La pérdida de la memoria USB, un quebradero de cabeza para el abogado

Es bien sabido que los abogados necesitan disponer constantemente de la información profesional en todas partes, bien sea en la oficina, en casa, o en congresos y conferencias. Por este motivo, muchos de ellos hacen uso de soportes tales como la memoria USB (también conocido como "lápiz de memoria" o "pendrive") para trasladar documentos de un lugar a otro de forma cómoda y ágil.

No hace muchos años, las memorias USB tenían una capacidad de pocos megabytes pero la tecnología avanza rápidamente de tal manera que a día de hoy podemos encontrar dispositivos con capacidades superiores a 256 Gigabytes. Aparentemente esto parece una ventaja dado que el abogado puede almacenar información sin preocuparse por el espacio, no obstante la realidad es que al disponer de tanto espacio las memorias USB almacenan cada vez más información accesoria e innecesaria.

Las memorias USB no únicamente han mejorado la capacidad, sino también su tamaño. Actualmente estos dispositivos tienen dimensiones inferiores a 5 centímetros lo que permite llevarlos incluso como llavero. Por el contrario, en ocasiones esta medida tanto reducida de las memorias USB ha jugado más de una mala pasada a algún abogado. La realidad es que hoy en día llevar un 'pen drive' en el bolsillo se ha convertido en una verdadera actividad de riesgo dado que cualquier movimiento en falso puede provocar la pérdida de éste.

Desgraciadamente cada vez hay más profesionales que pierden memorias USB y esto preocupa mucho a las empresas ya que, aparte de información de la información confidencial que se pueda almacenar, habitualmente hay datos personales especialmente sensibles.

Pero, ¿qué ocurre si un abogado pierde una memoria USB con datos de sus clientes?

En primer lugar, es preciso saber que la normativa de protección de datos contempla algunas medidas de seguridad tanto en cuanto al traslado de información como para el acceso a datos sensibles. En este sentido, el art.9 de la Ley Orgánica 15/1999, de protección de datos de carácter personal (en adelante, LOPD) impone al responsable del fichero un deber de adoptar las medidas de carácter técnico y organizativo que garanticen la seguridad de los datos de carácter personal y eviten su pérdida, alteración o acceso no autorizado.

Por un lado, el art. 92.3 del Real Decreto 1720/2007, de 21 de diciembre (en adelante RLOPD) dispone que "en el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción o pérdida de la información o el acceso indebido a esta durante su transporte". Esta medida es requerida en cualquier tratamiento de datos personales. Esto significa que tanto si el abogado almacena datos identificativos de clientes (p. ej. Un listado con nombres, apellidos y números de teléfono) como si guarda datos especialmente protegidos (p. ej. Datos de infracciones administrativas , penales o de salud) , deberá tener en cuenta esta medida cuando tenga previsto sacar la memoria USB fuera de la oficina.

Si bien es cierto que la normativa no especifica cuáles son las medidas que le corresponde adoptar al abogado que se disponga a trasladar información, la sentencia de la Audiencia Nacional de 11 de diciembre de 2008 establece que "(...) no es suficiente la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto - impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que las datos se pierdan, extravíen o acaben en manos de terceros - (...) resultando insuficiente con acreditar que adopta una serie de medidas, dado que también es responsable de que éstas se cumplan y ejecuten con rigor ".

El cifrado de los datos, necesario para la seguridad

Por otra parte, el art. 101.2 RLOPD establece que, en los casos en los que se traten datos sensibles que requieran la implementación de medidas de seguridad de nivel alto (art. 81.3 RLOPD ) " se cifrarán los datos que contengan los dispositivos portátiles cuando estos dispositivos estén fuera de las instalaciones que están bajo el control del responsable del fichero ".

Así pues, en los casos en que el abogado almacene datos relativos a la salud, creencias, origen racial, etc., deberá incorporar necesariamente un sistema de cifrado que garantice la seguridad y la confidencialidad de los datos que quiere transportar con la memoria USB fuera de su oficina. No obstante, cualquier sistema de cifrado no es considerado adecuado desde el punto de vista de la normativa de protección de datos, y por tanto al abogado le corresponde el deber de incorporar un sistema de cifrado seguro. En este sentido, la Agencia Española de Protección de Datos establece en el informe jurídico 0494/2009 que "no sólo es necesario cifrar, sino cifrar de modo que la información no sea inteligible ni manipulada por terceros".

No todos los sistemas de cifrado son válidos

De acuerdo con ello, la Autoridad Catalana de Protección de Datos (en adelante, APDCAT ) en su Dictamen CNS 12/2013 dispone que "en el momento de escoger un sistema de cifrado conviene asegurarse de que éste no contenga vulnerabilidades conocidas , ya sea porque se haya demostrado que el algoritmo utilizado no es seguro o porque el tiempo para calcular todas las claves posibles para descifrar los datos pueda permitir a un atacante descifrar los datos sin esfuerzos desproporcionados".

Por tanto, el abogado, de acuerdo con lo establecido en el Dictamen de la APDCAT, para asegurarse de que el sistema de cifrado utilizado cumple con la normativa deberá poder verificar:

• Que el algoritmo del sistema de cifrado elegido no tiene vulnerabilidades conocidas susceptibles de ser explotadas
• Que el sistema o herramienta de cifrado no tiene vulnerabilidades conocidas susceptibles de ser explotadas
• Que la gestión y distribución de las claves de cifrado / descifrado sea adecuada.

En la misma línea, el Dictamen constata en fecha 4 de marzo de 2013 la algoritmo de cifrado AES (en sus variantes de 128 bits y 256 bits) puede considerarse adecuado y, asimismo, las herramientas de cifrado Adobe Acrobat XI y Winzip 17, que utilizan dicho algoritmo, al no presentar vulnerabilidades técnicas sin resolución. Así pues, el uso de cualquiera de estas herramientas permitiría a los abogados cifrar la información de las memorias USB con total seguridad. Sin embargo, estos no son los únicos mecanismos de cifrado adecuados.

Si bien es cierto que el resto de mecanismos no disponen de un Dictamen que avala su cumplimiento con el marco legal vigente, existen otros mecanismos fiables que permiten cifrar el contenido de la memoria USB.

¿Qué mecanismos de cifrado se pueden usar?

En este sentido, el programa Truecrypt, que incorpora el algoritmo de cifrado AES, podría considerarse un mecanismo seguro y adecuado dado que no presenta actualmente vulnerabilidades conocidas. Aparte de esto, este mismo programa se encuentra recomendado por el Instituto de Tecnologías de la Comunicación (Inteco), lo que ofrece mayores garantías para el abogado que se disponga a utilizarlo. Con todo ello, y considerando que en varias ocasiones ni siquiera el equipo de informáticos de la FBI ha logrado descifrar el contenido de los documentos cifrados con Truecrypt, el abogado que utilice este software en su memoria USB podrá custodiar los datos de los sus clientes con la certeza de que si la pierde, los datos no acabarán en manos de terceras personas.

Con todo ello, aquel abogado que utilice una memoria USB para trasladar información de un lugar a otro conviene que tenga presente el alto riesgo que supone no contar con un mecanismo de cifrado adecuado. Resulta necesario que el abogado se anticipe a este tipo de contratiempos ya que en caso de pérdida de la memoria USB podría enfrentarse a sanciones que oscilan entre 40.001 y 300.000 euros.