Aquesta guia TIC, publicada pel Consell General de l’Advocacia Espanyola en col·laboració amb l’Institut Nacional de Ciberseguretat i l’Agencia Espanyola de Protecció de Dades, analitza de forma pràctica com prevenir una fuga d’informació en un despatx d’advocats i com gestionar-la en casa de produir-se.
Lo que es aplicable d’aquesta guia a un despatx d’advocats, es aplicable a la majoria d’empreses i professionals.
La informació s’ha convertit en un dels actius més importants que posseeix un despatx d’advocats. Aquesta informació , en el cas de pèrdua, sostracció o accés no consentit per par de tercers, potser implementada amb finalitats inestimades o utilitzada per finalitats comercials. És per això que les fugues d’informació s’estan convertint en una de les amenaces a les que s’enfronta el nou món connectat d’una professió com l’advocacia, aquesta és basa en gran mesura en la confiança que els clients depositen en aquests professionals.
La guia exposa l’origen, tant extern com intern, de les amenaces que poden provocar les fugues d’informació, per analitzar a continuació com prevenir-les o mitigar-les. En l’ampli apartat dedicat a com gestionar la fuga d’informació s’exposa un pla per la gestió dels incidents que recull els principals punts i aspectes a tenir en compte per part d’un despatx d’avocats que vulgui reforçar la seva capacitat de prevenció i reacció.
En aquest enllaç et pots descarregar la guia:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/INCIBE_AEPD_Gestionar_fuga_de_informacion.pdf
Pel que fa referència a la protecció de dades personals la guia indica que:
“L’Agencia Espanyola de Protecció de Dades (AEPD) és l’autoritat estatal encarregada de velar pel compliment de la normativa sobre protecció de dades. Les seves funcions són garantir i tutelar el dret fonamental a la protecció de dades de caràcter personal dels ciutadans. En aquest sentit, i per aquells suposats en els que una fuga d’informació comporti una fuga de dades personals, el Reglament Europeu de Protecció de Dades conte una sèrie de previsions i obligacions pel responsable tractament. En efecte, els Considerandos 85 a 87 i els articles 33 i 34, recullen l’obligació pel responsable del tractament de que, al tenir el coneixement de que s’ha produït una violació de la seguretat de les dades personals, haurà, sense dilecció indeguda, i en menor temps de 72 hores després de que hagin tingut constància d’ella, notificar la violació de seguretat a l’autoritat de control competent, a menys que el responsable pugui demostrar la improbabilitat de que la citada violació provoqui un risc pels drets i les llibertat de les persones físiques afectades. Es el que es coneix com a Data Breach Notification.
A més a més d’aquesta notificació, el responsable del tractament de les dades objecte de la fuga (en aquest cas, el despatx) haurà de comunicar a l’interessat, sense dilació indeguda, la violació de la seguretat de les seves dades personals en cas de que aquesta pugui porta a un risc pels seus drets i llibertats. Aquesta notificació haurà de realitzar-se respectant el contingut mínim establert en l’article 34 del citat reglament europeu.
Aquesta comunicació és important subjecte a les persones afectes per la fuga de les seves dades que estiguin informades de l’incident i de les dades que han estat sostretes, amb la finalitat de que puguin fer les accions oportunes per a la seva seguretat, tals com el canvi de contrasenyes, la revocació de números de targetes, ser especialment cautelosos amb accessos eventuals a les seves comptes de correu etc… A més a més deuen proporcional algun canal per que els afectats puguin mantenir-se informats sobre l’evolució de l’incident i de les diferents recomanacions que pugui realitzar l’organització als afectats, amb l’objectiu de minimitzar les conseqüències.
Lladó Grup
Consultoria i gestoria
