Cifrado de correos electrónicos mediante TLS: la desagradable verdad

Tanto los clientes finales como las empresas de consultoría e implementación dicen cada vez más: «TLS (Transport Layer Security) es suficiente para comunicarse de conformidad con el GDPR». Detrás de esto suele estar el deseo de la forma más sencilla posible de intercambiar correos electrónicos cifrados con otros socios de comunicación. Por desgracia, se trata de una conclusión engañosa.

Para analizar también esta evaluación desde un punto de vista jurídico, es aconsejable profundizar en el artículo 32 del RGPD, «Seguridad del tratamiento», y en el considerando 83 del RGPD.

El artículo 32 del RGPD establece que los responsables del tratamiento de datos personales deben garantizar la protección de estos datos contra el acceso no autorizado. Los obligados deben adoptar las medidas técnicas y organizativas adecuadas. La seudonimización y el cifrado de los datos son posibles en este caso. El cifrado debe garantizar que los datos personales sean inaccesibles para todas las personas que no estén autorizadas a acceder a los datos personales (Art. 34 párrafo 3 del RGPD).

Aquí, uno puede decidir por sí mismo si TLS es la tecnología adecuada en todos los casos.

Desde un punto de vista jurídico, las afirmaciones generales no suelen ser un buen enfoque. Por eso la primera respuesta de un abogado suele ser: «Depende…».

En caso de litigio, deben examinarse los hechos de cada caso. El examen puede mostrar que no era necesaria ninguna encriptación, que la encriptación TLS era suficiente o que, además de la encriptación de línea pura, debería haberse utilizado la encriptación de extremo a extremo del contenido.

Una afirmación general como «TLS es suficiente para comunicarse de conformidad con el GDPR» debe tomarse con cautela.

El cumplimiento de la normativa de protección de datos sigue siendo responsabilidad del responsable del tratamiento (según el artículo 4, apartado 7, del GDPR de la UE). No solo el riesgo recae sobre él, sino que también se ve afectado personalmente por las consecuencias. Las posibles sanciones incluyen reclamaciones de recurso contra la dirección o los representantes especiales para el cumplimiento, la protección de datos y la seguridad de la información. En derecho civil, se suelen reclamar daños y perjuicios. Esto incluye también las pérdidas económicas sin límite máximo de responsabilidad. Las sanciones de derecho público incluyen multas, penas de prisión o sanciones administrativas. Las medidas reguladoras también pueden llevar al cierre de la empresa.

El arte de la comunicación segura por correo electrónico

Ante estos peligros potenciales, es crucial tomar en la práctica todas las medidas posibles para minimizar los riesgos y maximizar la seguridad de los correos electrónicos. Además del cifrado TLS, de uso común, existen otros métodos de cifrado para proteger los correos electrónicos confidenciales. Entre ellos figuran tecnologías como S/MIME y PGP, que proporcionan un cifrado de extremo a extremo y garantizan que sólo el destinatario autorizado pueda descifrar el contenido. Del mismo modo, el uso del cifrado espontáneo es una opción viable para cifrar correos electrónicos o mensajes específicos según sea necesario, añadiendo una capa adicional de seguridad. SEPPmail ofrece precisamente este tipo de cifrado espontáneo con su tecnología GINA, que permite la transmisión cifrada de correos electrónicos a los destinatarios sin necesidad de software de cifrado ni certificados.

Todas estas tecnologías se han desarrollado para que no tengan que basarse en la infraestructura subyacente, sino que funcionen de forma independiente entre remitente y destinatario.

Lo ideal es combinar estas tecnologías para que la confidencialidad e integridad de la comunicación por correo electrónico no sea en ningún caso motivo de violación de la GDPR de la UE.