¿Es suficiente TLS para cifrar correos electrónicos de forma segura y compatible con el RGPD? Muchos dicen que sí, los abogados prefieren que dependa. ¿Pero para qué? STephan Heimel de SEPPmail arroja luz sobre esta cuestión.
Tanto los clientes finales como las empresas de consultoría e implementación escuchan cada vez más la afirmación: "TLS (Transport Layer Security) es suficiente para comunicarse de forma compatible con el RGPD". Detrás de esto suele estar el deseo de comunicarse de la forma más sencilla posible a través de una comunicación cifrada Exchange correos electrónicos con otros socios de comunicación. Desafortunadamente, ésta es una conclusión falaz.
Esto es lo que dice el RGPD
Para analizar esta evaluación desde una perspectiva jurídica, se recomienda examinar más de cerca el artículo 32 del RGPD “Seguridad del procesamiento” y el considerando 83 del RGPD.
El artículo 32 del RGPD establece que los responsables del tratamiento de datos personales deben garantizar que estos datos estén protegidos contra el acceso no autorizado. Los sujetos obligados deberán adoptar las medidas técnicas y organizativas adecuadas. Aquí es posible la seudonimización y el cifrado de los datos. El cifrado debe garantizar que los datos personales sean inaccesibles para todas las personas que no estén autorizadas a acceder a los datos personales (véase el artículo 34, apartado 3, letra a del RGPD). Aquí podrá decidir usted mismo si TLS es la tecnología adecuada en todos los casos.
Cuidado con las respuestas generales
Desde una perspectiva jurídica, las declaraciones generales rara vez son un buen enfoque. Por eso la primera respuesta de un abogado suele ser: “Depende…”.
En caso de controversia, los hechos en cuestión deben examinarse caso por caso. La prueba puede mostrar que no era necesario ningún cifrado, que el cifrado TLS era suficiente o que debería haberse utilizado el cifrado de contenido de extremo a extremo además del cifrado de línea pura.
Una afirmación general como "TLS es suficiente para una comunicación compatible con el RGPD" debe abordarse con cautela. Para cumplir con la normativa de protección de datos, el responsable sigue siendo el responsable (según el artículo 4 número 7 del RGPD). Porque no sólo él corre el riesgo, sino que las consecuencias también le afectan a él, si es necesario, personalmente. Las posibles sanciones incluyen, entre otras cosas, reclamaciones de recurso contra la dirección o representantes especiales en materia de cumplimiento, protección de datos y seguridad de la información. La indemnización por daños y perjuicios suele exigirse en virtud del derecho civil. Esto también incluye pérdidas financieras sin límite de responsabilidad. Las sanciones de derecho público incluyen multas, prisión o sanciones administrativas. Las medidas regulatorias pueden incluso conducir al cierre de la empresa.
El arte de la comunicación segura por correo electrónico
Dados estos peligros potenciales, es fundamental tomar todas las medidas prácticas posibles para minimizar los riesgos y maximizar la seguridad del correo electrónico. Además del cifrado TLS utilizado con frecuencia, hay disponibles otros métodos de cifrado para proteger los correos electrónicos confidenciales. Esto incluye tecnologías como S/MIME y PGP, que proporcionan cifrado de extremo a extremo y garantizan que sólo el destinatario autorizado pueda descifrar el contenido.
Asimismo, utilizar el cifrado espontáneo es una opción viable para cifrar correos electrónicos o mensajes específicos según sea necesario, creando una capa adicional de seguridad. Todas estas tecnologías se desarrollaron para que no tengan que construirse sobre la infraestructura subyacente, sino que funcionen de forma independiente entre el transmisor y el receptor.
Lo ideal es que estas tecnologías se combinen para que la confidencialidad y la integridad de la comunicación por correo electrónico no sean en ningún caso motivo de infracción del RGPD.
Más en SEPPmail.de
Sobre SEPPmail
La empresa SEPPmail, con actividad internacional y dirigida por sus propietarios, con sede en Suiza y Alemania, es un fabricante en el campo de la "mensajería segura". Su tecnología patentada y ganadora de varios premios para el tráfico de correo electrónico seguro y espontáneo cifra los mensajes electrónicos y, si lo desea, les proporciona una firma digital. Las soluciones de correo electrónico seguro están disponibles en todo el mundo y hacen una contribución duradera a la comunicación segura mediante el correo electrónico.