No seas López Madrid y aprende a borrar los mensajes del móvil
La recuperación de los mensajes del móvil de López Madrid puede plantear dudas sobre la eficacia del borrado seguro de los datos de un dispositivo.La ley de protección de datos se concibió para pedir cuentas a empresas y no a personas físicas y sus contactos personales
Lo recoge la crónica publicada el pasado diez de marzo en este diario sobre la agenda y los mensajes de apoyo que recibió el empresario Javier López Madrid tras el estallido del escándalo de las tarjetas ‘black’. La Guardia Civil logró recuperar unos “pocos mensajes” del teléfono de López Madrid después de que él “intentase borrar toda la información contenida en su teléfono móvil antes de entregarlo al Juzgado número 26 de Madrid, el que investiga la denuncia que el empresario interpuso contra la mujer que antes le había denunciado por acoso”.
En el iPhone 5s que López Madrid entregó en el Juzgado, según la exclusiva de eldiario.es, el 30 de enero de 2015 a las 17.31, “López Madrid recibe un mensaje del ‘asesor informático’ del empresario”. En el mismo, se puede leer “Ya tenemos el backup de tu móvil para el Juzgado. Todo controlado. Te voy contando la próxima semana un abrazo y buen finde. Si vienes a Baqueira avísame”.
De acuerdo a lo publicado por Pedro Águeda, según este mismo mensaje “López Madrid tenía ya una copia de seguridad de su teléfono realizada por la empresa Aiuken. No queda claro si la compañía también realizó el borrado parcial del teléfono de López Madrid o si, una vez hecha la copia de seguridad del terminal, fue el empresario quien eliminó las llamadas y mensajes que consideró”.
En el informe de la Guardia Civil figura que, según esta misma exclusiva, “el terminal telefónico ha sido manipulado antes de su entrega en sede judicial” y aporta como demostración de ello el mensaje que asegura tener el “backup para el Juzgado”. En principio, la citación para comparecer y entregar el dispositivo requerido se había establecido el 6 de febrero porque “la magistrada se negó a recoger el teléfono de manos de un procurador y el ‘asesor informático’ de López Madrid. Por este motivo, volvió a citar al empresario para que fuera a entregárselo en persona días más tarde”.
Este diario ha intentado recabar la versión de Aiuken tanto respecto a la confirmación de haber realizado el primer backup del contenido del móvil de López Madrid como respecto a si había participado de alguna manera en el borrado de datos de dicho dispositivo. Juan Miguel Velasco, Partner Managing Director de esta compañía, ha comunicado a eldiario.es que prefiere no comentar “estos temas” por “recomendación legal” de “sus abogados” hasta que “no se resuelvan los aspectos bajo investigación judicial del asunto”.
Las empresas de borrado de datos
Aparte de empresas como Aiuken que ofrecen soluciones de seguridad informática en distintos aspectos, otras compañías ofrecen de forma explícita el borrado seguro de datos. De las cinco entidades radicadas en España examinadas para la elaboración de esta información, dos de ellas ofrecen tanto el borrado como la recuperación de datos de dispositivos como teléfonos móviles, portátiles, ordenadores de mesa, etcétera. La mayor parte de ellas mencionan también que aportan un certificado tras haber realizado la operación de borrado seguro, y al menos dos se comprometen a deshacerse de los equipos de la empresa tras el borrado, incluso alguna poniéndolos a la venta.
Las empresas dedicadas al borrado de datos ofrecen su servicio a particulares con el reclamo de cumplir con las leyes, en concreto con la Ley Orgánica de Protección de Datos (LOPD). El abogado Leandro Núñez, socio del despacho Aurens, un bufete dedicado a lo que atañe a nuevas tecnología y derecho, explica: “Una de las medidas que te impone la ley es el secreto, es que esos datos no se filtren, y la forma de garantizarlo es el borrado seguro de datos”.
Por su parte el abogado especialista en protección de datos, Diego Fanjul, ahonda en estos principios básicos de la LOPD: “El tratamiento de datos debe estar vinculado siempre a una finalidad. Tú utilizas los datos para algo y solo los puedes utilizar para eso. Por eso son muy graves las desviaciones de finalidad. […] Muy relacionado con este principio están el de pertenencia y el de veracidad, que vienen a decir que solo puedes utilizar los datos para cumplir con esa finalidad legítima. […] Solo puedes conservar esos datos mientras la finalidad siga viva”. Y agrega: “Aquí es donde entran las empresas que pueden trabajar tanto destruyendo documentación como borrando equipos”. Y especifica que “el reglamento que desarrolla la LOPD dice que cuando se hace un proyecto de destrucción de datos se tiene que hacer de tal manera que impida su recuperación posterior”.
Cuando los datos caen en manos de terceros
¿Qué ocurriría entonces si los datos de, por ejemplo, los clientes de una empresa cayeran en manos de terceros de manera involuntaria por no haberlos borrado correctamente? Para Núñez y Fanjul no hay duda alguna: “A la [empresa] que encargó el borrado de datos lo más probable es que le caiga una sanción grave”, señala Núñez. “Si soy una empresa que contrata un borrado de datos y se produce una fuga de datos el responsable de entrada es el dueño del fichero, sería la propia empresa que ha encargado el borrado”, coincide Fanjul.
No obstante, el asunto no es tan simple puesto que “aquí la empresa tiene un as en la manga”, puntualiza Fanjul y añade que esta empresa podría reclamar y decir: “Oiga, yo he firmado un contrato con una empresa donde se especificó que los datos se iban a usar para ser destruidos y no se ha cumplido”. Sin embargo, Núñez no lo ve tan claro: “Yo creo que a la empresa de borrado es difícil que le caiga algo. Lo que habría que hacer es ir a por ella después”, si bien matiza que “las sanciones se pueden regular en función de las circunstancias entre las que se encuentra ser diligente. Entonces, una sanción que en principio puede ser grave [luego] puede bajar a leve”.
Retomando el caso de López Madrid, no sabemos si el borrado de datos del teléfono que entregó en el Juzgado 26 lo hizo presuntamente él mismo, un profesional determinado o una empresa especializada. Si en un hipotético caso un particular solicitara un borrado de datos profesional de un dispositivo y ese mismo dispositivo cae en manos de las fuerzas de seguridad en el curso de una investigación judicial y estas consiguen rescatar contenido que en principio podría haber sido borrado, ¿qué ocurriría entonces?
En este caso, Núñez apunta con cautela que “podría ser una responsabilidad contractual. Yo te encargo un servicio y tú no lo has prestado correctamente, pero, claro, también habría que ver qué tipo de servicio se ha contratado porque niveles de borrado seguro hay muchos”. En cuanto a la hipotética responsabilidad que podría tener una empresa al borrar datos de un dispositivo que ha de ser entregado para una investigación judicial y si existen mecanismos para que esa compañía conozca esta circunstancia de alguna manera, Núñez afirma que “hasta donde yo sé, no los hay”, y detalla: “Para que se considere delito en el derecho penal tiene que darse dolo —deseo de cometer ese delito— o culpa —una negligencia grave—. Si no se da ninguna de esas circunstancias no hay delito. Así que si eres una empresa que se dedica al borrado de datos y no sabes nada de eso, mejor que mejor”.
El software de borrado: borrar no significa nada
Al pulsar en la opción “eliminar” de un archivo, ello no significa, ni mucho menos, que ese contenido desaparece del dispositivo de forma irreversible. Ni siquiera vaciando la Papelera de reciclaje o similar. De ahí la utilidad del borrado seguro. En las webs de dos empresas consultadas para la elaboración de este reportaje se afirma explícitamente que utilizan el software Blancco para desarrollar su trabajo.
Según se recoge en la propia página de la empresa que desarrolla el software, el mismo “permite monitorizar las actividades de borrado de información”. Aseguran también que tanto la empresa que lo utilice como sus clientes “pueden estar 100% seguros una vez que se lleve a cabo el borrado de la información” para el “retiro, reutilización o recomercialización segura de los dispositivos”. También aseguran una eficacia del 100% “independientemente de la cantidad de datos” así como, igualmente, el 100% al utilizar este software para el borrado diario de datos de acuerdo a la ley en equipos que aún se siguen utilizando de forma cotidiana. .
Aunque no refiriéndose necesariamente a este programa, el hecho de que una empresa prometa el 100% de la eficacia en el borrado de datos es para Núñez arriesgado cuando menos, salvo que la compñía delimite hasta dónde llega ese 100%: “Si te garantizan un resultado del 100% y luego no es así, pues a lo mejor sí se le puede pedir responsabilidades [a la empresa]. […] Yo no haría un contrato diciendo ‘esto es un borrado seguro de datos’ sino ‘esto es un borrado que tiene estas características’. Dices ‘mira, yo no te puedo garantizar el 100%, no puedo garantizar que si investiga el dispositivo el CNI no vaya a encontrar nada, porque […] esto es un borrado seguro a nivel estándar no al nivel de la CIA”.
Blancco no es en absoluto el único software de borrado del mercado. Por ejemplo, Hipertextual recogió en 2013 algunos de estos programas destinados específicamente al borrado seguro en Windows, figurando en su lista Eraser, DeleteOnClick, WipeFile, Active@ KillDisk y File Shredder. Según esta publicación, WipeFile es el único de este listado que aparece como gratuito y sin necesidad de instalación.
¿Qué implica realmente la ley de protección de datos?
La Ley Orgánica de Protección de Datos de Carácter Personal en su artículo primero afirma tener “por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
Asimismo, en el apartado primero del artículo segundo se especifica que esta ley “será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. En el apartado segundo de dicho artículo se especifica los casos en los que no será aplicable esta ley mencionando en primer lugar “a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas”.
Fanjul se hace cargo de la confusión que puede generar el nombrar de la LOPD: “El título de la ley es equívoco. Es verdad que hay un componente de protección o de secreto, pero el eje fundamental de la ley es darnos a las personas control sobre nuestra información personal, y nadie habla de eso”, con este fin, “los mecanismos de sanción de ley orgánica están pensados para la empresa”.