No obstante, aquí te dejamos una lista con las aplicaciones más recomendadas por profesionales del sector, con las que podrás crifrar tus datos de forma segura:

Enlaces

 

Espero que a partir de ahora te sea más sencillo descubrir si tienes que cifrar tu información y como actuar en ese caso. Pero si necesitas que uno de nuestros abogados te ayude en el proceso, ¡ llámanos al  91 489 64 19 !

Related posts
Glosario

Cesión de datos a terceros

12 Mins read
Te explicamos con todo detalle cómo afecta la LOPDGDD en el acceso y la cesión de datos de terceros. ✅
Glosario

Publicidad Activa y Pasiva - Ley de Transparencia 19/2013 - ¿Qué es?

6 Mins read
La publicidad activa y el derecho de acceso a la información pública de los ciudadanos son dos conceptos íntimamente relacionados que configuran…
Glosario

K-anonimidad - ¿Qué es? ¿Métodos? ¿En qué consiste?

5 Mins read
Vivimos en un mundo en el que resulta cada vez más difícil mantener el anonimato. Nuestra información personal está en los ficheros…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.