SSL y HTTPS: recogida de datos personales en entorno seguro.

Uno de los problemas con los que nos encontramos todos aquellos que contamos con un formulario en su web y, sobre todo, los usuarios que acceden a ellos, es si esos datos van a ser recogidos en un entorno seguro o no. Recordemos que SSL (y su sucesor TLS) es un protocolo criptográfico que hace que las comunicaciones entre el servidor y el cliente viajen encriptadas. Las páginas web que se hallan bajo ese protocolo empiezan por https. En nuestra web, por ejemplo, verás que todas las webs se encuentrar precedidas por https. Eso significa que desde la primera página a la última, nuestra web funciona encriptada.

Sin embargo el uso de esta tecnología no está muy extendida en muchas de las páginas web a las que accedemos. Los motivos son varios pero yo me atrevería a señalar los siguientes:

1. Falta de conocimientos técnicos para su implementación, que, aunque es en realidad sencilla, tiene algunos trucos que en muchas ocasiones, hace que haya que implementar ciertas cosas «a mano» y de esto saben muchos los usuarios del panel de control Plesk. Las herramientas CMS (administración de contenidos) hacen que sea muy fácil diseñar una web hoy día a los diseñadores gráficos, y ello a pesar de no tener grandes conocimientos de programación.
2. El precio de los Certificados SSL. Aunque existe una gran variedad de certificados SSL, y con ello gran variedad de precios, no todo el mundo está dispuesto a pagar dinero por una funcionalidad que no tienen muy clara para qué sirve.
3. Falta de conocimientos legales en cuanto a la necesidad o en su caso obligación, de implementar ciertas medidas de seguridad a la hora de recopilar ciertos datos de clientes. Y no sólo por parte de las empresas. También por parte de muchos diseñadores que ofrecen un buen servicio a sus clientes desde el punto de vista estético, pero realmente desastroso desde el punto de vista legal.

Para aclarar este extremo Zinetik Consultores formuló una consulta a la Agencia Española de Protección de Datos. (http://www.agpd.es), en la que se preguntaba, básicamente, si los datos recogidos por formulario debían ser cifrados por SSL. La respuesta de la AGPD, aunque no recogía todos los extremos de nuestra consulta, fue en este sentido meridianamente clara. Aquellos datos que se consideran especialmente protegidos siempre deben ir cifrados.

Es decir. Un abogado, médico, religioso, político, sindicalista o cualquier otra profesión que use su página web para recoger datos de otros ciudadanos SIEMPRE deberá cifrar sus páginas de recogidas de datos si existe la posibilidad de que en ese formulario se introduzcan datos de los considerados de especial protección.

Otras páginas que no recojan ese tipo de datos, habrán de ser estudiadas de forma individualizada. Por ejemplo. Un blog de contenido político, que deje la posibilidad de hacer comentarios y recoja el correo electrónico como elemento para registrarse, debería estar bajo SSL puesto que se van a recoger datos de contenido político y datos que permiten identificar al usuario.

Otras páginas que dejen un espacio abierto para que el usuario escriba lo que quiera, en principìo no deben introducir el cifrado de datos, aunque deberá ser muy cuidadoso con lo que se escribe, ya que por el principio de calidad en la recogida de datos, si se reciben datos no necesarios en ese espacio, pero especialmente protegidos, deberán ser eliminados y no procesados.

A pesar de todo, desde Zinetik Consultores recomendamos vivamente su implementación por varios factores:

1. Mejora el SEO de la página
2. Mejora la confianza que genera en el usuario
3. Da tranquilidad frente a intrusiones generales en el sistema
4. Evita problemas ante las autoridades de protección de datos, ya que no hemos de acreditar que no recogemos un tipo de datos, sino simplemente, que hemos adoptado todas las medidas necesarias.