sábado, 30 de octubre de 2010

Problema de Ajedrez (I)

Blancas juegan y dan mate en 2.

Realmente las negras lo tienen muy mal, ya que se encuentran en clara desventaja. No obstante, el reto es dar jaque mate en 2 movimientos.

Os animo a meter la solución como comentario.





SOLUCIÓN (CREO QUE NO VÁLIDA):

Como os decía en el segundo comentario de este post, tras repasar la solución que proponía, creo que esta solución no es válida, ya que me había dejado una variante en la que no veo el jaque mate en dos movimientos (es decir, después del primer movimiento de las blancas que las negras muevan Tf6). Os indico esta variante al final, después del resto de variantes en las que sí se produce jaque mate en dos movimientos.

Posteriormente incluyo la solución que indica en un comentario mi amigo y coautor de este blog Dani, y que creo que sí es válida.

1. Tf4


Yo pensaba que hicieran lo que hicieran las negras se producía el jaque mate en el siguiente movimiento, pero esto sólo es verdad en la mayoría de las variantes, ya que como digo, al menos, hay una en la que ese jaque mate se retrasa más.

Si gxf4      2. Cxf4++


Si g4      2. Axf7++


Si Txf4      2. Cxf4++


Si Te5      2. Cf6++


Si Ae5 (o cualquier otro movimiento del Alfil)      2. Ce3++


Si c4      2. dxc4++


Si Tf6      2. No veo el jaque mate en el siguiente movimiento


SOLUCIÓN:

1. Ah7


Si c4      2. dxc4++


Si Ae5 (o cualquier otro movimiento del Alfil)      2. Ce3++


Si Te5      2. Cf6++


Si Tf4      2. Cxf4++


Si Tf3 ó Tf6      2. Ae4++


Si f6      2. Ag8++


jueves, 21 de octubre de 2010

Guía implantación LOPD en Pymes (VIII)

En este último post de la serie trataré sobre la implantación de las medidas y normas de seguridad asociadas a implantar en la adecuación de pymes y micropymes a la LOPD.


Debe quedar claro, tal y como se indicaba en un post anterior, que las obligaciones de la normativa vigente en materia de protección de datos no dependen del tamaño de la empresa y, por tanto, obligan por igual a autónomos, pequeñas, medianas y grandes empresas, ya que sus exigencias se establecen en función del nivel de seguridad aplicable a los datos que maneja la organización (básico, medio y alto).

No obstante, lo habitual en pymes y micropymes es que sólo existan datos de nivel básico y que los sistemas de información automatizados existentes no presenten una gran complejidad, por lo que la implantación de las medidas técnicas en estos últimos no será tampoco muy compleja.

También debe tenerse en cuenta que la normativa establece qué medidas deben implantarse (por ejemplo: identificación y autenticación ante los sistemas de información, copias de seguridad de los ficheros o tratamientos automatizados,…) y ciertas exigencias básicas sobre las mismas (la identificación de los usuarios debe ser inequívoca y personalizada, es decir, no se permitirá la utilización de identificativos de usuario comunes a grupos de usuarios, las copias de seguridad se deberán realizar, al menos, semanalmente, salvo que los datos no hayan sufrido ninguna modificación,…), pero no cómo debe hacerse (por ejemplo: no se establece si las copias de seguridad deben realizarse de forma desatendida o manual,…), por lo que puede ser válido emplear diferentes mecanismos para implantar las medidas, siempre y cuando se cumplan esas exigencias sobre las mismas requeridas por la normativa.

Recordar también lo dicho en un post anterior sobre que los niveles de seguridad son acumulativos, es decir, las medidas de seguridad de nivel básico son aplicables a todos los ficheros con datos de carácter personal, los ficheros de nivel medio deben cumplir las medidas de nivel básico y medio, y los ficheros de nivel alto deben cumplir las medidas de nivel básico, medio y alto.

El Documento de Seguridad constituye la entrada de esta tercera actividad y, por tanto, todos los aspectos de las medidas y normas a implantar deberán estar convenientemente desarrollados en dicho documento.

Dicho todo lo anterior, a continuación repasaré las medidas y normas de seguridad más relevantes a implantar:

1. NIVEL BÁSICO (de aplicación a TODOS LOS FICHEROS con datos de carácter personal):

1.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

1.1.1. Identificación y autenticación (artículo 93 del RDLOPD):

En esta actividad se trata de verificar o proceder a establecer los mecanismos que permitan la identificación de forma inequívoca y personalizada de cada usuario, y la comprobación de que está autorizado (lo más habitual será la utilización de códigos de usuario y contraseña). Todo ello conforme a lo que se haya establecido en el Documento de Seguridad (Fase 2).

Además, se deberá verificar o proceder a establecer los mecanismos para almacenar las contraseñas de forma ininteligible (en la práctica, cifradas) y para forzar el cambio de contraseña con la periodicidad que se determine también en el Documento de Seguridad.

En cuanto al procedimiento de asignación y distribución que garantice la confidencialidad e integridad de las contraseñas, mi propuesta consiste en que éste forme parte del procedimiento de control de acceso a recursos, implantado en la actividad anterior de esta misma fase, y en que se establezcan los mecanismos oportunos para forzar el cambio de contraseña suministrada por defecto por parte del usuario tras su primer acceso.

Un aspecto adicional y que a mí me parece importante es el de establecer también los mecanismos oportunos tanto para evitar que los usuarios puedan utilizar contraseñas débiles (igual que el código de usuario, compuesta por un número no suficiente de caracteres, etc.) y, por tanto, para garantizar que las contraseñas de usuario sean conformes a la normativa interna que se crea conveniente (compuesta por un número mínimo de caracteres, combinación de letras, dígitos y caracteres especiales, etc.), como para evitar que ante su cambio por haber transcurrido el plazo de uso establecido para la contraseña, el usuario utilice la misma que en anteriores períodos de vigencia.

1.1.2. Copias de respaldo y recuperación (artículo 94 del RDLOPD):

Se trata de verificar o proceder a establecer los mecanismos o procedimientos de actuación para la realización, al menos semanalmente, de las copias de seguridad (backup) de los datos, salvo que en dicho período no se hayan actualizado los mismos.

En la actividad anterior de esta misma fase se habrán implantado los procedimientos de: realización de copias de respaldo, recuperación de datos y solicitud de pruebas con datos reales (con objeto de garantizar que éstas se realizan previa copia de seguridad), por lo que en esta actividad únicamente habrá que exigir y verificar que se utilizan y cumplen éstos adecuadamente.

En la normativa recogida en el Documento de Seguridad se deberá indicar qué persona o personas y con que periodicidad, al menos cada seis meses, se encargarán de verificar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos, por lo que éste será otro aspecto que habrá que seguir en esta actividad.

1.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

1.2.1. Criterios de archivo (artículo 106 del RDLOPD):

Se trata de establecer las pautas básicas para el archivo de la documentación (alfabético, cronológico, etc.), y que en todo caso deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.

Lo habitual para la documentación manejada por pymes y micropymes es que no exista una legislación que fije dichos criterios, por lo que le corresponde a la pyme o micropyme establecer los criterios y procedimientos de actuación que deben seguirse para el archivo (por ejemplo: para el archivo de la documentación del personal – contratos, partes de vacaciones, partes de gastos, solicitudes de acciones formativas, etc. –, para el archivo de curriculums vitae de candidatos a puestos de trabajo, etc.).

Mi propuesta es que estos criterios de archivo se fijen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en asegurarse o proceder a que toda la documentación se archive conforme a los criterios establecidos, y en la exigencia de su utilización y verificación del correcto uso de los mismos.

1.2.2. Dispositivos de almacenamiento (artículo 107 del RDLOPD):

En esta actividad habrá que asegurarse de que todos los dispositivos de almacenamiento de los documentos (armarios, cajones, etc.) que contengan datos de carácter personal disponen de mecanismos que obstaculicen su apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a aquellos que no dispongan de ellos.

1.2.3. Custodia de los soportes (artículo 108 del RDLOPD):

Se trata simplemente de exigir que el personal que accede a la documentación para su revisión o tramitación se involucre en su custodia y utilice los mecanismos puestos a su disposición para evitar el acceso por parte de personal no autorizado (que no haya puestos de trabajo en los que se apilen un montón de documentos con datos de carácter personal, que las mesas queden limpias de documentación en ausencias prolongadas del puesto de trabajo y a la finalización de la jornada laboral, etc.).

Por tanto, en esta actividad se trata sólo de verificar que se cumple el deber de custodiar convenientemente la documentación en proceso de revisión o trámite por parte de los usuarios.

1.3. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

1.3.1. Funciones y obligaciones de los usuarios (artículo 89 del RDLOPD):

Conforme a las fases que propongo, estas funciones y obligaciones se establecen en la Fase 2, “Definir y elaborar Documentación adecuación”, y, por tanto, esta actividad consistirá en exigir que los usuarios cumplen con dichas funciones y obligaciones y en verificar dicho cumplimiento.

1.3.2. Registro de incidencias (artículo 90 del RDLOPD):

Se trata, sin más, de exigir que los usuarios utilicen el procedimiento de notificación, gestión y respuesta ante incidencias implantado en la actividad anterior de esta fase y verificar su correcto uso, tanto por parte de quienes comunican las incidencias, como por parte de las personas responsables de su resolución.

1.3.3. Control de acceso (artículo 91 del RDLOPD):

En el anterior post se habló del procedimiento a implantar para autorizar, modificar o revocar los permisos asignados a los usuarios para el acceso a los recursos, y en esta actividad se trata de implantar las medidas correspondientes para garantizar que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

Esto implicará tanto establecer los permisos correspondientes en los sistemas de información automatizados (aplicaciones y funcionalidades de las mismas, unidades de red, carpetas compartidas, periféricos, etc.), en base a perfiles y/o códigos de usuario, como el poner a disposición de los usuarios autorizados los mecanismos de acceso a dispositivos de almacenamiento de la documentación, etc.

1.3.4. Gestión de soportes y documentos (artículo 92 del RDLOPD):

Se trata de verificar y/o proceder a establecer los mecanismos pertinentes, que deberán estar convenientemente recogidos en el Documento de Seguridad (Fase 2), para que los soportes y documentos permitan identificar el tipo de información que contienen (etiquetado de soportes y carpetas, etc.).

Los soportes y documentos deberán ser considerados como recursos protegidos y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeta su gestión al procedimiento establecido al efecto e implantado en la actividad anterior de esta fase (fundamentalmente y en lo que respecta a soportes y documentos que contengan datos de ficheros de nivel básico, la correspondiente autorización para su salida fuera de los locales bajo el control del responsable del fichero o tratamiento, siempre y cuando dicha salida no se encuentre debidamente autorizada en el Documento de Seguridad).

Asimismo, en esta actividad se deberá dotar a los usuarios de los dispositivos pertinentes (para el transporte, destructoras de documentos y de soportes magnéticos, etc.) y verificar que se cumple la normativa establecida en el Documento de Seguridad respecto a las medidas a adoptar en el caso de traslado o desecho.

2. NIVEL MEDIO (ver artículo 81 del RDLOPD, apartado 2, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

2.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

2.1.1. Identificación y autenticación (artículo 98 del RDLOPD):

Se trata de establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

Típicamente el límite de intentos reiterados de acceso a los sistemas se suele establecer en tres intentos, tras los cuales se procede al bloqueo de la cuenta de usuario y se precisa de la intervención de un Administrador del Sistema autorizado para su desbloqueo.

El bloqueo de una cuenta de usuario deberá recogerse como una incidencia más, a través del procedimiento establecido para ello. Aspecto que también habrá que seguir en esta actividad.

2.1.2. Control de acceso físico (artículo 99 del RDLOPD):

Mi propuesta es que el control del acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información forme parte integrante del procedimiento de control de acceso a recursos implantado en la fase anterior y, por tanto, también le es de aplicación lo indicado para dicho control de acceso en este post, es decir, se trata de que sólo los usuarios autorizados dispongan de los mecanismos de acceso a dichas ubicaciones.

2.1.3. Registro de incidencias (artículo 100 del RDLOPD):

En la actividad anterior se habrán implantado tanto el procedimiento correspondiente a la notificación, gestión y respuesta ante incidencias, como el correspondiente registro de incidencias. Pues bien, en el caso de verse involucrados en una incidencia datos de carácter personal a partir de nivel medio y ser necesario realizar procesos de recuperación de datos, dicho procedimiento considerará el incluir en el registro de incidencias la información pertinente sobre dichos procesos de recuperación y la previa autorización a su ejecución por parte de la persona designada en el Documento de Seguridad.

Por tanto, en esta actividad sólo habrá que seguir que se cumplan ambos aspectos en caso de ser necesario ejecutar procesos de recuperación de datos.

2.2. De aplicación a FICHEROS O TRATAMIENTOS TANTO AUTOMATIZADOS COMO NO AUTOMATIZADOS:

2.2.1. Responsable de Seguridad (artículos 95 y 109 del RDLOPD):

Se trata de designar a una persona de la propia organización como aquella a la que el responsable del fichero asigna formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

En pymes y micropymes bastará con la designación de una única persona encargada de coordinar y controlar las medidas definidas para la totalidad de los ficheros o tratamientos existentes.

Esta designación debe ser formal, yo recomiendo la utilización de un formulario de designación e incluir éste en el Documento de Seguridad.

Aunque esta medida sólo es obligatoria si se dispone de ficheros a partir del nivel de seguridad medio, yo suelo recomendar que esta designación se lleve a cabo siempres, es decir, aunque sólo se disponga de ficheros de nivel básico, pues en mi opinión es la única forma de realizar un efectivo control, seguimiento y mejora continua de las medidas implantadas, y de que la responsabilidad en esta materia no se diluya en la organización por la falta de una persona responsable de este tema.

2.2.2. Auditoría (artículos 96 y 110 del RDLOPD):

A partir del nivel medio se deberán lleva a cabo auditorías, al menos cada 2 años, para verificar la adecuación de las medidas de seguridad a lo dispuesto sobre ellas en el RDLOPD.

Mis recomendaciones sobre estas auditorías son las siguientes:

• Realizarlas incluso si se dispone únicamente de datos de nivel básico, aunque no exista obligación.

• Si se dispone de ficheros de nivel medio y/o alto, incluir en el ámbito de la auditoría, además de dichos ficheros (sobre los que es obligatorio realizarla), los ficheros de nivel básico.

• Ampliar el alcance de esta auditoría para incorporar también las verificaciones pertinentes sobre otras disposiciones legales y reglamentarias (deber de informar, solicitud del consentimiento de los interesados, etc.).

• Realización con personal interno en el caso de disponerse sólo de ficheros o tratamientos de nivel básico y con personal externo en el caso de verse involucrados ficheros o tratamiento de nivel medio y/o alto.

2.2.3. Gestión de soportes y documentos (artículos 97 del RDLOPD):

En la actividad anterior se habrá implantado el procedimiento correspondiente a la gestión de soportes y documentos, y que, en el caso de datos de carácter personal a partir de nivel medio, considerará el mantener actualizado el registro que reglamentariamente se exige en el caso de entradas y salidas de soportes y documentos.

Por tanto, el registro de Entrada/Salida de soportes y documentos también se habrá implantado en la fase anterior, siendo objeto de esta actividad exigir y verificar una utilización correcta tanto de dicho procedimiento, como del mencionado registro de Entrada/Salida.

3. NIVEL ALTO (ver artículo 81 del RDLOPD, apartado 3 y siguientes, para conocer sobre qué ficheros o tratamientos son aplicables las medidas correspondientes a este nivel):

3.1. De aplicación a FICHEROS O TRATAMIENTOS AUTOMATIZADOS:

3.1.1. Gestión de soportes y documentos (artículo 101 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de: distribución de soportes y dispositivos portátiles que se utilicen fuera de las instalaciones del responsable del fichero, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.1.2. Copias de respaldo y recuperación (artículo 102 del RDLOPD):

Se trata de proceder a conservar una copia de respaldo y de los procedimientos de recuperación de los mismos en una ubicación diferente de la que se encuentran los equipos informáticos que los tratan o, en el caso de que no sea posible guardar una copia de los ficheros en un lugar distinto y no sujeto a los mismos riesgos, adoptar medidas complementarias para paliar el riesgo, tales como: ubicar la copia en armarios ignífugos, implantación de sistemas antiincendio, etc.

3.1.3. Registro de accesos (artículo 103 del RDLOPD):

Se trata de implantar los mecanismos que permitan el registro de accesos exigido por el RDLOP y que el responsable de seguridad revise, al menos una vez al mes, la información de control registrada y elabore un informe de las revisiones realizadas y los problemas detectados.

Los mecanismos a implantar para cumplir con esta obligación, en mi opinión la exigencia más difícil de cumplir adecuadamente de toda la normativa, pueden ser múltiples y muy diversos (por software en las propias aplicaciones, utilizando herramientas de los gestores de bases de datos, etc.).

Los responsables de ficheros que sean personas físicas y siempre que únicamente y exclusivamente esa persona física acceda y trate los datos personales están exentos de cumplir esta medida. De esta forma, por ejemplo, los autónomos que sólo accedan y traten ellos los datos no estarían obligados a cumplirla.

3.1.4. Telecomunicaciones (artículo 104 del RDLOPD):

Se trata de implantar las herramientas técnicas y/o mecanismos necesarios para el cifrado de la información en el caso de la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas, si se precisa dar la correspondiente formación para su utilización, y exigir y verificar su uso.

3.2. De aplicación a FICHEROS O TRATAMIENTOS NO AUTOMATIZADOS:

3.2.1. Almacenamiento de la información (artículo 111 del RDLOPD):

En esta actividad habrá que asegurarse de que todas las áreas en las que se encuentren los dispositivos de almacenamiento de los documentos (armarios, archivadores, etc.) que contengan datos de carácter personal disponen de puertas de acceso dotadas de sistemas de apertura (llave o mecanismo equivalente) y/o dotar de dichos mecanismos a las puertas de acceso que no dispongan de ellos.

En el caso de que, debido a las características de los locales, no fuera posible cumplir con lo anterior, deberán estudiarse e implantar medidas alternativas que, debidamente motivadas, deberán figurar en el Documento de Seguridad.

Además, yo creo que es importante y, por tanto también sería objeto de esta actividad, verificar que se satisfagan los siguientes requisitos:

• Estas ubicaciones o áreas permanezcan cerradas cuando no se precise el acceso a la documentación.

• Estas áreas deberán ser consideradas como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso, tanto al procedimiento de control de acceso a recursos del que se habló en el post anterior, como a lo indicado sobre este mismo asunto en este post.

• En el caso de que, por cualquier motivo esporádico, exista la necesidad de acceso a estas áreas por personal externo, su permanencia temporal en estas ubicaciones deberá estar supervisada en todo momento por personal interno autorizado.

3.2.2. Copia o reproducción (artículo 112 del RDLOPD):

Se trata de verificar que la generación de copias o la reproducción de los documentos únicamente sea realizada bajo el control del personal autorizado en el Documento de Seguridad y de que se proceda a la destrucción de las copias o reproducciones desechadas conforme a la normativa también establecida en el Documento de Seguridad.

3.2.3. Acceso a la documentación (artículo 113 del RDLOPD):

Esta documentación deberá ser considerada como un recurso protegido más y, por tanto, estar convenientemente inventariadas en el Documento de Seguridad y su acceso restringido a personal autorizado, estando sujeto dicho acceso al procedimiento de control de acceso a recursos del que se habló en el post anterior.

En el caso de documentos que puedan ser utilizados por múltiples usuarios se deberán establecer los mecanismos que permitan identificar los accesos realizados. En mi opinión, la forma más fácil de cumplir este requisito es la de establecer plantillas básicas en soporte papel para recoger la información sobre los accesos e incorporarlas al inicio de las carpetas, archivadores etc. que contengan los documentos a los que se va a acceder, aunque caben también otras soluciones.

Por tanto, en esta actividad se trata de ir verificando que se van cumpliendo los requisitos aplicables y detallados en el Documento de Seguridad.

3.2.4. Traslado de documentación (artículo 114 del RDLOPD):

Se trata de verificar que, en el caso de que se proceda al traslado físico de la documentación, se adopten las medidas recogidas en el Documento de Seguridad con objeto de impedir el acceso, manipulación de la información objeto de traslado o pérdida de la misma.

Medidas típicas en este sentido son: realizar dichos traslados en sobres o contenedores debidamente cerrados, sellados o precintados, identificar cada uno de ellos con el número de sobre o contenedor con respecto al total de sobres o contenedores que van a ser objeto de traslado, etc. y, en mi opinión, otra medida adicional que considero importantes es su almacenamiento en un dispositivo o área segura hasta el momento en el que se inicie el traslado y/o después de la recepción y hasta su entrega al destinatario.

Por supuesto, cualquier incidencia que se detecte en el traslado físico de la documentación estará sujeta al procedimiento de notificación, gestión y respuesta ante incidencias establecido en el Documento de seguridad e implantado en la actividad anterior de esta misma fase.



Con este post finalizo esta serie, cuyo único objetivo ha sido, tanto contribuir a divulgar de una forma comprensible la normativa vigente en materia de protección de datos, como aportar mi granito de arena para facilitar la adecuación de pymes y micropymes a dicha normativa, dándome por satisfecho si esto ha servido a alguna de ellas para abordar dicha adecuación o aclarar dudas al respecto.

Por lo dicho, debe quedar claro que esta modesta guía no ha pretendido tratar de una forma exhaustiva las exigencias de la normativa, sino aportar mi visión sobre los aspectos más básicos de la misma, e incluso que hay otros aspectos que no he tratado en estos posts (grupos de empresas, transferencias internacionales de datos, etc.) y que, en función de la actividad de la pyme o picropyme concreta, podría ser necesario abordar. Es más, en base a la problemática que se plantee en cada caso, creo que podría ser muy aconsejable contar con asesoramiento externo especializado a la hora de abordar un proyecto de adecuación a la LOPD.

Para finalizar, indicar determinados links con información que considero puede ser muy interesante a la hora de acometer un proyecto de adecuación a la LOPD:

- Agencia Española de Protección de Datos (https://www.agpd.es/):

• “Guía de Seguridad de Datos 2010”. NUEVO!

• Guía Modelo de “Documento de Seguridad”. NUEVO!

• “Guía del Responsable de Ficheros”.

• “Guía. La protección de datos en las relaciones laborales - 2009”.

• “Guía de videovigilancia - 2009”.

Todas las guías se pueden descarga de:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/index-ides-idphp.php

- Instituto Nacional de Tecnologías de la Comunicación (http://www.inteco.es/):

• “Guía para empresas: cómo adaptarse a la normativa sobre protección de datos” (http://www.inteco.es/Seguridad/Observatorio/manuales_es//GuiaManual_LOPD_pymes).

domingo, 17 de octubre de 2010

Cumplimiento LOPD (II)

Un indicador sobre el cumplimiento de la normativa vigente en materia de protección de datos que me parece interesante es el siguiente:

FICHA TÉCNICA:

Definición: Porcentaje de sanciones/infracciones sobre el total de procedimientos de sanción/infracción resueltos por la AEPD.

Periodicidad: Anual.

Fuente: Memoria anual de la AEPD.

Subcategorías: General, Titularidad privada, Titularidad pública.

EVOLUCIÓN DEL INDICADOR:

Período analizado: Años 2006 a 2009.

ILOPD001-SIN-GE:

Subcategoría: General.
Considerando la totalidad de los procedimientos de sanción e infracción resueltos por la AEPD, en el año 2009 se puede observar un incremento del porcentaje de procedimientos que finalizan con una resolución sancionadora o declaración de infracción (hasta alcanzar el 86,72%) respecto a los dos años inmediatamente anteriores (83,78% en 2008 y 84,09% en 2007).
ILOPD001-SIN-PR:

Subcategoría: Titularidad privada.
Considerando únicamente los procedimientos de sanción a responsables de ficheros de titularidad privada resueltos por la AEPD, en el año 2009 se puede observar también un incremento del porcentaje de procedimientos que finalizan con una resolución sancionadora (hasta alcanzar el 87,59%) respecto a los dos años inmediatamente anteriores (84,92% en 2008 y 85,71% en 2007).
ILOPD001-SIN-PU:

Subcategoría: Titularidad pública.
Considerando únicamente los procedimientos de infracción a responsables de ficheros de titularidad pública resueltos por la AEPD, en el año 2009 se puede observar también un incremento del porcentaje de procedimientos que finalizan con una declaración de infracción (hasta alcanzar el 79,78%) respecto a los dos años inmediatamente anteriores (74,68% en 2008 y 74,24% en 2007).

En 2009 este porcentaje de declaraciones de infracción es menor (un 7,81% menos) que el porcentaje de resoluciones sancionadoras en el caso de ficheros de titularidad privada, pero presenta un mayor crecimiento respecto al año anterior (un 5,09% más) que en el caso de las citadas resoluciones sancionadoras (un 2,67% más).

jueves, 14 de octubre de 2010

Cumplimiento LOPD (I)

Decía en un post anterior que una de las grandes preguntas que me hago de forma recurrente sobre la protección de datos de carácter personal es: ¿cuál el nivel de cumplimiento real de la normativa por parte de los responsables de los ficheros (tanto de ficheros de titularidad privada como pública)?.
Pues bien, con éste inicio una serie de posts para, en la medida de mis posibilidades (conocimiento e información de la que dispongo) y siendo consciente de la dificultad que ello conlleva, proponer una serie de indicadores que permitan, sin mayor pretensión, arrojar un poco de luz sobre el grado actual de cumplimiento de la normativa vigente en materia de protección de datos de carácter personal por parte de las organizaciones.

Previamente y en este primer post me gustaría compartir cierta información que sobre este asunto he encontrados en la página web de INTECO (Instituto Nacional de Tecnologías de la Comunicación - http://www.inteco.es/), y que dicho sea de paso creo que está haciendo una labor excelente, y no sólo en lo que se refiere a la protección de datos.

Me refiero a los indicadores del Observatorio de la Seguridad de la Información (http://www.inteco.es/indicators/Seguridad/Observatorio/Indicadores/), donde se puede encontrar información referida, entre otros muchos, a indicadores de “Protección de datos”, actualmente sólo disponibles para las categorías de “Empresas” y de “Administraciones” (para la categoría “Hogares y ciudadanos”, aunque está previsto, de momento no hay disponible ningún indicador referido a este tema).

Dicho esto, en posteriores posts incluiré la información y mis comentarios sobre los indicadores de INTECO que me parecen más relevantes y la de otros que yo considero interesantes.

domingo, 10 de octubre de 2010

La AEPD supera los 2.000.000 de ficheros inscritos

El pasado mes de septiembre, la AEPD publicó en su página web una noticia con el título: “La Agencia Española de Protección de Datos supera los dos millones de bases de datos inscritas por empresas y organismos públicos” (Ver noticia completa en: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/septiembre/100907_NP_2_MILLONES.pdf).

Una noticia que aparentemente puede ser positiva, ya que de ella puede deducirse a primera vista un mayor grado de cumplimiento de la normativa vigente en materia de protección de datos de carácter personal, pero que yo creo que está más ligada al autobombo que a otra cosa.

En primer lugar y aunque no tiene nada que ver con lo anterior, la verdad es que me sorprendió el término “Bases de datos” empleado en el titular de la noticia, en lugar de “Ficheros”, que creo que es el término correcto y el que se emplea en parte del resto de la noticia. El término “Bases de datos” puede inducir a error, al poder entenderse que se refiere a ficheros automatizados y, por tanto, que sólo es necesario notificar para su inscripción este tipo de ficheros.

En segundo lugar, creo que las autoridades de control utilizan muy a menudo este dato, sin mayor análisis del mismo, ligándolo a un mayor cumplimiento de la normativa, yo diría incluso que como principal indicador para demostrar un cumplimiento creciente de la misma, otorgándole una importancia que, a mi juicio, no merece.

No digo que no sea un dato importante a considerar (aunque no en sí mismo), pero yo creo que este tipo de noticias y su aparición estelar en las memorias de las autoridades de control están más ligadas a la autocomplacencia de dichas autoridades que a su importancia de cara a obtener conclusiones válidas respecto al cumplimiento de la LOPD.

Ejemplo de algunas afirmaciones que se recogen en la noticia mencionada y que me hacen llegar a la conclusión anterior son las siguientes:

- “La notificación de bases de datos [y dale con lo de bases de datos] ante la AEPD es una de las principales obligaciones que prevé la LOPD tanto para entidades públicas como privadas”.

No se falta a la verdad cuando se dice que es una de las principales obligaciones, pero, en mi opinión, se debería decir en su lugar que es una obligación básica e inexcusable, ya que sino puede darse la falsa impresión de que con la notificación de los ficheros las empresas y organismos públicos cumplen o están muy cerca de cumplir la normativa, lo que todos sabemos que no es verdad ni de lejos.

- “Las comunidades de propietarios son el sector con el mayor número de notificaciones, acumulando la cifra de 241.000 ficheros,…”. ¿Qué tienen que ver los ficheros de la comunidades de propietarios con los de las empresas y organismos públicos?. En el titular de la noticia sólo se hace referencia a empresas y organismos públicos, pero después aparecen las comunidades de propietarios como el sector con mayor número de notificaciones realizadas. Pero aún así, ¿Cuántas comunidades de propietarios hay en España?. Supongo que muchas más de 241.000, que es el número total de ficheros inscritos por este sector, pero es que, a nada que cada una de ellas notifique dos ficheros, el número de comunidades de propietarios que han cumplido con esta obligación podría ser ridículo respecto al total de las existentes.

- “Más de 729.000 entidades han inscrito sus bases de datos [y dale con lo de bases de datos] en el RGPD, una de las principales obligaciones legales que prevé la LOPD [y dale, ¿con esto ya casi se cumple?]”. Pues no sé, pero a mí me parecen muy pocos responsables de ficheros, sobre todo si se incluyen las comunidades de propietarios, pero es que también me parecerían muy pocos responsables de ficheros si se excluyen éstas (¿Cuantas grandes empresas, pymes y micropymes, ayuntamientos, sociedades públicas, diputaciones, gobiernos, juzgados, centros educativos, colegios profesionales, asociaciones, y un largo etcétera, hay en España?.

Nótese, además, que la media de ficheros inscritos por entidad sería de 2,75 ficheros. Intuitivamente me parecen pocos, lo que podría llegar a plantear otras cuestiones, tales como: ¿Declaran las entidades todos los ficheros que deben?, ¿Cuál es la calidad de la información sobre los ficheros inscritos en el RGPD?, etc.

No sé a vosotros, pero a mí estos datos me dan la impresión de que todavía estamos en un nivel de cumplimiento de la LOPD muy bajo, debido a que de ellos deduzco que todavía muy pocas entidades cumplen con algo tan básico como la notificación de ficheros. Todo ello agravado porque, como ya he mencionado, la notificación de ficheros no implica cumplir con la LOPD (seguro que muchas entidades que lo han hecho no cumplen después con el resto de la normativa o sólo cumplen con otros aspectos formales), pero lo que a mí me parece más claro es que quién no notifica los ficheros difícilmente cumplirá con el resto de la normativa.


Por tanto, en mi opinión y como resumen de la noticia comentada, lo dicho: autobombo y autocomplacencia de la AEPD, pero nada que ver con el grado de cumplimiento de la normativa.

martes, 5 de octubre de 2010

Frases célebres sobre informática (III)

Sigo recopilando frases célebres sobre la informática o relacionadas con ella que me han gustado. Ahí va una tercera entrega:

- “Los ordenadores se hacen cada vez más inteligentes. Los científicos dicen que pronto ellos serán capaces de hablarnos (y con ‘ellos’ me refiero a los ordenadores, dudo mucho de que los científicos sean capaces de hablarnos)” - Dave Barry.

- “Depurar es al menos dos veces más duro que escribir el código por primera vez. Por tanto, si tu escribes el código de la forma más inteligente posible no serás, por definición, lo suficientemente inteligente para depurarlo” - Brian Kernighan.

- “Hay únicamente dos problemas realmente duros en informática: el primero es la invalidación de cachés, y el segundo darles nombres apropiados a las cosas” - Phil Karlton.

- “El esfuerzo de utilizar las máquina para emular el pensamiento humano siempre me ha parecido bastante estúpido. Preferiría usarlas para emular algo mejor”. - Edsger Dijkstra.

- “La generación de números aleatorios es demasiado importante como para ser dejada al azar” - Robert R. Covey.

- “Una documentación voluminosa es parte del problema, no de la solución”. - Tom DeMarco.

- “Hay una cosa peor que un programa que no funciona como debe: un programa que funciona como no debe” - Bob Archer.

- “Cuídate de los programadores que llevan destornillador” - Leonard Brandwein.

- “Cometer fallos es humano. Y echarle las culpas a un ordenador, aún más”. - Robert Orben.

- “La inteligencia artificial nunca podrá competir con la estupidez natural” - Anónimo.

- “No hay parche que corrija la estupidez” - Kevin Mitnick.