Envío de Datos por Email: Mal Compañero de Viaje

Envío de Datos por Email: Mal Compañero de Viaje

El email es utilizado  para enviar innumerables datos e información y aunque sabemos que si queremos enviar información confidencial o con datos sensibles, se deben aplicar medidas de seguridad específicas, a la hora de proporcionar datos de acceso, como un usuario y contraseña para acceder a plataformas, tiendas online, cuentas de correos, cuentas bancarias,  no tenemos tan asumido que no debemos enviarlas por email.

Sabemos que nuestro usuario y contraseña de acceso, son datos que no debemos compartir con nadie, ya que son personales e intransferibles, puesto que permiten acceder a información confidencial o valiosa para nosotros.

Por este motivo, enviar por correo electrónico o cualquier otro medio, un usuario y contraseña de una persona, aumenta los riesgos de que la información de esta, pueda ser vulnerada si la comunicación es interceptada o accedida por alguien no autorizado.

La seguridad del correo electrónico no es tal

Todas nuestras comunicaciones, sea por la vía que se hagan, deben cumplir con ciertas medidas de seguridad, no sólo para cumplir la normativa en materia de protección de datos, sino también para proteger nuestra información.

El Centro Criptológico Nacional, adscrito al CNI, en el “Informe de buenas prácticas” de mayo de 2021 (CNN-CERT BP02), ya señalaba las vulnerabilidades del correo electrónico, porque aunque se reconoce que estos implementan el cifrado, procesos de autenticación e integridad, pueden ser interceptados en el proceso de envío, pues las medidas de seguridad deben aplicarse en origen y en punto de destino para que sean efectivas.

La AEPD señala al respecto, que el correo electrónico no es un medio adecuado para garantizar la integridad y confidencialidad en el envío de datos personales; por lo tanto, enviar en un mismo correo electrónico un usuario y su contraseña, supone un riesgo para la persona destinataria de dicho usuario y contraseña, ya que el hecho de que el correo electrónico sólo se envíe únicamente al destinatario, no es garantía de que los datos no puedan ser interceptados.

Responsabilidad proactiva y seguridad

El art. 5.2 del RGPD recoge el principio de responsabilidad proactiva (o también llamado Accountability), definiéndolo como la obligación que tienen los Responsables del tratamiento de aplicar las medidas de seguridad adecuadas para que el tratamiento de los datos cumpla con el RGPD, aunado a que el Responsables del tratamiento tendrá que poder demostrar que está cumpliendo con la norma.

Respecto de la relación entre la responsabilidad proactiva y la adopción de medidas de seguridad por parte del Responsables del tratamiento, es importante poner atención al riesgo que presenta el propio tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas, según el art. 32 del RGPD.

Por lo tanto, corresponderá al Responsables del tratamiento, atendiendo a todos estos factores, establecer su listado particular de medidas de seguridad, que deberán ser adecuadas y proporcionales a los riesgos analizados para el tratamiento, y que garanticen la confidencialidad de los datos, siendo estas obligaciones igualmente aplicables a los Encargados de tratamiento, no lo olvidemos.

Sanciones recientes

El pasado mes de febrero, una empresa catalana fue sancionada por la AEPD con una multa de 20.000 euros por enviar a un cliente el usuario y contraseña por correo electrónico,, una vez rellenados sus datos en un formulario en la página web de la entidad sancionada.

Recomendaciones

Aunque cada caso debe será analizado de forma individual, por expertos en protección de datos, alguna de las soluciones más habituales serían:

No enviar las credenciales completas a la vez

Puedes enviar el nombre de usuario y la contraseña en dos comunicaciones separadas. Por ejemplo, el nombre de usuario puede ser enviado por un medio (ej. correo electrónico) y la contraseña por otro (ej. SMS).

Crear usuario y contraseña por el propio Cliente

Consistiría en habilitar en la plataforma a la que se desee acceder, permita al cliente crear una cuenta con contraseña y usuario, de forma autónoma.

Usar un enlace para cambiar la contraseña

Si ya está creada la cuenta de cliente, en lugar de enviar la contraseña nueva, puedes generar un enlace de «restablecimiento de contraseña» que permita al cliente crear una contraseña nueva de forma autónoma sin necesidad de enviarla.

Personalización

Si tienes dudas de cómo gestionar los usuarios y contraseñas de clientes, contacta con tu consultor para recibir la asistencia que necesitas.

Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: