Hace unos días, la RLPT de Atos Spain y el Servicio de Prevención, recibió un correo enviado por un delegado de prevención del sindicato CGT. En dicho correo informaba de una probable brecha de seguridad en los datos confidenciales de las personas trabajadoras.
Una compañera le había comentado que Vitaly, la nueva empresa que se encarga de los reconocimientos médicos, le había hecho llegar adjunto su reconocimiento a su buzón corporativo (es la dirección de correo que Vitaly conoce, y a través de la cual nos contacta), indicándole que estaba protegido por contraseña y que tal contraseña era su DNI, incluida la letra.
La reclamación venía dada porque, en un mismo correo se incluía un documento y la contraseña para abrirlo y, dado que la empresa tiene potestad para abrir los buzones corporativos y conoce el DNI de cada persona, se pierde la confidencialidad de los reconocimientos médicos.
La respuesta desde el Servicio de Prevención fue la siguiente:
“el informe médico la empresa no lo recibe. Sólo se lo envían a la persona trabajadora y lo cifrarán con esa contraseña la cual se la tienen que decir a la persona obviamente.
En prevención sólo recibimos un Certificado de Aptitud donde aparece la fecha de realización del reconocimiento médico, los protocolos aplicados, el puesto de la persona y el resultado de la aptitud:
- Apto
- Apto con restricciones (con las correspondientes observaciones)
- No apto
En ningún caso por nuestra parte tenemos acceso a la información médica de cada persona.”
Además, aseguraban que el DNI solo lo conoce RR.HH. y no se lo cede a otro departamento de la empresa.
Desde Cobas no estamos dando por hecho que se revisen los correos de las personas trabajadoras por parte de la empresa. Tampoco vamos a poner en duda que la voluntad del Servicio de Prevención y de RR.HH. sea no entregar el DNI a otros departamentos. Pero, creemos que, si alguien de la dirección pide el DNI de una persona trabajadora, RR.HH. se va a resistir lo justo. En cualquier caso, el hecho de que una brecha de seguridad no haya sido explotada no significa que la brecha no exista y que no se pueda explotar en cualquier momento.
Para la sección sindical de Cobas existe una solución muy sencilla, y así se lo hicimos llegar a la empresa: pedir a Vitaly que, ya que tiene una “app”, podría, tal como hacía la anterior empresa, Avanta, colgar el reconocimiento, y que cada persona entrase ahí para descargárselo, sin que la empresa tuviera acceso a él en ningún momento. “Quien evita la oportunidad evita la tentación”.
Eso mismo les decimos a nuestros clientes cuando detectan una brecha de seguridad en el software «oye la vulnerabilidad existe, pero eso no quiere decir que los hackers la vayan a utilizar, que son todos muy buenas personas» no te j…de. Pero no me extraña que nos traten de tontos, cuando nos creemos la seguridad de la encriptación punto a punto de whatsapp, por ejemplo, que si, que si alguien «in the middle» intercepta el mensaje casi seguro no va a poder leerlo, pero si whatsapp es el que lo encripta y tiene las claves ¿no lo puede leer whatsapp? pero oye que seguro estoy de que nadie lo puede leer.