Autora invitada:
Sara Mora
Chief Privacy Officer – Aledia Legaltech
Los autónomos y las empresas se han visto obligados a realizar profundos cambios en este último año para cumplir con las exigencias de un mercado cada vez más digitalizado, al dotar a sus empleados de recursos tales como smartphones, portátiles, certificados digitales, etc.
Sin embargo, en muchos casos, las empresas han dado el salto digital sin ningún tipo de preparación previa y haciendo frente a los problemas según iban surgiendo. Esto ha provocado que no hayan tenido tiempo de reflexionar sobre los riesgos que corren sus datos.
Por este motivo hoy, 28 de enero, Día de la Protección de Datos, queremos dar unos tips de buenas prácticas en esta materia y hacer especial hincapié en el uso de los certificados electrónicos.
Toda empresa y/o autónomo tiene la obligación de comunicarse telemáticamente con la administración a través de certificados digitales. Asimismo, cada día es más común realizar negocios jurídicos de forma online en el ámbito privado y, para poder realizarlos con todas las garantías, es imprescindible el uso de los certificados digitales, ya que garantizan la identidad del usuario y equivale, a todos los efectos, a la firma autógrafa.
No obstante, a medida que se incrementa su uso, crecen los delitos de suplantación de identidad debido a la falta de preparación digital de los ciudadanos en general y de las empresas y autónomos en particular.
Pero, esta falta de madurez en cuanto al uso de los certificados digitales, no solo puede convertirnos en víctimas de delitos vinculados al fraude digital, sino que las empresas y/o autónomos pueden ser sancionados por el incumplimiento de la normativa vigente en materia de protección de datos, cuyas sanciones pueden llegar a alcanzar los 20 millones de euros o el 4% de la facturación global de la compañía infractora.
Muchas compañías, aun creyendo estar adaptadas a la normativa de protección de datos, han pasado por alto incluir los certificados digitales en los tratamientos de datos de carácter personal, por cuanto, se mantienen la falsa creencia en que los certificados digitales de empresa o de autónomo están excluidos del régimen de aplicación de la protección de datos de carácter personal.
Es muy importante tener claro que el certificado digital contiene datos de carácter personal, ya que identifica a una persona física. Por lo tanto, deben implementarse medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con lo establecido en el artículo 32 del Reglamento General de Protección de Datos.
Se debe ser bastante estricto a la hora de analizar los riesgos a los que están expuestos los certificados digitales y evitar cometer los errores más comunes que enumeramos a continuación:
- Obtención de certificados
En muchas ocasiones, se acude a diversas páginas en Internet para obtener el certificado electrónico. El problema comienza cuando se accede a páginas fraudulentas que simulan ser oficiales y confunden a los usuarios.
Es importante que el usuario solo adquiera certificados digitales de prestadores de servicios de confianza, quienes garantizan la idoneidad del certificado y la validez del mismo.
Existen empresas con una gran experiencia en el mercado, y que ofrecen las mejores garantías, como en el caso de Camerfirma, que aporta soluciones sencillas y prácticas a sus clientes para la obtención de certificados digitales.
- Entrega del certificado digital a terceros.
Muchas empresas se ven desbordadas por la cantidad de gestiones telemáticas que deben realizar y, por esta razón, deciden contratar a terceros que las realicen en su nombre, para, posteriormente, hacerles entrega de sus certificados digitales.
El empresario asume el riesgo, en muchos casos, de no controlar para qué se utiliza el certificado y/o desconocer las medidas de seguridad que utiliza el despacho o la gestoría.
Como es imposible no derivar estas gestiones a terceros, podemos minimizar los riesgos mediante la firma de un contrato de prestación de servicios en el que se le den instrucciones claras al proveedor sobre el uso de la firma y exista una cláusula de acceso por cuenta de terceros donde se regule el tratamiento de los datos y el tipo de medidas de seguridad que está obligado el proveedor a implantar.
Asimismo, recomendamos utilizar el servicio de firma centralizada en la nube, que deja constancia de la transmisión del certificado a un tercero y da la posibilidad de limitar las gestiones que se autoricen a realizar en su nombre.
- Guardar el certificado digital en un lugar seguro.
En muchas ocasiones, el desconocimiento de estas tecnologías hace que los usuarios no sepan cómo gestionarlas. Por eso, es importante crear políticas sobre dónde guardar los certificados.
Nuestra recomendación es que, en el caso que no se cuente con un servicio de centralización de firmas, el uso de los certificados se haga siempre desde un ordenador principal, del que hagan uso el menor número de personas posible para evitar riesgos.
Es importante no dejar el certificado almacenado en un pendrive o en un disco duro y, si es así, que se disponga de una contraseña para poder acceder al archivo, ya que, como hemos visto anteriormente, son datos que pueden comprometer a su titular.
- Políticas sobre el uso de certificados digitales
Las empresas y los autónomos deben incluir en sus políticas de protección de datos, el uso responsable de los certificados digitales, la forma de almacenarlos, las medidas de seguridad, así como los mecanismos de revocación en caso de pérdida, cambio de titular o persona autorizada.
- Caducidad de los certificados digitales.
La gran cantidad de documentos y certificados que necesita una empresa hace que sea muy complicado llevar al día todos los permisos y fechas. Esto puede generar situaciones de incumplimiento de plazos, que pueden derivar en incrementos de costes para la empresa.
Nuestra recomendación es crear un calendario o inventario con fechas y anotaciones que avisen automáticamente de las gestiones que se deben realizar.
En la actualidad nos encontramos indudablemente ante un conjunto de retos especialmente exigentes. A medida que aumenta la digitalización de las empresas exponencialmente aumentan los riesgos de seguridad. Es por ello que el salto digital que ha dejado de ser una opción y se ha convertido en una obligación: debe hacerse de forma responsable. Un certificado electrónico es un documento que tienen un gran valor y que debemos custodiar con sumo cuidado.
Nuestra recomendación final es, en la medida de lo posible, utilizar herramientas como la firma electrónica en la nube de Camerfirma, una solución de autenticación muy segura y que mejora la usabilidad de la firma. Como su propio nombre indica, se caracteriza porque el certificado digital se aloja en un servidor seguro (HSM) y el usuario accede a él cuando quiere firmar un documento digitalmente, previa autenticación de su identidad de manera robusta. La identificación robusta requiere al menos dos procedimientos de identificación que pueden ser:
- Algo que «sabe el usuario» (password)
- Algo que «tiene el usuario» (tarjeta de claves, token sms, token otp)
- Algo que «hace o es el usuario» (firma, locución, huella, iris y otros factores biométricos)
Así, el certificado nunca está en manos del propietario del mismo, sino que este accede a él cuando lo requiere, autenticándose sin necesidad de instalar ningún certificado ni software en el dispositivo desde el que se efectúa el trámite.
Puedo realizar una gestión a través de mi certificado digital para otra persona ( mi hermana) ??? O el certificado es personal??