Autora convidada:
Sara Mora
Chief Privacy Officer – Aledia Legaltech
Els autònoms i les empreses s’han vist obligats a fer canvis profunds en aquest darrer any per complir les exigències d’un mercat cada vegada més digitalitzat, en dotar els seus empleats de recursos com ara smartphones, portàtils, certificats digitals, etc.
Tot i això, en molts casos, les empreses han fet el salt digital sense cap tipus de preparació prèvia i fent front als problemes segons anaven sorgint. Això ha provocat que no hagin tingut temps de reflexionar sobre els riscos que corren les dades.
Per aquest motiu avui, 28 de gener, Dia de la Protecció de Dades, volem donar uns tipus de bones pràctiques en aquesta matèria i posar especial èmfasi en l’ús dels certificats electrònics.
Tota empresa i/o autònom té l’obligació de comunicar-se telemàticament amb l’administració mitjançant certificats digitals. Així mateix, cada dia és més comú realitzar negocis jurídics de forma en línia en l’àmbit privat i, per poder realitzar-los amb totes les garanties, és imprescindible l’ús dels certificats digitals, ja que garanteixen la identitat de l’usuari i equival, amb caràcter general , a la signatura autògrafa.
No obstant això, a mesura que se n’incrementa l’ús, creixen els delictes de suplantació d’identitat a causa de la manca de preparació digital dels ciutadans en general i de les empreses i els autònoms en particular.
Però aquesta manca de maduresa quant a l’ús dels certificats digitals, no només ens pot convertir en víctimes de delictes vinculats al frau digital, sinó que les empreses i/o autònoms poden ser sancionats per l’incompliment de la normativa vigent en matèria de protecció dades, les sancions de les quals poden arribar a assolir els 20 milions d’euros o el 4% de la facturació global de la companyia infractora.
Moltes companyies, tot i creient estar adaptades a la normativa de protecció de dades, han passat per alt incloure els certificats digitals en els tractaments de dades de caràcter personal, per tant, es mantenen la falsa creença que els certificats digitals d’empresa o d’autònom estan exclosos del règim daplicació de la protecció de dades de caràcter personal.
És molt important tenir clar que el certificat digital conté dades de caràcter personal, ja que identifica una persona física. Per tant, cal implementar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, de conformitat amb el que estableix l’article 32 del Reglament General de Protecció de Dades.
Cal ser força estricte a l’hora d’analitzar els riscos a què estan exposats els certificats digitals i evitar cometre els errors més comuns que enumerem a continuació:
- Obtenció de certificats
Moltes vegades, s’acudeix a diverses pàgines a Internet per obtenir el certificat electrònic. El problema comença quan s’accedeix a pàgines fraudulentes que simulen ser oficials i confonen els usuaris.
És important que l’usuari només adquireixi certificats digitals de prestadors de serveis de confiança, que garanteixen la idoneïtat del certificat i la seva validesa.
Hi ha empreses amb una gran experiència al mercat, i que ofereixen les millors garanties, com en el cas de Camerfirma, que aporta solucions senzilles i pràctiques als seus clients per a l’obtenció de certificats digitals.
- Lliurament del certificat digital a tercers.
Moltes empreses es veuen desbordades per la quantitat de gestions telemàtiques que han de realitzar i, per aquesta raó, decideixen contractar tercers que les realitzin en nom seu, per, posteriorment, fer-los entrega dels seus certificats digitals.
L’empresari assumeix el risc, en molts casos, de no controlar perquè s’utilitza el certificat i/o desconèixer les mesures de seguretat que utilitza el despatx o la gestoria.
Com és impossible no derivar aquestes gestions a tercers, podem minimitzar els riscos mitjançant la signatura d’un contracte de prestació de serveis en què se li donin instruccions clares al proveïdor sobre l’ús de la signatura i hi hagi una clàusula d’accés per compte de tercers on es reguli el tractament de les dades i el tipus de mesures de seguretat que el proveïdor està obligat a implantar.
Així mateix, recomanem utilitzar el servei de signatura centralitzada al núvol, que deixa constància de la transmissió del certificat a un tercer i dóna la possibilitat de limitar les gestions que s’autoritzin a fer en nom seu.
- Desar el certificat digital en un lloc segur.
Moltes vegades, el desconeixement d’aquestes tecnologies fa que els usuaris no sàpiguen com gestionar-les. Per això, és important crear polítiques sobre on desar els certificats.
La nostra recomanació és que, en cas que no es compti amb un servei de centralització de signatures, l’ús dels certificats es faci sempre des d’un ordinador principal, del qual facin ús el menor nombre de persones possible per evitar riscos.
És important no deixar el certificat emmagatzemat en un pendrive o en un disc dur i, si és així, que es disposi d’una contrasenya per poder accedir al fitxer, ja que, com hem vist anteriorment, són dades que poden comprometre el titular.
- Polítiques sobre l’ús de certificats digitals
Les empreses i els autònoms han d’incloure en les polítiques de protecció de dades, l’ús responsable dels certificats digitals, la forma d’emmagatzemar-los, les mesures de seguretat, així com els mecanismes de revocació en cas de pèrdua, canvi de titular o persona autoritzada .
- Caducitat dels certificats digitals.
La gran quantitat de documents i certificats que necessita una empresa fa que sigui molt complicat portar al dia tots els permisos i les dates. Això pot generar situacions d‟incompliment de terminis, que poden derivar en increments de costos per al‟empresa.
La nostra recomanació és crear un calendari o inventari amb dates i anotacions que avisin automàticament de les gestions que cal fer.
Actualment ens trobem indubtablement davant d’un conjunt de reptes especialment exigents. A mesura que augmenta la digitalització de les empreses, exponencialment augmenten els riscos de seguretat. És per això que el salt digital que ha deixat de ser una opció i ha esdevingut una obligació: s’ha de fer de manera responsable. Un certificat electrònic és un document que tenen un gran valor i que hem de custodiar amb molta cura.
La nostra recomanació final és, en la mesura del possible, utilitzar eines com la signatura electrònica al núvol de Camerfirma, una solució d’autenticació molt segura i que millora la usabilitat de la signatura. Com el seu nom indica, es caracteritza perquè el certificat digital s’allotja en un servidor segur (HSM) i l’usuari hi accedeix quan vol signar un document digitalment, prèvia autenticació de la seva identitat de manera robusta. La identificació robusta requereix almenys dos procediments d’identificació que poden ser:
- Cosa que “sap l’usuari” (password)
- Una cosa que “té l’usuari” (targeta de claus, token sms, token otp)
- Cosa que “fa o és l’usuari” (signatura, locució, empremta, iris i altres factors biomètrics)
Així, el certificat mai no està en mans del propietari del mateix, sinó que aquest hi accedeix quan ho requereix, autenticant-se sense necessitat d’instal·lar cap certificat ni programari al dispositiu des del qual s’efectua el tràmit.
