Documento técnico La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados Una empresa Servicios de autenticación TM VeriSign La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados Resumen ejecutivo La protección de datos es algo que afecta a todos, ya sean consumidores, empleados o altos directivos; por eso es tan importante prestarle atención. Una fuga de datos puede socavar considerablemente la confianza de los consumidores, tener repercusiones legales e incluso, en algunos casos, obligar a la empresa a cerrar. Los países de Europa cuentan con leyes de protección de datos similares entre sí y casi todos han instaurado agencias de protección y supervisión dotadas de la autoridad necesaria para controlar la aplicación de las normas, asegurar su observación y castigar su incumplimiento. También existe la figura del responsable del tratamiento de datos, que tiene la misión de asegurar que se respete la ley y se expone a represalias legales si fracasa en su tarea. Por otro lado, aunque existen tecnologías como el cifrado SSL (Secure Sockets Layer o «capa de sockets seguros»), capaces de garantizar que los datos personales de un individuo solo sean accesibles para el personal autorizado, es necesario que existan procedimientos para controlar la recopilación de datos personales y asegurar que se borren cuando dejen de ser necesarios. Este documento técnico analiza en profundidad las tendencias en Europa en materia de protección de datos, así como la aplicación de la tecnología SSL, los certificados y la gestión de estos. Una empresa Servicios de autenticación TM VeriSign 2 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados ¿Qué consideramos datos personales? • Se consideran datos personales todos aquellos datos fácticos relativos a una persona viviente que puedan servir para identificarla de forma directa o indirecta. • En ocasiones, datos que en principio son anónimos pueden convertirse en datos personales al combinarse con nombres, direcciones, números de tarjeta de crédito... o incluso con información de otro tipo, como hábitos de consumo, destinos de vacaciones o datos sobre el valor de un vehículo. • Algunos países distinguen categorías especiales para ciertos datos personales, como pueden ser el historial clínico, los hábitos sexuales, las creencias religiosas o las opiniones políticas. • En algunos casos, las interfaces web (p. ej., campos de texto o formularios) pueden captar datos personales sin haberlos solicitado. • En algunos países solo está permitido almacenar o recopilar los datos personales de un individuo si se cuenta con su autorización expresa por escrito. Una empresa Servicios de autenticación TM VeriSign 3 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados El responsable del tratamiento y su misión En términos legales, la figura del responsable del tratamiento de datos designa a la persona que controla la seguridad de los datos personales en una determinada empresa. En la mayoría de países, los individuos que manejan datos personales deben tomar una serie de precauciones (ya sean de carácter técnico o administrativo) para evitar que estos sean procesados de forma ilegal, se pierdan, sufran daños o sean destruidos. Los responsables del tratamiento deben registrarse en la agencia de protección de datos de su país, indicar qué medidas ha adoptado su empresa para custodiar esta información y avisar a la agencia si se producen cambios al respecto. Reino Unido Ley principal Data Protection Act 1998 (Ley de Protección de Datos de 1998) Obligaciones legales • Procesar los datos personales de forma correcta, respetuosa con la ley y, por lo general, solo con el consentimiento del individuo. • Recopilar y procesar datos únicamente para fines legales y previamente especificados. • No recopilar datos innecesarios, irrelevantes o en un volumen excesivo. • Asegurarse de que los datos sean correctos y estén actualizados; así como no conservarlos durante más tiempo del necesario. • Tomar las medidas oportunas para prevenir posibles usos ilegales o pérdidas accidentales de datos. • No transferir los datos a países que carezcan de unos estándares adecuados de protección de datos. Datos personales especiales (p. ej., historial clínico, hábitos sexuales, creencias religiosas u opiniones políticas) Solo pueden procesarse si se cumplen una serie de condiciones muy estrictas. Autoridad en materia de protección de datos Information Commissioner (Comisariado de Información) Los responsables del tratamiento deben llevar a cabo evaluaciones de riesgos para decidir qué medidas son adecuadas en su empresa, teniendo en cuenta el coste de implementación y los avances tecnológicos. Los principios de protección de datos y responsabilidad legal también afectan a terceros: por ejemplo, si el sitio web de una empresa está alojado en un servidor de otra compañía y dicho servidor procesa parte de los datos que maneja la empresa, el proveedor del alojamiento también debe garantizar que tomará medidas para cumplir la normativa. Aunque los contratos de una empresa con sus proveedores deben recoger las obligaciones de estos en esta materia, es preciso prestar atención para garantizar su cumplimiento. Una empresa Servicios de autenticación TM VeriSign 4 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados Consecuencias del incumplimiento El incumplimiento de las leyes de protección de datos puede acarrear graves represalias por parte de las autoridades, pero también por parte de clientes y proveedores. El responsable del tratamiento de datos debe asegurarse de tomar las medidas adecuadas para proteger esta información. Si no lo hace y se produce una fuga de datos, se expone a consecuencias legales. En estos casos, es posible que las agencias de protección de datos soliciten más información al responsable del tratamiento o consulten a otras fuentes para determinar si se ha vulnerado la ley. Si lo estima necesario, la agencia emitirá una orden que indica los pasos necesarios para corregir las fugas que haya detectado. El responsable del tratamiento de datos de la empresa tiene la obligación de responder satisfactoriamente a las instrucciones de la agencia, ya que de lo contrario estará cometiendo un delito. El castigo por dicho delito suele ser una multa, pero el importe de la misma depende de la gravedad de la fuga y puede llegar a ser ilimitado. Además, si el problema no se soluciona dentro de un plazo razonable, las autoridades pueden prohibir a la empresa que siga procesando datos. Las fugas de datos intencionales o deliberadas, especialmente si se llevan a cabo con ánimo de lucro, pueden verse castigadas con penas de prisión. Sin embargo, además de las repercusiones legales, las empresas que incumplen la normativa se exponen a arruinar su reputación. La historia demuestra que los clientes tienden a abandonar a las empresas que no se toman en serio la protección de sus datos, y a largo plazo esta consecuencia puede ser más grave que una simple multa. De hecho, es posible que los usuarios presenten una denuncia contra la empresa por los daños y perjuicios sufridos a raíz de la fuga de datos. Francia Ley principal Ley 2004-801 Obligaciones legales • Recopilar y procesar los datos personales de forma correcta y respetuosa con la ley, y únicamente para un propósito específico y expresamente definido. • No recopilar datos irrelevantes ni en un volumen excesivo en relación al propósito para el cual se han recopilado. • No conservarlos durante más tiempo del necesario para cumplir dicho propósito. • Asegurarse de que los datos sean correctos y estén completos. • Los datos personales de un individuo solamente se pueden procesar con su consentimiento, a menos que sean necesarios para asegurar el cumplimiento de sus obligaciones legales o civiles. Datos personales especiales (p. ej., historial clínico, hábitos sexuales, creencias religiosas u opiniones políticas) Solo se pueden almacenar y recopilar previa autorización por escrito del individuo en cuestión. Autoridad en materia de protección de datos CNIL (Commission National de l’Informatique et des Libertés, o Comisión Nacional de Informática y Libertades) Una empresa Servicios de autenticación TM VeriSign 5 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados Prácticas recomendadas en materia de seguridad de datos Las agencias de protección de datos de los distintos países de Europa no suelen imponer a las empresas unas prácticas determinadas, algo lógico dado que cada empresa funciona en unas circunstancias distintas y la tecnología avanza a un ritmo frenético. En cambio, suelen sugerir a las empresas que evalúen por sí mismas el nivel de seguridad que necesitan para proteger los datos personales de los consumidores, al tiempo que establecen estándares para ayudarlas a mantener su ventaja competitiva ante sus socios y clientes. Así pues, en cada país de Europa, las prácticas recomendadas suelen originarse y desarrollarse en sectores industriales específicos. No obstante, existen aspectos comunes: por ejemplo, el método más utilizado para proteger los datos en Internet es el cifrado SSL. Al ser un estándar en el sector, debe constituir un pilar fundamental de la estrategia de protección de datos en Internet de cualquier empresa. El protocolo de seguridad SSL crea un canal cifrado especial que asegura la confidencialidad de los datos durante su tránsito por Internet, de modo que solo el legítimo destinatario pueda descodificarlos. Para llevar a cabo esta operación se usan certificados SSL, formados por una clave pública que cifra la información y una clave privada que permite descifrarla. Estos certificados pueden tener una longitud de hasta 256 bits; cuantos más bits tenga la clave, más seguro será el cifrado. Con la tecnología disponible en la actualidad, un hacker decidido y con recursos necesitaría un billón de años para infiltrarse en una sesión protegida con un cifrado de 128 bits. Así pues, cuando los usuarios visitan un sitio web protegido con un certificado SSL, pueden introducir sus datos con un alto grado de confianza. El cifrado, por sí solo, no es garantía de que se cumpla la normativa de protección de datos, pero es un buen método para evitar fugas de datos y reforzar la seguridad de la empresa. Una empresa Países Bajos Ley principal WBP (Wet Bescherming Persoonsgegevens, o Ley de Protección de Datos Personales) Obligaciones legales • Procesar los datos de forma adecuada y cuidadosa. • Recopilar datos únicamente con fines específicos, legítimos y expresamente definidos, y únicamente con el consentimiento previo del individuo al que corresponden, a menos que sean necesarios para cumplir una obligación legal. • No conservar los datos durante más tiempo del necesario, y asegurarse de que sean correctos. • Procesar únicamente datos adecuados y relevantes, y en un volumen que no sea excesivo en relación al propósito para el que se han recopilado. Datos personales especiales (p. ej., historial clínico, hábitos sexuales, creencias religiosas u opiniones políticas) No deben procesarse excepto en los casos que contempla la ley. Autoridad en materia de protección de datos CBP (College Bescherming Persoonsgegevens, o Consejo de Protección de Datos Personales) Servicios de autenticación TM VeriSign 6 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados ¿Cómo refuerza la seguridad de los datos el cifrado SSL? La capacidad de los hackers para interceptar datos personales no deja de crecer y el público cada vez es más consciente de los peligros del fraude en Internet, así que las empresas no pueden quedarse de brazos cruzados. Es preciso que lleven a cabo análisis periódicos para comprobar si las medidas que han adoptado son adecuadas o si necesitan una protección más avanzada. Por ejemplo, si empiezan a recopilar datos de carácter más confidencial, es posible que necesiten adoptar una tecnología de cifrado más potente. Asimismo, si se producen cambios en los estándares del sector, es posible que deban actualizar sus certificados para adaptarse a las prácticas recomendadas. Las empresas también deben estar atentas para combatir las nuevas técnicas que desarrollen los hackers, como la capacidad de «secuestrar» sesiones HTTP en redes Wi-Fi abiertas para apropiarse de los datos de inicio de sesión de los usuarios. Ante amenazas como esta, los datos de inicio de sesión deben tratarse con tanto cuidado como los demás datos personales. De hecho, las empresas deberían plantearse utilizar la tecnología SSL en la totalidad de su sitio web, y no solamente en algunas páginas. Otro aspecto que se debe tener en cuenta es la caducidad de los certificados SSL, ya que un certificado caducado puede poner en peligro a la empresa y a sus clientes, o incluso impedir el correcto funcionamiento de un sitio web de comercio electrónico (con el consiguiente perjuicio de las ventas mientras los informáticos resuelven el problema). Las siguientes medidas hacen que controlar los certificados SSL de la empresa resulte más sencillo para el personal informático: 1. 2. 3. 4. 5. levar a cabo una auditoría de todos los dominios y certificados. L Reunir todos los certificados en una sola cuenta centralizada. Definir un proceso administrativo para la empresa. Configurar avisos y comprobar de forma periódica las renovaciones y unidades disponibles. Revocar y sustituir certificados cuando sea necesario. Cabe resaltar que, en ciertos países, las empresas tienen la obligación de informar a la agencia de protección de datos cada vez que modifiquen sus medidas de seguridad. Alemania Ley principal BDSG (Bundesdatenschutzgesetz, o Ley Federal de Protección de datos) Obligaciones legales Los responsables del tratamiento de datos tienen las siguientes obligaciones: • Impedir el acceso no autorizado a los sistemas de procesamiento de datos, así como su uso indebido. • Asegurar que las personas que utilicen los sistemas de procesamiento de datos solamente puedan acceder a los datos para los que se las haya autorizado; impedir cualquier lectura, copia, modificación o eliminación no autorizada de datos personales; y garantizar que se pueda comprobar quién es el destinatario de estos. • Asegurar que se puede identificar a la persona que introduce o modifica los datos personales. • Garantizar que, en caso de que se subcontrate el procesamiento de datos, el subcontratista lleve a cabo dicha tarea conforme a las instrucciones y a la ley. • Asegurar la protección de los datos personales frente a accidentes o pérdidas. • Procesar por separado los datos recopilados para fines distintos. Datos personales especiales (p. ej., historial clínico, hábitos sexuales, creencias religiosas u opiniones políticas) No se pueden procesar con fines comerciales sin el consentimiento del propietario, excepto en los casos que contempla la ley. Autoridad en materia de protección de datos Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Comisariado de Protección de Datos y Libertad de Información) Una empresa Servicios de autenticación TM VeriSign 7 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados Conclusión Está claro que las leyes de protección de datos han llegado a Europa para quedarse, y eso es algo que nos beneficia a todos, ya seamos consumidores o empleados de empresas con sitios web abiertos al público. Estas leyes no solo protegen nuestros datos personales, sino que ayudan a que las empresas se tomen en serio el almacenamiento de este tipo de información. Además, aumentan la confianza en el comercio electrónico y contribuyen a que las empresas del sector puedan competir en igualdad de condiciones. Uno de los principios fundamentales de estas leyes es que los datos personales solo deben ser accesibles para los individuos autorizados. Este objetivo se puede cumplir de distintas formas, pero para ello es preciso contar con la tecnología adecuada. Afortunadamente, el cifrado SSL ya ha demostrado su fiabilidad y, en combinación con una estrategia de seguridad bien planteada y una gestión correcta de los certificados, proporciona la máxima garantía de protección para los datos personales. Más información Visite nuestro sitio web www.verisign.es Para contactar con un especialista en productos Llame al 900 931 298 o al (+41) 26 429 77 27 Sobre Symantec Symantec es líder mundial en soluciones de gestión de sistemas, almacenamiento y seguridad. Su objetivo es ayudar a empresas y particulares a gestionar y proteger sus datos en un mundo cada vez más dominado por la información. Nuestros servicios y programas protegen contra una mayor cantidad de riesgos en más puntos y de una forma más completa y eficaz, lo que brinda tranquilidad independientemente de dónde se utilice o almacene la información. Symantec Spain S.L. Parque Empresarial La Finca – Somosaguas, Paseo del Club Deportivo, Edificio 13, oficina D1, 28223, Pozuelo de Alarcón, Madrid, España Copyright © 2012 Symantec Corporation. Todos los derechos reservados. Symantec, el logotipo de Symantec, la uve sobre el círculo y VeriSign Authentication son marcas comerciales o marcas registradas de Symantec Corporation o sus filiales en los Estados Unidos y otros países. Los demás nombres pueden ser marcas comerciales de sus respectivos propietarios. Una empresa Servicios de autenticación TM VeriSign 8 La importancia de la confidencialidad: cómo mantener a buen recaudo los datos privados ANEXO: Comparación entre países Reino Unido Francia Países Bajos Alemania Ley principal Data Protection Act 1998 (Ley de Protección de Datos de 1998) Ley 2004-801 WBP (Wet Bescherming Persoonsgegevens, o Ley de Protección de Datos Personales) BDSG (Bundesdatenschutzgesetz, o Ley Federal de Protección de datos) Obligaciones legales • Procesar los datos personales de forma correcta, respetuosa con la ley y, por lo general, solo con el consentimiento del individuo. • Recopilar y procesar datos únicamente para fines legales y previamente especificados. • No recopilar datos innecesarios, irrelevantes o en un volumen excesivo. • Asegurarse de que los datos sean correctos y estén actualizados, así como no conservarlos durante más tiempo del necesario. • Tomar las medidas oportunas para prevenir posibles usos ilegales o pérdidas accidentales de datos. • No transferir los datos a países que carezcan de unos estándares adecuados de protección de datos. • Recopilar y procesar los datos personales de forma correcta y respetuosa con la ley, y únicamente para un propósito específico y expresamente definido. • No recopilar datos irrelevantes ni en un volumen excesivo en relación al propósito para el cual se han recopilado. • No conservarlos durante más tiempo del necesario para cumplir dicho propósito. • Asegurarse de que los datos sean correctos y estén completos. • Los datos personales de un individuo solamente se pueden procesar con su consentimiento, a menos que sean necesarios para asegurar el cumplimiento de sus obligaciones legales o civiles. • Procesar los datos de forma adecuada y cuidadosa. • Recopilar datos únicamente con fines específicos, legítimos y expresamente definidos, y únicamente con el consentimiento previo del individuo al que corresponden, a menos que sean necesarios para cumplir una obligación legal. • No conservar los datos durante más tiempo del necesario, y asegurarse de que sean correctos. • Procesar únicamente datos adecuados y relevantes, y en un volumen que no sea excesivo en relación al propósito para el que se han recopilado. Los responsables del tratamiento de datos tienen las siguientes obligaciones: • Impedir el acceso no autorizado a los sistemas de procesamiento de datos, así como su uso indebido. • Asegurar que las personas que utilicen los sistemas de procesamiento de datos solamente puedan acceder a los datos para los que se las haya autorizado; impedir cualquier lectura, copia, modificación o eliminación no autorizada de datos personales; y garantizar que se pueda comprobar quién es el destinatario de estos. • Asegurar que se puede identificar a la persona que introduce o modifica los datos personales. • Garantizar que, en caso de que se subcontrate el procesamiento de datos, el subcontratista lleve a cabo dicha tarea conforme a las instrucciones y a la ley. • Asegurar la protección de los datos personales frente a accidentes o pérdidas. • Procesar por separado los datos recopilados para fines distintos. Datos personales especiales (p. ej., historial clínico, hábitos sexuales, creencias religiosas u opiniones políticas) Solo pueden procesarse si se cumplen una serie de condiciones muy estrictas. Solo se pueden almacenar y recopilar previa autorización por escrito del individuo en cuestión. No deben procesarse excepto en los casos que contempla la ley. No se pueden procesar con fines comerciales sin el consentimiento del propietario, excepto en los casos que contempla la ley. Autoridad en materia de protección de datos Information Commissioner (Comisariado de Información) CNIL (Commission National de l’Informatique et des Libertés, o Comisión Nacional de Informática y Libertades) CBP (College Bescherming Persoonsgegevens, o Consejo de Protección de Datos Personales) Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Comisariado de Protección de Datos y Libertad de Información) Una empresa Servicios de autenticación TM VeriSign 9