A menudo, cuando se trata de implementar la normativa sobre protección de datos en una empresa, se habla de medidas de seguridad para los servidores, ordenadores de sobremesa y, a lo sumo, portátiles, olvidándose otros dispositivos que pueden albergar datos de carácter personal, como PDAs, teléfonos móviles, blackberries o similares. En el suplemento de la primera quincena de junio de TCN se publica un artículo de Mónica Cernuda, responsable de negocio de GTI Sistemas Avanzados, que comenta estas cuestiones.

Este tipo de dispositivos, a menos que se les de un destino exclusivamente personal, pueden incluir datos de clientes, proveedores, mensajes de correo electrónico, identidades de usuario y controles de acceso o información financiera de la empresa. Por tanto, también hay que aplicar las medidas de seguridad que impone el Real Decreto 994/1999, de 11 de junio, dado que la pérdida del control sobre dicho dispositivo puede acarrear graves perjuicios para una empresa o profesional.

En este sentido, el primer paso es aplicar una política de contraseñas (bajo la directiz del Responsable de Seguridad) robusta. En algunos casos (especialmente en caso de teléfonos móviles) chocaremos con las limitaciones de la tecnología, que generalmente sólo permiten controlar, con un PIN de cuatro cifras, el acceso al mismo, a la marcación o a la agenda, pero en todo caso deberemos impedir el acceso no autorizado a los datos personales. Más importante (y quizá complicado) va a ser, cuando se trate de datos relativos a ideología, religión o creencias, origen racial, salud o vida sexual (los de nivel alto), el cifrado de las comunicaciones que exige la normativa y, desde luego, será incómodo llevar un registro de incidencias, controles de acceso (incluso físico) o la realización de copias de respaldo.

La legislación española es muy gravosa y no distingue entre los aparatos que puedan contener este tipo de información, pero esto es lo que exige. Y el mercado debe demandar tecnología que permita su aplicación.