Uno creería que en pleno 2025 ya habríamos aprendido la lección, pero basta leer los casos reales que recoge la Agencia para darse cuenta de que seguimos siendo imprudentes hasta lo temerario. La guía de cifrado publicada por la AEPD no es un manual más, sino un aviso serio sobre algo que, por experiencia propia, sé que muchos autónomos y pequeñas empresas tratan como un asunto menor. Sin embargo, en un mundo donde un portátil perdido puede acabar en la dark web y un correo mal enviado puede arruinar la vida de alguien, el cifrado deja de ser una opción y pasa a ser casi un acto de responsabilidad civil.
La guía empieza recordando lo esencial: cifrar consiste en convertir la información en un amasijo incomprensible para cualquiera que no tenga la clave adecuada. Una transformación simple en apariencia, pero decisiva cuando la pregunta es si alguien podrá leer o no los datos que llevamos encima. Y aquí la AEPD no se anda con rodeos. Lo dice el propio Reglamento General de Protección de Datos en su Considerando 83: las empresas, grandes o pequeñas, deben evaluar los riesgos del tratamiento y aplicar medidas que los mitiguen, entre ellas el cifrado.
La Agencia nos da un baño de realidad contando casos tan crudos que casi duelen. El psicólogo que pierde un portátil repleto de expedientes de menores. La tabla sin cifrar de una clínica de planificación familiar expuesta accidentalmente en Internet. El abogado que envía información confidencial a quien no debía porque incluyó la contraseña en el mismo correo. La gestoría que deja una copia de seguridad sin cifrar en manos de un proveedor negligente y facilita datos de personas mayores que viven solas. Incluso situaciones mucho más oscuras, como la filtración de bases de datos genéticas en un contexto de conflicto étnico. Y uno, leyendo, piensa en cuántas veces ha confiado en que “no pasará nada”. Pues sí pasa. De hecho, pasa más de lo que creemos.
La guía explica que muchas de estas catástrofes se habrían evitado o al menos mitigado con medidas tan básicas como cifrar el disco duro de los dispositivos, usar contraseñas robustas, habilitar la verificación en dos pasos o compartir las claves por canales distintos a los documentos cifrados. Parece de sentido común, pero basta una mañana de prisas para que enviemos un archivo a quien no toca, para que almacenemos en el portátil datos que jamás deberían salir del despacho o para que un archivo compartido acabe siendo accesible por medio mundo.
Pero la Agencia insiste en algo que me parece esencial. Cifrar no basta por sí solo. Lo repite varias veces y con razón. Si tratamos más datos de los necesarios, si no aplicamos el principio de minimización, si guardamos información sensible sin revisar si realmente la necesitamos, o si mantenemos esas carpetas eternas donde duerme información de hace diez años, de poco sirve tener el mejor cifrado del mundo. La privacidad se protege con una cadena de medidas que van desde limitar el acceso a los datos hasta saber durante cuánto tiempo debemos conservarlos. El cifrado es una pieza crítica, pero no la única.
A partir de ahí, la guía se vuelve práctica. Explica cómo cifrar comunicaciones en la navegación web, en el correo electrónico, en los ficheros adjuntos, en las videoconferencias o en las aplicaciones de mensajería. Lo hace sin florituras y con ejemplos sencillos que incluso alguien con poca familiaridad técnica puede seguir sin perderse. También dedica un apartado importante a cómo cifrar los datos almacenados. Habla del disco duro, de los archivos locales, de la nube, de los teléfonos móviles y de las copias de seguridad. Todo aplicado al día a día de autónomos y pequeñas empresas, que a veces manejamos más información personal de la que imaginamos.
El mensaje final es contundente. El cifrado es imprescindible, pero necesita integrarse dentro de una estrategia de privacidad más amplia y bien pensada. No sirve de nada cifrar si luego compartimos claves alegremente, si damos permisos de acceso a quien no los necesita, si enviamos documentos sin revisar el destinatario o si acumulamos datos como quien colecciona trastos viejos en un trastero. La seguridad no es un accesorio, es un hábito.
La AEPD lanza esta guía dentro de su plan estratégico 2025–2030 y se nota que el objetivo es acompañar a autónomos y pymes en un camino que muchos aún vemos como demasiado técnico. Pero la realidad es más simple: no hace falta ser experto en ciberseguridad para entender lo esencial. Se trata de actuar como si los datos que manejamos importaran de verdad, porque importan. Se trata de evitar que un despiste, un correo mal enviado o un portátil perdido se conviertan en un drama personal o profesional.
Y al terminar la guía, al cerrar el documento, uno se queda con una sensación muy clara. Hoy quien no cifra va por la vida desarmado. Y en este tiempo nuestro, tan dado a ataques, filtraciones y descuidos imperdonables, andar desarmado no es una temeridad. Es casi una invitación al desastre.
