La Declaración Universal de los Derechos Humanos es el documento más universal que existe sobre nuestros derechos, describiendo los treinta derechos fundamentales que constituyen la base para una sociedad democrática. El derecho número 12 de la declaración que se refiere a la intimidad. Este dice que “Nadie será objeto de interferencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra ni a su reputación. Toda persona tiene derecho a la protección de la ley contra tales interferencias o ataques.”
De esta ley deriva la creación el 1999 de la Ley Orgánica de Protección de Datos de Carácter Personal de España (LOPD), que tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar.
A partir de esta ley se creó la Agencia Española de Protección de Datos, de ámbito estatal, que vela por el cumplimiento de esta normativa.
Hemos hablado, previamente, de la existencia de legislaciones locales que regulan la forma en la que una compañía debe almacenar sus datos, particularmente en lo que respecta el archivado de correos electrónicos y copias de seguridad. La LOPD es la traducción Española de este tipo de regulación que deriva de leyes universales. Ésta, marca la pauta para que las personas encargadas de trabajar con datos personales protejan el derecho básico de la privacidad de todas las personas involucradas y así eviten a la empresa en cuestión problemas legales con la instituciones reguladoras.
Condiciones del archivo de correo electrónico para cumplir con la LOPD
Según el tipo de actividad de la empresa, los datos personales contenidos en los correos electrónicos pueden ser más o menos sensibles. El nivel de seguridad que se espera de una empresa en el uso de sus emails va a depender del tipo de información que contengan sus correos.
Las siguientes medidas de seguridad son básicas y su aplicación se espera de toda empresa que maneje datos personales:
1. Debe existir un registro de incidencias (notificación y gestión) que afecten a los datos personales contenidos en los correos electrónicos. 2. El personal con privilegios para acceder al correo electrónico debe estar detallado, actualizado periódicamente. 3. Los soportes de los correos electrónicos deben estar claramente identificados, inventariados y ser accesibles solo al personal autorizado. Su salida debe estar autorizada y su posible destrucción debe asegurar la imposibilidad de recuperarlos posteriormente. 4. La empresa debe contar con un sistema que garantice la correcta identificación y autenticación inequívoca y personalizada de los usuarios. Esta debe renovarse periódicamente. 5. Deben realizarse copias de seguridad de los correos, como mínimo, semanalmente. El buen funcionamiento de estos procedimientos debe verificarse al menos cada seis meses.
A estas medidas se suman, según el tipo de información que se utilice, otras de nivel medio y alto.
Nivel Medio
Se aplican a las empresas que trabajan con datos relativos a la comisión de infracciones administrativas o penales, servicios de información sobre la solvencia patrimonial y el crédito de las personas o bien al cobro de deudas dinerarias, las Administraciones tributaria, las entidades financieras, las Entidades Gestoras y Servicios Comunes de la Seguridad Social y las mútuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
Para este tipo de datos, deben designarse uno o más responsables de seguridad en la empresa. Debe también haber una auditoría (al menos cada dos años) que verifique el cumplimiento de las medidas de seguridad. Los soportes que contengan los correos electrónicos deben estar gestionados de tal forma que su entrada y salida, se acompañe de un registro detallado de las condiciones en las que estas se realizan. Debe existir un mecanismo que limite la posibilidad de acceso reiterado a los correos. El acceso a los soportes físicos de los correos debe estar limitado al personal autorizado. Por ultimo, el registro de incidencias debe ofrecer mayores detalles que el requerido para el nivel básico de seguridad.
Nivel alto Para datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, o bien datos derivados de actos de violencia de género. En este nivel, la distribución de soportes que contengan los correos debe hacerse de tal forma que estos estén etiquetados y sean comprensibles, únicamente, para las personas con acceso autorizado. Debe conservarse una copia de los correos y sus procedimientos de recuperación, en un lugar diferente al de los equipos informativos que los tratan. Debe haber un registro detallado de los accesos a los correos electrónicos, conservado por un periodo mínimo de dos años. El envío y acceso del correo electrónico debe estar sometido a un mecanismo, por ejemplo de cifrado, que garantice que la información no sea leída ni manipulada por terceros.
Este tipo de reglamentación puede variar en su forma según el país en el que se aplique. Son legislaciones que están constantemente evolucionando y perfeccionándose para proteger el derecho fundamental a la intimidad de las personas. Este objetivo es un gran desafío en el área de las comunicaciones en una linea que toma cada vez mayor fuerza y no siempre es posible predecir.
Agenda tu demo gratuita de usecure
Por qué usecure:
- Mitiga las brechas de ciberseguridad en tu empresa
- Monitoreo de la Dark Web
- 4 productos en uno
