El fax no cumple la normativa de protección de datos

Muchas empresas e instituciones siguen utilizando el fax para transmitir información. Casi siempre se trata de datos personales: facturas, albaranes, nóminas, documentos contractuales, informes (médicos), historiales de pacientes, ...

Pero, ¿garantiza el fax siquiera la seguridad exigida por la ley de protección de datos?

Si no es así, los responsables pueden enfrentarse a fuertes multas y reclamaciones por daños y perjuicios.

Desarrollo técnico

Durante mucho tiempo, el fax se consideró un método de transmisión muy seguro. Se utilizó una línea telefónica exclusiva, lo que garantizaba un alto nivel de seguridad. Pero hoy ya no es así: en lugar de enviarse por una línea exclusiva con cifrado de extremo a extremo, un fax se envía ahora en paquetes individuales por Internet. Además, ya no se puede suponer que el destinatario también utiliza un aparato de fax real que garantizaría la seguridad correspondiente. En cambio, hoy en día es habitual que un fax entrante se convierta automáticamente en un correo electrónico, que luego se reenvía al buzón de correo electrónico correspondiente.

Alternativas

Así que se necesita una alternativa al fax. Existen correos electrónicos cifrados, soluciones en la nube o el clásico correo postal. Pero en el primer caso, también hay que tener en cuenta algunas cosas.

Correo electrónico cifrado

Es esencial que los correos electrónicos estén encriptados. De lo contrario, pueden verse como postales. Aunque la BDSG recomienda el cifrado (y la DSGVO no aporta grandes novedades en este sentido), existen dos posibilidades: Cifrado de contenidos y cifrado de transporte.

Cifrado de contenidos y transporte

El cifrado de contenido (también conocido como cifrado de extremo a extremo), como su nombre indica, cifra el contenido del correo electrónico. Sólo se pueden seguir leyendo los metadatos.

En cambio, con el cifrado de transporte sólo se cifra el transporte, mientras que el correo electrónico queda sin cifrar tanto en el remitente como en el destinatario. El cifrado del transporte siempre es necesario para proteger los datos, pero nunca sustituye al cifrado del contenido.

Aplicación correcta

Es importante que el cifrado se realice siempre correctamente. Por último, la obligación de rendir cuentas del artículo 5 II del RGPD también se refiere al cifrado. Si se produce la llamada "violación de datos", todos los afectados deben ser informados lo antes posible. Esto daña considerablemente la reputación del controlador.

Existen varias opciones para un cifrado eficaz. Es aconsejable utilizar soluciones estándar como el cifrado PGP, RMS o TLS.

Es importante asegurarse de que la configuración es correcta. Debido a la compleja configuración previa, esta solución no suele ser viable para el tráfico B2C, ya que aquí se trata de interlocutores de comunicación espontáneos y cambiantes. En este caso, es preferible recurrir a un procedimiento basado en contraseñas.

Si una empresa establece el cifrado, debe asegurarse de que el procedimiento es compatible con todos los clientes habituales. Por ejemplo, los empleados deben poder enviar correos electrónicos cifrados desde sus teléfonos móviles. También debe garantizarse que los correos electrónicos automatizados también estén encriptados.

Soluciones en la nube

También es concebible el intercambio de datos a través de soluciones en la nube. Sin embargo, esto también debe asegurarse mediante un cifrado adecuado.

El problema de una solución en la nube suele ser que, en principio, el proveedor de servicios podría acceder a los datos, ya que suelen estar disponibles allí sin cifrar. En este caso, el cifrado de extremo a extremo vuelve a ser una opción, siempre que el proceso empresarial subyacente lo permita.

Por lo tanto, el requisito previo para esta solución es siempre un proveedor de confianza, además del cifrado.

Categorías especiales de datos personales

El GDPR divide algunos datos personales en "categoría especial". Se enumeran en el artículo 9 I de la DPA. Además de las convicciones ideológicas, la orientación sexual y la afiliación sindical, se trata sobre todo de datos genéticos y biométricos, así como de datos sanitarios de las personas físicas. En la práctica, en el sector médico, suelen transmitirse por fax de una consulta a otra o a un hospital.

En el tratamiento de estos datos, que también incluye la transferencia, debe observarse en particular el artículo 22 de la BDSG (que tiene en cuenta los requisitos del artículo 9 II lit. b, g e i de la DSGVO), que prescribe "medidas apropiadas y específicas para salvaguardar los intereses del interesado" a tal efecto. Esto constituye una obligación legal.

Sin embargo, la transmisión de estos datos por fax es inadmisible debido a los cambios técnicos explicados. Así lo dejó claro también Imke Sommer, Comisaria de Protección de Datos y Libertad de Información del Estado de Bremen.

También en este caso deben utilizarse las alternativas enumeradas anteriormente. Sin embargo, pasarán varios años antes de que se produzca un cambio (técnico).

Conclusión

Cada solución tiene muchos escollos técnicos y de protección de datos. Cuantos más datos y con mayor frecuencia se traten o transmitan datos de categoría especial, mayores serán los riesgos que se corran debido a la complejidad. El asesoramiento profesional y caso por caso se hace indispensable.