Antes pensábamos que solo el que nos robasen o perdiésemos un ordenador portátil, un teléfono móvil o extraviar un pen drive con una copia de seguridad era la única forma de tener una brecha de seguridad digital en nuestras farmacias, pero hoy en día debemos pensar más allá, el avance de la tecnología y el desarrollo del trabajo a distancia pueden hacer que nuestros datos estén en peligro.
Las plataformas tecnológicas que todos utilizamos bien en nuestros trabajos o a nivel personal, son desde hace un tiempo la mayor fuente para recabar datos personales, por eso los ciberdelincuentes están muy interesados en ellas.
Pensar también, que no solo las plataformas en las que guardamos documentos o fotografías (OneDrive, Dropbox...) recogen nuestros datos, también todos tenemos un correo electrónico (o varios) o aplicaciones de comunicación como WhatsApp, Telegram, por donde compartimos archivos y documentos y estos terminan almacenándose en la nube de la propia herramienta, además de en nuestro ordenador o teléfono. Y estos datos en la mayoría de casos son de nuestra responsabilidad, ya que son datos personales propios o de clientes o terceros, por eso es tan importante tener claro como poder evitar una brecha de seguridad.
Cuando digo brecha de seguridad, todos tenemos claro más o menos a que nos referimos, por lo menos de forma genérica. Sabemos que es un suceso que afecta a datos personales y que unas veces es por accidente y otras porque alguien se nos ha colado en nuestro sistema y está llevándose información, eliminándola, o simplemente copiándola o alterándola. Bien, pues eso es lo que debemos evitar como responsables del tratamiento que somos.
¿Cómo evitar una brecha de seguridad en la farmacia?
Para evitarlo entre otras cuestiones, debemos tener en cuenta las siguientes pautas:
- Elegir prestadores confiables y con garantías: Las herramientas, apps, software, etc. deben tener los parámetros de seguridad correctos (por ejemplo un software de gestión de clientes en la farmacia debe tener un registro de accesos) y el proveedor de estas herramientas o el que tengamos como proveedor informático en la farmacia debe saber cómo activar esos parámetros de seguridad correctos para el tipo de tratamiento de datos (de nada sirve que el software tenga registro de accesos si no lo activamos).
- Establecer procedimientos y recomendaciones de acceso a las herramientas corporativas de la farmacia, sobre todo ahora que el teletrabajo y la movilidad están a la orden del día.
- Establecer políticas de empresa donde se diferencia el uso de herramientas personales de las herramientas de trabajo. Así como concienciar a los trabajadores de la farmacia, de la importancia de la confidencialidad de sus credenciales o datos de acceso.
- Utilizar el segundo factor de autentificación, sobre todo para los servicios online. Es algo que parece muy molesto, pero es muy efectivo. No se trata mas que de complicar un poco ese acceso indeseado, debiendo introducir dos contraseñas en vez de una.
- Utilizar contraseñas de seguridad, personalizadas, con una combinación de caracteres (letras, números, mayúsculas, minúsculas, símbolos…) que dificulte su acceso. Además, debemos implantar mecanismos que nos ayuden a comprobar que son seguras y que éstas se cambian periódicamente, por si han sido identificadas por otros usuarios.
- Tener un registro de accesos de todas las plataformas que utilizamos, donde podamos sacar un historial y ver si hay alguna incidencia. Si alguien se ha conectado a horas indebidas o ha intentado entrar en sitios donde no estaba permitido su acceso. Esto nos puede hacer actuar antes de que se produzca una brecha de seguridad.
- No está de más aprender a comprobar como usuarios de vez en cuando si nuestros correos están siendo redirigidos. Es algo que no debemos dar por hecho que nuestros informáticos están haciendo, ya que es algo que debemos realizar periódicamente. Pensar que, si han conseguido jaquear nuestras contraseñas, y han podido crear una regla en nuestro correo, ya no tendrían porque entrar en nuestras plataformas.
¿Cómo proceder una vez detectada una brecha de seguridad en la farmacia?
Cuando detectamos que nuestros datos han podido ser asaltados, debemos notificar las brechas de seguridad ante la Autoridad de Control en el plazo de 72 horas, tanto si somos responsables como encargados de tratamiento, esto es, que si es el encargado el que la detecta debe comunicarlo al responsable del tratamiento en el menor tiempo posible, teniendo en cuenta que éste debe comunicarla, en caso de que cumpla con las condiciones que se establecen, dentro de las 72 horas. Este plazo puede parecer mínimo, pero es el primer paso. Debemos tener en cuenta que este es solo el inicio, que, aunque no tengamos todos los datos de lo ocurrido hay que informar y luego siempre podremos ampliar la información que comunicamos.
A continuación, para hacerlo correctamente, debemos poner en marcha un plan de actuación, no solo por resolver lo ocurrido sino por evitar que vuelva a pasar. Tenemos que notificarlo a la Agencia de Protección de Datos siempre que exista un riesgo para los derechos y libertades para las personas físicas. Os aconsejo que ante esta situación consultéis a vuestro asesor en protección de datos, o a vuestro DPO si fuese el caso, antes de avisar directamente a la AEPD, ya que siempre es mejor que un experto os diga si debéis o no enviar la notificación a la Agencia. Y recordad, ocultar una violación de seguridad que afecte a datos personales puede ser motivo de sanción.
Vuestro asesor de protección de datos, os deberá indicar la forma de proceder con respecto al registro de dicha incidencia en la farmacia, ya que, aunque no se comunique finalmente a la AEPD, por no ser necesario, la incidencia siempre debe estar registrada.
Como conclusión recordar que es muy importante tener bien gestionado todo lo referente a la protección de datos de vuestra farmacia y así, evitareis posibles brechas de seguridad y veros implicados en procesos farragosos y con implicaciones nefastas para la farmacia, tanto económicas como de gestión.
María Cerón Polo
Consultora protección de datos Audifarma
