Que Slack cumpla con el RGPD es algo fundamental, especialmente si tenemos en cuenta que es una de las herramientas de comunicación a nivel empresarial más utilizadas. En este artículo hemos querido analizar la política que tiene Slack desde el punto de vista de la seguridad y del cumplimiento del RGPD. Sigue leyendo para conocer cuál ha sido nuestra experiencia.
La política de Slack para cumplir con el RGPD
Vamos a profundizar al máximo en este tema para analizar hasta qué punto Slack cumple con el RGPD, por lo que antes de nada, es importante responder a la siguientes preguntas:
- ¿Podemos contactar con el DPO? NO
En la página de política de privacidad de Slack aparece el correo electrónico del DPO y se indica a los usuarios que pueden ponerse en contacto con él. Hemos hecho nuestra propia comprobación intentando comunicarnos con él, y tenemos que decir que aún no hemos recibido respuesta.
- ¿Slack informa sobre la normativa a la que se adapta en materia de protección de datos? SÍ
Slack es muy transparente a la hora de comunicar todos los esfuerzos que hace para cumplir con el RGPD, dando información sobre todas las áreas clave de cumplimiento, de su infraestructura de seguridad y de todas las certificaciones de seguridad de las que dispone, como SOC 2, SOC 3, ISO 27001, ISO 27017 e ISO 27018.
Podemos destacar, por ejemplo, que el certificado ISO 27001 que se otorga al sistema de gestión de información de Slack, garantiza la protección adecuada de los datos del usuario, un componente clave del cumplimiento del RGPD.
- ¿Slack informa sobre las medidas que toma para proteger los datos de los usuarios? NO
Slack ofrece mucha información en su página web sobre el cumplimiento del RGPD, pero es necesario analizar si realmente están al día en todas las acciones que esto conlleva, por lo que cabría preguntarse si realizan sesiones de formación periódicas relacionadas con la protección de datos, si alguna vez han realizado una evaluación de impacto o si han realizado una auditoría de información para mapear los flujos de datos. Al no haber obtenido respuesta por su parte, no podemos saber con certeza cómo actúan.
Respecto a las medidas técnicas que utiliza para proteger los datos externos, según el documento sobre aspectos técnicos que la propia compañía proporciona, utiliza TLS 1.2 (o lo que es lo mismo, Transport Layer Security, es el estándar de la industria para proteger la información que se envía online).
- ¿Dan información sobre si comparten datos con terceras partes? SÍ
Explican detalladamente que sí pueden contratar a otras compañías o personal externo , así como compartir información comercial. Permite que el usuario elija si quiere que se active la posibilidad de utilizar servicios de terceros y actualizan el acuerdo de estas colaboraciones con frecuencia.
- ¿Ofrecen a los usuarios opciones para que gestionen su privacidad y sus datos? SÍ
En cuanto al acceso a los datos por parte de los usuarios, Slack hace un gran trabajo, ofreciendo herramientas para recuperar datos personales, siendo posible contactar con el administrador para este fin. También da la posibilidad de eliminar un perfil.
A su vez, permite que los usuarios personalicen los ajustes de conservación de datos, mensajes y otros archivos que comparta a través de slack en función de la versión que tengan contratada.
- ¿Piden permiso a los usuarios antes de utilizar sus datos? SÍ
- ¿Informa sobre el tipo de datos que recoge con las cookies y el motivo por el que lo hace? SÍ
Da información de forma muy detallada sobre las distintas categorías de cookies, explicando de una forma muy clara a los usuarios de qué se tratan. Además, permite ver una tabla de cookies internas, de terceros, así como del tiempo que mantienen los datos.
- ¿Informan a los usuarios la forma de retirar su consentimiento para el uso de sus datos? SÍ
Explican cómo hacerlo a través de los ajustes y herramientas.
SLACK Y LAS BRECHAS DE SEGURIDAD
Slack tiene un CSIRT (Equipo de respuesta a incidentes de seguridad informática) que permite que se pueda crear un plan de respuesta específico para hacer frente a cualquier infracción de seguridad, algo muy importante.
Podemos decir que su protocolo de actuación de para brechas de seguridad ha resultado ser eficaz para las filtraciones de datos, ya que Slack ya sufrió hace varios años una una violación de seguridad mediante el hackeo de su código. Se insertó malware que hizo que se pudieran robar las contraseñas de los usuarios. Se solucionó incluyendo la doble autentificación. Recientemente, a principios de 2020, se ha descubierto otra brecha de seguridad. En esta ocasión, los piratas informáticos lograron cambiar la ubicación desde la que se descargaban los archivos enviados a través de Slack, pudiendo insertar malware.
El plan de respuesta de Slack fue eficaz, pero dejó ver que debían tomarse medidas preventivas más estrictas. Hemos podido comprobar que se cumplen los requisitos mínimos de seguridad pero no con los más estrictos, es decir, hay mucho margen de mejora. Algunas de las medidas que permitirían lograr mejoras sería la encriptación de extremo a extremo y el cifrado SSL.
Las herramientas de comunicación y cumplimiento del RGPD
En el caso de Slack, ya hemos visto que sí se han tomado medidas para garantizar el cumplimiento del RGPD y aunque estas políticas han tenido éxito, no llegan a ser una solución perfecta, al no contar con otras medidas adicionales que ya llevarían su seguridad al siguiente nivel .
Lo más sorprendente es que esto le ocurre a un gran número de empresas, que en muchos casos, ni siquiera llegan a cumplir con legislación y, por lo tanto, corren un alto riesgo de robo o corrupción de datos, multas, pérdida de confianza en la organización por parte de los usuarios, etc.
Cada vez aumenta más el número de personas que se suman al trabajo en remoto, lo que hace que prolifere el uso de herramientas para facilitar la comunicación. Esto está unido a que hayan salido a la luz todos los problemas relacionados con la protección de datos. Ya hemos dado una serie de consejos para trabajar desde casa sin poner en riesgo los datos personales en nuestro webinar sobre teletrabajo y RGPD, que os invitamos a ver si queréis estar más informados y protegidos sobre este tema, pero además, desde Pridatect, recomendamos realizar una Evaluación del impacto antes de implementar cualquier software o solución de este tipo.
No hay que olvidar que aunque en muchos casos, se da por sentado que las aplicaciones y herramientas que utilizamos cumplen con la legislación y que no hay nada por lo que preocuparse, desafortunadamente, esto no es así siempre, y si hubiese algún problema, la información que se pone en riesgo es la de la empresa o la de los clientes. Sólo hay que pensar, cuánta información confidencial se da a través de Slack.
Reduce los riesgos y garantiza la protección de datos de tu empresa
Es importante conocer los riesgos de protección de datos a la hora de elegir diferentes herramientas de comunicación empresarial. Por ese motivo, hemos creado una serie de artículos en la que analizamos distintas opciones. Recomendamos echar un vistazo al artículo sobre Zoom, ya que es uno de los medios de comunicación más utilizados últimamente.
Si quieres reducir riesgos y garantizar el cumplimiento puedes pedir una demo para ver cómo te puede ayudar el software de Pridatect y pedir una prueba gratis.
