Gustos sexuales, enfermedades, vida delictiva: la ley bunkeriza nuestros datos

Los datos son dinero, con lo que cada uno de los 463.000 leoneses son, sin ser conscientes, un producto capaz de generar dividendos para otros. La nueva Ley de Protección de Datos blindará, al menos en la teoría, el derecho a la intimidad de los ciudadanos a través de una compleja red normativa que busca responsabilizar a las empresas y administraciones de la información personal con la que juega. 

Sin embargo, muchas de ellas aún desconocen de manera exacta cuál es su responsabilidad concreta. José Luis Piñar, catedrático de Derecho Administrativo, director de la Cátedra Google y ex director de la Agencia de Protección de Datos, aseguraba a Diario de León el pasado mes de octubre que los organismos peor preparados para la entrada del reglamento eran las administraciones locales y provinciales. Precisaba que el ciudadano saldría fortalecido en sus derechos puesto que para tratar datos personales habrá que contar con el consentimiento explícito del afectado. Es decir, a los ciudadanos

habrá que darles toda la información y ya no valdrá con el consentimiento tácito o el silencio. Se refuerza además el derecho al olvido o la portabilidad.

El ciberanalista de seguridad Jorge SoydelBierzo

El analista en ciberseguridad leonés Jorge SoydelBierzo  sostiene que la nueva ley genera una protección al usuario desconocida hasta el momento. "Ahora es obligatorio indicar para qué se van a usar nuestros datos además de proporcionarnos nuevos mecanismos para poder controlarlos", explica. El experto lamenta que la principal laguna es que la Agencia de Protección de Datos no dispone de más medios para la carga de trabajo que se avecina, si bien enfatiza en que las sanciones que prevé la nueva ley son "brutales" en el caso de que medie denuncia. El hacker subraya que la normativa está provocando problemas a las empresas que no se han preparado: "Pueden tener graves problemas", asegura al tiempo que incide en que la mayoría de las empresas, a pesar de que el GRPD lleva 2 años aprobado, han dejado todo para el último momento. "En estos últimos días hemos recibido una avalancha de peticiones para continuar enviándonos boletines y publicidad. Hay casos de empresas que han perdido el 80% de subscriptores de sus boletines bien porque los destinatarios han pasado de aceptar o porque no han sabido hacerlo, o quizás directamente han borrado la cantidad de spam recibida", explica.

El caso de los datos médicos es uno de los más delicados. El nuevo reglamento General de Protección de Datos (RGPD) afecta también al ámbito de la Investigación que se realiza en las Instituciones Sanitarias. Por un lado refuerza el consentimiento informado que las personas que participan en ensayos clínicos tienen que prestar antes de ser incluidos. Además, también refuerza la información que se les debe facilitar. Entre los ejemplos, destaca las finalidades del ensayo y las actuaciones que se llevaran a cabo con los datos recabados (almacenamiento, copias o manipulación), lo que en el vocabulario de la protección de datos se designa como “Tratamiento de los datos. "Los pacientes habrán de ser informados acerca de quién es el responsable de tratamiento para que pueda ejercitar sus derechos de acceso, rectificación, cancelación y oposición", destacan los responsables de la Junta.

El gerente del Caule, Juan Luis Burón . DANIEL

E l Sacyl gestiona en la provincia 400.000 historias clínicas activas y 700.000 pasiva s. Son los datos de 1.100.000 pacientes de la provincia que ya han sido digitalizados. El gerente del Caule, Juan Luis Burón, destaca que hay duplicados en papel de todas ellas, con lo que, en principio, un ciberataque que bloqueara el acceso a los datos de los pacientes no causaría daños irreparables, si bien se producirían retrasos, sobre todo en Urgencias. Hospitales y centros de salud se han convertido en infraestructuras crí-

ticas, susceptibles de ser atacadas, secuestradas por agencias externas. La Junta asegura que mantiene

un acuerdo de colaboración con el CCN-CERT dependiente del Centro Criptológico Nacional —Centro Nacional de Inteligencia— con el fin de realizar acciones preventivas, correctivas y de contención en materia de seguridad de la información mediante la detección en tiempo real de las amenazas e incidentes existentes. Las redes informáticas de los hospitales españoles, aseguran las fuentes consultadas, están preparadas ante posibles violaciones de seguridad en los intercambios de expedientes médicos entre un centro y otro.

Sin embargo, los métodos cada vez más modernos que utilizan los piratas informáticos hacen necesario una actualización constante de los protocolos utilizados para evitarlo. Por eso, la Gerencia Regional

de Salud mantiene una línea de trabajo orientada a la gestión continuada de la seguridad mediante su adecuación al Esquema Nacional de Seguridad. Sus responsables aseguran que la red sanitaria en la que se encuentra integrado el Complejo Hospitalario de León dispone de las líneas de defensa necesarias para garantizar una estrategia de protección constituida por múltiples capas de seguridad. «Las líneas de defensa no solo están constituidas por medidas de infraestructuras físicas (equipos de seguridad perimetral tales como cortafuegos) sino también de naturaleza organizativa», precisan. Además, sostienen que el Hospital cuenta con un Plan de Contingencia en el que se definen el conjunto de procedimientos —entre ellos, la recuperación de copias de seguridad de la información— a ejecutar en caso de incidentes con el fin de garantizar la correcta restauración del servicio.

El decano de los jueces de León, Luis Alberto Gómez . RAMIRO

El decano de los jueces, Luis Alberto Gómez , advierte de que en el caso de la magistratura hay que hacer una diferencia entre los datos de carácter jurisdiccional, que son los que se incorporan a un procedimiento, y los no jurisdiccionales. En el primer caso, la protección de datos está regulada por la Ley Orgánica del Poder Judicial. Además, el decano explica que el presidente del Consejo firmó un convenio de colaboración con la Inspección Judicial en materia de custodia y protección de datos. "En el caso de que haya sospechas de que haya habido una vulneración de datos, los inspectores del CGPJ actuarían", enfatiza Luis Alberto Gómez. Es decir, si existieran indicios suficientes que determinaran la apertura de un expediente por la posible participación de un miembro de la Carrera Judicial en la infracción de la normativa de protección de datos, la incoación y tramitación del mismo corresponderá en exclusiva al CGPJ. Son los datos no jurisdiccionales (los que se corresponden con el tratamiento de datos de carácter personal que se realiza dentro de la gestión de la Oficina Judicial) los que están sometidos a la Ley de Protección de Datos.

En cuanto a los datos que se cruzan a través de Lexnet, la plataforma de comunicación digital entre los abogados y los Juzgados, Luis Alberto Gómez explica que el responsable es el Ministerio de Justicia . "Es este órgano el que debe velar para que los datos estén protegidos, el único competente y, por tanto, el responsable", manifiesta el decano de los jueces, que añade que el único caso en el que jueces, magistrados o letrados de Justicia tendrían responsabilidad sería la cesión de datos a terceros, "es decir _infiere el magistrado_ en el caso de actos individuales que vulnerasen la ley". 

Laura Frá es la responsable de Nuevas Tecnologías del Colegio de Abogados

La abogada Laura Frá , responsable de Nuevas Tecnologías del Colegio de Abogados, deja claro que el reglamento no supondrá un gran cambio para los abogados, ni siquiera de mentalidad. "Desde los inicios de nuestra profesión se nos insiste en nuestra obligaciones deontológicas, y en concreto en el deber de guardar secreto profesional, en la obligación de no usar la información a la que tenemos conocimiento por cuestiones profesionales para perjudicar a nuestros clientes, en definitiva a no comerciar con la información a la que tenemos acceso por cuestión de nuestro trabajo", explica. Frá advierte de que hay dos normas nuevas a tener en cuenta. En primer lugar, la obligación de fijar un plazo durante el cual se van a mantener dichos datos e informar de que pasado ese plazo los datos se van a destruir. Además, la destrucción de los datos, incluidos los digitales, deberá realizarse con una serie de garantías que certifiquen que esos datos se han destruido. Otra cuestión novedosa es la obligación de anonimizar los expedientes . "Se acabó ir al juzgado con la carpeta de nuestro despacho con los datos de nuestros clientes escritos en la portada", enfatiza.

Laura Frá, una de las abogadas leonesas especializadas en ciberseguridad, hace hincapié en un matiz que rara vez se tiene en cuenta: "Después de el sector de la salud, considero que los que nos movemos en el mundo del Derecho somos los que manejamos datos más sensibles, o incluso más que los profesionales del sector sanitario, puesto que cuando hablamos de derecho y libertades de las persona, hablamos de sus datos médicos, económicos, patrimoniales, circunstancias personales, ideológicas o sexuales" . Es decir, podría decirse que, antes o después, la información más íntima y sensible del día a día e los ciudadanos pasa por el Juzgado, a pesar de que para muchos operadores jurídicos no se vea más que un número plasmado en un expediente. Respecto a este extremo, la letrada también tiene algo que decir. Y es que, y a tenor de la falta de medios económico de la administración, explica que de las mesas de los funcionarios no han desaparecido los expediente con los nombres de los encausados y el motivo por el cual tienen abierto el expediente. "Es de suponer que la Agencia Estatal de Protección de Datos tenga algo que decir a este respecto, sobre todo teniendo en cuenta, que el reglamento entró en vigor hace dos años, a pesar de que su aplicación quedase pospuesta hasta hace una semana", advierte.

Por último, avisa de la necesidad de enviar los correos electrónicos de forma cifrada, puesto que se trata de la única manera que hay de garantizar que durante el envío no se ha sufrido un accidente de seguridad informático. La abogada recomienda a sus colegas que el envío de los correos electrónicos se realice con la firma, sobre todo cuando se envían archivos que contienen datos de especial protección.

Juan Martínez Majo, presidente de la Diputación. JESÚS F. SALVADORES

La Diputación está al día . De hecho, y según asegura Francisco Castañón, en diciembre de 2017 se puso en marcha un Comité de Seguridad de la Informació n con la tarea primordial de poner en marcha el Reglamento a nivel provincial. No es para menos. Y es que la Diputación dispone de los datos de los ciudadanos de los 208 municipios con menos de 20.000 habitantes. "Nuestra intención era saber en qué momento nos encontrábamos y ahora podemos decir que la administración electrónica quedará ejecutada al cien por cien al final de la legislatura, asegura el diputado. Asimismo, se han instalado infraestructuras como cortafuegos organizativos y de gestión de personal y en estos momentos una auditora analiza todos los sistemas para comprobar si la protección es la adecuada. "Es importante que los ciudadanos sepan que estamos protegiendo su información y que si hay un ataque seremos capaces de responder de manera inmediata", subraya Castañón. Entre las medidas que se han implantado en la Diputación destaca la creación de un Comité de Seguridad de la Información y la creación de un delegado de protección de datos, una figura que exige el nuevo protocolo y que, por el momento ocuparán los miembros del citado comité. "No estamos solos. Hemos recibido apoyo del Centro Criptológico Nacional y de Incibe" , manifiesta el diputado, que añade que la Diputación también colabora con la Agencia Española de Protección de Datos y la Femp. Por otro lado, la institución está a punto de adjudicar el contrato de Telecomunicaciones "de manera inmediata". "Nuestras copias de seguridad se realizan en el centro de supercomputación", explica.