Con frecuencia, y como parte de los pequeños sondeos para ver el estado del entorno, me fijo en las webs de diferentes organizaciones, algunas dedicadas a la aplicación de la ley de protección de datos.
Es una especie de vicio, y tampoco soy de los que creen que propia web es perfecta: las webs son un trabajo permanente. Exigen pulir y repulir, y siempre tienen algún detalle mejorable.
Sobre esos puntos de mejora, hablemos de http vs. https.
Ruego a los informáticos disculpas por la simplificación que voy a hacer. No me interesa lo que hay dentro la caja, sino que la caja dé los “outputs” correctos.
Probablemente la mayoría de los lectores ya lo sepan, pero http es simplemente un acrónimo, unas siglas juntas a partir de las palabras Hypertext Transfer Protocol.
Vamos, lo que viene siendo el protocolo de transmisión de datos.
¿Y la letra “S”?
Cuando el protocolo se nombra HTTPS significa que es sistema hará que los datos queden cifrados en su transmisión. Eso requiere a su vez un protocolo SSL (u otro), de manera que además los equipos identifican los certificados de emisor y transmisor garantizando que no hay otro equipo en medio “escuchando” la conversación.
Es decir, la S significa que nadie que no sea el receptor legítimo de la información que se envía puede verla, robarla, o usarla indebidamente. O no sin un esfuerzo considerable que hace que, en la mayoría de los casos, no valga la pena el intento. No está expresado así en la ley de protección de datos, pero no hace falta ser un experto para entender que una condición técnica para complir esta ley es proteger la infomación del cliente (del paciente) cuando está en trásito por los formularios que uno mismo ha puesto para la remita.
En principio hay que y vincular el certificado al sitio al sitio Web en que se aloja. Cada servidor puede ser un poco diferente en esto, pero no es importante.
Lo importante es que, si uno quiere cumplir la LOPD-GDD tiene que procurar que los formularios de la web, de TU web no queden al descubierto para el primero que venga.
¿Nos imaginamos un formulario en que se te piden los números de tu tarjeta de crédito y esos números los ve un delincuente?
Pues es lo que pasa muchas veces.
Ahora, ¿nos imaginamos dando nuestros datos de salud a un profesional de la salud, en su formulario web y que otras personas puedan ver lo que le consultamos?
¿Y si los datos de menores?
Pues también sucede. ¿Es lo que más duele?
Duele, o podría doler mucho, al afectado por la filtración.
También duele bastante la declaración, muy frecuente en consultorías de LOPD llevadas por abogados, que dice algo como:
“Esta organización declara que aplica todas las medidas técnicas, legales, y organizacionales, para garantizar la seguridad de la información.” Un corta-pega clásico de unos a otros.
Pero luego la web no es https ni en los formularios.
Luego a) no cumplen con las medias técnicas; b) si el técnico, o alguien, no ha auditado estos aspectos, tampoco cumplen los organizativos o de gestión; c) si no se cumplen esos dos aspectos ¿hay otros que tampoco se estén cumpliendo? Bastante probable; d) si esos aspectos no se están cumpliendo, TAMPOCO se está cumpliendo la ley de proteccón de datos.
Para que la Ley de Protección de Datos y Garantía de Derechos Digitales se cumpla no basta con declarar la intención de hacerlo. Ni que se está haciendo. Hay que hacerlo.
El Artículo 28 de la LOPD-GDD, bajo el título Obligaciones generales del responsable y encargado del tratamiento, dice:
- Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.
Por esta razón, con buen criterio, los legisladores no han considerado que la guía para aplicar las normas sobre protección de datos recaiga sobre perfiles profesionales ligados exclusivamente al derecho. Ni a la informática. Lo hacen más amplio. Prefieren perfiles mixtos en los que el conocimiento y las habilidades permitan a los profesionales prestar atención a varios aspectos al mismo tiempo.
Sin que, por ejemplo, se escape la S de HTTPS.
Para empezar.
Pero estas afirmaciones nos llevan a otra pregunta.
¿Qué hago si mi web NO es https y es necesario que lo sea?
página web profesional que no encripta su formulario. Incumple la ley de protección de datos.
Ya sabemos que lo es cuando tiene formularios, cualquier formulario, en el que un usuario pueda escribir datos personales. Aunque no esté previsto que lo haga. Basta con que lo pueda hacer.
La respuesta sencilla es: póngase en contacto con su web master o el proveedor de que disponga y pídale que modifique la web que lo sea.
Y aquí advierto de un posible reto técnico: si su web es antigua, o no se ha preocupado de la seguridad de la transmisión de los datos desde el diseño, puede que la operación no sea fácil.
Hasta el punto de que puede compensar hacerla de nuevo en vez de pelearse con la «web madre» y sus múltiples hijos tratando de que encajen en la seguridad.
La decisión de cómo hacerlo tanto de los conocimientos de su proveedor y de cómo esté montada su web. Eso sí, para algunos negocios, no es una opción: asegure su web, de inmediato, si trata datos de salud, datos sensibles, o datos de menores de edad.
