martes, 27 de julio de 2010

Gobernanza vs. Gobierno de TI

Para comenzar una serie de post sobre Gobierno de TI, en los que además tendrán cabida las buenas prácticas, metodologías y herramientas (ITIL, COBIT, CMM, Business Inteligence) que le dan soporte, he elegido un tema que creo que tiene que ver con el Gobierno de TI, la Gobernanza de TI, o, al menos, es lo que yo pensaba, pero que según lo que entiendo, en base a la opinión de los expertos, incorpora una perspectiva "nueva" a la visión que sobre las TI se tiene en las organizaciones en lo que respecta a la toma de decisiones, estrategia, directrices, supervisión, y su seguimiento y control, es decir, una visión desde el negocio (Gobernanza) frente a la visión desde la tecnología (Gobierno).

Confieso que la primera vez que oí eso de la Gobernanza de TI, recientemente en un grupo de Linkedin, pensé “menuda palabreja” e, incluso, que se trataba de un barbarismo más a los que tan acostumbrados estamos en nuestra profesión, y, además, que hacía referencia al Gobierno de TI.

Para resolver la primera cuestión acudí al Diccionario de la lengua española de la Real Academia (eso sí, por internet, ya que no tenía ninguna edición impresa a mano), y me encontré con que sí existe la palabra “Gobernanza”. En concreto, con las siguientes acepciones:

1. f. Arte o manera de gobernar que se propone como objetivo el logro de un desarrollo económico, social e institucional duradero, promoviendo un sano equilibrio entre el Estado, la sociedad civil y el mercado de la economía.

2. f. ant. Acción y efecto de gobernar o gobernarse

Mi conclusión fue: “Bueno, existe, pero no me convence ninguna de las dos acepciones que tiene”. Mientras que la primera de ellas entiendo que es difícilmente aplicable a las TI en las organizaciones, al menos en lo que a las empresas privadas se refiere, la segunda, que además está en desuso, haría que la palabra en cuestión fuera sinónimo de la palabra “Gobierno”.

Posteriormente, para intentar aclarar lo que realmente había bajo el concepto de Gobernanza de TI seguí con detalle un debate al respecto en el citado grupo de Linkedin y comparto aquí lo que en él entendí (hay que entrecomillarlo, ya que no soy ningún experto en la materia):

- El objetivo último de la Gobernanza de TI consiste en el alineamiento de las TI con el negocio y, por tanto y desde la óptica del negocio, en la toma de las decisiones pertinentes para ello, la determinación de la estrategia y directrices oportunas, y el establecimiento de los mecanismos de supervisión, control y seguimiento para asegurar una utilización de las TI tendente a la consecución de los objetivos de negocio en términos de resultado económico y de obtención de ventajas competitivas.

- Las Metodologías, conjuntos de buenas prácticas, normas (ITIL, COBIT, CMM, MÉTRICA, normas ISO de seguridad,...) son meras herramientas y, por tanto, no forman parte integrante de la Gobernanza de TI en sentido estricto. Tal y como he comentado al principio, yo siempre he pensado que tampoco del Gobierno de TI, es decir, no pasan de ser meras herramientas que le dan soporte.

Interesante esto de la Gobernanza TI, muy en boga actualmente a partir de una serie de normas ISO (eso sí que es orientación al negocio, y lo demás es cuento), pero que entiendo absolutamente necesario (desde mi punto de vista requiere de un cambio en los máximos órganos de decisión de las empresas, sin el que no será posible) y que creo que no es nada novedoso.

lunes, 26 de julio de 2010

Frases célebres sobre informática (II)

Como complemento a la primera entrada de frases célebres sobre la informática, comparto otras citas famosas que he leído en diversos sitios web y que me han gustado:

- “la Informática es demasiado importante como para dejarla en manos de los informáticos.” - Parafraseando a G. Vaughn Jhonson.

- “Cometer errores es humano, pero para estropear realmente las cosas necesitas un ordenador.” - Paul Ehrlich.

- “Un ordenador te permite cometer más errores y más rápido que cualquier otra invención en la historia de la humanidad, con las posibles excepciones de las pistolas y el tequila.” - Mitch Radcliffe.

- “El software es como el sexo: mejor si es libre y gratis.” - Linus Torvalds.

- "Los Servicios Web son como el sexo entre los adolescentes. Todos hablan de hacerlo, pero aquellos que realmente lo hacen, lo hacen muy mal." - Michelle Bustamante.

“La mayoría del software actual es muy parecido a una pirámide egipcia, con millones de ladrillos puestos unos encima de otros sin una estructura integral, simplemente realizada a base de fuerza bruta y miles de esclavos.” - Alan Kay.

- “Por fin he entendido lo que significa ‘upward compatible’ (compatible hacia arriba). Significa que mantenemos todos nuestros viejos errores.” - Dennie van Tassel.

- “Hay dos grandes productos que salieron de Berkeley: LSD y UNIX. No creemos que esto sea una coincidencia.” - Jeremy S. Anderson.

- "UNIX es simple. Sólo necesita un genio para entender su simplicidad." - Dennis Ritchie.

“No puedes simplemente preguntar a los clientes lo que quieren e intentar dárselo. Algo después, cuando lo hayas construido, ellos querrán otra cosa.” - Steve Jobs.

"En el futuro es posible que los ordenadores no pesen más de 1,5 toneladas." - Popular mechanics, 1949.

“Veo poco potencial comercial en Internet, al menos durante diez años.” - Bill Gates, 1994.

"No soy de los que piensan que Bill Gates es el diablo. Simplemente sospecho que si Microsoft alguna vez se encontrara con el diablo, no necesitarían un intérprete." - Nicholas Petreley.

"En dos ocasiones me han preguntado: 'si pone datos incorrectos en la máquina, ¿saldrán las respuestas correctas?'. Soy absolutamente incapaz de hacerme una idea del tipo de confusión de ideas que pueden provocar que alguien haga una pregunta así." - Charles Babbage.

"Hazlo todo tan simple como sea posible, pero no más simple." - Albert Einstein.

Guía implantación LOPD en Pymes (V)

La Fase 3 que propongo para la implantación de la LOPD en pymes y micropymes es la que tiene como objetivo la comunicación, sensibilización y formación de los usuarios que manejan datos de carácter personal en la organización.
Todos conocemos la frase en la que se afirma que la fortaleza de una cadena es la misma que la de su eslabón más débil, o algo así. Además, para ilustrar este post me gustaría también recordar algunas de las frases célebres sobre la informática que ya publiqué en este blog y que creo que son muy ilustrativas de lo que quiero decir:

- “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick.

- “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños” - Chris Pirillo.

Con esto quiero decir que la implicación de las personas que manejan los datos de carácter personal no sólo es necesaria, sino que constituye el factor crítico de éxito fundamental en el que basar el cumplimiento y la mejora continua de cualquier iniciativa que pretenda garantizar la seguridad de la información existente en una organización, incluida la protección de datos de carácter personal.

Algo que siempre digo en las sesiones de comunicación, sensibilización y formación a usuarios en este tema es que, por ejemplo, se pueden establecer las mejores política de seguridad en lo que respecta a la identificación y autenticación de usuarios, pero ésta no valdrá para nada si no se sensibiliza a los usuarios de su necesaria confidencialidad (uso estrictamente personal de las contraseñas y, por tanto, no divulgarlas ni compartirlas con nadie). Todos hemos visto códigos de usuario y contraseñas apuntados en post-it colgados en puestos de trabajo.

Por eso creo que esta actividad no sólo se debe limitar a la formación, sino que, además, la comunicación y la sensibilización son fundamentales, tanto para lograr el conocimiento de la normativa por parte de los usuarios y, por tanto, para involucrarlos en su efectivo cumplimiento, como para comprometerlos en la mejora continua en materia de protección de datos de carácter personal en la organización.

Un índice orientativo de la sesión de comunicación, sensibilización y formación a impartir en una pyme o micropyme podría ser el siguiente (en base a las fases propuestas, tal y como comenté en el post anterior, la documentación de esta sesión se obtendría en la fase anterior y constituiría la entrada para la realización de esta fase):

1.- Introducción.

1.1.- ¿Por qué hay que proteger los datos de carácter personal? (desde una doble perspectiva, es decir, tanto desde el punto de vista de las personas como de las organizaciones).

1.2.- Aspectos básicos de la LOPD.

1.2.1.- ¿Qué es la LOPD?.

1.2.2.- Ámbito de aplicación.

1.2.3.- Responsabilidades.

1.2.4.- Principios de la Ley.

1.2.5.- Derechos de las personas.

1.2.6.- La Agencia Española de Protección de Datos (AEPD) (¿Qué es?. Misión).

1.2.7.- Infracciones y sanciones.

1.3.- Aspectos básicos del Reglamento de Desarrollo de la LOPD.

1.3.1.- ¿Qué recoge?.

1.3.2.- Niveles de Seguridad.

1.4.- La adecuación a la LOPD en la pyme o micropyme concreta.

1.4.1.- El Documento de Seguridad (contenido e información más relevante sobre cada apartado del mismo, haciendo especial hincapié en las funciones y obligaciones de los usuarios).

1.4.2.- Resumen (¿Qué va a cambiar en el día a día? y decálogo para los usuarios).

Guía implantación LOPD en Pymes (IV)

La Fase 2 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en definir y elaborar la documentación pertinente para ello y tiene como principal objetivo el establecer el marco interno de referencia en lo que respecta a la protección de los datos de carácter personal manejados por la organización.

El principal documento que se debe obtener en esta fase es el Documento de Seguridad, que debe regular todos los aspectos ligados a la seguridad de los datos de carácter personal manejados en la organización y será de obligado cumplimiento para todo el personal de la misma con acceso a dichos datos. La elaboración de este documento es obligatoria para el Responsable de Fichero o Tratamiento y, en su caso, para los Encargados de Tratamiento.

El Documento de Seguridad tiene la consideración de documento interno de la organización y debe mantenerse permanentemente actualizado ante cambios en la normativa legal y reglamentaria, y cambios en la propia organización que afecten a la seguridad de los datos (ficheros, recursos de los sistemas de información, medidas de seguridad aplicadas, etc.). El detalle del contenido mínimo de este documento, en función del nivel de seguridad aplicable a los ficheros existentes en la organización, se recoge en el artículo 88 del Reglamento de Desarrollo de la LOPD.

Se pueden elaborar uno o varios documentos de seguridad. Para pymes y micropymes, recomiendo que se elabore un documento único que comprenda todos los ficheros o tratamientos.

Desde mi punto de vista, la elaboración del Documento de Seguridad es, sin duda, una de las actividades más importantes, ya que en él se deben establecer todas las medidas, tanto de índole técnico como organizativo, a implantar en la organización, y, al mismo tiempo y en mi opinión, se trata de una labor complicada para aquellas personas no familiarizadas con la protección de datos de carácter personal.
Para facilitar esta actividad, la AEPD pone a disposición de los Responsables de Ficheros y Encargados de Tratamiento una Guía para la elaboración del Documento de Seguridad, que se puede obtener en la página web de la AEPD, www.agpd.es, en el canal del responsable de ficheros.

Para la elaboración del Documento de Seguridad se partirá del “Inventario de Ficheros con datos de carácter personal” obtenido en la fase anterior y, una vez elaborado y a partir del mismo, propongo que se obtenga, además, la siguiente documentación:

- Instrucciones de protección de datos: se trata de elaborar pequeños resúmenes de los aspectos más relevantes, incluidas funciones y obligaciones, que los usuarios con acceso a datos de carácter personal deben necesariamente observar y cumplir en el desempeño de sus puestos de trabajo.

No hay que olvidar que el Responsable de Fichero o Tratamiento y, en su caso, el Encargado de Tratamiento debe encargarse de facilitar a su personal, de manera comprensible, las funciones y obligaciones que afectan en esta materia al puesto de trabajo que desempeñan.

Ejemplos de instrucciones a elaborar podrían ser las siguientes: “Funciones y obligaciones de los usuarios”, “Ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los interesados”, “Notificación, gestión y respuesta ante incidencias” y “Gestión de ficheros y tratamiento con datos de carácter personal” (esta última para englobar los asuntos más importantes de la citada gestión).

Como digo, con independencia de que el Documento de Seguridad esté disponible para los usuarios, con objeto de que estos conozcan las funciones y obligaciones que les afectan, entiendo que es una buena práctica la elaboración y entrega al personal de estos resúmenes para divulgar de forma eficaz en la organización la normativa interna en esta materia. Además, cabe recordar que, en el caso concreto de los derechos de los afectados, todos los usuarios con acceso a datos de carácter personal deben ser capaces de informar a estos de los pasos a dar para el ejercicio de los mismos.

- Documento para la comunicación, sensibilización y formación a impartir a los usuarios: que servirá para el desarrollo de la siguiente fase y que, a mi juicio, constituye una de las actividades más importantes a realizar, ya que es evidente que poco o nada conseguiremos si no se logra involucrar a los usuarios que manejan los datos de carácter personal.

En una pyme o micropyme entiendo que bastaría con una única sesión dirigida a todos los usuarios que acceden y tratan datos de carácter personal, ya que no suele haber diferencias significativas en los perfiles de los mismos. El documento de la sesión a impartir debería recoger, al menos, tanto los aspectos básicos de la LOPD y del Reglamento que la desarrolla, como los aspectos más importantes de la adecuación en la propia organización, es decir, de la normativa recogida en el Documento de Seguridad, haciendo especial hincapié en las funciones y obligaciones a cumplir por parte de los usuarios.

- Normativa interna sobre el uso de los recursos informáticos y de comunicaciones: Aunque entiendo que es un tema no estrictamente ligado a la protección de datos de carácter personal (sí lo es para salvaguardar la privacidad de los empleados, e incluso de terceras personas, si se decidiera auditar estos medios ante un uso inadecuado, abusivo o ilegal de los mismos por parte de algún trabajador), creo que es muy recomendable establecer esta normativa con objeto de advertir de las medidas de control que se pueden aplicar y de procurar una utilización correcta de los usuarios con respecto a los medios de este tipo que la organización pone a su disposición (correo electrónico, conexión a internet,…).

Por tanto, como entrada para la realización de esta fase tendremos el “Inventario de Ficheros con datos de carácter personal”, obtenido en la anterior, y como salidas de la misma, al menos (aunque sería recomendable obtener todas las indicadas), el “Documento de Seguridad” y la documentación necesaria para impartir la sesión de comunicación, sensibilización y formación al personal involucrado.

viernes, 23 de julio de 2010

Guía implantación LOPD en Pymes (III)

La Fase 1 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en la Regularización de los Ficheros manejados por la empresa y tiene como principal objetivo la declaración de estos a la Agencia Española de Protección de Datos (AEPD).


La primera actividad de esta fase será la de identificar los ficheros con datos de carácter personal que se utilizan.

Para ello, recomiendo pensar en conjuntos de datos que se utilizan para una finalidad concreta, con independencia de que estén centralizados o no (por ejemplo, que haya documentación de personal en dos oficinas diferentes) y del tratamiento informático que se pueda realizar de los mismos (por ejemplo, que los datos sean tratados por una o varias aplicaciones informáticas).

Lógicamente, la tipología de los ficheros dependerá mucho de la pyme o micropyme concreta de que se trate, pero casi seguro que se tiene los siguientes ficheros: “Personal y Nóminas”, “Clientes”, “Proveedores” y “Contactos”, sin olvidar que puede haber otros muchos más, tales como: “Candidatos a Empleo”, “videovigilancia” (sólo es un fichero si se graban las imágenes que captan las cámaras), etc.

Como resultado de esta actividad se obtendrá el “Inventario de Ficheros con datos de carácter personal” manejados por la organización.

A partir de ese inventario, la segunda actividad consiste en cumplimentar el contenido de las notificaciones a la AEPD. Una notificación para cada uno de los ficheros identificados.

El formulario de notificación para ficheros de titularidad privada se puede obtener de la página de la AEPD, www.agpd.es, en el canal de responsable de ficheros. Habrá que descargarse el formulario NOTA (Notificaciones Telemáticas a la AEPD) de titularidad privada. Se trata de un fichero pdf.

El formulario sirve para realizar notificaciones de Alta, Modificación y Supresión de Ficheros, y, además, en el caso de las Altas, facilita la elaboración de notificaciones Tipo (para aquellos casos en los que se trata de cumplimentar notificaciones de ficheros de uso frecuente en las organizaciones, tales como: Ficheros de “Nóminas – Recursos Humanos”, “Clientes y/o proveedores”, “Pacientes” (para consultas particulares de médicos),etc. Esta es la opción que recomiendo para los ficheros más habituales en pymes y micropymes, ya que se propone (se rellenan con valores apropiados) la mayoría de los campos.

La presentación de la declaración se puede realizar de tres maneras, yo recomiendo marcar la opción “Internet”, en la que el formulario de notificación se envía directamente a la AEPD por internet (con la opción de enviar que se habilita tras completar toda la información requerida en el propio formulario y cumplimentar la Hoja de Solicitud de inscripción). En este caso, hay que tener en cuenta que habrá que mandar la Hoja de Solicitud por correo ordinario, ya que sino el envío del formulario no tendrá validez.

La forma de cumplimentar la información es muy sencilla y, además, existe la correspondiente ayuda en cada apartado.

Únicamente comentar algún aspecto sobre el nivel de seguridad de los ficheros que entiendo importante para asignar a cada uno de ellos el nivel adecuado.

El nivel de seguridad de un fichero se refiere a las medidas de seguridad exigibles para el mismo, en función de la menor o mayor necesidad de garantizar la protección de los datos que contiene. Se deben implantar las medidas de seguridad de nivel “básico” para todos los ficheros con datos de carácter personal, las de nivel “medio” para los ficheros que contengan datos catalogados como de ese nivel y las de nivel “alto” para ficheros que contengan los datos que se consideran más sensibles (por ejemplo datos de salud y datos especialmente protegidos). El tipo de dato que hace que un fichero sea de un nivel u otro se indica en la ayuda del propio formulario en el apartado “Medidas de seguridad”.

Los niveles de seguridad son acumulativos, es decir, todos los ficheros deben cumplir las medidas de seguridad de nivel básico, los ficheros de nivel medio deben cumplir las medidas de seguridad de nivel básico y medio, y los ficheros de nivel alto deben cumplir las de nivel básico, medio y alto.

En el caso de disponer de datos tales como: el grado de discapacidad de algún empleado y/o la aptitud de los trabajadores para el desempeño del puesto de trabajo, aunque son datos de salud, se permite aplicar a los ficheros que los contengan las medidas de seguridad de nivel básico. Esto sólo es posible en el caso de disponer únicamente de estos datos, si se dispone de datos adicionales de salud se deben aplicar las de nivel alto.
También se podrá aplicar las medidas de seguridad de nivel básico a aquellos ficheros que contengan datos de salud que, recuerdo que deben ser pertinentes y no excesivos, no guarden una relación directa con la finalidad del fichero, aunque no recomendaría aplicar esto salvo que se esté muy seguro, ya que entiendo es muy interpretable. Por ejemplo, entiendo que se podría aplicar a un fichero de una guardería que contenga el dato de régimen especial de alimentación para dar de comer adecuadamente a aquellos niños con determinados problemas de salud.

Ojo a los datos de currículums de candidatos a empleo. Si se dispone de información relativa a aficiones u otros similares, este tipo de datos podría hacer que el nivel de seguridad a aplicar al fichero sea medio.

Lo habitual, salvo consultas privadas de médicos, despachos de abogados, etc., es que se tengan sólo ficheros catalogados como de nivel básico, salvo la excepción apuntada de los currículum, que se puede evitar (las medidas establecidas para el nivel medio son, evidentemente, más complicadas de implantar que las de nivel básico) no guardando lo currículum originales y almacenando sólo los datos de los mismos de nivel básico necesarios para la selección del personal.

Una vez enviado el formulario de notificación por internet, uno por cada fichero, y las respectivas Hojas de Solicitud debidamente firmadas y por correo ordinario, la AEPD procederá a contestar transcurrido un tiempo. Lo habitual es que lo haga con una resolución de inscripción de los ficheros, en la que se indicará el código de registro de los mismos en el Registro General (es importante guardar el código, ya que cualquier modificación o supresión de un fichero requerirá indicar dicho código).

La información sobre las notificaciones y el código de inscripción pasarán a formar parte del "Inventario de Ficheros con datos de carácter personal" manejados por la organización.

jueves, 22 de julio de 2010

Guía implantación LOPD en Pymes (II)

Antes de comentar las fases que propongo para la adecuación de pymes y micropymes a la LOPD, creo que es necesario comentar aquellos términos más importantes de la Ley y el Reglamento que la desarrolla. Todo ello, para cumplir el objetivo de estos post, es decir, hacerlos más comprensibles para quienes no estén familiarizados con la LOPD. Es cierto que, lógicamente, se perderá rigor en las definiciones (todas ellas se pueden consultar en la Ley y el Reglamento, donde se encontrará una definición exhaustiva de las mismas), pero entiendo que se ganará en su comprensión.

Por tanto, la definición (a mi manera) de los términos más importantes es la siguiente:

- Dato de carácter personal: cualquier dato de una persona física que lo identifique (por ejemplo: nombre y apellidos, foto, imagen de una videocámara,…) o a través del cual se le pueda identificar (por ejemplo: dirección de correo electrónico compuesta por la inicial del nombre y primer apellido, la voz,…), y cualquier otro dato perteneciente a una persona física identificada o identificable (por ejemplo: estado civil, su salario,...).

- Interesado o afectado: persona física titular de sus datos de carácter personal (todos somos interesados o afectados con respecto a nuestros datos).

- Fichero: conjunto organizado de datos de carácter personal, bien esté informatizado, en soporte papel o se encuentre al mismo tiempo informatizado y en soporte papel. Por ejemplo: Fichero de Personal, Fichero de Contactos,…

- Responsable de Fichero o Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que decide sobre la creación, finalidad y uso del Fichero o Tratamiento.

- Encargado de Tratamiento: persona física (autónomo) o jurídica (pyme o micropyme) que sola o conjuntamente con otras accede a los datos de un Responsable de Fichero o Tratamiento para prestarle un servicio. Ejemplos típicos serían las Asesoría Laborales, Contables, Fiscales, Jurídicas, etc. que acceden a los datos de una empresa para la elaboración de nóminas,…

Una misma persona física o jurídica puede desempeñar un doble papel en lo que respecta a la protección de datos de carácter personal. Por ejemplo, una Asesoría de las citadas anteriormente será responsable de los ficheros que precise para el normal desarrollo de sus actividades como empresa (de sus propios ficheros de empleados, clientes, proveedores, contactos,…) y será al mismo tiempo encargado de tratamiento de los ficheros de sus clientes que sean Responsables de Fichero o Tratamiento a los que precise acceder para prestarles a estos un servicio (ficheros de empleados de sus empresas cliente para elaborar las nóminas,…).

El Responsable del Fichero o Tratamiento y, en su caso, los Encargados de Tratamiento son los responsables indicados en la Ley y, por tanto, quienes deben cumplir la normativa y se exponen a las correspondientes sanciones en caso de incumplimiento.

- Cesión o comunicación de datos: revelación de datos de carácter personal a cualquier persona física o jurídica diferente del interesado (ejemplos típicos son: a otro autónomo, a otra empresa, a una administración pública, a una mutua, etc.). No se considera cesión el acceso a los datos por parte de un Encargado de Tratamiento.

- Cesionario: persona física o jurídica a la que se revelan los datos. Será Responsable del Fichero o Tratamiento de esos datos que se le ceden, ya que los utilizará para sus propias finalidades.

- Agencia Española de Protección de Datos (AEPD): es una autoridad de control independiente cuya principal misión es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación y, en especial, defender los derechos de los afectados. Es obligatorio que los Responsables de Fichero o Tratamiento le declararen los ficheros que utilizan (Entre otras cuestiones, se declaran los campos que contiene cada fichero, no el contenido concreto de los mismos).

Además, describo muy brevemente los principales principios de la Ley:

- Calidad de los datos: no se pueden solicitar datos excesivos con respecto a la finalidad para la que estos se recaban, no se podrán utilizar para fines incompatibles para los que se recogen y deben ser exactos y estar permanentemente actualizados. El detalle de este principio se encuentra en el artículo 4 de la LOPD.

- Derecho de información: en el momento de recabarse los datos se le debe informar a las personas, básicamente, de la existencia de un fichero o tratamiento, de quién es el Responsable del Fichero o Tratamiento, de la finalidad para la que van a ser utilizados y, si es el caso, de los destinatarios o cesionarios de la información. Un ejemplos típico de cómo informar a los interesados es el incluir el texto correspondiente en formularios, páginas web, mensajes de correo electrónico, carteles ubicados en los lugares de recogida de datos, carteles de videovigilancia, etc. El detalle se encuentra en el artículo 5 de la LOPD. Para el caso concreto de videovigilancia existe una instrucción de la AEPD en la que en su artículo 3 se trata este asunto (Instrucción 1/2006, de 8 de noviembre).

- Consentimiento del interesado: En principio, el tratamiento o cesión de los datos de carácter personal requieren del consentimiento inequívoco del interesado (hay datos - salud, afiliación política y sindical, etc, - para los que éste deberá ser expreso y, para algunos de ellos, expreso y por escrito) salvo que haya una Ley que disponga otra cosa (por ejemplo la cesión de los datos de los trabajadores a las administraciones tributarias,..) o se encuentre entre los supuestos para los que la propia LOPD establece que no se precisará el consentimiento (por ejemplo: para ceder los datos del salario de los trabajadores a las entidades bancarias correspondientes para hacer efectivo su pago, ya que esta cesión es necesaria para el cumplimiento del contrato laboral suscrito entre el empleado y la empresa,…). El detalle se encuentra en el artículo 6 de la LOPD.

Para Finalizar, también muy brevemente, indicar que los principales derechos de los interesados son los siguientes:

- Consulta de los ficheros inscritos (declarados a la AEPD) en el Registro General de Protección de Datos (se puede hacer a través de la página web de la AEPD - www.agpd.es -). Se verán los ficheros declarados del Responsable de Fichero o Tratamiento seleccionado y, entre otra información referente a los mismos, los campos que contienen los ficheros.

- Acceso, rectificación, cancelación y oposición: los puede ejercer cualquier interesado ante el Responsable del Fichero o Tratamiento, que debe implantar un procedimiento para responder, y, básicamente, consisten, respectivamente, en el derecho que el interesado tiene a conocer los datos concretos que se tratan sobre él, a rectificar aquellos que resulten ser inexactos o incompletos, a cancelar aquellos que sean excesivos o revocar el consentimiento que dio para que se trataran y a oponerse al tratamiento de los datos. Si el Responsable del Fichero o Tratamiento no atiende la solicitud del interesado, éste puede solicitar la tutela de la AEPD.

Una vez dicho esto, en los siguientes post describiré las fases que propongo para la adecuación de pymes y micropymes a la LOPD.

miércoles, 21 de julio de 2010

Guía implantación LOPD en Pymes (I)

Inicio con éste una serie de post cuya única pretensión es aportar mi granito de arena a la divulgación y sensibilización en las pymes y micropymes con respecto a la protección de datos de carácter personal y, en la medida en que sea capaz, para aclarar y simplificar su adecuación a las exigencias de la normativa vigente en esta materia y su efectivo cumplimiento por parte de las mismas.

Empezaré con una breve descripción para, en los siguientes post y basado en mi experiencia en proyectos similares, continuar con las fases a abordar en la adecuación de pymes y micropymes a la LOPD.


La Ley orgánica de protección de datos de carácter personal 15/1999 (en adelante LOPD), de 13 de diciembre, afecta y obliga por igual a todas las personas, tanto físicas como jurídicas, que tratan datos de carácter personal, con alguna excepción (ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, etc.), y, por tanto, es aplicable en igual medida a: grandes empresas, pymes, micropymes, comunidades de vecinos, autónomos, etc.

Cuando afirmo que obliga por igual, quiero decir que el nivel de exigencia de la Ley y del Reglamento que la desarrolla, aprobado mediante el Real Decreto 1720/2007, de 21 de diciembre, y que constituyen el núcleo de la normativa vigente en esta materia, es el mismo para todos (con mínimas excepciones, como el registro de accesos exigido para los ficheros automatizados de nivel alto y sólo en circunstancias muy concretas, y que en la práctica hacen, como digo, que no haya distinciones en cuanto a las obligaciones a cumplir).

Pese a ello, aunque lo entiendo como algo absolutamente normal, es muy desigual el grado de cumplimiento que se da entre las grandes empresas y las pymes/micropymes.

Hay muchas cosas que hacer en materia de protección de datos, incluso en las grandes organizaciones, pero, sin duda, el “gran agujero” respecto al cumplimiento de la normativa legal y reglamentaria vigente en esta materia se encuentra en las pymes y micropymes, que no hay que olvidar componen cuantitativamente una abrumadora mayoría del tejido empresarial, y, por tanto, constituyen una parte fundamental en lo que se refiere a garantizar la protección de los datos de carácter personal de los ciudadanos.

Las razones por las que esto se produce son en mi opinión evidentes y entre ellas cabe destacar:

1º) Un desconocimiento de la normativa (incluso de su propia existencia) y derivado de ello de la forma en la que les afecta (incluso de que les afecta) y de su aplicación.

2º) Una falta de sensibilización hacia el derecho fundamental de las personas en lo que se refiere a la protección de sus datos. Incluso cuando se hace algo en esta materia por parte de las pymes y micropymes, en muchas ocasiones se trata de “cumplir” mínimamente el expediente con el único objetivo de evitar sanciones, limitándose a implantar sólo los aspectos jurídicos y dejando a un lado los organizativos y técnicos, que en la práctica son los que hacen posible garantizar la protección de los datos.

3º) Escasez de recursos (económicos, técnicos y humanos) para realizar la adecuación. Agravado, además, porque esto exige un esfuerzo continuo en el tiempo, ya que no se trata únicamente de implantar una serie de medidas iniciales, sino que exige una dedicación constante de recursos para su control y seguimiento, de cara a la verificación de su efectivo cumplimiento y a lograr una mejora continua.

Finalizada esta breve introducción, tal y como he indicado al principio, en posteriores post intentaré contribuir modestamente a divulgar de forma comprensible, en la medida que sea capaz, aspectos generales de la normativa en materia de protección de datos y de su adopción y cumplimiento por parte de pymes y micropymes.

lunes, 19 de julio de 2010

Frases célebres sobre informática (I)

Hace poco leí en diversos sitios web una serie de frases célebres sobre la informática que incluí en un grupo de Linkedin, “Profesionales IT Euskadi”. Los miembros de este grupo, a su vez, aportaron nuevas frases que habían oído por ahí e, incluso, algunas de ellas fruto de su propia experiencia profesional.

No me resisto a compartir también aquí una selección de las que más me han gustado y os animo a incluir otras que os hayan gustado a vosotros.

- "¿Internet? No estamos interesados en eso" - Bill Gates.

- “No temo a los ordenadores; lo que temo es quedarme sin ellos” - Isaac Asimov.

- “Las contraseñas son como la ropa interior. No puedes dejar que nadie la vea, debes cambiarla regularmente y no debes compartirla con extraños” - Chris Pirillo.

- “El ordenador nació para resolver problemas que antes no existían” - Bill Gates.

- “Todas las piezas deben unirse sin ser forzadas. Debe recordar que los componentes que está reensamblando fueron desmontados por usted, por lo que si no puede unirlos debe existir una razón. Pero sobre todo, no use un martillo” - Manual de mantenimiento de IBM, año 1925.

- “El hardware es lo que hace a una máquina rápida; el software es lo que hace que una máquina rápida se vuelva lenta” - Craig Bruce.

- “Todo lo que puede ser inventado ha sido ya inventado” - Charles H. Duell, Comisario de oficina de Patentes en EEUU, en 1899.

“Pienso que hay mercado en el mundo como para unos cinco ordenadores” - Thomas J. Watson, Presidente de la Junta Directiva de IBM, sobre 1948.

- “Podría parecer que hemos llegado a los límites alcanzables por la tecnología informática, aunque uno debe ser prudente con estas afirmaciones, pues tienden a sonar bastante tontas en cinco años” - John Von Neumann, sobre 1949.

- “Pero, ¿para qué puede valer eso?” - Ingeniero en la división de sistemas informáticos avanzados de IBM, hablando sobre los microchips, en 1968.

- “No hay ninguna razón para que un individuo tenga un ordenador en su casa” - Ken Olson, Presidente de Digital Equipment Corporation, en 1977.

- “640K deberían ser suficientes para todo el mundo” - Bill Gates, 1981.

- “Windows NT podrá direccionar 2GB de RAM, que es más de lo que cualquier aplicación va a necesitar jamás” - Microsoft, durante el desarrollo de Windows NT, en 1992.

- “Pienso que los virus informáticos muestran la naturaleza humana: la única forma de vida que hemos creado hasta el momento es puramente destructiva” - Stephen Hawking.

- "Hay una antigua historia sobre una persona que quería que su ordenador fuese tan fácil de utilizar como su teléfono. Estos deseos se han hecho realidad, ya no sé cómo usar mi teléfono" - Bjarne Stroustrup.

- "La programación es una carrera entre los desarrolladores, intentando construir mayores y mejores programas a prueba de idiotas, y el universo, intentando producir mayores y mejores idiotas. Por ahora va ganando el Universo" - Rich Cook.

- “¿Dónde está la tecla ‘ANY’?” - Homer Simpson, frente a un mensaje “press any key”.

- “En el mundo del software, los activos más importantes de la compañía se van a casa todas las noches. Si no se les trata bien, pueden no volver al día siguiente” - Peter Chang.

- “Es mejor esperar a que un desarrollador productivo esté disponible que esperar a que el primer desarrollador disponible sea productivo” - Steve C McConnell.

- “Es más fácil cambiar las especificaciones para que encajen con el software que hacerlo al revés” - Alan Perlis.

- “El testing de componentes puede ser muy efectivo para mostrar la presencia de errores, pero absolutamente inadecuado para demostrar su ausencia” - Edsger Dijkstra.

- “Hay sólo dos clases de lenguajes de programación: aquellos de los que la gente está siempre quejándose y aquellos que nadie usa.” - Bjarne Stroustrup.

- “El software es como la entropía: difícil de atrapar, no pesa, y cumple la Segunda Ley de la Termodinámica, es decir, tiende a incrementarse” - Norman Augustine.

- “El software es un gas: se expande hasta llenar su contenedor” - Nathan Myhrvold.

- “El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados” - Gene Spafford.

- “Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores” - Kevin Mitnick.

- “Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología” - Bruce Schneier.

- “Si las cosas siguen así, al hombre se le atrofiarán todas sus extremidades excepto los dedos de pulsar los botones”.

- “Estamos diseñando un sistema seguro para poder violarlo.” - Dicho por un cliente sobre un nuevo sistema que habían contratado.

- “Lo he programado así porque yo no tengo por qué estar de acuerdo con mi analista.” - Dicho por un programador.

- "Un programa es un conjunto de instrucciones, más o menos ordenado, que funcionaría igual o mejor si se suprimen el 20% de ellas".

- "Si se automatiza basura; se obtiene basura más rápidamente".

lunes, 12 de julio de 2010

Web 2.0 en la empresa: ¿Por dónde empezar?

Me refiero a la implantación de la Web 2.0 en la empresa con objeto de establecer un canal de conversación (en contraposición con un canal de comunicación) para la participación activa de todas las personas que la integran, es decir, establecer un canal de conversación que posibilite interactuar a todos con todos.

Creo que todos coincidiremos en que la Web 2.0 es una filosofía y, por tanto, es fundamental la actitud de participar, colaborar e innovar de las personas que utilizan las tecnologías que la hacen posible, es decir, algo que transciende a la plataforma (internet) y las herramientas concretas que la sustenten (los servicios y las aplicaciones web - redes sociales y profesionales, wikis, blogs, mashups, etc. -). Por tanto, todos estaremos de acuerdo en que lo que realmente importa no es la tecnología sino el uso o, mejor dicho, la forma y frecuencia en la que ésta es utilizada por las personas.

Todos conocemos muchísimos casos en los cuales es más importante el uso que se hace de una tecnología que ésta en sí misma e incluso que el uso para el que ésta estaba prevista inicialmente (quién podía sospechar el uso que le dan actualmente las nuevas generaciones a la telefonía móvil y, por tanto, las nuevas oportunidades de negocio que de ello se derivan: escuchar música, jugar, los mensajes sms,…, por no hablar de la propia internet o del correo electrónico).

Por otra parte, no cabe duda de que la Web 2.0 es actualmente un fenómeno consolidado en lo que se refiere a la forma en la que las personas nos relacionamos (actualmente pienso que fundamentalmente en lo que respecta al ocio), creciente e imparable a corto plazo, y que tendrá futuras aplicaciones en ámbitos y aspectos concretos que ni sospechamos.

Por tanto, la empresa no puede ser ajena a este fenómeno (la Web 2.0) y el reto consiste en su aplicación en las organizaciones (¿en qué áreas?, ¿para qué?, ¿por dónde empezar?, etc.).

En mi opinión su implantación en las organizaciones no debe limitarse sólo a superar, en aquellos casos en los que exista, la comunicación unidireccional de la dirección con sus empleados, con frecuencia únicamente en lo que respecta a aspectos operativos.

Esto también, pero, como digo, creo que debe ir más allá, es decir, ese canal de conversación debe servir para la colaboración de todos con todos y, para ello y desde mi punto de vista, pasa en primer lugar por considerar a todos los miembros de una organización como colaboradores, desterrando términos como dirección y empleados, y fomentando la participación activa de todos con todos.

¿Es esto utópico, ingenuo, etc.?. Puede que sí, pero creo que resume muy bien cuales son los principales prejuicios que todos debemos superar para que una iniciativa de este tipo tenga éxito.

1.- Conversar sobre objetivos de la organización, éxitos y fracasos, dificultades, desarrollo profesional de las personas, etc., en lugar de limitarse a comunicar sólo aspectos meramente operativos.

2.- Fomentar la aportación de ideas, opiniones y críticas, con objeto de mejorar, detectar problemas, anticiparse a estos o solucionarlos, escuchar y aprender, en lugar de pensar que se está conmigo o contra mí y que ya lo sabemos todo.

3.- Estimular y reconocer la participación activa de las personas, entendiendo ésta como un compromiso de las mismas con la organización y, por tanto, con la mejora continua, fomentando el verdadero trabajo en equipo, para orientar las aportaciones individuales de las personas a la consecución de los objetivos de la organización, en lugar de limitarse al trabajo en grupo y orientar el trabajo personal a alcanzar logros individuales.

4.- Compartir la información y el conocimiento para mejorar, en lugar de retenerlo para ocultar los problemas o para mantener nuestra posición.

5.-Comprometerse con los objetivos de la empresa y participar, perdiendo el miedo a expresar opiniones y críticas constructivas, en lugar de entender que poco o nada tengo que ver con los objetivos de la organización, que no puedo aportar nada de interés, que mi opinión no le importa a nadie o que ésta puede no ser bien recibida.


Podrían, sin duda, establecerse muchas otras dificultades a vencer, por parte de todos, pero seguro que ninguna de ellas relacionada con la selección, coste e implantación de una tecnología o herramienta concreta, por lo que, al menos para mí, queda muy claro por donde empezar.

viernes, 9 de julio de 2010

La protección de datos de carácter personal. ¿Le importa realmente a alguien?


Para inaugurar este blog, un tema que me apasiona. Sí, ya sé que soy un poco raro :-)

Se trata de realizar una primera reflexión a "bote pronto" sobre la importancia que le damos a este tema:

1º Actualmente, ¿se le da la importancia que merece?.

Creo, sinceramente, que no.

Por una parte, no es algo que le importe al ciudadano en general, sólo nos acordamos de la privacidad de nuestros datos cuando recibimos "spam", llamadas telefónicas de la enésima compañía de telecomunicaciones ofreciéndonos, a horas intempestivas, más y mejores ofertas que la competencia, etc., pero no percibimos que el uso de las nuevas tecnologías, las nuevas formas de relacionarnos a través de ellas (redes sociales, redes profesionales, etc.) y prácticas basada en ellas y cada vez más extendidas (videovigilancia, venta de datos personales, estudio de hábitos de consumo, etc.) puedan constituir una amenaza a nuestra privacidad (asunto que se agrava cuando pueden verse involucrados menores de edad, como es el caso, por ejemplo, de las redes sociales).

Sin embargo, todos sabemos que, cada vez más, las nuevas tecnologías posibilitan un uso, al menos, no adecuado de nuestros datos personales (cuando no, aunque en el menor de los casos, directamente delictivo - suplantación de identidad, utilización fraudulenta de los mismos, etc.), pero aún así no nos interesa el tema.

2º Cuando, además, "cambiamos el gorro" y pasamos a formar parte de una empresa, ¿tenemos el respeto debido por los datos de los demás - empleados, clientes, proveedores, candidatos de empleo, etc.-?

Yo creo que no. En general y basado en mi experiencia, las organizaciones, tanto públicas como privadas, se toman la protección de datos como un "sarampión que hay que pasar", es decir, una obligación legal y, por tanto, un "expediente" a cumplir mínimamente (al menor coste, con el menor esfuerzo posible y, por supuesto, algo que una vez hecho no requiera ningún tipo de mantenimiento o mejora).

Es cierto que este segundo punto es aplicable también a otros temas (prevención de riesgos laborales,... e incluso, aunque no sea un tema legal, a la calidad).

Por tanto, en mi opinión y como conclusión de esta primera reflexión, no le damos la importancia que merece.

Por supuesto hay muchos otros aspectos, que dejo para posteriores ocasiones por no alargarme en exceso, tales como: ¿le importa a las administraciones públicas?, ¿es suficiente la labor realizada por las autoridades de control (AEPD y agencias de protección de datos de ámbito autonómico)?, y un largo etc.