¿Las personas, el eslabón más débil de la LOPD? Lo que no hay que hacer en un equipo de acceso compartido

Miniatura noticia

Artículo escrito a pachas por Alfonso Pacheco Cifuentes y Álvaro Pérez Menéndez, Jefe de Sistemas y Proyectos del Ilustre Colegio de Abogados de las Illes Balears.

Al hablar de protección de datos nos pasamos horas hablando sobre su carácter de derecho fundamental y su capital importancia para el mundo (con permiso del blanqueo de capitales o de la responsabilidad penal de las personas jurídicas, que a este paso todo titular de una actividad económica terminará declarando como segunda actividad el cumplimiento de la burocracia normativa…), sobre el principio de calidad, la obligación de ofrecer contenidos informativos, la necesidad de recabar el consentimiento de los interesados y lo esencial de implementar un sinfín protocolos y muchas medidas de seguridad.

Pero muchas veces nos olvidamos de lo realmente, importante, que son las personas, el propietario de esas manitas que manejan el teclado y el ratón del ordenador o de la cabecita que decide sobre lo que se puede o no hacer con la información de carácter personal que maneja. Muchas de las denuncias que se presentan por los interesados (iba a decir perjudicados, pero ya saben ustedes que no es necesaria dicha condición para formular denuncia ante la AEPD) vienen derivados de errores o, incluso, meros despistes de funestas consecuencias.

Nadie está libre de cometer un error, porque equivocarse es inherente a la naturaleza humana (¿A quién no le ha dado algún quebradero de cabeza la función de autocompletar destinatarios del gestor de correo electrónico?). Pero cosa distinta es meter la pata por falta de concienciación y actitud. Muchas veces pensamos que nuestras obligaciones eleopedianas terminan en la puerta de nuestra empresa o despacho y que, saliendo del mismo, ya no debo hacer nada más.

Craso error, porque no caemos en la cuenta de que nuestra actividad y nuestra responsabilidad se desarrollan allende nuestro chiringuito con más frecuencia de la que pensamos y, por tanto, podemos cometer infracciones eleopedianas fuera de nuestro castillo, en casa ajena, por mucho que el propietario de la misma haya sido previsor y haya adoptado medidas en previsión de accesos de terceros a sus sistemas.

Les exponemos a continuación tres ejemplos tontos con los que hemos topado los autores de este artículo la semana pasada al desarrollar unas labores de comprobación para el Colegio de Abogados de las Illes Balears, el ICAIB, y que con un poco de diligencia e interés se podrían haber evitado perfectamente.

El ICAIB tiene oficinas abiertas en las distintas sedes judiciales de su demarcación. En todas esas dependencias se ponen a disposición de los colegiados una serie de servicios, entre los que destaca el uso de ordenadores para, caso de necesitarlo, redactar un escrito o, por ejemplo, consultar su correo electrónico o una base de jurisprudencia.

De los servicios que ofrece el Colegio éste es de los más utilizados :Es una estampa cotidiana cuando entras en estas dependencias encontrarse con abogados escribiendo a marchas forzadas (y solo con dos dedos, el índice de cada mano) un escrito a presentar en una vista que tienen a continuación, pero que se les había pasado por alto o se lo han dejado en el despacho o en casa, y se han dado cuenta al llegar a los juzgados. Así que, corre que te corre, el letrado redacta el escrito, lo imprime y sale pitando hacia la sala…pero con las prisas se olvida de eliminar el archivo (es decir, o lo ha dejado abierto directamente o lo ha cerrado, pero no eliminado), lo que supone que el documento queda a disposición de todo aquel que necesite hacer uso del equipo.

Previendo esta situación, el departamento informático del Colegio ha configurado un script en cada equipo de forma que cuando éste se reinicia elimina todos los archivos que los usuarios puedan haber creado. Pero lo normal es que esos equipos permanezcan encendidos durante todo el horario de apertura de las instalaciones, lo que significa que el reinicio tendrá lugar como pronto al día siguiente, cuando el empleado encienda de nuevo los equipos, así que la puesta a libre disposición de la información sobre nuestros clientes durará lo que quede de horario de apertura de las dependencias colegiales.

Sin duda, me parece una cuestión seria, porque en un escrito de abogado te puedes encontrar cualquier tipo de contenido: desde lo más intrascendental hasta la vida y milagros de tu cliente.

Pero el tema todavía va más lejos: una vez hecho el escrito, si hay que presentarlo habrá que imprimirlo. El ICAIB también ha tenido en cuenta esta cuestión, y ha incorporado un sistema de impresión segura, que a pesar de no haber sido muy bien recibido por los colegiados, habida cuenta que contabiliza y posteriormente factura el número de páginas, garantiza que un escrito enviado a la impresora, sólo pueda ser recogido por su propietario, salvaguardando, un poco más si cabe, la confidencialidad del mismo. Pero de nada sirve si luego el colegiado se deja parte de lo que ha imprimido en la bandeja de salida, al alcance del siguiente que mande imprimir otro documento.

Y para terminar, la traca final: ya que estábamos fuera de nuestros respectivos puestos de trabajo, abrí (Alfonso) Google Chrome para acceder a mi web mail (me niego a llevar configurado el correo en el telefonillo, oigan, qué pestiño), a ver si tenía algún mensaje que tuviera que atender y … ¡PUMBA, nos topamos no con una, sino con dos sesiones abiertas de usuario de Google, pudiendo acceder, señoras y señores, a contactos, círculos de amigüitos, al calendario y a las bandejas de la cuenta de correo y archivos adjuntos a los mensajes!

Sin duda, bastante más gorda esta incidencia que la que hemos relatado en primer lugar, porque el volumen de información puesto a nuestra disposición era mucho mayor, y tiene difícil arreglo, porque no cabe solución técnica alguna, ya que, si bien se pueden adoptar medidas sobre la duración de las sesiones o la aceptación de “cookies”, al final la responsabilidad del acceso siempre cae sobre el usuario que deja su sesión abierta.

Ya ven ustedes que formas más tontas de complicarse la vida, ¿verdad? y encontrarte con una vulneración del deber de secreto del artículo 10 LOPD susceptible de denuncia. La diligencia no se acaba en nuestra puerta, sino que debemos observarla en todo entorno en el que tratemos información cuyo propietario último es, no lo olvidemos nunca, nuestro cliente o nuestro contrario.

Se lo decíamos al principio: ya podemos documentar sesudos protocolos e implementar medidas de seguridad a troche y moche que en la era de la tecnología, quién nos lo iba a decir, lo más importante siguen siendo las personas, que deben insistir en su formación y tomar conciencia de la importancia de la privacidad, máxime en un mundo tan complejo y delicado como es el de la abogacía.

Foto: como no encontrábamos ninguna foto con licencia creative commons que se adaptara a lo que buscaba, al final hemos hecho un dibujini de un abogado cotilla camuflado tras el monitor en el que el incauto compañero se ha dejado abierto un archivo.

 


2 comentarios

  1. Amedeo Maturo Senra
    30 de julio de 2014 @ 10:32

    El mismo problema te lo encuentras en los hospitales, con las sesiones permanentemente abiertas de los facultativos… Pero el problema real de la privacidad sigue siendo el asunto “cookies”. Que Santa Tecla nos pille confesados…

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*