Una gestión inadecuada en el tratamiento de los datos sensibles de una persona puede conllevar riesgos importantes para sus derechos y libertades. Por este motivo, están sujetos a condiciones de tratamiento específicas. Por ejemplo, si trabajas en el sector de los seguros, financiero, sanitario o público es probable que trates datos sensibles a diario y que te plantees cuestiones sobre la protección de estos datos a la hora de firmar.
En este post destacamos los principales aspectos clave que debes tener en cuenta en la elección de la solución de firma electrónica para documentos con datos sensibles.
Los datos especialmente protegidos en el RGPD
La firma electrónica de informes médicos, el registro electrónico de pacientes o el onbarding digital de empleados son ejemplos de cómo las empresas e instituciones están digitalizando sus procesos basados en documentos en papel. A la vez, implican una especial atención por contener datos sensibles o especialmente protegidos, una categoría de datos que necesita una mayor protección respecto al resto de datos personales.
Según el Reglamento General de Protección de Datos (RGPD), deben considerarse las siguientes categorías de datos como especialmente sensibles:
• Datos personales de origen étnico o racial.
• Opiniones políticas.
• Creencias religiosas o convicciones filosóficas.
• Afiliación sindical.
• Datos genéticos.
• Datos biométricos que permitan la identificación de manera unívoca de una persona física.
• Datos relativos a la salud.
• Datos relativos a la vida y orientación sexual.
Este tipo de datos forman parte de un gran número de actividades cotidianas presentes en todos los ámbitos. A continuación, enumeramos algunos ejemplos de documentos o procesos que incluyen datos sensibles:
• El informe médico de una persona es un dato sensible, puesto que se consideran los datos relativos a la salud como datos sensibles.
• Los exámenes médicos de los empleados también son considerados como datos especialmente protegidos.
• En el onboarding de empleados, datos relativos a su afiliación sindical, información sobre religión, raza, etnicidad o estado civil. La información de salud o médica también son datos sensibles.
Los datos sensibles necesitan de una especial protección, para lo que se aplican normas específicas para evitar los riesgos derivados de su tratamiento. En el caso de que una empresa o institución deba tratar datos especialmente protegidos por la Ley de Protección de Datos, más allá de cumplir con el deber de información del RGPD respecto al tratamiento de dichos datos, se deben contemplar algunos aspectos, cuyo objetivo es reforzar la protección de los datos.
Aspectos clave para la firma electrónica de documentos con datos sensibles
En general, los datos sensibles no pueden tratarse, excepto excepciones. Cuando alguna de estas excepciones se producen, el responsable del tratamiento estará legitimado para tratarlos aplicando las medidas de seguridad de datos personales correspondientes.
Como responsables del tratamiento, empresas e instituciones deberán velar porque no existan brechas en los sistemas. Deben prestar especial atención, por el papel tan importante que desempeña, a la solución de firma electrónica integrada.
1.- Confidencialidad: La información solo debe ser accesible a aquellas personas o sistemas autorizados, de manera que se protegerá mediante procedimientos de identificación y autenticación de usuarios, controles de acceso físico y lógico y contraseñas robustas, que se cambiarán cada cierto tiempo.
En el caso de firma de documentos que contengan una o varias de las categorías de datos sensibles mencionadas, una de las claves para garantizar su confidencialidad es evitar exponerlos a terceros no autorizados.
En este sentido, los servicios de firma electrónica de Uanataca garantizan la confidencialidad de los documentos que se envían a firmar, no permitiendo reconstruirlos fuera de la infraestructura la compañía.
2.- Integridad: Es la garantía de que la información, en este caso los datos sensibles, no serán manipulados, modificados o alterados. Para ello, la firma electrónica debe estar vinculada con los datos firmados por la misma, permitiendo detectar cambios en el documento después de la firma electrónica.
Según el Reglamento (UE) nº 910/2014 (eIDAS) solo la firma electrónica avanzada y cualificada garantizan la integridad de los documentos firmados, facilitando la detección del cualquier modificación.
> Post relacionado 👉🏻 Firma electrónica simple, avanzada y cualificada: conoce sus diferencias.
3.- No repudio: Como ya hemos mencionado, los datos sensibles no pueden tratarse, salvo excepciones reguladas en la RGPD. Existen una serie de circunstancias que justifican el tratamiento de datos sensibles, como razones de interés público en el ámbito de la salud pública, protección de intereses vitales, cumplimento de obligaciones y ejercicios de derechos, entre otras.
Además de las circunstancias señaladas más arriba para poder tratar datos especialmente protegidos, debe existir un consentimiento explícito por parte del interesado. Debido a su importancia, es fundamental que el consentimiento explícito se firme con firma electrónica cualificada. Este tipo de firma electrónica es la única que garantiza el no repudio y la inversión de la carga de la prueba.
4.- Servicios en la nube: Las ventajas de la firma en la nube son claves para garantizar procesos ágiles y remotos. Si eliges una solución en la nube, existen dos razones por las que debes evaluar el proveedor del servicio:
• Servidor seguro y supervisado 🔒
Asegúrate de que la solución en la nube que utilices se ajuste a este tipo de tratamiento cuando trates categorías especiales de datos personales en los documentos por firmar.
En el caso de usar soluciones de firma basadas en certificados digitales cualificados -aquellas que ofrecen mayores garantías que el resto- estos deberán ser generados y almacenados en el servidor seguro y supervisado ( HSM ) del prestador de servicios de confianza acreditado, lo que permite a la organización mejorar la seguridad en la custodia de los certificados.
• Marco normativo europeo ⚖️
El uso de servicios de confianza eIDAS garantiza el cumplimiento normativo (RGPD, LOPD, LFE) y de los principales estándares de seguridad (ISO 27001, ENS, ISO 9001).
Por ello, confía la firma de los documentos con datos sensibles a un Prestador Cualificado de Servicios de Confianza conforme al Reglamento eIDAS.
5.- Garantías particulares de un PCSC: Cuando se trata con datos sensibles se deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Algunas de ellas se refieren a:
• Cifrado de datos personales.
• Capacidad de garantizar la confidencialidad de los sistemas.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.
En este sentido, el conjunto de condiciones establecidas para los PCSC (Prestador Cualificado de Servicios de Confianza) garantiza que, mediante su infraestructura y equipo humano, desarrollarán servicios caracterizados por su legalidad y su seguridad.
De forma periódica, Uanataca, como PCSC, se somete a un proceso de auditoría que garantiza su reputación como figura segura y confiable.
A su vez, debe contar con personal con conocimientos especializados, fiabilidad, experiencia y cualificaciones necesarias.
Concerniente a la seguridad y la protección, Uanataca usa sistemas que sean fiables, protegidos contra toda alteración y garantes. Asimismo, se toman medidas contra la falsificación y el robo de datos.
¿Dónde podemos encontrar más recomendaciones sobre medidas de seguridad a implantar para garantizar la protección de datos?
Es posible acudir a diferentes fuentes donde se pueden encontrar recomendaciones sobre cuáles son las medidas de seguridad técnicas y organizativas que puede implementar vuestra empresa. Entre esas fuentes destacamos las siguientes:
• El Esquema Nacional de Seguridad (ENS), aunque está orientado a las Administraciones Públicas, sus requisitos mínimos y medidas de seguridad pueden servir para empresas y cualquier tipo de organización.
• La Agencia Europea de Seguridad de las Redes y Sistemas de la Información la UE (ENISA), que se centra especialmente en la nube, el big data y protección de datos, infraestructuras críticas y respuesta a incidentes, pero además emite informes y opiniones sobre medidas de seguridad en protección de datos.
• Las secciones de herramientas y guías de la AEPD.
• La ISO 27001, que es el principal estándar para la seguridad de la información.