Uno de los miedos que hay que vencer cuando te planteas “subir a la nube”, es el de la privacidad de tus datos.
Cualquier empresa es consciente del valor que tienen los datos que guardan en sus sistemas informáticos: todo el historial de relaciones con nuestros clientes, los datos financieros, la información sobre los productos que producimos o distribuimos, estadísticas de todo tipo, datos de nuestros empleados, etc.

Lo primero que un empresario se plantea es si esos datos pueden acabar en manos de su competencia o de cualquier persona u organización que los pueda usar para provocar una pérdida de competitividad.
Sin embargo, resulta paradójico que esos mismos empresarios no disponen de ningún tipo de sistema de seguridad para proteger sus datos de robos físicos, transportan portátiles con discos duros llenos de datos vitales y no usan ningún sistema de encriptación de los mismos y para colmo de males, en algunos casos ni siquiera disponen de una copia de seguridad seria.

Está claro que no todos los servicios cloud van a ser iguales. En unos tendremos implementados unos niveles de seguridad que no tendremos en otros. Todo va a depender del uso para el que estén diseñados esos servicios. Pero cuando nos planteamos seriamente la migración a la nube, podemos tener claro que si elegimos nuestro proveedor con coherencia, tendremos asegurada la seguridad (valga la redundancia) de nuestros datos, y los tendremos protegidos tanto de los enemigos de lo ajeno como de nosotros mismos.

Sinceramente, creo que la seguridad de la nube es tan solo una excusa fácil para aquellos que no terminan de entender el cloud computing y que quieren dar un razonamiento a su rechazo a esta nueva tecnología.
Pero como sin datos, todos estamos en el mismo saco, en el de las impresiones y nuestras propias tendencias, os dejo un enlace a un artículo de Software Advice en el que nos dan los resultados de un estudio sobre seguridad de datos médicos. Este artículo que está en inglés, lo hemos sacado del blog de TICbeat en el que tenemos un resumen del estudio en español.

Mi conclusión es que la seguridad debe ser una preocupación pero no una excusa. Como responsables de los datos de una empresa, y obligados por la LOPD debemos asegurarnos de que el servicio cloud que contratemos disponga de las medidas de seguridad necesarias y si no las proporciona deberemos buscar otro, pero en ningún caso debemos descartar la nube como solución poniendo como escusa la seguridad.

¿Y tú que opinas?

La subdirectora general de la Agencia de Protección de Datos, María Jose Blanco, presentó ayer en una Jornada de Seguridad en los Sistemas Sanitarios celebrada en Logroño, los resultados de un estudio elaborado en el sector.

El estudio se ha realizado entre los centros sanitarios del catálogo nacional de hospitales, el cual excluye a los hospitales públicos del País Vasco, Cataluña y Madrid.

En dicho informe se ha detectado que el grado de cumplimiento de las medidas de seguridad y de la legislación en protección de datos del paciente, es mayor en los hospitales privados que en los publicos.

El 83% de los hospitales públicos españoles cumplen las medidas de protección de datos personales de sus pacientes, frente al 96% de los hospitales privados.

Con respecto a la obligación de realizar la inscripción de los ficheros en el Registro General de Protección de Datos, el informe refleja que el 89% de los hospitales publicos los tiene inscritos, frente a casi el 100% de los privados.

En los hospitales públicos solo un 35% dispone de mecanismos para impedir la apertura de los dispositivos donde están almacenadas las historias clinicas, frente al 89,94% de los privados que si disponen de ellos.

La auditoria de seguridad que cada dos años deben realizar solo el 66% de los hospitales públicos la realizan, frente al 88% de los privados.

El tratamiento de datos personales en el sector sanitario requiere de una protección mucho más estricta ya que se  tratan datos especialmente sensibles, muy vinculados a la privacidad de los pacientes.

Despues de la elaboración del informe, la Agencia ha recomendado el cumplimiento general de todas las normas de protección de datos, informar a los pacientes de su derecho a la protección de datos y al personal sanitario de la necesiadad de tratar los datos garantizando la confidencialidad. Tambien deben registrarse los accesos a las historias clinicas y controles, y adoptar medidas para evitar la perdida de información en el traslado de las historias clinicas.

Queda latente que hay mucho que mejorar en materia de protección de datos en el sector público sanitario.

El pleno del Congreso ha aprobado definitivamente la reforma del Titulo VII, infracciones y sanciones de la Ley Orgánica de Protección de Datos  Personales (LOPD).  La propuesta fue aprobada con el respaldo mayoritario de la Cámara, ya que de los 344 votos emitidos, 333 fueron a favor. La modificación aprobada posibilita :

• Incrementar la seguridad juridica al mejorarse la tipificación de las infracciones vinculandolas a la vulneración de los principios especificos que garantizan la protección de datos personales.
• Modular la imposición de sanciones económicas a la trascedenca de la infracción cometida en dos sentidos. Modificando la calificación de algunas infracciones antes tipificadas como muy graves, que pasaran ahora a ser consideradas graves, como por ejemplo, el tratamiento o la cesión de datos solo se tipifican como infracciones muy graves cuando afecten a datos personales especialmente protegidos, o leves, como por ejemplo, la falta de algún requisito formal en la contratación del encargado del ratamiento.   Ampliando y sistematizando los criterios de graduación o atenuación que han de ser tenidos en cuenta por la Agencia, y objetivando los criterios que permiten la aplicación de la escala inferior de sanciones.
• Se aumenta la cantidad miníma de la sanción de las infracciones leves, pasando de 601,01 euros a 900 euros y se reduce la cuota máxima de la cota de las sanciones graves de 60.101,01 a 40.000 euros.
• Se permite aplicar la formula de la figura del apercibimiento, de manera que aquellas empresas que cometan una infracción leve o grave por primera vez, en lugar de ser sancionadas con una multa, la Agencia de Protección de Datos les advertirá de la irregularidad cometida y les requerirá la adopción de las medidas adecuadas que permitan, en cada caso concreto, corregir la situación o evitar la repetición de la conducta infractora.

Los nuevos cambios dan una nueva perspectiva de advertencias y apercibimientos en vez de producirse la sanción directamente, apostando así por la responsabilidad de las empresas tras los avisos previos.