jueves, 29 de agosto de 2013

LoPPd, o cómo tergiversar una Ley torticeramente según mi interés

Esta mañana he leído estupefacto la siguiente noticia en el País: "El PP destruyó el disco duro que Bárcenas instaló en su ordenador en 2012", en la que se informa:

"Fuentes del PP han alegado esta mañana que el borrado se efectuó en cumplimiento del artículo 92.4 de la Ley de Protección de Datos que señala que cuando una trabajador deja su puesto de trabajo los documentos o datos de "carácter personal" deberán destruirse o borrarse mediante la adopción de medidas dirigidas a evitar el acceso a información contenida en el mismo",

lo que, sin entrar en mayores disquisiciones (que se podría y me dan muchas ganas de hacerlo, para demostrar que lo que han dicho es una soberana patochada, pero no lo voy a hacer porque sería entrar a su juego), todos los que nos hemos tomado la molestia de conocer la normativa española vigente en materia de protección de datos sabemos que es radicalmente falso y, además, que se hace una interpretación del citado artículo que se puede calificar como de auténtica "burrada".

Lo triste de la LOPD, cuya pretensión es y debe seguir siendo salvaguardar el derecho fundamental de los ciudadanos a la protección de los datos de carácter personal que les conciernen, no es ya que valga para cualquier cosa (si usted no se lleva bien con alguien, denúnciele, que es gratis y siempre habrá algo que podrá utilizar en su contra, o niéguese "de mano" a facilitar cualquier información que le soliciten, ya que siempre podrá afirmar, aunque sea totalmente falso en ese caso - eso es lo de menos -, que se lo prohíbe la LOPD, e incluso, visto lo visto, su religión), sino que, además, muy a menudo se pretende tergiversar de forma torticera, constante y conscientemente (como es el caso, y no es la primera vez) para que diga lo que le interese a uno que diga (y lo más grave es que, incluso y como también es el caso, ante jueces y tribunales - que algo tendrán que decir al respecto, vamos digo yo -).




Definitivamente nos toman por gilipollas y, aunque sólo sea por decoro y para intentar que se mantenga el debido respeto a la norma, aunque sé que peco de ingenuo, también debería decir algo la AEPD sobre este asunto.   

martes, 27 de agosto de 2013

La pequeña historia del Ajedrez (IV)

Tal y como comentaba en el post anterior, los problemas de Ajedrez son muy antiguos. Los maestros árabes ya componían problemas de Shatranj y estos se llamaban mansuba (en plural, mansubat), que se puede traducir como arreglo, posición o situación.

Dichos problemas solían componerse como una secuencia de jaques que conducían inexorablemente al jaque mate.

Quizás el más famoso de la antigüedad es el conocido como "problema de Dilaram".

Cuenta la leyenda que un rey persa se apostó su reino a una partida de Shatranj con un príncipe de un país del lejano oriente, y... perdió.

Al tío cafre, para intentar recuperar su reino, no se le ocurrió otra cosa que pedir la revancha, jugándose esta vez a su bella esposa, que se llamaba Dilaram.

Pues bien, en la parte final de la partida se dio la posición que sirve de gráfico ilustrativo a este post, es decir, el "rey lo tenía de colores" (más bien de color negro, aunque él jugaba con las piezas blancas), ya que aunque era su turno el príncipe amenazaba con darle jaque mate en la siguiente jugada.

Concluye la leyenda que Dilaram, aunque yo le hubiera mandado a "hacer puñetas" (a no ser de que el príncipe fuera tan agraciado físicamente como el hijo de un torero y una tonallidera), le chivó al rey los movimientos que le hacían ganar la partida.

¿Qué movimientos le chivó Dilaram al rey para que ganara la partida y, por consiguiente, para que recuperara su reino y, de paso, no perderla a ella?.

Para describirlos utilizaremos la notación algebraica que comentamos en el post anterior (incluyendo las letras para identificar las piezas, es decir: (C)aballo, (A)lfil o elefante, (T)orre y (R)ey), aunque usaremos el tablero y las piezas del Shatranj.

La posición en cuestión era la siguiente:


Una pista muy importante para resolverlo: el Elefante (precursor del Alfil moderno), tal y como indiqué en un post anterior, se movía dos casillas en diagonal saltando la primera de ellas.

Pues bien, la solución consistía, tal y como le chivó Dilaram al rey, en "abandonar las torres" (sacrificarlas), de la siguiente manera:

1. Th8+              Rxh8


2. Af5+              Rg8


3. Th8+              Rxh8


4. g7+                Rg8 


5. Ch6++


La pequeña historia del Ajedrez (III)

Los problemas de Ajedrez son muy antiguos, los maestros árabes ya componían problemas de Shatranj hace muchos siglos, y han contribuido de forma decisiva a difundir este juego.

Antes de poner algunos ejemplos de problemas famosos en los siguientes posts de esta serie, e incluso de partidas o posiciones célebres, tenemos que hablar de la notación algebraica, que es la notación oficial que se utiliza para representar por escrito la secuencia de los movimientos del Ajedrez.

En esta notación se utiliza una letra mayúscula para identificar a las piezas del tablero (en castellano, las siguientes):


Es decir, cada una de las piezas (excepto el peón, que no tiene asociada ninguna letra) se identifica por la letra mayúscula correspondiente a la inicial de su nombre, en castellano: (C)aballo, (A)lfil, (T)orre, (D)ama y (R)ey.

Cada una de las casillas o escaques es identificada de manera inequívoca por la intersección de una letra (de la 'a' a la 'h') y de un dígito (del '1' al '8').

Para ello, en las columnas se colocan dichas letras, de izquierda a derecha, y en las filas los dígitos (en orden ascendente comenzando por la primera fila correspondiente al jugador que juega con las piezas blancas, que se sitúan siempre en la parte inferior del tablero).

Las letras que identifican a las piezas se escriben en mayúsculas y las correspondientes a las columnas en minúsculas.

Un movimiento básico se describe por la letra de la pieza que se mueve (sin letra para el peón) seguida por la identificación de la casilla destino o a la que se mueve (letra de la columna y dígito de la fila).

Ejemplos:
Un movimiento de captura se describe por la letra de la pieza que se mueve o captura (si es un peón por la letra de la columna en la que se encuentra) seguida por el carácter `x' e, igual que en el movimiento básico, por la identificación de la casilla destino o en la que se encuentra la pieza a capturar (letra de la columna y dígito de la fila).

Ejemplos:
En el caso de ambigüedades, es decir, que dos piezas del mismo tipo se puedan mover a la misma casilla destino, estas se resuelven insertando la letra de la columna en la que se halla la pieza a mover después de la letra que la identifica.

O, en el caso de que ambas piezas estén situadas en la misma columna, insertando el dígito de la fila en la que se encuentra la pieza a mover después de la letra que la identifica.

Ejemplos:
El enroque corto (lado del rey) se representa mediante 0-0, mientras que el enroque largo (lado de la dama) se representa mediante 0-0-0.

La promoción de un peón al alcanzar la octava fila se representa mediante la identificación de la casilla destino, es decir, en la que promociona el peón, seguida del carácter '=' y de la letra que identifica a la pieza a la que promociona.

Ejemplos:
Por último, si un movimiento provoca jaque se indica con el carácter '+' inmediatamente después del movimiento, mientras que para el jaque mate se utiliza '++' o '#'.    

Ejemplos:

domingo, 25 de agosto de 2013

La pequeña historia del Ajedrez (II)

Tras el post anterior de esta serie me he animado a investigar por Internet con objeto de aprender sobre la historia del Ajedrez. En este post hago un breve resumen de lo que yo he entendido sobre su origen y evolución hasta convertirse en el juego que conocemos hoy en día, aunque no ha sido fácil, pues existe muchísima información sobre ambas cuestiones y, en muchas ocasiones, ésta es un tanto confusa, por controvertida.

El Ajedrez fue introducido en la península ibérica por los árabes y la hipótesis más aceptada es que proviene del juego persa Shatranj, que a su vez proviene del juego hindú Chaturanga. Así, el nombre Ajedrez provendría del árabe hispánico aššaṭranǧ o aššiṭranǧ, éste del árabe clásico šiṭranǧ, éste del pelvi (lengua persa) čatrang, y éste del sánscrito čaturaṅga"de cuatro miembros".

CHATURANGA:

Según la mayoría de expertos parece ser que el juego conocido como Chaturanga es el ancestro más probable del Ajedrez.

Este juego que se cree originario de la India representaba una batalla en un tablero de 64 casillas.

El nombre Chaturanga proviene del sánscrito (chatur: cuatro y anga: miembro o cuerpo) y podría significar "cuatro miembros o cuerpos", en referencia a las cuatro partes o fuerzas que integraban un ejército: infantería, caballería, elefantes y carruajes.

Hay autores que creen que comenzó siendo un juego para cuatro jugadores en el que se enfrentaban dos parejas, y que posteriormente, al fusionarse las piezas de los componentes de cada una de las parejas (aliados), surgió el juego a dos jugadores.

SHATRANJ:

El Chaturanga pasó de la India a Persia (actual Irán), su nombre persa era Chatrang, y posteriormente se extendió por el mundo islámico, pasando a llamarse Shatranj.

Se cree que, con algunas variaciones, las piezas, sus movimientos y las reglas eran muy similares a las del Chaturanga.

Cada uno de los dos jugadores colocaba en la primera de sus respectivas filas: un rey, un consejero, dos elefantes, dos caballeros o caballos y dos carruajes o torres, más ocho soldados o peones en la siguiente fila.

- El rey, el caballo y la torre se movían como sus respectivas piezas del Ajedrez.

- El peón también se movía igual que en el Ajedrez, pero no tenía la posibilidad de mover dos casillas en su posición inicial.

- El consejero (precursor de la dama o reina moderna) se movía una casilla en diagonal.

Realmente se llamaba alferza (del árabe hispánico alfarza, abreviación del árabe clásico firzān, éste del persa farzin, y éste del pelvi frāzen"guardián"), siendo el equivalente de un visir o consejero real. Su limitado movimiento hacía de esta pieza una de las más débiles del tablero

- El elefante (precursor del alfil moderno) se movía dos casillas en diagonal saltando la primera de ellas.


Como en el Ajedrez moderno se podía obtener la victoria dando jaque mate (del árabe aššāh māt"el rey ha muerto"al rey adversario, pero, a diferencia de éste, también se podía ganar la partida capturando todas las piezas del adversario (excepto el rey, y siempre y cuando éste no pudiera hacer lo propio, es decir, capturar también la última pieza del rival en la siguiente jugada, en cuyo caso la partida concluía en empate o tablas) o ahogando al rey contrario (es decir, cuando al rival sólo le quedaba como movimiento válido la opción de mover el rey y no lo podía hacer a una casilla que no se encontrara amenazada por una pieza rival).

AJEDREZ:

El Shatranj evolucionó a lo largo de los siglos al ajedrez moderno, aunque no de forma totalmente uniforme, dependiendo dicha evolución de las zonas concretas a las que se iba expandiendo.

Así, las modificaciones más importantes que se realizaron gradualmente en cuanto a las piezas, movimientos y reglas son las siguientes:

- El peón tiene la posibilidad de avanzar dos casillas cuando se encuentra en su posición inicial, pudiendo ser capturado al paso por otro peón (es decir, inmediatamente después de mover dos casillas puede ser capturado por un peón adversario como si sólo hubiera movido una casilla), y puede promocionar a cualquier otra pieza, salvo peón o rey, al alcanzar la octava fila (en el Shatranj sólo promocionaba a Alferza).


- Al elefante o alfil (del árabe hispánico alfil, éste del árabe clásico fīl , y éste del pelvi pīl, "elefante"), se le dota de una mayor capacidad de movimiento, ya que se puede mover en diagonal a través de todas las casillas que estén sin ocupar (en el Shatranj se movía dos casillas en diagonal), pero no puede saltar ninguna casilla (en el Shatranj saltaba la primera). Por tanto, a partir de este momento, la única pieza que puede saltar casillas es el caballo.

La representación de esta pieza cambia, hasta el momento un elefante, pasando a ser su representación más habitual la mitra de un obispo (incluso el nombre de la pieza cambia a obispo en algunos idiomas, por ejemplo en inglés pasa a denominarse 'bishop').


- El alferza se convierte en la dama o reina y pasa de ser una de las piezas más débiles a convertirse en la más poderosa y, por consiguiente, la más valiosa después del rey. Pasa de poder moverse una única casilla en diagonal a combinar de forma simultánea los movimientos de la torre y el alfil.

- Se incluye el enroque como movimiento válido, es decir, el movimiento simultáneo del rey y una torre situados en sus posiciones iniciales (sin que se haya realizado ningún movimiento previo de ninguna de ambas piezas) de tal manera que el rey mueve dos casillas a la izquierda (enroque largo) o dos a la derecha (enroque corto) y la torre del lado correspondiente salta por encima del rey para situarse a su lado. Este movimiento sólo puede efectuarse si no hay ninguna pieza entre el rey y la torre involucrada en el enroque, si el rey no se encuentra en posición de jaque y si ninguna de las dos casillas por las que se mueve el rey en la jugada está amenazada por una pieza del adversario.

- Ahogar al rey contrario significa que la partida acaba en empate o tablas, y no como en el Shatranj, que acababa con la victoria del jugador que lo conseguía.

- La partida no se gana capturando todas las piezas adversarias a excepción del rey.  

miércoles, 21 de agosto de 2013

La pequeña historia del Ajedrez (I)

El Ajedrez ha sido, desde que era muy pequeño, un juego que me ha fascinado siempre.

Un juego tan "simple", inventado hace muchos siglos, esconde posibilidades infinitas; es, al mismo tiempo, matemáticas, psicología, creatividad, estrategia, táctica, intuición, técnica, iniciativa, defensa, cambio, engaño, error... Es decir, casi me atrevería a decir que la vida es como el Ajedrez, y no al revés.

¿Cuál es su origen?. Muchas culturas se atribuyen su invención y existen muchas leyendas al respecto, aunque hoy en día la hipótesis más aceptada es que tuvo su origen en la India.

De todas las leyendas que circulan sobre su origen recuerdo la que leí hace mucho tiempo en un libro titulado "Cómo jugar y ganar al Ajedrez" y que fue "la biblia del Ajedrez" para mí y mis hermanos en aquellos frecuentemente lluviosos y, por consiguiente, largos días de agosto en Gorliz. En él se explicaba su historia y su evolución a lo largo del tiempo hasta llegar a convertirse en el juego actual, se contaban curiosidades, se explicaba desde cero cómo jugar (piezas, sus movimientos, las aperturas,...) y se reproducían grandes partidas de la historia.

Pues bien, aunque se trata de una historia muy conocida, yo no fui capaz en su momento de entenderla en su completa magnitud cuantitativa, aunque ya sospechaba que ésta era enorme, y en este post trato de llegar a hacerme una idea aproximada de la misma.

Cuenta la leyenda que un rey hindú maravillado por el juego que había inventado un súbdito suyo - el Ajedrez - quiso recompensarle por su ingenio y le concedió un deseo.

El súbdito, tras una profunda reflexión, le dijo: "Mi deseo es que me deis un grano de trigo por la primera casilla del tablero, el doble de esa cantidad por la siguiente, el doble de la segunda por la tercera, el doble de la tercera por la cuarta, y así sucesivamente".

El rey no se podía creer que le pidiera tan poco (debo reconocer que cuando lo leí, yo tampoco - menuda porquería de deseo, pensé) y,  tras preguntarle si estaba seguro de su elección, se lo concedió y dio orden de que se le entregara el trigo solicitado.

Sin embargo, al día siguiente, los contables de la corte se presentaron ante el rey para informarle de que la petición era imposible de cumplir; no sólo no era suficiente con todo el trigo almacenado en los graneros del reino, sino que tampoco sería suficiente con lo almacenado en todos los graneros del mundo.

¿Por qué?, preguntó el rey (me empezaba a caer bien este tipo, porque yo hubiera preguntado lo mismo y me estaban entrando unas enormes ganas de cortar cabezas; si no soy capaz de cumplir este mísero deseo el que es una mierda de rey soy yo). A lo que le contestaron, habían estado haciendo cálculos toda la noche, que para satisfacer esa petición serían necesarios, nada más ni nada menos, que 18.446.744.073.709.551.615 granos de trigo, es decir y si no me equivoco, dieciocho trillones cuatrocientos cuarenta y seis mil setecientos cuarenta y cuatro billones setenta y tres mil setecientos nueve millones quinientos cincuenta y un mil seiscientos quince granos de trigo.

¿Cómo sale esta cifra?:

a) Es bien sabido que el ajedrez se juega sobre un tablero de 8 filas y 8 columnas, es decir, tiene 8 x 8 = 64 casillas o más apropiadamente escaques (según la primera acepción del diccionario de la lengua española, escaque significa: "Cada una de las casillas cuadradas e iguales, blancas y negras alternadamente, y a veces de otros colores, en que se divide el tablero de ajedrez y el del juego de damas").  

b) Conforme a la petición del súbdito habría que sumar 1 grano por la primera casilla, 2 por la segunda, 4 por la tercera, 8 por la cuarta y, así sucesivamente. Por tanto, se trata del sumatorio de potencias de 2, desde i = 0 hasta 63:

c) Para su cálculo, en lugar de sumar el resultado de todas estas potencias de 2, podemos emplear la fórmula que nos permite conocer la suma de los n términos de una progresión geométrica con sólo saber el primer término (en nuestro caso 1) y la razón de la progresión (en nuestro caso 2). Aplicando esta fórmula a nuestro caso nos daría el siguiente resultado:


d) Utilizando Excel para este cálculo (hay que tener en cuenta que el resultado se mostrará redondeado, ya que Excel sólo tiene 15 dígitos de precisión y el resultado exacto es de 20 dígitos), nos sale:

POTENCIA(2;64) - 1 =  18.446.744.073.709.600.000que es el valor que utilizaré para posteriores cálculos.

Tres ejemplos para hacernos una idea de lo impresionante de esta cifra:

1. Para hacernos una idea estrictamente cuantitativa de la cantidad de trigo que sería necesaria para atender semejante petición basta con decir que, según la FAO, el pronóstico actual (11 de julio de 2013) para la producción mundial de trigo 2013/14 es de 704,1 millones de toneladas. Si tenemos en cuenta, como he leído por ahí, que un grano de trigo pesa de promedio 35 mg:

18.446.744.073.709.600.000 granos / (704.100.000.000.000 gramos / 0,035 gramos/grano) = 18.446.744.073.709.600.000 granos /  20.117.142.857.142.900 granos = 916,17

Por tanto, el rey debería disponer para satisfacer el deseo de su súbdito de más de 900 veces la producción mundial de trigo prevista para 2013/14.

2. En segundo lugar, para hacernos una idea del esfuerzo económico que le hubiera supuesto al rey satisfacer este deseo, tomando como referencia el PIB español, que es actualmente, más o menos, 1 billón de euros (10 elevado a 12), y si estimamos que el precio medio del trigo se puede situar en este momento entorno a 250 euros/tonelada (es un precio muy variable y no me ha resultado fácil consultarlo):

18.446.744.073.709.600.000 granos * 0,00025 euros/gramo * 0,035 gramos/grano / 1.000.000.000.000 euros = 161,41

De lo que resulta que sería necesario más de 160 veces el PIB español actual.

3. Por último, nada mejor para hacernos una idea más aproximada del resultado que acudir a cifras astronómicas, nunca mejor dicho y perfectamente aplicables a un número de semejante tamaño.


Considerando que la distancia que separa la tierra del sol es de 149.600.000 km (km arriba o abajo) y que cada grano de trigo tiene de promedio una longitud de 8 mm, tal y como también he leído por ahí:

18.446.744.073.709.600.000 granos / 149.600.000.000.000 mm / 8 mm/grano = 986.456,90

Es decir, poniendo semejante cantidad de granos de trigo uno detrás de otro podríamos cubrir casi un millón de veces la distancia de la tierra al sol.

Nada cuenta la leyenda, al menos que yo sepa, sobre lo que le ocurrió al súbdito que había formulado ese deseo, pero los reyes de aquella época no solían tener precisamente un sentido del humor muy "fino" y, por tanto y si esta historia es cierta, me temo que no acabó muy bien para él (por lo menos a mí, cuando terminé de leerla, se me habían pasado las ganas de decapitar a los contables y, en su lugar, me entraron unas tremendas ganas de cortarle la cabeza a él, por "listillo").

lunes, 19 de agosto de 2013

Problema de Ajedrez (II)

Blancas juegan y dan mate en 3 movimientos.



Mucho más fácil que el primer problema que puse en este blog.



Como siempre, os animo a meter la solución como comentario.

SOLUCIÓN:

1. Txa6+


Si Rxa6                   2. Da4++



Si Txa6                     2. Dd7+



Si Db7 ó Dc7          3. Dxb7++ ó Dxc7++



Si Rb6                     3. c5++



miércoles, 14 de agosto de 2013

Por qué el "fin de la recesión" europea apenas cambia las cosas

Acabamos de conocer que en el segundo trimestre del año (de abril a junio), las economías de Alemania y Francia han crecido más de lo previsto, y apuntan a una recuperación sostenible de su actividad tras meses de recesión. (fuente Eurostat).

Es una buena noticia para Euskadi, por dos motivos:

1) Porque ambos países son los principales clientes de las empresas de nuestro país en el exterior.

2) Y sobre todo, porque al parecer, su crecimiento se debe en gran medida a la demanda interna, esto es, a un mayor consumo de los hogares, de las empresas y de los gobiernos, que vuelven a invertir significativamente en gasto público. En el caso de Alemania,  por retomar obras frenadas por un invierno especialmente duro.

Sea como fuere, si Alemania y Francia reactivan progresivamente su demanda interna, las empresas vascas vuelven a tener una oportunidad. Hay que tener en cuenta, que los pedidos industriales en Euskadi acumulan en lo que vamos de año un desplome del 9%. (fuente INE junio 2013). Y que el frenazo de principios de año de ambos países ha explicado buena parte de nuestra segunda recesión, y el fuerte aumento del desempleo.

Así que el inesperado (por mejor de lo previsto) crecimiento de ambos países abre una importante puerta a la esperanza en una siquiera tímida recuperación de la economía vasca, que mejore algo las pésimas previsiones para este 2013.

Ahora bien, ¿qué pasa con España?

Evidentemente, que la eurozona salga "en bloque" de la recesión le favorece. España va en un tren que comienza a andar gracias a que las locomotoras han arrancado. Pero lo hace en el furgón de cola, y a remolque del tirón de cabeza. España no tiene motor; bastante con ir enganchada al convoy, aunque eso no garantice gran cosa.

De hecho, España sigue técnicamente en recesión.  A 30 de junio, su PIB cayó un -0’1% (fuente INE). Es cierto que parece próximo un exiguo crecimiento, pero también lo es, que sigue adoleciendo de un problema básico: su demanda interna sigue muerta. No hay inversión en las empresas, no hay consumo privado, y no hay gasto público, en gran parte debido a una banca que sigue sin sanearse, y por lo tanto sin dar crédito en condiciones que animen a compras o inversiones. Se da por seguro que en otoño el gobierno español tendrá que pedir un segundo "rescate" financiero a Europa, porque el primero de 40 mil millones de euros se ha quedado corto. Europa le concedió la posibilidad de prestarle para ese fin un máximo de 100 mil. Parece que ha llegado el momento de utilizar al menos parte de lo que tiene a su disposición.

Así las cosas, ¿de dónde va a salir el crecimiento de su economía?. Desde el gobierno español insisten en una clave: las exportaciones. Vender fuera compensará lo que no se vende dentro, y de hecho, gracias a ese incremento exterior, nos dicen, la economía española va remontando.

Ante ese argumento, varios datos:

- La comunidad autónoma con mayor ratio exportador es Euskadi. Vendemos fuera un 30% de lo que hacemos, aunque hay sectores como el de Máquina Herramienta cuyas exportaciones alcanzan hasta el 80 o incluso 90% de lo que producen (fuente, AFM mayo 2013).

España apenas exporta la mitad del global de Euskadi, el 15%. (Santiago Niño Becerra, catedrático de Economía Aplicada en la universidad Ramón Llul en entrevista a Radio Euskadi el 12-8-13). Además, los índices de pedidos a la industria española y de sus cifras de negocio acumulan pérdidas en lo que vamos de año de entre el 4 y el 7%. (fuente INE agosto 2013). Con semejantes cifras, ¿cómo pretende España impulsar su economía?.

- Alemania exporta, aproximadamente, el 60% de su producción total. También es verdad que se trata de un volumen absolutamente inaudito para un país de su tamaño.

Dos consideraciones añadidas:

España acumula unas importantes necesidades de deuda que tendrá que satisfacer en un mercado que sigue dudando de su capacidad de crecimiento. En su plan de sostenibilidad, el gobierno español se ha comprometido con Europa a buscar recursos extra de aquí al 2015 por valor de 150 mil millones de euros. Y según acaba de dar a conocer el colectivo de técnicos del Ministerio de Hacienda GESTHA, entre 2010 y 2013, el Estado ha dejado de recaudar 2.000 millones de lo previsto con las medidas de ajuste y reforma fiscal aprobadas tanto por Zapatero como por Mariano Rajoy (fuente, GESTHA agosto 2013).

'Si no crecemos, no pagamos’ - Carlos Salinas de Gortari, candidato a la presidencia de Méjico en 1987, tras darse cuenta de que la política de créditos para refinanciar la deuda de su país facilitada por Estados Unidos en el conocido como ‘plan Baker’, no estaba sirviendo para sacar a Méjico de la quiebra en la que cayó en 1982. A partir de ahí, las cosas cambiaron.

La previsión para España es que en los dos últimos trimestres crezca en torno al 0’1%, y en los dos próximos años ese crecimiento se "dispare" hasta el 1’3% en el mejor de los casos.

¿Qué conclusión tenemos que sacar de todo esto?. Quizá, la de un otoño "movidito".

martes, 13 de agosto de 2013

Medidas de seguridad LOPD (I): Funciones y obligaciones del personal

Inicio con este una serie de posts para dar a conocer, de forma comprensible, las medidas de seguridad que se establecen en la normativa vigente en materia de protección de datos de carácter personal, pero sobre todo para concienciar y sensibilizar sobre la importancia de una efectiva implantación de las mismas en las organizaciones y para, en base a mi experiencia, dar una serie de pautas para ello, ya que son estas medidas las que posibilitan realmente evitar o, al menor, mitigar los riesgos a los que están expuestos los datos de carácter personal y, por extensión, la información que manejan las organizaciones.

Digo: "al menos, mitigar", porque hay que partir de la premisa de que la seguridad es como la felicidad, ninguna de las dos existe al 100%, lo que no significa que ambas no sean muy importantes y que no haya que hacer lo que podamos para intentar alcanzarlas.

"El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados".
- Gene Spafford - 

Por tanto, creo que la seguridad total no existe en ningún ámbito de la vida, y la seguridad informática (aspecto muy importante cuando hablamos de privacidad y protección de datos de carácter personal, pero también en general de la seguridad de la información manejada por las organizaciones) no es una excepción.

Dicho lo anterior, reflexiono sobre el factor que entiendo fundamental para lograr una seguridad razonable (creo que también aplicable a la felicidad, pero éste es otro tema): las personas.

La primera de las medidas establecidas en el Reglamento de Desarrollo de la LOPD (RDLOPD), artículo 89, entiendo que va en esa línea y se refiere a las funciones y obligaciones del personal.

¿Es esto una medida de seguridad?. Pues sí, definir las funciones y obligaciones del personal y llevarlas a la práctica, concienciando a las personas de su importancia, no sólo es una medida de seguridad sino que, en mi opinión, es el factor critico de éxito más importante cuando se trata de implantar un sistema de seguridad de la información, de su efectivo cumplimiento y de su mejora continua. Hay muchas frases célebres que así nos lo recuerdan:


"Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que ni entiendes los problemas ni entiendes la tecnología” .
- Bruce Schneier -

"La seguridad de la información es un asunto de personas, procesos y tecnología".
- Bruce Schneier -

“Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores”.
- Kevin Mitnick -

Por tanto, queda clara la gran relevancia que tienen/tenemos las personas en la seguridad de la información, pero entonces y basándome en mi experiencia: ¿por qué es una de las medidas más difíciles de implantar convenientemente?.

Pues bien, esto es así porque las personas que dirigen las organizaciones:

1.- Entienden que la seguridad de la información es un gasto superfluo, cuando no directamente inútil (pero, ¿cuánto dices que cuesta?, si nunca pasa nada, si aquí somos pocos y nos conocemos todos, esto de la seguridad no aporta nada y, además, dificulta nuestro trabajo y es imposible implantarlo en el día a día,...).

2.- Como consecuencia, no le prestan ninguna atención y, por tanto, no le dedican los recursos humanos y materiales necesarios (sólo quieren "cubrir el expediente" en la medida de que se trate de un requerimiento legal y sólo por temor a sanciones económicas y/o a que se divulgue la existencia de fallos de seguridad, o sólo lo hacen cuando al final sí que pasa algo y sólo hasta que se les pasa el susto).

3.- No comprenden que se trata de un proceso y, por tanto, que requiere de recursos suficientes de forma continuada en el tiempo para su supervisión y mejora continua (verificación del cumplimiento, detección y corrección de deficiencias o fallos en el sistema de seguridad implantado, permanente actualización y adecuación en base a la evolución de la organización y de las amenazas, y ante cambios de las disposiciones legales y reglamentarias en esta materia, respectivamente, etc.).

4.- Y, por supuesto, no entienden la importancia de una correcta comunicación, formación y sensibilización del personal, con el objetivo no sólo de exigirle el cumplimiento de las medidas de seguridad, sino, más importante aún, de involucrarle en dicho cumplimiento y en la mejora continua del sistema de seguridad implantado en la organización.

"La seguridad no es un producto, es un proceso".
- Bruce Schneier -


"Dime y lo olvido, enséñame y lo recuerdo, involúcrame y lo aprendo".
- Benjamín Franklin -

a) Qué dice el citado artículo 89 del RDLOPD:

"1. Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
2. El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.".

b) Recomendaciones para su efectiva implantación:

En base a mi experiencia, me permito dar una serie de pautas para implantar convenientemente esta medida de seguridad en las organizaciones.

b.1) Establecer una estructura organizativa y de control sólida:

Creo que hay muchas maneras de que las cosas se hagan mal o de que directamente no se hagan en una organización, pero resulta obvio que las más seguras para que esto ocurra son: no encomendar una tarea a nadie o encomendársela a todos, ya que en el primer caso nadie se sentirá responsable de llevarla a cabo, mientras que en el segundo esa responsabilidad quedará perfectamente "diluida", lo que hará que en la práctica esta segunda opción no se diferencie absolutamente en nada de la primera.

Como digo caben otras muchas posibilidades: no definir las responsabilidades de cada uno a la hora de llevar a cabo la tarea, encargársela a una o varias personas que no cuenten con el respaldo de la dirección para ello, que no estén motivadas o no tengan los conocimientos suficientes para ejecutarla, encomendársela a un número de personas insuficiente en organizaciones grandes y/o complejas, etc.

Por tanto, la primera de las recomendaciones consiste en definir e implantar en la organización una estructura organizativa y de control sólida en materia de protección de datos de carácter personal. Lógicamente, esta estructura organizativa dependerá en gran medida de la problemática concreta de la organización en esta materia y del propio organigrama de la misma, pero una primera aproximación para una organización de tamaño medio o grande podría ser la siguiente:


b.1.1) Responsable de fichero o tratamiento: He dicho antes que las personas son el factor crítico de éxito más relevante, lo que incluye a los mandos directivos, ya que sin una implicación clara de la dirección el sistema de protección de datos de carácter personal a implantar está condenado al fracaso y, por tanto, propongo que la persona que ejerza las funciones que la normativa vigente atribuye al responsable de fichero o tratamiento desempeñe un cargo/perfil de alto nivel en la organización (Director, Gerente, etc.).

A este nivel de responsabilidad las funciones y obligaciones que creo más relevantes, para las que se contará con el asesoramiento del responsable/s de seguridad que se designe/n (ver punto siguiente), son las siguientes:

Determinar la estrategia y las políticas de seguridad de la información generales.


Designar a las personas encargadas de definir los procedimientos, medidas, normas, reglas y estándares de seguridad tendentes a garantizar la protección de los datos de carácter personal manejados por la organización, de su efectiva implantación, coordinación y control, y de su permanente actualización conforme a la evolución de la organización, de los riesgos y de las disposiciones legales y reglamentarias en esta materia, asignando los recursos humanos y materiales necesarios y velando por todo ello.

- Velar por que se adopten las medidas necesarias para que el personal con acceso a datos de carácter personal o recursos conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.


- Encargarse de que se someta a los ficheros o tratamientos, sistemas de información e instalaciones de tratamiento y almacenamiento de datos a una auditoría, interna o externa, que verifique el cumplimiento de las medidas de seguridad aplicables, al menos cada dos años o con carácter extraordinario en el caso de que se realicen modificaciones sustanciales en los sistemas de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas, así como de que se adopten las medidas correctoras y/o complementarias adecuadas como consecuencia de las conclusiones obtenidas en los informes de dichas auditorías.

Aunque esta medida es sólo exigible para ficheros o tratamientos a los que les sean de aplicación las medidas de seguridad de nivel medio y/o alto, mi recomendación consiste en llevarla a cabo para todos los ficheros o tratamientos existentes en la organización, es decir, sobre todos ellos, con independencia del nivel de las medidas de seguridad que les sean de aplicación e incluso si únicamente se dispone de ficheros o tratamientos a los que les sean de aplicación las medidas de nivel básico. 


Con respecto a la realización de las tareas operativas relacionadas con la protección de datos de carácter personal que conforme a la normativa legal y reglamentaria correspondan al responsable de fichero o tratamiento, mi recomendación consiste en que éstas se deleguen en el responsable/s de seguridad, en unidades del modelo organizativo y de control establecido para la protección de datos o en las personas adscritas a cierta categoría de personal, y, como exige la normativa, que se indiquen expresamente estas delegaciones en el documento de seguridad. Bien entendido que esta delegación de actividades, conforme a lo dispuesto en la LOPD, no supone en ningún caso una exoneración de la responsabilidad, que le corresponde al responsable de fichero o tratamiento.

b.1.2) Responsable/s de seguridad: en principio esta figura sólo es obligatoria en el caso de que se disponga de ficheros o tratamientos a los que les sean de aplicación las medidas de seguridad de nivel medio y/o alto, pero mi recomendación consiste en designar uno o varios responsables de seguridad en cualquier caso, es decir, también aunque únicamente se disponga de ficheros o tratamientos a los que les sean de aplicación las medidas de nivel básico.

En cuanto al número y perfiles del responsable/s de seguridad, mis recomendaciones son las siguientes:

- Designación diferenciada conforme al sistema de tratamiento empleado, es decir, designar al menos uno para tratamientos automatizados y, al menos, otro para tratamientos no automatizados. El número concreto de unos y otros dependerá de factores tales como: la sensibilidad de la información tratada mediante uno y otro sistema, la complejidad y volumen de los tratamientos efectuados, etc.

- Las personas designadas para ello deben, en mi opinión, desempeñar un cargo/perfil relevante en la organización. Lo ideal desde el punto de vista exclusivo de la seguridad consistiría en que las personas a designar sean lo más independientes que sea posible de las Áreas/Dptos. de negocio en sentido estricto y que dependan directamente de la dirección, tanto orgánica como funcionalmente, ya que las prisas y presiones del negocio (por ejemplo para poner en producción una nueva aplicación informática) no se llevan bien con el análisis de los riesgos y la necesaria implementación de los requerimientos de seguridad pertinentes.

Dicho lo anterior, en la práctica y pensando en designar dos responsables de seguridad, uno para tratamientos automatizados y otro para los no automatizados, recomiendo, si los hubiera, que el primero de ellos sea el Responsable de SS.II. de la organización, mientras que el segundo podría ser el responsable del Área/Dpto. jurídico o el responsable del Área/Dpto. de organización (aunque estas figuras sólo suelen encontrarse en grandes organizaciones) o, en su defecto, el responsable de calidad, el responsable administrativo, el responsable de RR.HH., etc.

Propongo que sus principales funciones y obligaciones sean la siguientes:

Realizar cuantas tareas de asesoramiento le sean encomendadas por el responsable de fichero o tratamiento con objeto de garantizar la protección de los datos de carácter personal manejados por la organización.

Elaborar las notificaciones correspondientes a la creación, modificación y supresión de ficheros que contengan datos de carácter personal a la Agencia Española de Protección de Datos o, en su caso, a la autoridad de control de ámbito autonómico competente.

Mantener actualizado el inventario de recursos protegidos.

Mantener actualizada la relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

Establecer los mecanismos para evitar que un usuario pueda acceder a recursos no autorizados y, en el caso de ficheros y tratamientos automatizados, evitar que lo pueda hacer con derechos distintos de los autorizados.

Autorizar tanto las solicitudes de pruebas con datos reales como las solicitudes de generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose tanto de que es viable aplicar como de que se aplicarán efectivamente las medidas de seguridad exigibles al nivel de seguridad correspondiente a los datos involucrados.

- En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel alto, revisar con la periodicidad que se determine la información de control sobre los registros de accesos y elaborar un informe de las revisiones realizadas y los problemas detectados.

En el caso de disponerse de ficheros o tratamientos automatizados a los que sean de aplicación las medidas de seguridad de nivel alto y si es necesario, habilitar los mecanismos pertinentes, ya sea hardware o software, para cifrar los datos de carácter personal.


Realizar los controles periódicos que se establezcan para la verificación del cumplimiento de lo dispuesto en el documento de seguridad.

Realizar las revisiones extraordinarias oportunas para la verificación de lo dispuesto en la normativa vigente en materia de protección de datos y en el documento de seguridad, ante cualquier circunstancia que así lo aconseje.

En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto (aunque, como ya se ha dicho, recomiendo que la auditoría se haga en cualquier caso, con independencia del nivel de seguridad de las medidas aplicables y sobre todos los ficheros o tratamientos existentes), analizar los informes de auditoría que verifiquen el cumplimiento de la normativa vigente en materia de protección de datos de carácter personal y de lo dispuesto en el documento de seguridad, que deberán realizarse, al menos, cada dos años, y elevar las conclusiones al responsable de fichero o tratamiento para que se adopten las medidas correctoras y/o complementarias adecuadas.

Estar al tanto de las modificaciones que puedan producirse en la normativa legal y reglamentaria vigente en materia de protección de datos, con objeto de adecuar en todo momento el contenido del documento de seguridad a lo dispuesto en ella.


- Difundir el contenido de la normativa recogida en el documento de seguridad y de la normativa legal y reglamentaria vigente en materia de protección de datos, y de sus novedades, entre el personal de la organización con acceso a datos de carácter personal, encargándose también de la organización y de que se lleve a cabo la impartición de la formación al personal que sea necesaria.

Definir y potenciar una estrategia para concienciar al personal afectado de la organización de la importancia de garantizar la seguridad y confidencialidad de la información sensible y, especialmente, en lo que respecta a la protección de datos de carácter personal.


Asimismo, el responsable/s de seguridad asumirá/n las siguientes funciones de control o autorizaciones expresamente delegadas por el responsable del fichero o tratamiento:


Autorizar el almacenamiento de datos personales en dispositivos portátiles o su tratamiento fuera de los locales de la organización, o del encargado del tratamiento.

Verificar, al menos cada seis meses, la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

Autorizar la salida fuera de las instalaciones de la organización de aquellos equipos informáticos, tanto puestos de trabajo como servidores, que formen parte del parque informático y que sea necesario mantener o reparar en empresas externas contratadas para tal fin.

En el caso de disponerse de ficheros o tratamientos a los que sean de aplicación las medidas de seguridad de nivel medio y/o alto, autorizar la ejecución de los procedimientos de recuperación de datos consecuencia de las incidencias producidas que impliquen la realización de este tipo de procesos.

La designación del responsable/s de seguridad debe ser una designación formal, por lo que debe existir un documento de nombramiento o designación para ello, y debe/n estar convenientemente identificado/s en el documento de seguridad.

b.1.3) Comisión de seguridad: órgano que recomiendo constituir con el objetivo de  lograr la efectiva coordinación y control del cumplimiento del sistema de protección de datos implantado en la organización.

Como tal, propongo que esté integrada por el responsable o responsables de seguridad designado/s y los responsables de Áreas/Departamentos que conformen la estructura organizativa de la organización.

Sus principales funciones y obligaciones serían las siguientes:

Asegurarse de que los datos de carácter personal contenidos en los ficheros y/o objeto de tratamiento sean adecuados, pertinentes y no excesivos en relación a la finalidad que se persigue.

- Asegurarse de que no se utilicen los datos de carácter personal recabados y contenidos en los ficheros y/o objeto de tratamiento para fines incompatibles con la finalidad para la que se recogen y/o tratan.

Encargarse de que se suministre a los afectados la información requerida por la normativa en el momento de recabar sus datos de carácter personal que formarán parte de los ficheros y/o tratamientos, estableciendo y/o revisando los medios que se utilicen para ello, y, en general, de que se cumplan las condiciones exigibles en el momento de la recogida de los datos y antes de iniciar su tratamiento.

Asegurarse de que se solicite de forma adecuada el consentimiento de los afectados para el tratamiento o cesión de sus datos de carácter personal, salvo que éste no sea exigible. Todo ello de conformidad con la normativa vigente.

Asegurarse de que se establecen los mecanismos necesarios para que los datos de carácter personal contenidos en los ficheros y/o que son objeto de tratamiento sean exactos y permanentemente puestos al día.

Asegurarse de que los datos de carácter personal contenidos en los ficheros son cancelados cuando estos hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados, sin perjuicio de su conservación en los supuestos y condiciones indicados en la normativa vigente.

La comisión de seguridad mantendría las reuniones que sean necesarias para cumplir con las funciones y obligaciones que tiene encomendadas. La convocatoria de dichas reuniones recaería sobre el responsable o responsables de seguridad, bien por iniciativa propia o bien a solicitud de uno o varios responsables de Áreas/Departamentos, y convocaría a aquellos asistentes que sea preciso en función del alcance organizativo concreto de los asuntos a tratar en la reunión.  

Para facilitar el seguimiento de los acuerdos y medidas adoptados en cada reunión, el responsable o responsables de seguridad levantarían las correspondientes actas de las mismas.


Al no ser la constitución de este órgano exigible por la normativa legal y reglamentaria vigente, no sería preciso que existiera una designación formal de sus miembros. No obstante, mi recomendación es que exista un documento de nombramiento o designación para cada uno de sus integrante, y, en cualquier caso, que estén convenientemente identificados en el documento de seguridad.


b.1.4) Responsables Áreas/Dptos.: además de las funciones y obligaciones que les corresponderían como integrantes de la comisión de seguridad, propongo que los responsables de Áreas/Departamentos tengan las siguientes funciones y obligaciones específicas principales en el ámbito organizativo bajo su responsabilidad:

Solicitar la creación, modificación o supresión de ficheros con datos de carácter personal en su ámbito organizativo de responsabilidad y, en el caso de creación, establecer la finalidad perseguida con la creación de los ficheros con datos de carácter personal, que deberá ser explícita, legítima y acorde con la actividad desarrollada por la organización.

Tras la creación de un fichero con datos de carácter personal y cuando éste afecte a una única área o departamento, propongo que el responsable de Área/Departamento que solicita su creación sea designado como gestor de ese fichero y, por tanto, asuma para dicho fichero, junto con el responsable o responsables de seguridad, las funciones y obligaciones indicadas anteriormente para la comisión de seguridad, mientras que cuando un fichero con datos de carácter personal afecte a varias áreas o Departamentos se designe como gestor de ese fichero a la comisión de seguridad.

Para los gestores de ficheros no suelo recomendar que exista un documento de nombramiento o designación formal para ello, pero sí deberían estar convenientemente identificados en el documento de seguridad.

Asegurarse, antes de solicitar el acceso a datos o recursos de personas individuales o pertenecientes a otras organizaciones que vayan a actuar como encargado de tratamiento de ficheros o tratamientos bajo su ámbito organizativo de responsabilidad, de que el contrato de servicios se encuentra debidamente firmado y de que éste incluye las cláusulas pertinentes sobre protección de datos de carácter personal.

Autorizar en primera instancia las solicitudes realizadas por el personal asignado a su área o departamento para la generación de ficheros temporales con datos de carácter personal desde los sistemas de información corporativos, asegurándose de que las personas solicitantes lo precisan para el desarrollo de las funciones que tienen encomendadas.

Autorizar en primer instancia la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal dentro de su ámbito organizativo de responsabilidad.

Solicitar la ejecución de los procesos de restauración de datos de carácter personal contenidos en ficheros dentro de su ámbito organizativo de responsabilidad.

Solicitar el almacenamiento de datos personales en dispositivos portátiles o su tratamiento fuera de los locales de la organización, o del encargado del tratamiento, que afecten a ficheros dentro de su ámbito organizativo de responsabilidad.

Asegurarse de que en el transporte de soportes y documentos se adoptan las medidas de seguridad pertinentes encaminadas a evitar su sustracción, pérdida o acceso indebido.

Velar por el cumplimiento de lo dispuesto en el documento de seguridad y en la normativa asociada entre el personal asignado a su Área/Departamento.

Asimismo, propongo que los responsables de Área/Departamento asuman las siguientes funciones de control o autorizaciones expresamente delegadas por el responsable del fichero o tratamiento:

Establecer los criterios para el acceso autorizado a datos y recursos conforme a las funciones asignadas a los usuarios con acceso a datos de carácter personal pertenecientes a su Área/Departamento.

Autorizar la salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control de la organización y siempre que dicha salida no se encuentre debidamente autorizada en el documento de seguridad.

b.1.5) Administradores de SS.II.: Se trata de las personas debidamente autorizadas y encargadas de administrar o mantener el entorno operativo de los ficheros automatizados.

Mi propuesta consiste en que sus principales funciones y obligaciones sean las siguientes:

Conceder, alterar o anular el acceso autorizado sobre los datos y recursos correspondientes a sistemas de tratamiento automatizados, conforme a los criterios que se establezcan por los responsables de Áreas/Dptos.

Informar al responsable/s de seguridad de los cambios que se produzcan en los recursos informáticos de la organización, para que se mantenga actualizado el inventario de recursos protegidos.

Solicitar la ejecución de pruebas con datos reales sobre ficheros con datos de carácter personal tratados por sistemas bajo su responsabilidad.


- En general, realizar cuantas tareas de asesoramiento, control, verificación, implantación y administración relativas a los sistemas automatizados les sean encomendadas por el responsable/s de seguridad con objeto de garantizar la protección de los datos de carácter personal manejados por la organización.

Los administradores de los sistemas de información deben estar convenientemente identificados en el documento de seguridad.

b.1.6) Usuarios: entendidos como tales todas las personas con acceso a datos de carácter personal o recursos, y, por tanto, tanto todo el personal propio que acceda o pueda acceder a ellos (responsable/s de seguridad, responsables de Áreas/Dptos., administradores de SS.II., usuarios finales, etc.), como el personal externo a la organización que pudiera tener acceso a los mismos (personal de encargados de tratamiento).


Las funciones y obligaciones más importantes que entiendo deben recaer sobre los usuarios con acceso a datos de carácter o recursos son las siguientes:

- Están obligados a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrollan.


- Notificar las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según el procedimiento establecido en el documento de seguridad.

- Guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo, esta obligación subsistirá aún después de finalizar su relación con la organización.

- Cada usuario será responsable de la confidencialidad de su contraseña de acceso a los sistemas de información, y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder inmediatamente a su cambio.

- Garantizar que la información que muestra el puesto de trabajo que tiene asignado no pueda ser vista por personas no autorizadas.

- Dejar el  puesto de trabajo que tiene asignado en un estado que impida la visualización de los datos protegidos cuando lo abandone, bien temporalmente o bien al finalizar su jornada de trabajo.

Solicitar la autorización del responsable/s de seguridad o de administradores de SS.II. autorizados para cambiar la configuración del puesto de trabajo que tiene asignado (sistema operativo, aplicaciones, conexiones, etc.) y siempre y cuando sea necesario para el desempeño de sus funciones.

Custodiar la documentación con datos de carácter personal  que se encuentre a su cargo mientras ésta esté en proceso de revisión o trámite, evitando en todo momento que pueda ser accedida por personas no autorizadas.

Garantizar que los documentos con datos de carácter personal que imprima no puedan ser retirados de la impresora por personas no autorizadas a acceder a la información que contienen.

Generar ficheros temporales con datos de carácter personal o copias de trabajo de documentos únicamente en el caso de que sea necesario para el desarrollo de las funciones que tiene encomendadas. En el caso de ficheros temporales y por motivos de seguridad, el usuario debe solicitar dicha generación al responsable de Área/Dpto. a que esté asignado, y no debe ubicar estos ficheros en unidades de disco locales u otras ubicaciones a las que pudieran tener acceso usuarios no autorizados. Asimismo, es responsabilidad del usuario que solicita o crea el fichero temporal o la copia de trabajo de documentos, su borrado físico o destrucción, respectivamente, una vez haya dejado de ser útil para la finalidad para la que se generó.

Utilizar los medios puestos a disposición por parte de la organización para el desecho de cualquier documento o soporte informático con datos de carácter personal.

Solicitar al responsable de Área/Dpto. a que esté asignado la necesidad de envío hacia fuera de los locales bajo el control de la organización de soportes y/o documentos con datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, siempre y cuando dicha salida no se encuentre expresamente autorizada en el documento de seguridad.

- Registrar tanto la salida como la recepción, hacia o desde fuera de la organización, de los envíos de soportes y/o documentos que contengan datos de carácter personal de nivel medio y/o alto.

Utilizar los recursos informáticos y de comunicaciones proporcionados por la organización (ordenadores, servicios de comunicaciones, correo electrónico, Internet y demás medios informáticos y de comunicaciones) conforme a lo establecido en la normativa interna sobre el uso de los mismos.

Recordar que la normativa vigente exige que exista una relación de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos, y que ésta se mantenga permanentemente actualizada. 

b.2) Elaborar e implantar una normativa de usos de recursos informáticos y de comunicaciones:

Mi segunda recomendación consiste en elaborar e implantar, como complemento al documento de seguridad, una normativa interna sobre el uso de los recursos informáticos y de comunicaciones de la organización, cuyo principal objetivo sería garantizar la calidad de los servicios en lo que estos se ven involucrados y regular el uso de los mismos, tanto por parte del personal interno, como, si es el caso, por parte del personal  externo que pudiera utilizarlos.

Sobre este tema ya escribí un post para aportar un enfoque práctico: objetivos que entiendo deben perseguirse con la implantación en las organizaciones de una normativa de este tipo y aspectos que considero más relevantes contemplar en ella y para su efectiva implantación, por lo que, sin más, indico el enlace al mismo:  

"La normativa interna de uso de recursos informáticos y de comunicaciones (III)".

b.3) Definir una estrategia de comunicación, sensibilización y formación, y llevarla a la práctica:

Tal y como he venido insistiendo, la comunicación, sensibilización y formación del personal sobre la importancia de garantizar la seguridad y confidencialidad de la información sensible para la organización y, especialmente, sobre lo que respecta a la protección de los datos de carácter personal, es fundamental, tanto para alcanzar el citado fin, como para hacerles partícipes en la mejora continua en materia de seguridad.

Por ello, propongo que sea/n el responsable/s de seguridad los encargados de definir y elaborar un Plan de comunicación, sensibilización y formación del personal en materia de protección de datos de carácter personal y sobre el ámbito concreto de la adecuación de la organización a la LOPD.


En mi opinión, dicho plan debe considerar la impartición de diferentes tipos de sesiones en función del perfil de los asistentes a las mismas (por ejemplo: dirección, mandos intermedios, responsable/s de seguridad, administradores SS.II y usuarios finales).

Posteriormente, se elabora y prepara la documentación correspondiente a los diferentes tipos de sesiones identificadas y, finalmente, se imparten las mismas (presencialmente y/o on-line).

Propongo también que la documentación de la formación se deje on-line a disposición de los asistentes y recomiendo también dejar a su disposición una serie de instrucciones (elaboradas también específicamente para cada uno de los perfiles involucrados) con un resumen de los aspectos más importantes a tener en cuenta.

Hay que tener muy presente aquello de que "La seguridad no es un producto, es un proceso" y, por tanto, que no bastará con impartir una serie de sesiones iniciales, sino que este plan debe estar "vivo", adaptándolo permanente a la evolución de la organización con implicaciones en la seguridad, de la normativa legal y reglamentaria en esta materia y de las amenazas a las que está expuesta la información, a la implantación de nuevas medidas de seguridad para subsanar deficiencias del sistema y/o para complementar las existentes, etc., y, además, que deberá considerar la comunicación, sensibilización y formación de las nuevas incorporaciones.

b.4) Obtener el compromiso de los usuarios:

Finalmente, recomiendo obtener el compromiso del personal para el cumplimiento de lo establecido en el documento de seguridad y normativa interna asociada mediante la firma por su parte de los correspondientes anexos al contrato de trabajo.