martes, 21 de septiembre de 2010

La normativa interna de uso de recursos informáticos y de comunicaciones (I)

Noticias como ésta: http://www.iustel.com/v2/diario_del_derecho/noticia.asp?ref_iustel=1042217, nos dan una idea de lo importante que para una organización es establecer una normativa interna sobre el uso de los recursos informáticos y de comunicaciones, e implantar las medidas de índole técnico necesarias para velar por su cumplimiento por parte de los usuarios.

Estas situaciones son mucho más frecuentes de lo que podría parecer. Otro ejemplo de una situación muy similar fue la sanción de 150.000 Euros impuesta a un centro médico de Bilbao por dejar disponibles en la red 11.300 historias clínicas, algunas de ellas (un porcentaje bastante significativo) correspondientes a interrupciones de embarazo. En este caso, como en el anterior, los datos también quedaron a disposición del público a través de la utilización del programa eMule.

Estos dos casos tienen una especial relevancia desde el punto de vista de la protección de datos de carácter personal porque se divulgan datos muy sensibles (hay otros casos muy similares), pero se pueden citar otros muchos, que tienen que ver de forma directa con la protección de datos de carácter personal, y también otros en los que se deja a disposición de cualquier persona otro tipo de información confidencial de las empresas.

Todos estaremos de acuerdo en que la información constituye un activo estratégico de las organizaciones, ya que de ella depende en gran medida la propia continuidad del negocio, pero es que, además, la divulgación de información confidencial puede acarrear muy diversas consecuencias, algunas de ellas traducibles directamente a pérdidas económicas, y otras, aunque difícilmente cuantificables en este sentido, también con un indudable impacto económico (tales como: pérdida de ventajas competitivas – filtración de clientes, características de productos/servicios, ofertas,… – , pérdida de credibilidad o confianza, etc.), además de las posibles sanciones en el caso de que se vean involucrados datos de carácter personal (como en el citado caso del centro médico de Bilbao).

Por otra parte, la utilización inadecuada de los recursos informáticos y de comunicaciones por las personas que integran una organización puede, además, tener otros efectos igualmente dañinos con respecto a las otras dos vertientes que se consideran tradicionalmente en los proyectos de seguridad, es decir, tanto sobre la integridad de los datos como sobre la disponibilidad de la información.

Por ejemplo y referido a la integridad de los datos, todos sabemos que una utilización inapropiada del correo electrónico o la descarga de archivos desde sitios web no confiables son una de las vías más frecuentes de infección por virus y por otro tipo de software malicioso.
Mientras que en lo que se refiere a la disponibilidad de la información, prácticas como la descarga de archivos muy voluminosos (películas, etc.) o el envío masivo de correos electrónicos pueden comprometer el rendimiento de los sistemas e, incluso, llegar a su indisponibilidad por sobrecarga de los mismos.

Por todo ello, desde mi punto de vista, se hacen imprescindibles, tanto la sensibilización y formación a los usuarios sobre los riesgos que conlleva una utilización inadecuada de los recursos informáticos y de comunicaciones que la organización pone a su disposición, como el establecer una normativa clara sobre el uso de dichos recursos e implantar las medidas técnicas pertinentes para velar por su cumplimiento (monitorización de los sistemas, filtrado de páginas web accesibles y de los tipos de archivo que se reciben como anexos a los correos electrónicos, imposibilitar la modificación de la configuración de los sistemas y la introducción de elementos extraños, tanto hardware como software, etc.).

Esta normativa, además de considerar otra serie de aspectos (uso de los medios para fines no profesionales, etc.), deberá advertir también de las consecuencias que para el trabajador podría suponer su incumplimiento.

Dicho todo lo anterior y ya que este post lo he iniciado haciendo referencia a casos concretos relacionados con la protección de datos de carácter personal, me gustaría terminar con una breve reflexión sobre el valor añadido que puede aportar a las organizaciones el acometer un proyecto de adecuación a la LOPD (“preguntas del millón” que nos hacen los clientes. Pero, ¿esto para que sirve?. Lo tengo que hacer porque lo dice la Ley, ¿No?, ¿Vale con que parezca honrado o, además, debe serlo?).

Pues bien, en mi opinión, a parte de otros aspectos (implantar y sistematizar determinados procesos - identificación y autenticación, control de accesos, gestión de incidencias, inventariado de recursos, etc. - para la mejora en la gestión de los sistemas e infraestructuras), un proyecto de LOPD debería servir como base de un proyecto de seguridad de la información en sentido más amplio, es decir, tanto para la sensibilización y obtención del compromiso de los usuarios sobre la seguridad de TODA la información manejada por la organización, como para establecer "las reglas de juego" respecto a la utilización de los recursos y la implantación de las medidas tendentes a preservar dicha seguridad o, al menos, a mitigar los riesgos a los que la información se encuentra expuesta.

domingo, 12 de septiembre de 2010

Percepción social sobre protección de datos en la CAPV

Dos de las grandes peguntas que me hago de forma recurrente sobre la protección de datos de carácter personal son, respectivamente, cuál es la percepción de este tema por parte de la ciudadanía y cuál es el cumplimiento real de la normativa por parte de los responsables de los ficheros (tanto de ficheros de titularidad privada como pública).

Hay diversos estudios sobre ambas cuestiones, algunos de ellos muy interesantes, que vienen, en mi opinión, a demostrar la escasa o nula importancia que le damos los ciudadanos a este tema y el bajo grado de cumplimiento de la normativa vigente, tanto por parte de las empresas como por partes de las administraciones públicas, y, además, una evolución de ambos aspectos insuficiente o, al menos, muy lenta.

Uno de los estudios sobre la percepción social que me ha parecido muy interesante es el elaborado por el Gobierno Vasco y publicado en la página web de la Agencia Vasca de Protección de Datos (http://www.avpd.euskadi.net/s04-5249/es/contenidos/informacion/estudio/es_cuali/adjuntos/09tef2_avpd.pdf).

Se trata de un Estudio cuantitativo de la percepción social de la Ciudadanía de la Comunidad Autónoma del País Vasco (CAPV) de 2009 sobre el que me gustaría compartir y comentar aquellos datos que me han parecido más relevantes sobre la primera cuestión que planteaba.

Todos lo datos que se indican a continuación se han obtenido del citado informe y cuando se indican expresamente otras fuentes son las que en él figuran para determinados datos.

1º) Nivel de preocupación por la protección de datos personales:

Fuente: Flash Eurobarometer nº 225 (2008) "Data Protection". Datos de mayores de 15 años.

Tal y como se puede observar, aproximadamente el 40% de los ciudadanos vascos afirman estar muy o bastante preocupados por si sus datos personales están siendo adecuadamente protegidos por las instituciones públicas y las empresas privadas que disponen de ellos, mientras que casi el 60% afirman estar poco o nada preocupados.

Este nivel de preocupación en la CAPV es bastante inferior al de España y al de la media de la Unión Europea, en donde dicho nivel es muy similar: aproximadamente el 65% de los ciudadanos expresan estar muy o bastante preocupados y sólo un 35% afirman estar poco o nada preocupados.

Debo reconocer que me han sorprendido estos datos, no sólo ya por la acusada diferencia respecto a España y la media de la UE del porcentaje de personas que afirman estar muy o bastante preocupadas (en torno al 25% menos en la CAPV), sino por el elevado porcentaje de las personas que en la CAPV afirman no sentir ninguna preocupación (29%), frente al 12-15% que se así se manifiestan en España y en la Unión Europea.

Además, señalar que:

1º) El país en el que mayor porcentaje de ciudadanos afirman estar muy o bastante preocupados con este tema es Malta, con un 90%, seguido de Austria y Alemania (empatados con un 86%), mientras que el menor porcentaje se da en los Países Bajos (32%).

2º) Con respecto a ese mismo porcentaje, España ocupa el puesto número 16 (empatada con Hungría) de la lista de un total de 29 países analizados (en ella se incluyen a la Unión Europea y a la CAPV), mientras que la CAPV ocuparía la posición número 25.

3º) El país en el que mayor porcentaje de ciudadanos afirman no estar nada preocupados con este tema es Bulgaria, con un 32%, seguido por: Países Bajos (31%), República Checa (30%) y la CAPV (29%).

Mi conclusión en este sentido, que creo obvia y, por tanto, en la que todos coincidiremos, es que queda todavía una importantísima labor que hacer en lo que se refiere a la sensibilización y concienciación de los ciudadanos de la CAPV sobre la importancia de la protección de datos de carácter personal, al menos, para intentar acercar los valores de percepción ciudadana sobre este tema a los de la media de la Unión Europea.

2º) Evolución del nivel de preocupación por la protección de datos personales:
El nivel de preocupación por este tema en 2009 es muy similar al registrado en 2008, por lo que a corto plazo no parece haber una evolución significativa de dicho nivel.

El estudio también refleja los resultados obtenidos a la siguiente pregunta: ¿Y está usted más preocupado/a que hace 5 ó 6 años, igualmente preocupado/a (o despreocupado/a) o menos preocupado/a?, comparándose, además, los resultados obtenidos en 2009 con los que se obtuvieron para la misma pregunta en 2008:
Comparando los resultados obtenidos en 2009 con respecto a los de 2008, tampoco parece haber diferencias significativas en las respuestas dadas a esta pregunta, aunque hay un 5% más de ciudadanos que afirman que se sienten algo más preocupados por este tema que hace 5 o 6 años.
 
Sin embargo, para mí, el dato más reseñable es que, en ambos años, más de la mitad de la ciudadanía afirma sentirse igualmente preocupado/a (o despreocupado/a) que hace 5 o 6 años, cuando la evolución de la tecnología y de los usos que hacemos de la misma en esos 5 o 6 años pueden suponer una clara amenaza a nuestra privacidad.

Es decir, la evolución de la preocupación con respecto a los 5 o 6 años anteriores no parece, ni mucho menos, ir en paralelo a la evolución de las amenazas. No parecemos ser conscientes de los riesgos que para nuestra privacidad entrañan las nuevas tecnologías que están apareciendo, pero sobre todo no parece que nos demos cuenta de los riesgos inherentes tanto a un uso cada vez más masivo de la tecnología, como a los tipos de uso que hacemos de la misma.

Así, fenómenos que en esos 5 o 6 años han experimentado una evolución cuantitativamente exponencial y que pueden suponer una amenaza clara a nuestra privacidad – tales como: la proliferación de los sistemas de videovigilancia, los avances y uso cada vez más frecuente de los sistemas biométricos de reconocimiento, la utilización de las redes sociales (en las que, además, los menores de edad se han incorporado masivamente), la realización de compras por internet, y un largo etcétera – no parecen tener ningún impacto, o éste es muy pequeño, en la evolución de la preocupación que expresa la ciudadanía.


Como ya he dicho, el informe que se cita en este post me ha parecido muy interesante, profundiza mucho más en las variables mencionadas y analiza otras muchas, por lo que recomiendo una lectura detenida del mismo.

jueves, 2 de septiembre de 2010

LOPD a coste 0 (I)

Soy plenamente consciente de que se trata de un asunto “espinoso” y que, como tal, suele provocar una fuerte controversia, además de se un tema bastante antiguo. Sin embargo, no por ello creo que no haya que darle la importancia que merece o que carezca de interés.

En primer lugar y para quienes no estén familiarizados con ello, explicar brevemente que las empresas que ofertan la adecuación a la LOPD a coste 0 lo que proponen es la utilización de los créditos de formación continua gestionados por la Fundación Tripartita (el antiguo FORCEM) para adecuar las empresas a la LOPD, es decir, se utilizan fondos destinados a la formación de los trabajadores para la realización de trabajos de consultoría.

Las empresas que llevan a cabo esta práctica facturan al cliente en función del crédito de formación disponible y este último se lo deduce como formación bonificada en las cuotas a las Seguridad Social.

De esta manera, se pueden llega a producir distintos fraudes, entre los que cabe destacar los siguientes: el fraude ya apuntado a la formación subvencionada y, en consecuencia, a la Seguridad Social, y fraude fiscal, al prestarse servicios plenamente sujetos a IVA facturándolos como servicios exentos, es decir, al producirse una exención indebida del IVA.

Así y sobre el primero de los citados fraudes, hace poco tiempo, la Fundación Tripartita emitió un comunicado en el que se indicaba, entre otras cosas, que esta práctica puede llegar a ser constitutiva de fraude y que "Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social".

Mientras que, sobre ambos tipos de fraude, se hace eco una noticia que se ha publicado hoy (http://www.publico.es/dinero/334631/inem/detecta/fraude/fondos/formacion), en la que, bajo el titular “El INEM detecta fraude en los fondos de formación”, se afirma que “La investigación se centra sobre todo en las empresas que contrataron los servicios, ya que son las que se beneficiaron de créditos en las cuotas de formación profesional y por tanto habrían defraudado los fondos de formación. Además de las sanciones que puedan aflorar de la investigación de Empleo, la Fundación Tripartita ha puesto el caso en manos de la Agencia Tributaria, ya que las empresas podrían haber incurrido también en fraude fiscal. Según explicaron fuentes conocedoras de la investigación, las empresas estarían exentas de pagar el IVA por los cursos de formación, que no están gravados, pero no de los servicios de consultoría para la implementación de datos, a los que se debe aplicar el impuesto”.

De esta forma, entiendo que los posibles fraudes afectan tanto a las empresas que realizan los trabajos de adecuación a coste 0 como a sus clientes, caso del fraude fiscal, pero es más grave aún la posición en la que quedan los clientes, ya que como se indica en la noticia anterior, además, serían los que habrían defraudado directamente los fondos de formación.

Empezaba este post diciendo que soy consciente de que es un tema que genera controversia, ya que hay otros asuntos que entiendo que se relacionan con éste, a mi juicio indebidamente, tales cómo: si el cumplimiento de la Ley debe ser o no gratuito, etc., pero, al menos para mi, no cabe duda de que, además de los posibles fraudes mencionados, razón más que suficiente para erradicar esta mala práctica, se produce además una absoluta competencia desleal hacia las empresas que realizan la adecuación a la LOPD como lo que fundamentalmente son, es decir, proyectos de asesoría y consultoría, en los que la formación a los trabajadores forma parte integrante pero no constituye una parte cuantitativamente importante de los mismos (para la formación realmente impartida sí se pueden utilizar estos fondos), además de que yo personalmente dudo de la calidad del trabajo realizado por las empresas de LOPD a coste 0.

Para finalizar, decir que creo que es importante divulgar las consecuencias que se pueden derivar de esta mala práctica que realizan determinadas empresas, algunas de ellas con un marketing confuso y muy agresivo, con objeto de erradicarla y de ahí la publicación de este post.