¡No a las contraseñas en Post-it! Potencial brecha de seguridad

Miércoles, 28 Marzo 2018 12:41
Publicado en Blog
Escrito por  Visto 1950 veces
Valora este artículo
(6 votos)
¡No a las contraseñas en Post-it! Potencial brecha de seguridad .

Recientemente, una de las autoridades de control de protección de datos en España, la Autoridad Catalana de Protección de Datos (en adelante ACPD), se ha pronunciado, a través de una resolución a su procedimiento sancionador 22/2017, poniendo en jaque una práctica altamente extendida en nuestra sociedad: la anotación de contraseñas de acceso a nuestra información, en un soporte físico a la vista de terceros.

En una era de los medios digitales como la actual, en la cual las contraseñas de acceso a la información almacenada en nuestros ordenadores, correos electrónicos y otros servicios, configuran nuestro llavero virtual y cuando la confianza en nuestra memoria entra en juego, ¿quién no ha optado, en alguna ocasión, por un “cómodo” almacenamiento escrito de las contraseñas en aras de evitar hacer uso del molesto “¿Ha olvidado su contraseña?”.

Por todos es sabido que este método de almacenamiento de las contraseñas no es el más adecuado en lo que a seguridad de los datos de carácter personal se refiere. Sin embargo, la ACPD va un paso más allá, al considerar que esta práctica supone un acto de vulneración de una de las medidas de seguridad contempladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de datos (en adelante, RDLOPD y LOPD).

En concreto, supondría la vulneración de la medida de seguridad prevista en el capítulo III, artículo 93.3 del RDLOPD: “Identificación y autenticación” que se pronuncia en los siguientes términos: "3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

Tal y como indica la resolución mencionada, a ojos de la ACPD, durante la tramitación del procedimiento sancionador, quedó suficientemente acreditada la vulneración de la medida de seguridad descrita; lo cual es constitutivo de una infracción de carácter grave prevista en el artículo 44.3.h de la LOPD, que tipifica como tal: "H) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que se determinen por vía reglamentaria."

Sin embargo, hemos de tener en cuenta que la resolución hace referencia a la vulneración de una medida de seguridad que, como tal, ya no se contempla en el nuevo Reglamento Europeo de Protección de Datos (en adelante, RGPD) así como en el Proyecto de Ley Orgánica de Protección de Datos (en adelante, PLOPD) como consecuencia de la desaparición del catálogo de medidas de seguridad desarrollado en el capítulo VIII del RDLOPD.

No obstante, y en virtud del principio de responsabilidad proactiva, elemento esencial introducido en el RGPD y PLOPD, y que conlleva la aplicación de todas aquellas medidas de seguridad apropiadas a fin de garantizar y poder demostrar que el tratamiento que se lleva a cabo es conforme con la normativa que será plenamente exigible a partir de mayo de 2018, consideramos que esta medida técnica de seguridad es básica y necesaria en todo tratamiento de datos automatizado.

 ¿Por qué?

Tal y como hemos indicado en otras ocasiones, como usuarios hemos de tener cierta diligencia en la custodia de los datos personales que almacenamos. De este deber de custodia se deriva la necesidad de establecer una barrera de seguridad adecuada que proteja esa información, en aras de evitar el impacto negativo que puede causar un acceso o un uso no autorizado de esos datos. Por ello, consideramos necesario invertir el tiempo y esfuerzo necesario no sólo en generar una contraseña segura, sino en establecer un mecanismo adecuado para su custodia.

Podemos concluir, indicando que de nada sirve utilizar los mejores métodos de cifrado de la información que almacenamos en nuestros dispositivos electrónicos, si nos olvidamos de proteger la puerta de entrada a la misma, por ejemplo, anotando la contraseña en cualquier soporte en papel y al alcance de malintencionados usuarios.

Marta Castrillo de la Fuente

Abogada TIC – Consultora Protección de Datos

PRODAT en Castilla y León

Inicia sesión para enviar comentarios

Modificado por última vez en Miércoles, 28 Marzo 2018 13:38

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal