Com s'hauria de comportar l'ordinador del despatx per acomplir amb la LOPD?

Genés Margarit
gmargarit@iuristel.net
Consultor
IURISTEL,SA

Al llarg de la dilatada experiència de IURISTEL en l'adaptació de més de 100 despatxos de tot Catalunya a la LOPD (llei orgànica de protecció de dades), sempre s'ha observat que l'esperit de la norma s'entén i és compartit per tots els advocats.
és obvi que la confiança que diposita un client envers el seu advocat és absoluta. Per aquesta raó el compromís de confidencialitat es troba molt arrelat en el sector, i garantit per defecte en el codi deontológic.

A nivell formal hi ha diverses mesures que la LOPD obliga a implantar (totes elles realitzades en un procés d'auditoria):

• Acomplir amb el deure d'informar l'interessat de la finalitat de la recollida de dades.
• Inscriure els fitxers que continguin dades personals a l'Agència de protecció de dades.
• Habilitar protocols de resposta davant d'una reclamació: d'accés, rectificació, oposició o cancel·lació de les dades.
  
• Redactar un document de seguretat on es defineixin: funcions i obligacions del personal que tracta les dades, mesures de seguretat emprades, etc.
• Instaurar registres que controlin els usuaris autoritzats, els suports (1) presents, i un llibre d'incidències que reculli successos que afectin la seguretat dels fitxers.

En canvi, a nivell tècnic ¿com es pot saber si es mantenen els fitxers, locals, programes o equips amb les mesures de seguretat reglamentàries , tal com demana la LOPD? Cal tenir molt present que l'incompliment de les esmentades mesures es pot traduir en multes d'entre 60.000 i 300.000 €.

Interpretar les exigències de la normativa i enllaçar-les amb la realitat tècnica de cada entorn és un objectiu que només està a l'abast d'organitzacions que, com IURISTEL, disposin d'un equip de professionals que combinin una àmplia experiència amb un profund coneixement tant tecnológic com jurídic.

Des de l'esperit de servei de IURISTEL envers l'advocacia, neix aquest article que desitja propiciar la reflexió de l'advocat i fer-lo capaç d'esbrinar si el seu entorn informàtic està acomplint amb alguns dels requeriments reglamentaris. S'intentarà demostrar com amb un nivell bàsic d'informàtica, capacitat d'observació i sentit comú, es pot discernir si s'assoleixen algunes de les necessitats que marca la LOPD.

Les exigències que a continuació s'aniran enumerant són només algunes de les que manen la llei i el reglament, i han estat escollides per la seva notorietat i accessibilitat.

També s'ha considerat que la majoria d'advocats gestionen dades catalogades de nivell alt (2) i que, per tant, necessiten una especial exigència i cura en el seu tractament.

I. L'ordinador m'identifica (3) cada cop que l'utilitzo?
La primera és una de les necessitats més senzilles de descobrir. L'ordinador des d'on s'accedeixi als expedients dels clients només haurà de ser accessible per a l'advocat (o usuaris autoritzats, com per exemple els treballadors del despatx).
Igual que seria inimaginable que un caixer automàtic no demanés un codi secret per poder gestionar els nostres comptes, o que el nostre telèfon móbil no ens demanés un PIN secret per poder trucar, seria inconcebible que l'ordinador no demanés algun mètode d'autenticació per poder accedir i treballar amb els expedients dels clients.

Peró, com s'ho fa l'ordinador per reconèixer-nosí Com pot un PC distingir quin és l'usuari que s'hi asseu davant i intenta manipular-lo?

El mètode més habitual és mitjançant el que s'anomena un quadre d'autenticació. L'ordinador abans no ofereixi un entorn de treball vàlid per poder accedir, redactar o modificar documents ha d'exigir que s'introdueixi una paraula secreta vinculada exclusivament a la nostra identitat.

Si quan arrenca l'ordinador es troba amb alguna de les pantalles presentades a la Figura 1, aleshores l'ordinador ens identifica correctament.

(Figura 1 - Quadres d'autenticació)

A més, com passa en un caixer automàtic o en un móbil, si s'introduïssin repetidament codis secrets erronis l'ordinador s'hauria de bloquejar. Aquesta és una mesura que molt sovint s'oblida perquè la instal·lació del Windows no la exigeix, peró és crucial evitar l'intent reiterat d'accessos fraudulents.

II. és impossible que perdi dadesí
és primordial evitar la possibilitat de perdre les dades. Aquestes pèrdues poden ser el resultat d'alguna avaria. Es poden distingir dos tipus d'avaries:

Les que no permeten accedir a les dades, malgrat el correcte funcionament de l'ordinador. Degudes habitualment a errors humans que provoquen que un programa es comporti erróniament.

I les que destrueixen les dades. Associades al fet que una peça de l'ordinador es malmeti.

El reglament demana habilitar mètodes que evitin la pèrdua de dades per culpa de qualsevol dels dos tipus d'avaries.

Les degudes a errors humans s'eviten prohibint que l'usuari pugui realitzar operacions indegudes, perquè si per descuit intentés fer quelcom que possibilités una avaria se li cancel·lés l'operació.

El propietari d'un ordinador es pot sorprendre pel fet que l'aparell li denegui certes tasques. Peró si té confiança en el seu informàtic, pensi que quan l'ordinador li prohibeixi l'execució d'alguna operació serà per la seva seguretat i la de les seves dades, millor dit les dades que pertanyen als clients.

Igual que succeeix amb un rellotge, on la manipulació del mecanisme intern queda segellada i només és accedit per un professional, en el nostre ordinador, on mitjançant el teclat i el ratolò es pot arribar a les entranyes de l'aparell, el tècnic informàtic ha d'habilitar mecanismes perquè un usuari no el pugui malmetre involuntàriament.

En canvi les avaries relacionades amb el trencament d'una peça, només poden solucionar-se substituint-la. ¿S'imagina que la peça malmesa és el disc dur on resideixen totes les dadesí Què passaria amb tots els expedients (resultat d'anys de feina)?
Davant d'aquesta situació només hi ha una solució, precisament l'exigida per l'agència, mantenir una cópia de seguretat actualitzada de les dades.

No importa el suport: cintes, disquets, CD, DVD, etc. El fonamental és tenir la cópia, conèixer el mètode per recuperació, i actualitzar-la com a mínim setmanalment.

Una de les claus de l'èxit de les cópies de seguretat és automatitzar-les perquè ningú hagi de perdre temps executant programes de cópia o guardant els suports en un lloc adient.

III. L'ordinador es bloqueja quan l'abandono?
Quan treballi amb el seu ordinador, si algun cop se'l deixa encès perquè ha de sortir a fer una gestió o atendre una trucada, l'ordinador ha de bloquejar-se.

Per exemple, si algun dia s'oblidés l'ordinador encès al migdia, quan tornés a la tarda hauria de trobar-se una imatge que no permetés veure el contingut de la feina que havia quedat a mitges, i que el sistema exigòs la contrasenya per tornar a oferir l'entorn de treball.

En aquesta prestació se l'acostuma a conèixer com a protector de pantalles. El ventall de protectors disponibles és enorme, des d'austeres pantalles en negre fins a espectaculars imatges que mostren preciosos entorns naturals.

La Figura 2 és un exemple on es té configurat el protector de pantalla perquè mostri el logotip de Windows després de tres minuts d'inactivitat, i demani contrasenya per tornar a utilitzar l'ordinador.

(Figura 2 - Configuració tipus del protector de pantalla)

IV. Perdo dades si em roben la carteraó
Si es porten documents digitals amunt i avall, es desaran en un suport portàtil (per exemple: disquets, PDA, telèfons móbils, o memóries usb).

Aquestes dades són accessibles des de qualsevol ordinador sense identificar-se? Perquè, aleshores si perdéssim el suport, qualsevol que el trobés tindria accés a les nostres dades...

Per evitar l'anterior perill, el reglament demana que s'utilitzin mètodes perquè les dades contingudes en els suports móbils estiguin encriptades i demanin autenticació en el moment d'accedir-hi.

Aixó s'aconsegueix simplement considerant-ho en el moment de comprar el suport, i demanant que el nostre aparell pugui oferir aquestes prestacions de seguretat.

V. Els mails són confidencialsí
El correu electrónic és una de les eines fonamentals per realitzar moltes gestions amb els clients. ¿S'està emprant algun mètode per certificar la nostra identitat, i garantir que la comunicació és secreta entre l'origen i el destò? O, quan es reben dades d'algun client, podem certificar que l'adreça de correu emissora és realment la del client?

Avui en dia tot aquest entorn s'està usant amb unes dosis de confiança excessiva, que provoquen un dèficit de seguretat en l'ús d'aquest canal de transmissió. Encara no està prou difosa la necessitat d'adquirir mètodes d'identificació i confidencialitat (4).

Per aconseguir els anteriors objectius, el sector de l'advocacia coneix des de fa temps la importància que té el certificat digital. L'ús d'aquesta eina permet assegurar l'autenticitat dels missatges i els seus emissors. Per obtenir més informació només cal demanar-la als col·legis, els quals estan realitzant una gran tasca divulgativa entre els professionals del sector.

Amb aquest breu escrit, s'han repassat cinc circumstàncies fonamentals per garantir la seguretat de les nostres dades a nivell informàtic. Qüestions que han servit per justificar l'existència d'algunes de les nombroses mesures que exigeix el reglament.
S'ha comprovat al llarg de l'article com el compliment del reglament no tan sols evita infringir amb la LOPD, sinó que millora notablement la seguretat i fiabilitat del nostre sistema d'informació. Per aquesta raó, l'adaptació a la LOPD també és una excel·lent oportunitat per augmentar el grau de confiança amb la informàtica del despatx.

(1) Es considera com a suport qualsevol objecte físic susceptible de ser tractat en un sistema d'informació i on es puguin gravar o recuperar dades.
(2) Són considerats de nivell alt els fitxers que continguin dades d'ideologia, religió, creences, origen racial, salut o vida sexual.
(3) S'entén per identificació la seguretat que s'està realitzant la gestió amb la persona o entitat desitjada.
(4) La confidencialitat és el procés que garanteix que només el professional y la persona o entitat amb la qual es realitza la gestió poden tenir accés a la informació.

Accés al text complert de la Llei Orgànica de Protecció de Dades (LOPD)
Accés al portal <http://www.juridicas.com/>