El cifrado de datos personales quizá sea una de las prácticas de seguridad que menos atención proactiva despierta en el entorno empresarial. En la mayoría de los casos se trata de una medida adicional, no relacionada directamente con la prevención de daños para el negocio, excepción hecha de las firmas dedicadas a sectores como el legal o el sanitario. Es en ellos donde se gestionan y analizan datos personales más sensibles, cuya difusión no autorizada puede acarrear graves sanciones económicas.
De ahora en adelante es muy probable que la obligada precaución que se tiene en ese tipo de sectores con los datos más sensibles se extienda a otras ramas de la actividad económica. La reciente entrada en vigor del nuevo Reglamento General de Protección de Datos (RGDP) europeo, y su recomendación de hacer una evaluación del impacto para los derechos y libertades de las personas, el manejo o filtración accidental de sus datos, establece un índice de gravedad en caso de descuido, al que corresponde una sanción proporcional a la imprudencia cometida.
Sin embargo, el cambio legislativo no se queda en la mera recomendación, la misma GDPR establece varias situaciones en las que hacer una EDI es obligatorio para las empresas: cuando hay un alto riesgo para los derechos y libertades de las personas físicas, cuando se realiza una evaluación sistemática y tratamiento a gran escala de datos especialmente protegidos o cuando se usan tecnologías consideradas invasivas.
En un contexto como el actual, en el que el número de canales a través de los que las empresas recaban y almacenan datos de sus propios empleados, socios y clientes, la posibilidad de que se den situaciones de riesgo se han multiplicado, ya sea por omisión involuntaria de las obligaciones establecidas por ley o por causa de intrusiones indeseadas en los sistemas, redes, aplicaciones o dispositivos móviles.
En lo que se refiere a la legislación española, la última versión de la LOPD protege especialmente los datos llamados de alta sensibilidad. Son los relativos a las creencias religiosas, opiniones políticas, origen étnico, filiación sindical, vida y orientación sexuales, genéticos y biométricos.
En la actual formulación de la ley, se establece que manejar ese tipo de datos no sólo requiere que las empresas tengan un consentimiento explícito del individuo, sino que se den una serie de circunstancias que justifiquen su manejo. Estas no guardan relación con la compra venta de productos y servicios.
Así las cosas, poner en mayores dificultades a hackers y ciberdelincuentes y evitar filtraciones indeseadas requiere afrontar proyectos de cifrado del acceso a los datos, ya sea a nivel intermedio o bloquear el acceso a los mismos. La primera ventaja que se obtiene cuando se cifran los datos es clara y se desprende de todo lo expuesto anteriormente: una menor exposición a posibles sanciones económicas que puedan dañar severamente la marcha del negocio. A esta acompaña el verse eximida de la obligación de ponerse en contacto con los clientes y la entidad reguladora en caso de producirse una brecha en el sistema de seguridad.
Tampoco se ha de olvidar que encriptar los datos hará que estos sean inservibles para los ciberdelincuentes, lo que redundará en un aumento del prestigio y reputación de la empresa a todos los niveles.
¿Y cómo hacerlo? La normativa Europea reconoce dos formas de llevar a cabo este proceso: convencional; empleando un sistema profesional que actúe a nivel intermedio y bloquee el acceso a los dispositivos o sistemas; o mediante herramientas que permitan actuar a nivel de aplicación, archivos o para sistemas de transmisión inalámbrica. Ambas son recomendables y pueden combinarse en función de cada caso concreto.