lunes, 27 de diciembre de 2010

Predicciones IT 2011

Ya estamos acostumbrados a que al finalizar un año aparezcan todo tipo de predicciones para el nuevo año referidas a muy diversos ámbitos.

Pues bien, tal y como todos sabemos, las TI tampoco son ajenas a esto, y todos los años por estas fechas nos encontramos con que multitud de empresas del sector realizan todo tipo de vaticinios de cara al año que viene, relativos también a muy diversos aspectos (tales como: gestión, presupuestos, mercado, tecnología, productos, plataformas, empleo, redes sociales, etc.).

También se habla de todo esto en diversos foros de internet y grupos de redes sociales y profesionales.

Contagiado de este espíritu adivinatorio, en este post intentaré, sin mayor pretensión, dar una breve visión personal sobre los pronósticos que me parecen más acertados respecto a cuatro aspectos que considero clave y que han dado mucho que hablar a lo largo de 2010, basándome, en general, en las predicciones de muy diversas fuentes que voy leyendo y, en particular, en los comentarios incluidos en un debate sobre este tema en el grupo "Profesionales IT Euskadi" de Linkedin.

1. Presupuesto TI y papel del CIO en las organizaciones: ligero incremento, cuando no plano, de los gastos e inversiones de TI de cara a 2011.

Como consecuencia el CIO se encontrará no sólo con las obvias limitaciones operativas, sino que verá mermado aún más su poder de decisión en las organizaciones en favor de otros directivos, el CFO o el propio CEO.

La única salida de los CIO para el año que viene será adaptarse a las demandas de los CEO en cuanto a la búsqueda de la eficiencia económica a través de la mejora de los procesos, una contribución también económica claramente visible de los nuevos proyectos de TI y la innovación como vía de crecimiento del negocio.

2. Virtualización: aunque ya venía desarrollándose con fuerza unos años antes, posiblemente la virtualización de servidores ha sido uno de los temas estrella de 2010, además de por otras muchas ventajas que conlleva, por la reducción de costes que supone.

Precisamente por lo anterior, la mayoría de las organizaciones ya han abordado los proyectos para la virtualización de sus servidores, por lo que se puede decir que hay una cierta saturación del mercado que le deja poco recorrido para 2011.

Pienso que en este tema el recorrido para el año que viene va a venir de la mano de la virtualización de escritorio.

3. Cloud Computing: la famosa nube, otro de los temas estrella de 2010, pero en este caso, desde mi punto de vista, es “más el ruido que las nueces”.

Creo resumir los comentarios incluidos en el debate del grupo “Profesionales IT Euskadi” de Linkedin al decir que este año 2011 tampoco va a ser su año.

Aunque las organizaciones seguirán evolucionando hacia la nube (e-mail, CRM, etc.), todavía la seguridad es un claro inhibidor para su adopción por parte de las empresas (confidencialidad y disponibilidad), es decir, todavía habrá una fuerte resistencia por parte de las organizaciones a dejar en la nube datos y aplicaciones críticas para el negocio.

Sin duda es una tendencia a futuro clara, pero posiblemente haya que esperar algo más para que se adopten de forma masiva soluciones de este tipo por parte de las empresas.

4. Migración XP y ofimática: Aunque desde un punto de vista técnico es una necesidad apremiante, basada en la dificultad de encontrar hardware moderno compatible con Windows XP y en la existencia de numerosas incompatibilidades con gran parte del espectro del software, la coyuntura económica no animará a las organizaciones a llevar a cabo la migración, por el elevado coste en licencias que supone su evolución natural hacia Windows 7, dejándose ésta para años posteriores.

Por lo ya mencionado, se deduce que la opinión mayoritaria del grupo “Profesionales IT Euskadi” es que la migración será a Windows 7, aunque de forma minoritaria algunas organizaciones opten por dar el paso hacia un escritorio basado en Linux. Por tanto, este año que viene tampoco será el año del escritorio Linux.

Sin embargo y como contrapartida, sí es posible que este año se acentúe la tendencia hacia las soluciones ofimáticas basadas en software libre, migrando Office 2003 a soluciones de este último tipo.


Evidentemente, hay muchísimos otros aspectos que no he tratado en este post y del que me encantaría conocer vuestras predicciones (mercado, empleo, redes sociales, y sobre multitud de temas concretos - facturación electrónica, la seguridad como servicio, y un largo etcétera -), por lo que os animo a incluir comentarios sobre vuestros pronósticos, tanto para los temas tratados como sobre aquellos que consideréis de interés y, por supuesto, animaros también a haceros miembros del grupo de Linkedin “Profesionales IT Euskadi”.

sábado, 18 de diciembre de 2010

AVPD: "Las luces funcionan... Cumpliendo con la protección de datos personales"

Aunque es un video que ya tiene un cierto tiempo, yo lo he conocido hace poco, no me resisto a incluirlo aquí porque creo que resume muy bien el tema de la protección de datos en las organizaciones y, además, puede servir como un excelente recurso formativo para sensibilizar al personal de las mismas sobre este tema.

En concreto, tal y como se indica en la página web de la Agencia Vasca de Protección de Datos donde podéis verlo (http://www.avpd.euskadi.net/s04-5248/es/contenidos/informacion/documentos_difusion/es_difusion/luces.html):

"La AVPD llegó a un acuerdo con la Oficina del Comisionado de la Información del Reino Unido (Information Commissioner´s Office, ICO) para adaptar y editar un video formativo bajo su licencia.

El video es una breve introducción dramatizada a los principios de la protección de datos. Su uso está pensado como parte de un programa de sensibilización y formación para los trabajadores que ayude a las organizaciones en el cumplimiento de los requerimientos legales y en la adopción de buenas prácticas. También es un material de difusión válido para la ciudadanía. Su duración es 22 minutos, está editado en euskera y castellano y va acompañado de dos cuestionarios de preguntas y respuestas sobre la materia con los correspondientes solucionarios".

En mi opinión, un video imprescindible.

miércoles, 8 de diciembre de 2010

Estos son mis criterios. Y si no le gustan…tengo otros (I)

Parafraseando al genial Groucho Marx, ésta parece ser la actitud seguida por la Agencia Española de Protección de Datos (AEPD) en determinadas ocasiones y, en concreto, respecto a si determinados datos son o no datos de carácter personal.

En este post vamos a ver un ejemplo, basado en un informe jurídico y una resolución emitidos por la AEPD, en el que yo creo que se pone de manifiesto una incoherencia entre el criterio empleado en un supuesto concreto y el manifestado previamente con carácter general por la propia AEPD, pero antes recordemos las definiciones recogidas tanto en la LOPD, como en el Reglamento que la desarrolla (RDLOPD).

Artículo 3 de la LOPD:

“a) Datos de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables.”.

Artículo 5 del RDLOPD:

“f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”.

“o) Persona identificable: toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.”.

Veamos ahora el ejemplo que comentaba, aunque hay otros:

- ¿Es el número de matrícula de un vehículo un dato de carácter personal?:

Para resolver esta cuestión me remito al informe “Matrículas de vehículos y concepto de dato de carácter personal. Informe 425/2006” de la AEPD, en el que se argumenta y concluye lo siguiente:

“De lo que se ha venido indicando cabe desprender que la identificación del titular de los vehículos cuya matrícula sea conocida únicamente exigirá la consulta del Registro de Vehículos, cuya finalidad esencial es la identificación del titular, para lo cual únicamente será necesaria la invocación del interés legítimo del solicitante.”.

“En consecuencia, cabe considerar que la identificación del titular del vehículo no exige esfuerzos o plazos desproporcionados, por lo que el tratamiento del dato de la matrícula habrá de ser considerado como tratamiento de un dato de carácter personal.”.

De todo ello parece deducirse, al menos así lo entiendo yo, que el número de matrícula de un vehículo es claramente un dato de carácter personal por sí mismo, es decir, sin necesidad de que vaya acompañado de otra información que asocie dicho número a una persona física, ya que a partir del mismo es posible identificar al titular del vehículo sin que esto exija esfuerzos o plazos desproporcionados.

No entro a valorar si este criterio es o no correcto, ni siquiera si es o no razonable, limitándome únicamente a exponer el que, en base al citado informe, yo creía que era el criterio de la AEPD.

Por tanto, resulta curioso observar, por ejemplo, como ante un recurso de reposición la AEPD emplea el siguiente argumento:

"..., resulta procedente destacar que el número de matrícula tendrá la consideración de dato personal en el momento en el que se encuentre asociado a un nombre y un apellido, es decir, cuando se haya accedido al Registro de Vehículos de la Dirección General de Tráfico, invocando un interés legítimo y directo, cuestión tal, que en el presente supuesto no ha quedado acreditada".

Por lo que, según esta resolución, parece que la matrícula de un vehículo no es por sí misma un dato de carácter personal hasta que no se le asocie a una persona física (entiendo, además, que esto sería aplicable a otros muchos datos, tales como: DNI, Nº Pasaporte, IP fija o variable, y un largo etcétera).

Yo, desde luego, no estoy de acuerdo en absoluto con el argumento empleado en esta resolución, ya que, en mi opinión, basta para su consideración como dato de carácter personal, confome a las definiciones mencionadas anteriormente, con que la información (en este caso el número de matrícula) concierna a una persona física identificada (caso de que se le asocie ya, por ejemplo, un nombre y apellidos) o identificable (caso de que, sin que se haya producido ninguna asociación con persona física hasta un momento dado, se entienda que es posible hacerlo sin que para ello se precisen plazos o actividades desproporcionados).

Por tanto, para mí el número de matrícula es un dato de carácter personal en todos los casos y deberían considerarse ficheros con datos de carácter personal, por ejemplo, aquellos que únicamente contegan datos de matrículas y fechas y horas de entradas y salidas de vehículos, como es el caso de los parkings que graban las matrículas a la entrada.

jueves, 2 de diciembre de 2010

La AVPD y el Colegio de Ingenieros en Informática del País Vasco colaborarán en la difusión y cumplimiento de la protección de datos

Ambas entidades han firmado recientemente un Convenio Marco de Colaboración por el que se comprometen a adoptar iniciativas conjuntas en la difusión de este derecho fundamental y a promover su conocimiento entre los profesionales de la ingeniería informática, colectivo de gran importancia en la efectiva aplicación de la normativa en empresas e instituciones.

Ver noticia completa

lunes, 8 de noviembre de 2010

Más del 85% de las pymes vascas podrían ser sancionadas por infringir la LOPD

Ésta es la principal conclusión de un estudio en el que han participado un grupo de empresas consultoras expertas en la materia y que pone de manifiesto el precario estado de la protección de los datos de carácter personal que manejan las empresas españolas y, en particular, las empresas vascas.


Según el estudio, que en lo que se refiere al ámbito de la Comunidad Autónoma del País Vasco ha contado con la participación de la consultora CERTIOREM, apenas un 14,1 % de las empresas vascas cumplen con la obligación básica de inscribir sus ficheros en el Registro General de Protección de Datos.



El porcentaje de las empresas vascas en lo que se refiere a la inscripción de sus ficheros es significativamente inferior a la media nacional, un 14,1% frente al 19,3%. Entre las provincias vascas se observa que las pymes vizcaínas (15,4%) han hecho sus deberes mejor que las alavesas (14,9%) y guipuzcoanas (11,8%), pero el porcentaje de cumplimiento en las tres provincias se sitúa a la cola de las provincias españolas. En el caso de Gipuzkoa este porcentaje de cumplimiento sólo supera a Ceuta y Melilla.


Además, tal y como se refleja también en el estudio, la mayoría de las empresas podrían ser sancionadas con importantes multas por otras infracciones, tales como: no informar de la incorporación de los datos a un fichero, no adoptar las medidas de seguridad pertinentes sobre la información que manejan o no facilitar a los interesados el ejercicio de sus derechos.

La solución, según los autores, pasa porque administraciones públicas, empresas y asociaciones colaboren en la difusión de la necesidad de cumplir una normativa con tanta trascendencia como la Ley de protección de Datos, para garantizar un derecho fundamental de las personas que está especialmente amenazado por el auge de las nuevas tecnologías en la Sociedad de la Información.

El estudio, promovido por Sigma Data Security (Extremadura) y que ha contado con la participación de: Artaiz Asesoría Tecnológica (Navarra), Certiorem (País Vasco), Forum Gabinete Jurídico y Nuevas Tecnologías (Baleares), Helas Consultores (Madrid) y Segurdades (Cataluña), se edita en licencia creative common, que permite su copia y difusión, citando la fuente, y se puede descargar el documento desde la página de descargas cuyo enlace es:

http://www.sigmadata.es/?q=downloads/view_all_files

Cumplimiento LOPD (III)

Otro indicador sobre el cumplimiento de la normativa vigente en materia de protección de datos que me parece relevante es el siguiente:

FICHA TÉCNICA:

Definición: Porcentaje de responsables de ficheros con ficheros inscritos en el registro de protección de datos sobre el total de responsables de ficheros que deben notificar sus ficheros para su inscripción.

Periodicidad: Hasta una fecha determinada.

Fuente: Registros de Protección de Datos de la AEPD y, en su caso, de las Autoridades de Control de Ámbito Autonómico, y Estadísticas de Organismos oficiales (INE, EUSTAT,...).

Subcategorías: General, Titularidad privada, Titularidad pública, Tipo de empresa/entidad pública.

VALOR OBTENIDO PARA EL INDICADOR:

Período analizado: Hasta octubre 2010.

ILOPD001-IFI-PR-PY:

Subcategorías: Titularidad privada, pymes
Para ilustar este indicador partiré de un estudio muy reciente, promovido por Sigma Data Security y que ha contado con la participación de empresas consultoras de toda la geografía nacional, como: Artáiz Asesores Tecnológicos de Navarra, Certiorem del País Vasco, Forum Gabinete Jurídico y Nuevas Tecnologías de Baleares, Helas Consultores de Madrid y Segurdades de Cataluña.

Según el citado estudio apenas un 19,3 % de las pymes cumplen con la obligación básica de inscribir sus ficheros en el Registro General de Protección de Datos, siendo la distribución geográfica por comunidad autónoma de dicho porcentaje la siguiente:


En el siguiente gráfico se muestran estos mismos datos ordenados por porcentaje de cumplimiento de esta obligación básica (de mayor a menor):

sábado, 30 de octubre de 2010

Problema de Ajedrez (I)

Blancas juegan y dan mate en 2.

Realmente las negras lo tienen muy mal, ya que se encuentran en clara desventaja. No obstante, el reto es dar jaque mate en 2 movimientos.

Os animo a meter la solución como comentario.





SOLUCIÓN (CREO QUE NO VÁLIDA):

Como os decía en el segundo comentario de este post, tras repasar la solución que proponía, creo que esta solución no es válida, ya que me había dejado una variante en la que no veo el jaque mate en dos movimientos (es decir, después del primer movimiento de las blancas que las negras muevan Tf6). Os indico esta variante al final, después del resto de variantes en las que sí se produce jaque mate en dos movimientos.

Posteriormente incluyo la solución que indica en un comentario mi amigo y coautor de este blog Dani, y que creo que sí es válida.

1. Tf4


Yo pensaba que hicieran lo que hicieran las negras se producía el jaque mate en el siguiente movimiento, pero esto sólo es verdad en la mayoría de las variantes, ya que como digo, al menos, hay una en la que ese jaque mate se retrasa más.

Si gxf4      2. Cxf4++


Si g4      2. Axf7++


Si Txf4      2. Cxf4++


Si Te5      2. Cf6++


Si Ae5 (o cualquier otro movimiento del Alfil)      2. Ce3++


Si c4      2. dxc4++


Si Tf6      2. No veo el jaque mate en el siguiente movimiento


SOLUCIÓN:

1. Ah7


Si c4      2. dxc4++


Si Ae5 (o cualquier otro movimiento del Alfil)      2. Ce3++


Si Te5      2. Cf6++


Si Tf4      2. Cxf4++


Si Tf3 ó Tf6      2. Ae4++


Si f6      2. Ag8++


jueves, 21 de octubre de 2010

Guía implantación LOPD en Pymes (VIII)

En este último post de la serie trataré sobre la implantación de las medidas y normas de seguridad asociadas a implantar en la adecuación de pymes y micropymes a la LOPD.


Debe quedar claro, tal y como se indicaba en un post anterior, que las obligaciones de la normativa vigente en materia de protección de datos no dependen del tamaño de la empresa y, por tanto, obligan por igual a autónomos, pequeñas, medianas y grandes empresas, ya que sus exigencias se establecen en función del nivel de seguridad aplicable a los datos que maneja la organización (básico, medio y alto).

No obstante, lo habitual en pymes y micropymes es que sólo existan datos de nivel básico y que los sistemas de información automatizados existentes no presenten una gran complejidad, por lo que la implantación de las medidas técnicas en estos últimos no será tampoco muy compleja.

También debe tenerse en cuenta que la normativa establece qué medidas deben implantarse (por ejemplo: identificación y autenticación ante los sistemas de información, copias de seguridad de los ficheros o tratamientos automatizados,…) y ciertas exigencias básicas sobre las mismas (la identificación de los usuarios debe ser inequívoca y personalizada, es decir, no se permitirá la utilización de identificativos de usuario comunes a grupos de usuarios, las copias de seguridad se deberán realizar, al menos, semanalmente, salvo que los datos no hayan sufrido ninguna modificación,…), pero no cómo debe hacerse (por ejemplo: no se establece si las copias de seguridad deben realizarse de forma desatendida o manual,…), por lo que puede ser válido emplear diferentes mecanismos para implantar las medidas, siempre y cuando se cumplan esas exigencias sobre las mismas requeridas por la normativa.

Recordar también lo dicho en un post anterior sobre que los niveles de seguridad son acumulativos, es decir, las medidas de seguridad de nivel básico son aplicables a todos los ficheros con datos de carácter personal, los ficheros de nivel medio deben cumplir las medidas de nivel básico y medio, y los ficheros de nivel alto deben cumplir las medidas de nivel básico, medio y alto.

El Documento de Seguridad constituye la entrada de esta tercera actividad y, por tanto, todos los aspectos de las medidas y normas a implantar deberán estar convenientemente desarrollados en dicho documento.

Dicho todo lo anterior, a continuación repasaré las medidas y normas de seguridad más relevantes a implantar:

1. NIVEL BÁSICO (de aplicación a TODOS LOS FICHEROS con datos de carácter personal):

1.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

1.1.1. Identificación y autenticación (artículo 93 del RDLOPD):

En esta actividad se trata de verificar o proceder a establecer los mecanismos que permitan la identificación de forma inequívoca y personalizada de cada usuario, y la comprobación de que está autorizado (lo más habitual será la utilización de códigos de usuario y contraseña). Todo ello conforme a lo que se haya establecido en el Documento de Seguridad (Fase 2).

Además, se deberá verificar o proceder a establecer los mecanismos para almacenar las contraseñas de forma ininteligible (en la práctica, cifradas) y para forzar el cambio de contraseña con la periodicidad que se determine también en el Documento de Seguridad.

En cuanto al procedimiento de asignación y distribución que garantice la confidencialidad e integridad de las contraseñas, mi propuesta consiste en que éste forme parte del procedimiento de control de acceso a recursos, implantado en la actividad anterior de esta misma fase, y en que se establezcan los mecanismos oportunos para forzar el cambio de contraseña suministrada por defecto por parte del usuario tras su primer acceso.

Un aspecto adicional y que a mí me parece importante es el de establecer también los mecanismos oportunos tanto para evitar que los usuarios puedan utilizar contraseñas débiles (igual que el código de usuario, compuesta por un número no suficiente de caracteres, etc.) y, por tanto, para garantizar que las contraseñas de usuario sean conformes a la normativa interna que se crea conveniente (compuesta por un número mínimo de caracteres, combinación de letras, dígitos y caracteres especiales, etc.), como para evitar que ante su cambio por haber transcurrido el plazo de uso establecido para la contraseña, el usuario utilice la misma que en anteriores períodos de vigencia.

1.1.2. Copias de respaldo y recuperación (artículo 94 del RDLOPD):

Se trata de verificar o proceder a establecer los mecanismos o procedimientos de actuación para la realización, al menos semanalmente, de las copias de seguridad (backup) de los datos, salvo que en dicho período no se hayan actualizado los mismos.

En la actividad anterior de esta misma fase se habrán implantado los procedimientos de: realización de copias de respaldo, recuperación de datos y solicitud de pruebas con datos reales (con objeto de garantizar que éstas se realizan previa copia de seguridad), por lo que en esta actividad únicamente habrá que exigir y verificar que se utilizan y cumplen éstos adecuadamente.

En la normativa recogida en el Documento de Seguridad se deberá indicar qué persona o personas y con que periodicidad, al menos cada seis meses, se encargarán de verificar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos, por lo que éste será otro aspecto que habrá que seguir en esta actividad.

1.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

1.2.1. Criterios de archivo (artículo 106 del RDLOPD):

Se trata de establecer las pautas básicas para el archivo de la documentación (alfabético, cronológico, etc.), y que en todo caso deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

Lo habitual para la documentación manejada por pymes y micropymes es que no exista una legislación que fije dichos criterios, por lo que le corresponde a la pyme o micropyme establecer los criterios y procedimientos de actuación que deben seguirse para el archivo (por ejemplo: para el archivo de la documentación del personal – contratos, partes de vacaciones, partes de gastos, solicitudes de acciones formativas, etc. –, para el archivo de curriculums vitae de candidatos a puestos de trabajo, etc.).

Mi propuesta es que estos criterios de archivo se fijen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en asegurarse o proceder a que toda la documentación se archive conforme a los criterios establecidos, y en la exigencia de su utilización y verificación del correcto uso de los mismos.

1.2.2. Dispositivos de almacenamiento (artículo 107 del RDLOPD):

En esta actividad habrá que asegurarse de que todos los dispositivos de almacenamiento de los documentos (armarios, cajones, etc.) que contengan datos de carácter personal disponen de mecanismos que obstaculicen su apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a aquellos que no dispongan de ellos.

1.2.3. Custodia de los soportes (artículo 108 del RDLOPD):

Se trata simplemente de exigir que el personal que accede a la documentación para su revisión o tramitación se involucre en su custodia y utilice los mecanismos puestos a su disposición para evitar el acceso por parte de personal no autorizado (que no haya puestos de trabajo en los que se apilen un montón de documentos con datos de carácter personal, que las mesas queden limpias de documentación en ausencias prolongadas del puesto de trabajo y a la finalización de la jornada laboral, etc.).

Por tanto, en esta actividad se trata sólo de verificar que se cumple el deber de custodiar convenientemente la documentación en proceso de revisión o trámite por parte de los usuarios.

1.3. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

1.3.1. Funciones y obligaciones de los usuarios (artículo 89 del RDLOPD):

Conforme a las fases que propongo, estas funciones y obligaciones se establecen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en exigir que los usuarios cumplen con dichas funciones y obligaciones y en verificar dicho cumplimiento.

1.3.2. Registro de incidencias (artículo 90 del RDLOPD):

Se trata, sin más, de exigir que los usuarios utilicen el procedimiento de notificación, gestión y respuesta ante incidencias implantado en la actividad anterior de esta fase y verificar su correcto uso, tanto por parte de quienes comunican las incidencias, como por parte de las personas responsables de su resolución.

1.3.3. Control de acceso (artículo 91 del RDLOPD):

En el anterior post se habló del procedimiento a implantar para autorizar, modificar o revocar los permisos asignados a los usuarios para el acceso a los recursos, y en esta actividad se trata de implantar las medidas correspondientes para garantizar que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

Esto implicará tanto establecer los permisos correspondientes en los sistemas de información automatizados (aplicaciones y funcionalidades de las mismas, unidades de red, carpetas compartidas, periféricos, etc.), en base a perfiles y/o códigos de usuario, como el poner a disposición de los usuarios autorizados los mecanismos de acceso a dispositivos de almacenamiento de la documentación, etc.

1.3.4. Gestión de soportes y documentos (artículo 92 del RDLOPD):

Se trata de verificar y/o proceder a establecer los mecanismos pertinentes, que deberán estar convenientemente recogidos en el Documento de Seguridad (Fase 2), para que los soportes y documentos permitan identificar el tipo de información que contienen (etiquetado de soportes y carpetas, etc.).

Los soportes y documentos deberán ser considerados como recursos protegidos y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeta su gestión al procedimiento establecido al efecto e implantado en la actividad anterior de esta fase (fundamentalmente y en lo que respecta a soportes y documentos que contengan datos de ficheros de nivel básico, la correspondiente autorización para su salida fuera de los locales bajo el control del responsable del fichero o tratamiento, siempre y cuando dicha salida no se encuentre debidamente autorizada en el Documento de Seguridad).

Asimismo, en esta actividad se deberá dotar a los usuarios de los dispositivos pertinentes (para el transporte, destructoras de documentos y de soportes magnéticos, etc.) y verificar que se cumple la normativa establecida en el Documento de Seguridad respecto a las medidas a adoptar en el caso de traslado o desecho.

2. NIVEL MEDIO (ver artículo 81 del RDLOPD, apartado 2, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

2.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

2.1.1. Identificación y autenticación (artículo 98 del RDLOPD):

Se trata de establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Típicamente el límite de intentos reiterados de acceso a los sistemas se suele establecer en tres intentos, tras los cuales se procede al bloqueo de la cuenta de usuario y se precisa de la intervención de un Administrador del Sistema autorizado para su desbloqueo.

El bloqueo de una cuenta de usuario deberá recogerse como una incidencia más, a través del procedimiento establecido para ello. Aspecto que también habrá que seguir en esta actividad.

2.1.2. Control de acceso físico (artículo 99 del RDLOPD):

Mi propuesta es que el control del acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información forme parte integrante del procedimiento de control de acceso a recursos implantado en la fase anterior y, por tanto, también le es de aplicación lo indicado para dicho control de acceso en este post, es decir, se trata de que sólo los usuarios autorizados dispongan de los mecanismos de acceso a dichas ubicaciones.

2.1.3. Registro de incidencias (artículo 100 del RDLOPD):

En la actividad anterior se habrán implantado tanto el procedimiento correspondiente a la notificación, gestión y respuesta ante incidencias, como el correspondiente registro de incidencias. Pues bien, en el caso de verse involucrados en una incidencia datos de carácter personal a partir de nivel medio y ser necesario realizar procesos de recuperación de datos, dicho procedimiento considerará el incluir en el registro de incidencias la información pertinente sobre dichos procesos de recuperación y la previa autorización a su ejecución por parte de la persona designada en el Documento de Seguridad.

Por tanto, en esta actividad sólo habrá que seguir que se cumplan ambos aspectos en caso de ser necesario ejecutar procesos de recuperación de datos.

2.2. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

2.2.1. Responsable de Seguridad (artículos 95 y 109 del RDLOPD):

Se trata de designar a una persona de la propia organización como aquella a la que el responsable del fichero asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

En pymes y micropymes bastará con la designación de una única persona encargada de coordinar y controlar las medidas definidas para la totalidad de los ficheros o tratamientos existentes.

Esta designación debe ser formal, yo recomiendo la utilización de un formulario de designación e incluir éste en el Documento de Seguridad.

Aunque esta medida sólo es obligatoria si se dispone de ficheros a partir del nivel de seguridad medio, yo suelo recomendar que esta designación se lleve a cabo siempres, es decir, aunque sólo se disponga de ficheros de nivel básico, pues en mi opinión es la única forma de realizar un efectivo control, seguimiento y mejora continua de las medidas implantadas, y de que la responsabilidad en esta materia no se diluya en la organización por la falta de una persona responsable de este tema.

2.2.2. Auditoría (artículos 96 y 110 del RDLOPD):

A partir del nivel medio se deberán lleva a cabo auditorías, al menos cada 2 años, para verificar la adecuación de las medidas de seguridad a lo dispuesto sobre ellas en el RDLOPD.

Mis recomendaciones sobre estas auditorías son las siguientes:

• Realizarlas incluso si se dispone únicamente de datos de nivel básico, aunque no exista obligación.

• Si se dispone de ficheros de nivel medio y/o alto, incluir en el ámbito de la auditoría, además de dichos ficheros (sobre los que es obligatorio realizarla), los ficheros de nivel básico.

• Ampliar el alcance de esta auditoría para incorporar también las verificaciones pertinentes sobre otras disposiciones legales y reglamentarias (deber de informar, solicitud del consentimiento de los interesados, etc.).

• Realización con personal interno en el caso de disponerse sólo de ficheros o tratamientos de nivel básico y con personal externo en el caso de verse involucrados ficheros o tratamiento de nivel medio y/o alto.

2.2.3. Gestión de soportes y documentos (artículos 97 del RDLOPD):

En la actividad anterior se habrá implantado el procedimiento correspondiente a la gestión de soportes y documentos, y que, en el caso de datos de carácter personal a partir de nivel medio, considerará el mantener actualizado el registro que reglamentariamente se exige en el caso de entradas y salidas de soportes y documentos.

Por tanto, el registro de Entrada/Salida de soportes y documentos también se habrá implantado en la fase anterior, siendo objeto de esta actividad exigir y verificar una utilización correcta tanto de dicho procedimiento, como del mencionado registro de Entrada/Salida.

3. NIVEL ALTO (ver artículo 81 del RDLOPD, apartado 3 y siguientes, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

3.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

3.1.1. Gestión de soportes y documentos (artículo 101 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de: distribución de soportes y dispositivos portátiles que se utilicen fuera de las instalaciones del responsable del fichero, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.1.2. Copias de respaldo y recuperación (artículo 102 del RDLOPD):

Se trata de proceder a conservar una copia de respaldo y de los procedimientos de recuperación de los mismos en una ubicación diferente de la que se encuentran los equipos informáticos que los tratan o, en el caso de que no sea posible guardar una copia de los ficheros en un lugar distinto y no sujeto a los mismos riesgos, adoptar medidas complementarias para paliar el riesgo, tales como: ubicar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc.

3.1.3. Registro de accesos (artículo 103 del RDLOPD):

Se trata de implantar los mecanismos que permitan el registro de accesos exigido por el RDLOP y que el responsable de seguridad revise, al menos una vez al mes, la información de control registrada y elabore un informe de las revisiones realizadas y los problemas detectados.

Los mecanismos a implantar para cumplir con esta obligación, en mi opinión la exigencia más difícil de cumplir adecuadamente de toda la normativa, pueden ser múltiples y muy diversos (por software en las propias aplicaciones, utilizando herramientas de los gestores de bases de datos, etc.).

Los responsables de ficheros que sean personas físicas y siempre que únicamente y exclusivamente esa persona física acceda y trate los datos personales están exentos de cumplir esta medida. De esta forma, por ejemplo, los autónomos que sólo accedan y traten ellos los datos no estarían obligados a cumplirla.

3.1.4. Telecomunicaciones (artículo 104 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

3.2.1. Almacenamiento de la información (artículo 111 del RDLOPD):

En esta actividad habrá que asegurarse de que todas las áreas en las que se encuentren los dispositivos de almacenamiento de los documentos (armarios, archivadores, etc.) que contengan datos de carácter personal disponen de puertas de acceso dotadas de sistemas de apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a las puertas de acceso que no dispongan de ellos.

En el caso de que, debido a las características de los locales, no fuera posible cumplir con lo anterior, deberán estudiarse e implantar medidas alternativas que, debidamente motivadas, deberán figurar en el Documento de Seguridad.

Además, yo creo que es importante y, por tanto también sería objeto de esta actividad, verificar que se satisfagan los siguientes requisitos:

• Estas ubicaciones o áreas permanezcan cerradas cuando no se precise el acceso a la documentación.

• Estas áreas deberán ser consideradas como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso, tanto al procedimiento de control de acceso a recursos del que se habló en el post anterior, como a lo indicado sobre este mismo asunto en este post.

• En el caso de que, por cualquier motivo esporádico, exista la necesidad de acceso a estas áreas por personal externo, su permanencia temporal en estas ubicaciones deberá estar supervisada en todo momento por personal interno autorizado.

3.2.2. Copia o reproducción (artículo 112 del RDLOPD):

Se trata de verificar que la generación de copias o la reproducción de los documentos únicamente sea realizada bajo el control del personal autorizado en el Documento de Seguridad y de que se proceda a la destrucción de las copias o reproducciones desechadas conforme a la normativa también establecida en el Documento de Seguridad.

3.2.3. Acceso a la documentación (artículo 113 del RDLOPD):

Esta documentación deberá ser considerada como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso al procedimiento de control de acceso a recursos del que se habló en el post anterior.

En el caso de documentos que puedan ser utilizados por múltiples usuarios se deberán establecer los mecanismos que permitan identificar los accesos realizados. En mi opinión, la forma más fácil de cumplir este requisito es la de establecer plantillas básicas en soporte papel para recoger la información sobre los accesos e incorporarlas al inicio de las carpetas, archivadores etc. que contengan los documentos a los que se va a acceder, aunque caben también otras soluciones.

Por tanto, en esta actividad se trata de ir verificando que se van cumpliendo los requisitos aplicables y detallados en el Documento de Seguridad.

3.2.4. Traslado de documentación (artículo 114 del RDLOPD):

Se trata de verificar que, en el caso de que se proceda al traslado físico de la documentación, se adopten las medidas recogidas en el Documento de Seguridad con objeto de impedir el acceso, manipulación de la información objeto de traslado o pérdida de la misma.

Medidas típicas en este sentido son: realizar dichos traslados en sobres o contenedores debidamente cerrados, sellados o precintados, identificar cada uno de ellos con el número de sobre o contenedor con respecto al total de sobres o contenedores que van a ser objeto de traslado, etc. y, en mi opinión, otra medida adicional que considero importantes es su almacenamiento en un dispositivo o área segura hasta el momento en el que se inicie el traslado y/o después de la recepción y hasta su entrega al destinatario.

Por supuesto, cualquier incidencia que se detecte en el traslado físico de la documentación estará sujeta al procedimiento de notificación, gestión y respuesta ante incidencias establecido en el Documento de seguridad e implantado en la actividad anterior de esta misma fase.



Con este post finalizo esta serie, cuyo único objetivo ha sido, tanto contribuir a divulgar de una forma comprensible la normativa vigente en materia de protección de datos, como aportar mi granito de arena para facilitar la adecuación de pymes y micropymes a dicha normativa, dándome por satisfecho si esto ha servido a alguna de ellas para abordar dicha adecuación o aclarar dudas al respecto.

Por lo dicho, debe quedar claro que esta modesta guía no ha pretendido tratar de una forma exhaustiva las exigencias de la normativa, sino aportar mi visión sobre los aspectos más básicos de la misma, e incluso que hay otros aspectos que no he tratado en estos posts (grupos de empresas, transferencias internacionales de datos, etc.) y que, en función de la actividad de la pyme o picropyme concreta, podría ser necesario abordar. Es más, en base a la problemática que se plantee en cada caso, creo que podría ser muy aconsejable contar con asesoramiento externo especializado a la hora de abordar un proyecto de adecuación a la LOPD.

Para finalizar, indicar determinados links con información que considero puede ser muy interesante a la hora de acometer un proyecto de adecuación a la LOPD:

- Agencia Española de Protección de Datos (https://www.agpd.es/):

• “Guía de Seguridad de Datos 2010”. NUEVO!

• Guía Modelo de “Documento de Seguridad”. NUEVO!

• “Guía del Responsable de Ficheros”.

• “Guía. La protección de datos en las relaciones laborales - 2009”.

• “Guía de videovigilancia - 2009”.

Todas las guías se pueden descarga de:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

- Instituto Nacional de Tecnologías de la Comunicación (http://www.inteco.es/):

• “Guía para empresas: cómo adaptarse a la normativa sobre protección de datos” (http://www.inteco.es/Seguridad/Observatorio/manuales_es//GuiaManual_LOPD_pymes).

domingo, 17 de octubre de 2010

Cumplimiento LOPD (II)

Un indicador sobre el cumplimiento de la normativa vigente en materia de protección de datos que me parece interesante es el siguiente:

FICHA TÉCNICA:

Definición: Porcentaje de sanciones/infracciones sobre el total de procedimientos de sanción/infracción resueltos por la AEPD.

Periodicidad: Anual.

Fuente: Memoria anual de la AEPD.

Subcategorías: General, Titularidad privada, Titularidad pública.

EVOLUCIÓN DEL INDICADOR:

Período analizado: Años 2006 a 2009.

ILOPD001-SIN-GE:

Subcategoría: General.
Considerando la totalidad de los procedimientos de sanción e infracción resueltos por la AEPD, en el año 2009 se puede observar un incremento del porcentaje de procedimientos que finalizan con una resolución sancionadora o declaración de infracción (hasta alcanzar el 86,72%) respecto a los dos años inmediatamente anteriores (83,78% en 2008 y 84,09% en 2007).
ILOPD001-SIN-PR:

Subcategoría: Titularidad privada.
Considerando únicamente los procedimientos de sanción a responsables de ficheros de titularidad privada resueltos por la AEPD, en el año 2009 se puede observar también un incremento del porcentaje de procedimientos que finalizan con una resolución sancionadora (hasta alcanzar el 87,59%) respecto a los dos años inmediatamente anteriores (84,92% en 2008 y 85,71% en 2007).
ILOPD001-SIN-PU:

Subcategoría: Titularidad pública.
Considerando únicamente los procedimientos de infracción a responsables de ficheros de titularidad pública resueltos por la AEPD, en el año 2009 se puede observar también un incremento del porcentaje de procedimientos que finalizan con una declaración de infracción (hasta alcanzar el 79,78%) respecto a los dos años inmediatamente anteriores (74,68% en 2008 y 74,24% en 2007).

En 2009 este porcentaje de declaraciones de infracción es menor (un 7,81% menos) que el porcentaje de resoluciones sancionadoras en el caso de ficheros de titularidad privada, pero presenta un mayor crecimiento respecto al año anterior (un 5,09% más) que en el caso de las citadas resoluciones sancionadoras (un 2,67% más).

jueves, 14 de octubre de 2010

Cumplimiento LOPD (I)

Decía en un post anterior que una de las grandes preguntas que me hago de forma recurrente sobre la protección de datos de carácter personal es: ¿cuál el nivel de cumplimiento real de la normativa por parte de los responsables de los ficheros (tanto de ficheros de titularidad privada como pública)?.
Pues bien, con éste inicio una serie de posts para, en la medida de mis posibilidades (conocimiento e información de la que dispongo) y siendo consciente de la dificultad que ello conlleva, proponer una serie de indicadores que permitan, sin mayor pretensión, arrojar un poco de luz sobre el grado actual de cumplimiento de la normativa vigente en materia de protección de datos de carácter personal por parte de las organizaciones.

Previamente y en este primer post me gustaría compartir cierta información que sobre este asunto he encontrados en la página web de INTECO (Instituto Nacional de Tecnologías de la Comunicación - http://www.inteco.es/), y que dicho sea de paso creo que está haciendo una labor excelente, y no sólo en lo que se refiere a la protección de datos.

Me refiero a los indicadores del Observatorio de la Seguridad de la Información (http://www.inteco.es/indicators/Seguridad/Observatorio/Indicadores/), donde se puede encontrar información referida, entre otros muchos, a indicadores de “Protección de datos”, actualmente sólo disponibles para las categorías de “Empresas” y de “Administraciones” (para la categoría “Hogares y ciudadanos”, aunque está previsto, de momento no hay disponible ningún indicador referido a este tema).

Dicho esto, en posteriores posts incluiré la información y mis comentarios sobre los indicadores de INTECO que me parecen más relevantes y la de otros que yo considero interesantes.

domingo, 10 de octubre de 2010

La AEPD supera los 2.000.000 de ficheros inscritos

El pasado mes de septiembre, la AEPD publicó en su página web una noticia con el título: “La Agencia Española de Protección de Datos supera los dos millones de bases de datos inscritas por empresas y organismos públicos” (Ver noticia completa en: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/septiembre/100907_NP_2_MILLONES.pdf).

Una noticia que aparentemente puede ser positiva, ya que de ella puede deducirse a primera vista un mayor grado de cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, pero que yo creo que está más ligada al autobombo que a otra cosa.

En primer lugar y aunque no tiene nada que ver con lo anterior, la verdad es que me sorprendió el término “Bases de datos” empleado en el titular de la noticia, en lugar de “Ficheros”, que creo que es el término correcto y el que se emplea en parte del resto de la noticia. El término “Bases de datos” puede inducir a error, al poder entenderse que se refiere a ficheros automatizados y, por tanto, que sólo es necesario notificar para su inscripción este tipo de ficheros.

En segundo lugar, creo que las autoridades de control utilizan muy a menudo este dato, sin mayor análisis del mismo, ligándolo a un mayor cumplimiento de la normativa, yo diría incluso que como principal indicador para demostrar un cumplimiento creciente de la misma, otorgándole una importancia que, a mi juicio, no merece.

No digo que no sea un dato importante a considerar (aunque no en sí mismo), pero yo creo que este tipo de noticias y su aparición estelar en las memorias de las autoridades de control están más ligadas a la autocomplacencia de dichas autoridades que a su importancia de cara a obtener conclusiones válidas respecto al cumplimiento de la LOPD.

Ejemplo de algunas afirmaciones que se recogen en la noticia mencionada y que me hacen llegar a la conclusión anterior son las siguientes:

- “La notificación de bases de datos [y dale con lo de bases de datos] ante la AEPD es una de las principales obligaciones que prevé la LOPD tanto para entidades públicas como privadas”.

No se falta a la verdad cuando se dice que es una de las principales obligaciones, pero, en mi opinión, se debería decir en su lugar que es una obligación básica e inexcusable, ya que sino puede darse la falsa impresión de que con la notificación de los ficheros las empresas y organismos públicos cumplen o están muy cerca de cumplir la normativa, lo que todos sabemos que no es verdad ni de lejos.

- “Las comunidades de propietarios son el sector con el mayor número de notificaciones, acumulando la cifra de 241.000 ficheros,…”. ¿Qué tienen que ver los ficheros de la comunidades de propietarios con los de las empresas y organismos públicos?. En el titular de la noticia sólo se hace referencia a empresas y organismos públicos, pero después aparecen las comunidades de propietarios como el sector con mayor número de notificaciones realizadas. Pero aún así, ¿Cuántas comunidades de propietarios hay en España?. Supongo que muchas más de 241.000, que es el número total de ficheros inscritos por este sector, pero es que, a nada que cada una de ellas notifique dos ficheros, el número de comunidades de propietarios que han cumplido con esta obligación podría ser ridículo respecto al total de las existentes.

- “Más de 729.000 entidades han inscrito sus bases de datos [y dale con lo de bases de datos] en el RGPD, una de las principales obligaciones legales que prevé la LOPD [y dale, ¿con esto ya casi se cumple?]”. Pues no sé, pero a mí me parecen muy pocos responsables de ficheros, sobre todo si se incluyen las comunidades de propietarios, pero es que también me parecerían muy pocos responsables de ficheros si se excluyen éstas (¿Cuantas grandes empresas, pymes y micropymes, ayuntamientos, sociedades públicas, diputaciones, gobiernos, juzgados, centros educativos, colegios profesionales, asociaciones, y un largo etcétera, hay en España?.

Nótese, además, que la media de ficheros inscritos por entidad sería de 2,75 ficheros. Intuitivamente me parecen pocos, lo que podría llegar a plantear otras cuestiones, tales como: ¿Declaran las entidades todos los ficheros que deben?, ¿Cuál es la calidad de la información sobre los ficheros inscritos en el RGPD?, etc.

No sé a vosotros, pero a mí estos datos me dan la impresión de que todavía estamos en un nivel de cumplimiento de la LOPD muy bajo, debido a que de ellos deduzco que todavía muy pocas entidades cumplen con algo tan básico como la notificación de ficheros. Todo ello agravado porque, como ya he mencionado, la notificación de ficheros no implica cumplir con la LOPD (seguro que muchas entidades que lo han hecho no cumplen después con el resto de la normativa o sólo cumplen con otros aspectos formales), pero lo que a mí me parece más claro es que quién no notifica los ficheros difícilmente cumplirá con el resto de la normativa.


Por tanto, en mi opinión y como resumen de la noticia comentada, lo dicho: autobombo y autocomplacencia de la AEPD, pero nada que ver con el grado de cumplimiento de la normativa.

martes, 5 de octubre de 2010

Frases célebres sobre informática (III)

Sigo recopilando frases célebres sobre la informática o relacionadas con ella que me han gustado. Ahí va una tercera entrega:

- “Los ordenadores se hacen cada vez más inteligentes. Los científicos dicen que pronto ellos serán capaces de hablarnos (y con ‘ellos’ me refiero a los ordenadores, dudo mucho de que los científicos sean capaces de hablarnos)” - Dave Barry.

- “Depurar es al menos dos veces más duro que escribir el código por primera vez. Por tanto, si tu escribes el código de la forma más inteligente posible no serás, por definición, lo suficientemente inteligente para depurarlo” - Brian Kernighan.

- “Hay únicamente dos problemas realmente duros en informática: el primero es la invalidación de cachés, y el segundo darles nombres apropiados a las cosas” - Phil Karlton.

- “El esfuerzo de utilizar las máquina para emular el pensamiento humano siempre me ha parecido bastante estúpido. Preferiría usarlas para emular algo mejor”. - Edsger Dijkstra.

- “La generación de números aleatorios es demasiado importante como para ser dejada al azar” - Robert R. Covey.

- “Una documentación voluminosa es parte del problema, no de la solución”. - Tom DeMarco.

- “Hay una cosa peor que un programa que no funciona como debe: un programa que funciona como no debe” - Bob Archer.

- “Cuídate de los programadores que llevan destornillador” - Leonard Brandwein.

- “Cometer fallos es humano. Y echarle las culpas a un ordenador, aún más”. - Robert Orben.

- “La inteligencia artificial nunca podrá competir con la estupidez natural” - Anónimo.

- “No hay parche que corrija la estupidez” - Kevin Mitnick.

martes, 21 de septiembre de 2010

La normativa interna de uso de recursos informáticos y de comunicaciones (I)

Noticias como ésta: http://www.iustel.com/v2/diario_del_derecho/noticia.asp?ref_iustel=1042217, nos dan una idea de lo importante que para una organización es establecer una normativa interna sobre el uso de los recursos informáticos y de comunicaciones, e implantar las medidas de índole técnico necesarias para velar por su cumplimiento por parte de los usuarios.

Estas situaciones son mucho más frecuentes de lo que podría parecer. Otro ejemplo de una situación muy similar fue la sanción de 150.000 Euros impuesta a un centro médico de Bilbao por dejar disponibles en la red 11.300 historias clínicas, algunas de ellas (un porcentaje bastante significativo) correspondientes a interrupciones de embarazo. En este caso, como en el anterior, los datos también quedaron a disposición del público a través de la utilización del programa eMule.

Estos dos casos tienen una especial relevancia desde el punto de vista de la protección de datos de carácter personal porque se divulgan datos muy sensibles (hay otros casos muy similares), pero se pueden citar otros muchos, que tienen que ver de forma directa con la protección de datos de carácter personal, y también otros en los que se deja a disposición de cualquier persona otro tipo de información confidencial de las empresas.

Todos estaremos de acuerdo en que la información constituye un activo estratégico de las organizaciones, ya que de ella depende en gran medida la propia continuidad del negocio, pero es que, además, la divulgación de información confidencial puede acarrear muy diversas consecuencias, algunas de ellas traducibles directamente a pérdidas económicas, y otras, aunque difícilmente cuantificables en este sentido, también con un indudable impacto económico (tales como: pérdida de ventajas competitivas – filtración de clientes, características de productos/servicios, ofertas,… – , pérdida de credibilidad o confianza, etc.), además de las posibles sanciones en el caso de que se vean involucrados datos de carácter personal (como en el citado caso del centro médico de Bilbao).

Por otra parte, la utilización inadecuada de los recursos informáticos y de comunicaciones por las personas que integran una organización puede, además, tener otros efectos igualmente dañinos con respecto a las otras dos vertientes que se consideran tradicionalmente en los proyectos de seguridad, es decir, tanto sobre la integridad de los datos como sobre la disponibilidad de la información.

Por ejemplo y referido a la integridad de los datos, todos sabemos que una utilización inapropiada del correo electrónico o la descarga de archivos desde sitios web no confiables son una de las vías más frecuentes de infección por virus y por otro tipo de software malicioso.
Mientras que en lo que se refiere a la disponibilidad de la información, prácticas como la descarga de archivos muy voluminosos (películas, etc.) o el envío masivo de correos electrónicos pueden comprometer el rendimiento de los sistemas e, incluso, llegar a su indisponibilidad por sobrecarga de los mismos.

Por todo ello, desde mi punto de vista, se hacen imprescindibles, tanto la sensibilización y formación a los usuarios sobre los riesgos que conlleva una utilización inadecuada de los recursos informáticos y de comunicaciones que la organización pone a su disposición, como el establecer una normativa clara sobre el uso de dichos recursos e implantar las medidas técnicas pertinentes para velar por su cumplimiento (monitorización de los sistemas, filtrado de páginas web accesibles y de los tipos de archivo que se reciben como anexos a los correos electrónicos, imposibilitar la modificación de la configuración de los sistemas y la introducción de elementos extraños, tanto hardware como software, etc.).

Esta normativa, además de considerar otra serie de aspectos (uso de los medios para fines no profesionales, etc.), deberá advertir también de las consecuencias que para el trabajador podría suponer su incumplimiento.

Dicho todo lo anterior y ya que este post lo he iniciado haciendo referencia a casos concretos relacionados con la protección de datos de carácter personal, me gustaría terminar con una breve reflexión sobre el valor añadido que puede aportar a las organizaciones el acometer un proyecto de adecuación a la LOPD (“preguntas del millón” que nos hacen los clientes. Pero, ¿esto para que sirve?. Lo tengo que hacer porque lo dice la Ley, ¿No?, ¿Vale con que parezca honrado o, además, debe serlo?).

Pues bien, en mi opinión, a parte de otros aspectos (implantar y sistematizar determinados procesos - identificación y autenticación, control de accesos, gestión de incidencias, inventariado de recursos, etc. - para la mejora en la gestión de los sistemas e infraestructuras), un proyecto de LOPD debería servir como base de un proyecto de seguridad de la información en sentido más amplio, es decir, tanto para la sensibilización y obtención del compromiso de los usuarios sobre la seguridad de TODA la información manejada por la organización, como para establecer "las reglas de juego" respecto a la utilización de los recursos y la implantación de las medidas tendentes a preservar dicha seguridad o, al menos, a mitigar los riesgos a los que la información se encuentra expuesta.

domingo, 12 de septiembre de 2010

Percepción social sobre protección de datos en la CAPV

Dos de las grandes peguntas que me hago de forma recurrente sobre la protección de datos de carácter personal son, respectivamente, cuál es la percepción de este tema por parte de la ciudadanía y cuál es el cumplimiento real de la normativa por parte de los responsables de los ficheros (tanto de ficheros de titularidad privada como pública).

Hay diversos estudios sobre ambas cuestiones, algunos de ellos muy interesantes, que vienen, en mi opinión, a demostrar la escasa o nula importancia que le damos los ciudadanos a este tema y el bajo grado de cumplimiento de la normativa vigente, tanto por parte de las empresas como por partes de las administraciones públicas, y, además, una evolución de ambos aspectos insuficiente o, al menos, muy lenta.

Uno de los estudios sobre la percepción social que me ha parecido muy interesante es el elaborado por el Gobierno Vasco y publicado en la página web de la Agencia Vasca de Protección de Datos (http://www.avpd.euskadi.net/s04-5249/es/contenidos/informacion/estudio/es_cuali/adjuntos/09tef2_avpd.pdf).

Se trata de un Estudio cuantitativo de la percepción social de la Ciudadanía de la Comunidad Autónoma del País Vasco (CAPV) de 2009 sobre el que me gustaría compartir y comentar aquellos datos que me han parecido más relevantes sobre la primera cuestión que planteaba.

Todos lo datos que se indican a continuación se han obtenido del citado informe y cuando se indican expresamente otras fuentes son las que en él figuran para determinados datos.

1º) Nivel de preocupación por la protección de datos personales:

Fuente: Flash Eurobarometer nº 225 (2008) "Data Protection". Datos de mayores de 15 años.

Tal y como se puede observar, aproximadamente el 40% de los ciudadanos vascos afirman estar muy o bastante preocupados por si sus datos personales están siendo adecuadamente protegidos por las instituciones públicas y las empresas privadas que disponen de ellos, mientras que casi el 60% afirman estar poco o nada preocupados.

Este nivel de preocupación en la CAPV es bastante inferior al de España y al de la media de la Unión Europea, en donde dicho nivel es muy similar: aproximadamente el 65% de los ciudadanos expresan estar muy o bastante preocupados y sólo un 35% afirman estar poco o nada preocupados.

Debo reconocer que me han sorprendido estos datos, no sólo ya por la acusada diferencia respecto a España y la media de la UE del porcentaje de personas que afirman estar muy o bastante preocupadas (en torno al 25% menos en la CAPV), sino por el elevado porcentaje de las personas que en la CAPV afirman no sentir ninguna preocupación (29%), frente al 12-15% que se así se manifiestan en España y en la Unión Europea.

Además, señalar que:

1º) El país en el que mayor porcentaje de ciudadanos afirman estar muy o bastante preocupados con este tema es Malta, con un 90%, seguido de Austria y Alemania (empatados con un 86%), mientras que el menor porcentaje se da en los Países Bajos (32%).

2º) Con respecto a ese mismo porcentaje, España ocupa el puesto número 16 (empatada con Hungría) de la lista de un total de 29 países analizados (en ella se incluyen a la Unión Europea y a la CAPV), mientras que la CAPV ocuparía la posición número 25.

3º) El país en el que mayor porcentaje de ciudadanos afirman no estar nada preocupados con este tema es Bulgaria, con un 32%, seguido por: Países Bajos (31%), República Checa (30%) y la CAPV (29%).

Mi conclusión en este sentido, que creo obvia y, por tanto, en la que todos coincidiremos, es que queda todavía una importantísima labor que hacer en lo que se refiere a la sensibilización y concienciación de los ciudadanos de la CAPV sobre la importancia de la protección de datos de carácter personal, al menos, para intentar acercar los valores de percepción ciudadana sobre este tema a los de la media de la Unión Europea.

2º) Evolución del nivel de preocupación por la protección de datos personales:
El nivel de preocupación por este tema en 2009 es muy similar al registrado en 2008, por lo que a corto plazo no parece haber una evolución significativa de dicho nivel.

El estudio también refleja los resultados obtenidos a la siguiente pregunta: ¿Y está usted más preocupado/a que hace 5 ó 6 años, igualmente preocupado/a (o despreocupado/a) o menos preocupado/a?, comparándose, además, los resultados obtenidos en 2009 con los que se obtuvieron para la misma pregunta en 2008:
Comparando los resultados obtenidos en 2009 con respecto a los de 2008, tampoco parece haber diferencias significativas en las respuestas dadas a esta pregunta, aunque hay un 5% más de ciudadanos que afirman que se sienten algo más preocupados por este tema que hace 5 o 6 años.
 
Sin embargo, para mí, el dato más reseñable es que, en ambos años, más de la mitad de la ciudadanía afirma sentirse igualmente preocupado/a (o despreocupado/a) que hace 5 o 6 años, cuando la evolución de la tecnología y de los usos que hacemos de la misma en esos 5 o 6 años pueden suponer una clara amenaza a nuestra privacidad.

Es decir, la evolución de la preocupación con respecto a los 5 o 6 años anteriores no parece, ni mucho menos, ir en paralelo a la evolución de las amenazas. No parecemos ser conscientes de los riesgos que para nuestra privacidad entrañan las nuevas tecnologías que están apareciendo, pero sobre todo no parece que nos demos cuenta de los riesgos inherentes tanto a un uso cada vez más masivo de la tecnología, como a los tipos de uso que hacemos de la misma.

Así, fenómenos que en esos 5 o 6 años han experimentado una evolución cuantitativamente exponencial y que pueden suponer una amenaza clara a nuestra privacidad – tales como: la proliferación de los sistemas de videovigilancia, los avances y uso cada vez más frecuente de los sistemas biométricos de reconocimiento, la utilización de las redes sociales (en las que, además, los menores de edad se han incorporado masivamente), la realización de compras por internet, y un largo etcétera – no parecen tener ningún impacto, o éste es muy pequeño, en la evolución de la preocupación que expresa la ciudadanía.


Como ya he dicho, el informe que se cita en este post me ha parecido muy interesante, profundiza mucho más en las variables mencionadas y analiza otras muchas, por lo que recomiendo una lectura detenida del mismo.

jueves, 2 de septiembre de 2010

LOPD a coste 0 (I)

Soy plenamente consciente de que se trata de un asunto “espinoso” y que, como tal, suele provocar una fuerte controversia, además de se un tema bastante antiguo. Sin embargo, no por ello creo que no haya que darle la importancia que merece o que carezca de interés.

En primer lugar y para quienes no estén familiarizados con ello, explicar brevemente que las empresas que ofertan la adecuación a la LOPD a coste 0 lo que proponen es la utilización de los créditos de formación continua gestionados por la Fundación Tripartita (el antiguo FORCEM) para adecuar las empresas a la LOPD, es decir, se utilizan fondos destinados a la formación de los trabajadores para la realización de trabajos de consultoría.

Las empresas que llevan a cabo esta práctica facturan al cliente en función del crédito de formación disponible y este último se lo deduce como formación bonificada en las cuotas a las Seguridad Social.

De esta manera, se pueden llega a producir distintos fraudes, entre los que cabe destacar los siguientes: el fraude ya apuntado a la formación subvencionada y, en consecuencia, a la Seguridad Social, y fraude fiscal, al prestarse servicios plenamente sujetos a IVA facturándolos como servicios exentos, es decir, al producirse una exención indebida del IVA.

Así y sobre el primero de los citados fraudes, hace poco tiempo, la Fundación Tripartita emitió un comunicado en el que se indicaba, entre otras cosas, que esta práctica puede llegar a ser constitutiva de fraude y que "Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social".

Mientras que, sobre ambos tipos de fraude, se hace eco una noticia que se ha publicado hoy (http://www.publico.es/dinero/334631/inem/detecta/fraude/fondos/formacion), en la que, bajo el titular “El INEM detecta fraude en los fondos de formación”, se afirma que “La investigación se centra sobre todo en las empresas que contrataron los servicios, ya que son las que se beneficiaron de créditos en las cuotas de formación profesional y por tanto habrían defraudado los fondos de formación. Además de las sanciones que puedan aflorar de la investigación de Empleo, la Fundación Tripartita ha puesto el caso en manos de la Agencia Tributaria, ya que las empresas podrían haber incurrido también en fraude fiscal. Según explicaron fuentes conocedoras de la investigación, las empresas estarían exentas de pagar el IVA por los cursos de formación, que no están gravados, pero no de los servicios de consultoría para la implementación de datos, a los que se debe aplicar el impuesto”.

De esta forma, entiendo que los posibles fraudes afectan tanto a las empresas que realizan los trabajos de adecuación a coste 0 como a sus clientes, caso del fraude fiscal, pero es más grave aún la posición en la que quedan los clientes, ya que como se indica en la noticia anterior, además, serían los que habrían defraudado directamente los fondos de formación.

Empezaba este post diciendo que soy consciente de que es un tema que genera controversia, ya que hay otros asuntos que entiendo que se relacionan con éste, a mi juicio indebidamente, tales cómo: si el cumplimiento de la Ley debe ser o no gratuito, etc., pero, al menos para mi, no cabe duda de que, además de los posibles fraudes mencionados, razón más que suficiente para erradicar esta mala práctica, se produce además una absoluta competencia desleal hacia las empresas que realizan la adecuación a la LOPD como lo que fundamentalmente son, es decir, proyectos de asesoría y consultoría, en los que la formación a los trabajadores forma parte integrante pero no constituye una parte cuantitativamente importante de los mismos (para la formación realmente impartida sí se pueden utilizar estos fondos), además de que yo personalmente dudo de la calidad del trabajo realizado por las empresas de LOPD a coste 0.

Para finalizar, decir que creo que es importante divulgar las consecuencias que se pueden derivar de esta mala práctica que realizan determinadas empresas, algunas de ellas con un marketing confuso y muy agresivo, con objeto de erradicarla y de ahí la publicación de este post.