La fuga de datos, en cualquier tipo de actividad profesional, puede suponer un serio problema para el negocio y cumplimento de leyes como la LOPD (Ley Orgánica de Protección de Datos) y LSSICE (Ley de Servicios de la Sociedad de Información y de Comercio Electrónico). Pero la situación se complica cuando se trata de un despacho de abogados. Estos despachos tratan temas realmente sensibles, que, de ser desvelados, podrían generar graves consecuencias. Por ello, es tan importante la ciberseguridad en este sector.
Estas fugas pueden producirse tanto a nivel interno (por medio de los propios empleados) como externo. En ambos casos, suelen ser las consecuencias de las ausencias de algunas medidas de seguridad. Por ello, es importante tener en cuenta todos aquellos aspectos que puedan mejorar dicha seguridad. En el caso del personal del despacho, es vital contar con una formación adecuada en el manejo de este tipo de información y explicar todo sobre el Derecho de las Nuevas Tecnologías. A nivel exterior, conviene no generalizar el uso de almacenamiento de información en la nube, pues puede llevar a problemas en la seguridad, así como no usar tecnologías móviles para datos críticos, entre otras medidas.
Una vez que, desgraciadamente, se ha producido la fuga, se debe seguir una serie de fases concretas, con el objetivo de reducir su impacto tanto a nivel de imagen del despacho como del propio afectado:
– Fase inicial. Se debe activar rápidamente el protocolo diseñado para estos casos. Antes de las 72 horas (límite introducido por el RGPD), se debe informar a la Agencia Española de Protección de Datos. Además, si supone un alto riesgo para los derechos y libertades del interesado, se le debe informar.
– Fase de lanzamiento. Se debe reunir al gabinete de crisis o a las personas responsables de tomar decisiones al respecto. Es importante que todos estén informados y se pongan de acuerdo acerca de cómo proceder.
– Fase de auditoría. En este momento, hay que determinar cuánta información ha salido al exterior, de qué tipo de datos se trataba, si afectan a la propia empresa o sus clientes y la identificación de la causa de la filtración. También se debe hacer una auditoría externa, para saber qué se ha publicado y cuáles han sido las reacciones.
– Fase de evaluación. Es necesario reparar la fuga y poner los medios para evitar futuros incidentes. Se debe minimizar el impacto de la noticia y se tiene que hablar con los afectados. Además, hay que valorar las consecuencias económicas y legales que la filtración va a tener.
– Fase de mitigación. Como su propio nombre indica, esta fase está destinada a reducir el impacto de la filtración. Además, es preciso informar a las Fuerzas y los Cuerpos de Seguridad del Estado, así como a los organismos competentes en la materia.
– Fase de seguimiento. Llega la hora de ver cuáles han sido los resultados finales, tanto de la propia fuga como de las medidas adoptadas.
En estos casos, es importante la ayuda de una consultoría de protección de datos que sepa prevenir este tipo de situaciones y tomar las medidas oportunas rápidamente.
