miércoles, 26 de junio de 2013

El derecho al olvido en Internet: utopía o realidad (II)

Ya adelantaba en un post anterior que en mi opinión no existe el derecho al olvido en Internet y que hoy mismo se celebraba en Donosti un encuentro muy interesante que trataba precisamente de reflexionar sobre si realmente existe o no este derecho (también adelantaba que creo que el estado actual de la tecnología sí permitiría, aunque con matices, una implantación efectiva del mismo si hubiera una voluntad real para ello).

Una lástima no haber podido acudir al citado encuentro (aunque espero que Dani Villar, coautor de este blog y que sí ha acudido, escriba un post con sus impresiones),  ya que como bien decía  es un tema de "rabiosa" actualidad y, todavía más, por las noticias aparecidas ayer mismo en diversos medios de comunicación, que se refieren a un caso concreto que enfrenta a la Agencia Española de Protección de Datos (AEPD) y Google,  y que no hacen más que reafirmarme en mi modesta opinión de que hay que olvidarse del olvido.

- "La Justicia de la UE da la razón a Google sobre el derecho al olvido en Internet" (fuente: elpais.com), aunque como ellos mismos indican, esto no es del todo así (como ya sabemos, la máxima de la prensa es: "No dejes que la realidad te estropee un buen titular"), ya que el dictamen emitido por el abogado general del tribunal europeo, al que hace referencia la noticia, no es vinculante y la sentencia final se publicará en diciembre (por otra parte, ¡Olé! por la rapidez, ya que se trata de un asunto de 2010).

- El texto completo de las conclusiones del abogado general del Tribunal de Justicia de la UE (fuente: curia.europea.eu). Sólo se me ocurre decir: a estas alturas del campeonato, ¿todavía estamos así?. Necesitan aunar criterios "como el comer".

- Comunicado de prensa del Tribunal de Justicia de la UE (fuente: curia.europea.eu). "Blanco y en botella de leche...", ¿apostamos por cuál va a ser el sentido de la sentencia?.

- Nota informativa de la AEPD sobre el asunto. ¡Sin comentarios!.

Debate abierto, ¿Y tú qué opinas?.

lunes, 24 de junio de 2013

El informe CORA, la AVPD y la APDCAT

La Comisión para la Reforma de las Administraciones Públicas (CORA) ha elaborado un Informe, en el que, como muchos ya nos temíamos y en lo que se refiere a las autoridades de control de protección de datos de ámbito autonómico, afirma (página 106):

"En el momento actual, el régimen de protección de datos y la extensión de competencias de la Agencia Española de Protección Datos (AEPD) resulta uniforme y único en relación con el sector público y el sector privado, con las únicas excepciones de las CC.AA. de Cataluña y País Vasco, que cuentan con sus propias Agencias de Protección de Datos...
...existía una tercera autoridad, precisamente la más antigua en cuanto a su creación: la Agencia de Protección de Datos de la Comunidad de Madrid..., y cuyas competencias son ejercidas actualmente por la AEPD".

Y concluye, "con un par":

"Estudiadas las funciones desempeñadas por las Agencias autonómicas y la infraestructura existente en la AEPD, ésta podría ejercer las funciones de aquellas, con el consiguiente ahorro presupuestario para las respectivas Comunidades".

Digo que "como muchos ya nos temíamos" porque me parece evidente, y no sólo a mí ("Informe CORA: supresión de Agencias Autonómicas de Protección de Datos - País Vasco y Cataluña". Fuente: Privacidad Lógica), que la supresión de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) abrió la veda para la del resto de autoridades de control de protección de datos de ámbito autonómico, tal y como además ellos mismos argumentan para proponer estas supresiones.

No voy a volver a repetir los argumentos que con relación a este asunto expuse en el post "¿Deben desaparecer las autoridades de control de protección de datos de ámbito autonómico?", en el que ya quedó clara mi opinión respecto a que: no hay competencias duplicadas, para ello se debería dotar de más recursos y presupuesto a la AEPD, finalmente se ahorrará el "chocolate del loro", la importante labor que realizan las autoridades de control de ámbito autonómico, el "tufo centralista" que destilan este tipo de medidas, etc., pero si voy a volver a insistir en que "flaco" favor se hará al derecho fundamental a la protección de datos de los ciudadanos si finalmente se suprimen las agencias autonómicas.

Pues bien, para ello recomiendo leer la siguiente noticias, publicada no hace mucho, "El rendimiento de Protección de Datos, en tela de juicio por una sobrecarga de trabajo" (fuente: lainformación.com), en la que se afirma:

"La Agencia Española de Protección de Datos no da más de sí y su colapso está empezando a poner en entredicho sus procedimientos".

Basándose en que:

- "En los últimos doce meses se ha disparado el número de procedimientos que el organismo ha resuelto fuera del plazo legal".


- "En lo que llevamos de año, ha recibido más de 200 recursos de ciudadanos y empresas y la Audiencia le ha quitado la razón hasta 30 veces".


No sé, aunque a la Comisión esta le parezca una buena idea que la AEPD asuma las funciones de la AVPD y de la APDCAT, a mí me parece que los "expertos" que la integran han estudiado poco (lo digo por lo escueto de sus argumentaciones y conclusiones) y mal (creo que salta a la vista) esta problemática, y yo no lo veo claro.... Lo que sí me queda claro es que si el resto del informe tiene el mismo rigor yo empezaría por suprimir las comisiones, comenzando por ésta

martes, 11 de junio de 2013

La 'Buena', la FEA y la Banda

El pasado jueves 30 de mayo tuve el privilegio de participar como ponente con otros colegas de diversas Administraciones en la VIª Jornada de Reflexiones sobre la eAdministración, organizada como cada año por el grupo de estudios de NN.TT. del ICASV. Allí, y tras las excelentes ponencias de quienes me precedieron, que balanceaban conceptos y reflexiones tanto del ámbito del derecho como del ámbito más tecnológico, me apoyé en estas 'traspas' para repasar la evolución que han tenidos los mecanismos de acceso, identificación y autenticación de los usuarios en algunos de los servicios electrónicos que se han puesto a disposición de la ciudadanía desde el Departamento de Salud del Gobierno Vasco y Osakidetza.


Así, y con la ayuda del "reparto" de la famosa película de Sergio Leone fuimos haciendo las presentaciones:
  • La 'Buena' no deja de ser la "versión española" de la ONA, aunque de forma mucho más genérica quería hacer alusión a la Tarjeta Individual Sanitaria, la TIS y sus distintas versiones a lo largo de estos últimos años.
  • Con la FEA me refería al acrónimo de Firma Electrónica Avanzada.
  • Y finalmente, la Banda no era otra que la banda magnética que llevan todas las TIS en el reverso.
La finalidad de la charla consistía en hacer un breve repaso de lo que ha supuesto el proyecto de creación y despliegue en la CAE de una TIS y cómo, versionada, ha querido ser soporte para acceder a diversos servicios electrónicos por parte del Departamento de Sanidad o de Osakidetza.

Desde 1988 tenemos en Euskadi Tarjeta Individual Sanitaria, a cada año, a cada legislatura, como base para la implantación de políticas tanto sanitarias como económicas que daban soporte a las primeras. Así de los objetivos iniciales meramente censales, se fue utilizando para gestionar Cupos, para la gestión de Contratos Programa, para la correcta identificación y provisión de la asistencia sanitaria y para desplegar programas para la comunidad como las campañas de vacunación o el programa de atención dental infantil. Es decir, en sus inicios la fundamentación "del carné" era la de conocer "quiénes eran del club" y usarla de forma segmentada para poner en marcha algunos programas, pero eminentemente la de gestión y control de un servicio (competencia) recién transferido y que requería las herramientas mínimas para proveerlo.

Con los años, y la evolución tecnológica de la mano, habiendo pasado por alguna iniciativa piloto, surge como línea del plan Euskadi en la Sociedad de la Información dentro de la inciativa Euskadi 2000Tres, una primera TIS con chip para proveer un mecanismo único de acceso a servicios telemáticos entre profesionales sanitarios y para con la ciudadanía.

De forma evolutiva, y con notables mejoras técnicas además de procurar la adhesión de terceros al proyecto (administraciones locales, diputaciones, otros entes autónomos), surge la ONA en 2007. Esta tarjeta, que fusiona la tarjeta ciudadana de Izenpe y la TIS, proveía Firma Electrónica Reconocida además de mecanismos de identificación fuerte multicanal: juego de barcos para el canal telefónico, código de barras para identificación láser, banda magnética, antena de proximidad para la apertura de tornos, amén de todos los datos existentes en la TIS (con y sin chips) que garantizaban el acceso a la prestación sanitaria y a cualquier otro servicio anterior existente. La finalidad de desplegar la ONA obedecía a que nuestra legislación autonómica, el "Decreto de Medios" (junto con la Ley de Firma Electrónica), hacía obligatoria la utilización de una Firma Electrónica Reconocida para acceder e interactuar con los servicios telemáticos de la Administración.

El despliegue de la ONA no llegó a producirse al 100% de la ciudadanía y, sin ánimo de entrar en ninguna connotación política, además del importante coste que puede suponer desplegar toda una infraestructura de PKI para la población, se avecinaban dos amenazas a este proyecto: de una parte, la LAESCP, que rebajaba el umbral de seguridad en la identificación del usuario para acceder los servicios a Firma Electrónica Avanzada en lugar de Firma Electrónica Reconocida. De otra, "las barreras de acceso" o "alfabetización digital" que podía suponer en algunos colectivos el uso de certificados electrónicos en una tarjeta. El despliegue del DNI electrónico, seguía siendo paulatino aunque limitado, y no deja de proveer un mecanismo de FER también.

Así, y ya en 2012 el nuevo Decreto de Administración Electrónica rebaja, al igual que en el resto del Estado, el estándar mínimo de seguridad para consumir servicios electrónicos de la Administración a FEA. Esto no quiere decir en ningún caso que no se pueda acceder a los servicios de la administración con una ONA o con un DNIe, sino que estos servicios tendrán que adaptarse a mecanismos alternativos basados en Firma Electrónica Avanzada de forma complementaria.

Así es como nace @FeA, el sistema que la Administración Pública a través de Izenpe pone a disposición para proveer FEA sin necesidad de usar certificados electrónicos y que también explicamos. Este sistema también admite certificados electrónicos, incluso Firma Electrónica Reconocida.

La arquitectura del sistema es sencilla y se asemeja a la que muchos ya usamos en entidades financieras, etc. Un modelo de autenticación multifactor: "algo que sé + algo que tengo". Algo que tengo es la TIS (con un número y un juego de barcos usado tradicionalmente para la identificación fuerte en el canal telefónico). Algo que sé, será un PIN que nos facilitarán para activar la TIS y que será nuestra "clave".

Los sistemas de identificación, que aún aceptan sólo ONA, DNIe, TIES, etc. (como el de la Carpeta Personal de Salud, por ejemplo) están remodelándose para adaptar también este nuevo sistema más sencillo, cómodo y económico. Aquel quien decida seguir usando su tarjeta, su certificado electrónico para acceder a los servicios podrá seguir haciéndolo.

Al finalizar la charla también vimos cómo funciona la identificación de los actores en el proyecto de e-Ŕezeta. El profesional sanitario prescribe medicación en su consulta usando Firma Electrónica Reconocida mediante su TPE (su tarjeta de profesional sanitario, o certificado en la nube), al igual que en la vida real rubrica una receta de papel. Por otra parte, el paciente acudirá a una oficina de farmacia donde se le expenderá aquello prescrito por el médico haciendo entrega de la TIS. En la farmacia se leerá la banda magnética de la tarjeta para realizar la identificación y acceso al sistema de información donde se almacenan las prescripciones del titular de esa TIS así como el descuento a aplicar, en función del segmento de copago que le corresponda.

A la vista de estos elementos (actores) y las distintas experiencias siempre quedan muchas reflexiones por hacerse en varios frentes. Yo dejaré un par de ellas, las mías, por si a alguien le da por seguir buscando preguntas, amén de respuestas.
  • Tenemos 17 TIS autonómicas y el único consenso al que se ha llegado, de mínimos, es la información que porta el anverso de la TIS, así como la información codificada en la banda magnética. Aún hoy, carecemos en el Estado y en Europa entera de un sistema o nodo de interoperabilidad real para el intercambio de datos sanitarios entre Sistemas y Servicios de Salud, al igual que entre Administraciones (locales, forales y autonómicas, trans-fronterizas, etc.).
  • Tenemos una importante suerte de servicios electrónicos desplegados en la CAE, unos de ellos están en sede, otros no, pero todos y cada uno de ellos dispone de sus mecanismos de identificación y autenticación de los usuarios / ciudadanos / pacientes. Quizás deberíamos avanzar también en el desarrollo de un sistema centralizado, global, de identificación y autenticación y de Single Sign-On que permitiera, una vez identificado al ciudadano, dejarle pasar a todos los servicios que quiera consumir sin hacerle pasar por el proceso de autenticación cada vez. Por ejemplo: pedir una cita en Osakidetza, pedir un volante de empadronamiento en el ayuntamiento, consultar la declaración del IRPF en la Diputación de Bizkaia, consultar el estado de una ayuda económica solicitada a un Departamento del Gobierno Vasco en sede electrónica, consultar las notas de un curso de doctorado en la UPV/EHU o pagar una multa de tráfico. De verdad parece quimérico... pero tecnológicamente no lo es. Ya existen incontables servicios que "se federan" para proveer identificación "única" en internet. ¿A cuántos servicios distintos de Facebook se puede acceder con credenciales de Facebook, por poner un ejemplo grosero?.
Lo cierto es que tanto el ICASV como Jesús Soler, Sonia Prieto y Gontzal Gallo como anfitriones y conductores de la jornada se rodearon de otros colegas de profesión que fueron desgranando cada cual en su charla distintas aplicaciones prácticas y experiencias relacionadas con sus quehaceres diarios, así como dejarnos abiertas puertas para, en lo sucesivo, seguir profundizando y debatiendo sobre estos temas tan apasionantes que plantea la legislación vigente enumerada en este post.

Es una suerte que existan y se promuevan este tipo de foros de encuentro que facilitan la cooperación entre letrados y tecnólogos, profesiones tan diferentes pero al tiempo cada vez más imbricadas para concluir con éxito proyectos enmarcados en la seguridad, privacidad, protección de datos y confianza. Ese es el por qué más importante que tiene Pribatua en su génesis y la razón por la que co-organizamos, por ejemplo, la IIª EuskalSecuriTIConference junto con el Colegio Oficial de Ingenieros en Informática de Euskadi y el Gobierno Vasco.