Guía: “Cómo gestionar una fuga de información en un despacho de abogados”

Esta Guía TIC, publicada por el Consejo General de la Abogacía Española en colaboración con el Instituto Nacional de Ciberseguridad y la Agencia Española de Protección de Datos, analiza de forma práctica cómo prevenir una fuga de información en un despacho de abogados y cómo gestionarla en caso de producirse.
Lo que es aplicable de esta guía a un despacho de abogados, es aplicable a la mayoría de empresas y profesionales.
La información se ha convertido en uno de los activos más importantes que posee un despacho de abogados. Tal información, en caso de pérdida, sustracción o acceso no consentido por parte de terceros, puede ser empleada con fines indeseados o utilizada con fines comerciales. Es por ello que las fugas de información se están convirtiendo en una de las amenazas a la que se enfrenta en el nuevo mundo conectado una profesión como la abogacía, la cual se basa en gran medida en la confianza que los clientes depositan en estos profesionales.
La guía expone el origen, tanto externo como interno, de las amenazas que pueden provocar las fugas de información, para analizar a continuación cómo prevenirlas o mitigarlas. En el amplio apartado dedicado a cómo gestionar la fuga de información se expone un plan para la gestión de los incidentes que recoge los principales puntos y aspectos a tener en cuenta por parte de un despacho de abogados que quiera reforzar su capacidad de prevención y reacción.
En este link se puede descargar la guía:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/INCIBE_AEPD_Gestionar_fuga_de_informacion.pdf
Por lo que se refiere a protección de datos personales, la Guía indica que:
“La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal encargada de velar por el cumplimiento de la normativa sobre protección de datos. Sus funciones son garantizar y tutelar el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.
En este sentido, y para aquellos supuestos en los que una fuga de información conlleve una fuga de datos personales, el Reglamento Europeo de Protección de Datos contiene una serie de previsiones y obligaciones para el responsable del tratamiento. En efecto, los Considerandos 85 a 87 y los artículos 33 y 34, recogen la obligación para el responsable del tratamiento de que, tan pronto como éste tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, deberá, sin dilación indebida, y a más tardar 72 horas después de que haya tenido constancia de ella, notificar tal violación de seguridad a la autoridad de control competente, a menos que el responsable pueda demostrar la improbabilidad de que la citada violación entrañe un riesgo para los derechos y libertades de las personas físicas afectadas (pe.,porque tales datos iban cifrados o porque se han adoptado medidas ulteriores eficaces que garanticen que ya no existe tal riesgo). Es lo que se conoce como Data Breach Notification.
Además de tal notificación, el responsable del tratamiento de los datos objeto de la fuga (en este caso, el despacho) deberá comunicar al interesado, sin dilación indebida, la violación de la seguridad de sus datos personales en caso de que ésta pueda entrañar un alto riesgo para sus derechos y libertades. Tal notificación deberá realizarse respetando el contenido mínimo establecido en el artículo 34 del citado Reglamento europeo.
Esta comunicación es importante al objeto de que las personas afectadas por la fuga de sus datos estén informados del incidente y de los datos que han sido sustraídos, a fin de que puedan tomar las acciones oportunas para su seguridad, tales como el cambio de contraseñas, la revocación de números de tarjetas, ser especialmente cautelosos con eventuales accesos a sus cuentas de correo, etc. Además, se debe proporcionar algún canal para que los afectados puedan mantenerse informados sobre la evolución del incidente y las distintas recomendaciones que pueda realizar la organización a los afectados, con el objetivo de minimizar las consecuencias”
 
(Fuente: Agencia Española de Protección de Datos y Guía “Cómo gestionar una fuga de información en un despacho de abogado”).