Informaciones más que reservadas

El nuevo reglamento europeo de protección de datos obligará a proteger más las webs

Imagen que los 'hackers' han colgado en la cuenta de Twitter del sindicato de los Mossos d'Esquadra.

Imagen que los 'hackers' han colgado en la cuenta de Twitter del sindicato de los Mossos d'Esquadra. / periodico

CARMEN JANÉ / BARCELONA

Por qué confiar en El PeriódicoPor qué confiar en El Periódico Por qué confiar en El Periódico

Un policía es ante todo una persona, que además se afilia, compra y se relaciona también en internet. Y como cualquier otro internauta, sus datos pueden estar expuestos al robo y a la divulgación no consentida. Y esto es lo que ha ocurrido al revelarse la base de datos que tenía el Sindicat de Mossos d’Esquadra sobre sus afiliados, a quienes pedía que rellenaran un completo cuestionario, con domicilios, teléfonos, unidades de destino y cuenta corriente, para darse de alta a través de la web.

Todos estos campos era obligatorio rellenarlos, lo que, si se hace correctamente, conforma una base de datos muy completa dentro del servidor donde se aloja, en este caso de una de las principales empresas de 'hosting' europeas. La web tenía un servidor securizado (HTTPS) y, según el sindicato afectado, con medidas de seguridad que habían resistido otros ataques previos. También cumplía, en principio, todas las medidas que exige la legislación española, que reclama que se registre el archivo en la Agencia Española de Protección de Datos y que se aplique unas medidas de seguridad “básicas” al tratamiento de la información personal. La legislación exige una protección de nivel alto porque se incluye un dato “ideológico” como es la afiliación sindical.

Sin embargo, si se le aplicara el nuevo reglamento europeo de protección de datos, el incidente revelaría las carencias de la legislación en vigor, no pensada para un mundo en que internet está cada vez más presente. Porque el nuevo texto, que se dará a conocer la próxima semana pero se aplicará a partir de mayo del 2018, enfoca la seguridad “desde el punto de vista de los riesgos”, recuerda Jordi Bacaria, abogado y exresponsable de la comisión de sociedad de la información del Col·legi d’Advocats de Barcelona. “Las medidas de seguridad tendrán que ser aplicadas en función de si el tratamiento de los datos personales representa un riesgo para los derechos y los intereses de los afectados”.

Y es que en algunas profesiones hay datos más sensibles que otros, y para un policía, un médico, un profesor, un director financiero o de recursos humanos o un profesional de la salud, que se conozca el teléfono o el domicilio privados, en ciertas manos, pueden tener consecuencias como acoso o agresiones.

ENTORNOS SEGUROS

Para el director del esCERT de la UPC, el catedrático Manel Medina, "habría que preguntarse si no debe de exigirse a webs privadas que manejan datos confidenciales de funcionarios públicos o profesiones sensibles el mismo nivel de seguridad que tienen las webs públicas". Para el experto, “un formulario extenso bajo un entorno seguro (HTTPS) es seguro, pero la base de datos que genera es muy completa, por eso el nuevo reglamento europeo pide que se exija la menor cantidad de información posible en una transacción”.

A los organismos oficiales también les preocupa en el sentido en que el robo de información privada les puede afectar en su actividad pública. “A los mossos afectados les hemos pedido que cambien sus contraseñas de acceso a las webs internas, como primera medida de seguridad”, explica Xavier Gatius, director del Cesicat, responsables de los sistemas informáticos del Govern.

El ente público mantiene “un seguimiento de los grupos activistas que buscan notoriedad difundiendo información y nos coordinamos con otros organismos públicos si detectamos una suplantación de dominios, por ejemplo”, añade Gatius. El robo de contraseñas, comenta, es el 2% de los incidentes de seguridad que sufre la Generalitat cada año, una cifra, explica, por debajo de otros entes públicos.