lunes, 30 de noviembre de 2015

Sexta jornada PRIBATUA: El control de los recursos tecnológicos (IV)

Segunda ponencia confirmada para la VI Jornada de PRIBATUA a celebrar el próximo día 15 de diciembre de 2015.
Ponente:  D. Mikel García Larragan. Director en MANQIT Gestión, Consultor/Auditor LOPD, perito informático y Asociado de PRIBATUA.

Título: "Entonces: ¿se puede?, ¿en qué circunstancias?, ¿cómo?,...".
"... Y yo qué sé".
Resumen: Son tantos los aspectos involucrados, entre lo que entiendo como una colisión de los derechos fundamentales a la privacidad y protección de datos de carácter personal de los trabajadores, e incluso de terceras personas con los que éstos se relacionan,las facultades atribuidas a los empresarios para el control del cumplimiento de las obligaciones y deberes laborales de éstos, que no me atrevo a dar una contestación taxativa a estas preguntas. Me temo que en esta ocasión no me queda más que dar la razón a los juristas cuando dicen eso de: "caso a caso". Por tanto, creo que lo único que puedo aportar es una visión personal sobre estos asuntos obtenida tras mi experiencia profesional como Consultor en materia de protección de datos de carácter personal, informático de empresa al que en ocasiones le han encargado auditar los medios tecnológícos que la misma había puesto a disposición de sus trabajadores (incluso ante sospechas de la comisión de un delito) y como perito informático a instancia de parte, tanto de trabajadores como de empresas, en la realización de las pruebas periciales oportunas que me han sido encomendadas y que conllevaban auditorías de este tipo.

Muy en breve resto de información sobre la Jornada: otros ponentes y ponencias, y programa.

viernes, 27 de noviembre de 2015

Sexta jornada PRIBATUA: El control de los recursos tecnológicos (III)

Ya hay fecha y lugar para la celebración de la próxima Jornada de PRIBATUA, que en esta ocasión tratará sobre un tema muy controvertido y cada vez de mayor actualidad:

"El control de los recursos tecnológicos puestos a disposición de los trabajadores".

Fecha: 15 de diciembre de 2015.

LugarCentro de Conocimiento Bake Eder de la Fundación BiscayTIK de la Diputación Foral de Bizkaia.

Dirección: Zugatzarte 32 - 48930 Getxo (Bizkaia) - ¿Cómo llegar?.

Como no puede ser de otra manera, desde PRIBATUA no podemos terminar este post sin agradecer la oportunidad y todas las facilidades que siempre nos da la Fundación BiscayTIK para la celebración de este tipo de eventos: Eskerrik Asko!.

Muy en breve el resto de información sobre la Jornada: nuevos ponentes y ponencias, y programa definitivo.

jueves, 26 de noviembre de 2015

Sexta jornada PRIBATUA: El control de los recursos tecnológicos (II)

Primera ponencia confirmada para la VI Jornada de PRIBATUA a celebrar el próximo día 15 de diciembre de 2015.


Ponente:  D. Juan José Carrasco Prado. Responsable de Seguridad en EJIE (Eusko Jaurlaritzaren Informatika Elkartea - Sociedad Informática del Gobierno Vasco) y Asociado de  PRIBATUA.

Título: "Recursos tecnológicos solo a mi servicio".
"Trazabilidad de actividades, correlación y monitorización para no perder el control".
Resumen: Haremos un recorrido por los aspectos que debemos tener en cuenta para saber qué ocurre con los recursos tecnológicos de nuestra organización. Cómo averiguar quién hace qué, cómo gestionar y explotar esa información para, en último término, saber a qué se están dedicando nuestros recursos. Obtener los datos, centralizar, correlar, obtener informes y detectar situaciones que requieran nuestra atención. La tecnología (casi) todo lo permite… pero no nos debemos olvidar del marco normativo.

Muy en breve resto de información sobre la Jornada: Lugar, otros ponentes y ponencias, y programa.

Sexta jornada PRIBATUA: El control de los recursos tecnológicos (I)

La próxima jornada de PRIBATUA se celebrará el 15 de diciembre de 2015, martes, y, como siempre, contará con ponentes de primer nivel jurídico-técnico.


"El control de los recursos tecnológicos puestos a disposición de los trabajadores".

Un tema muy de actualidad y que se refiere al control de los medios tecnológicos (Internet, correo electrónico, puestos de trabajo, móviles,...) que instituciones, sociedades públicas y empresas ponen a disposición de sus trabajadores, con todo la problemática que ello conlleva:

¿Se pueden controlar/auditar los medios informáticos y de comunicaciones que se ponen a disposición de los trabajadores?: ¿Cuáles son las "reglas de juego"?, ¿En qué circunstancias?, ¿Hasta dónde?, ¿Cómo?...

En breve todos los detalles (lugar de celebración, ponencias y programa), tanto en el blog de PRIBATUA como en éste.

martes, 24 de noviembre de 2015

Criptografía (XIX): cifrado Vigenère y criptoanálisis Kasiski (II)

Vuelvo en este post a referirme al cifrado de Vigenère y a su criptoanáisis utilizando el método Kasiski, ya que he recibido algunas consultas en las que me plantean ciertas dudas sobre el paso final del citado método de criptoanálisis y, tras releer el primer post que publiqué sobre ello y el otro en el que intenté explicarlo más en detalle, creo que no lo he contado de forma comprensible.

Por tanto, en este post intento enmendar mi torpeza a la hora de explicarme convenientemente sobre el último paso del criptoanálisis de este tipo de mensajes cifrados, es decir, sobre el ataque simple de tipo estadístico monoalfabético en cada uno de los subcriptogramas obtenidos tras averiguar la longitud de la clave.

En primer lugar recodar que cada uno de los subcriptogramas obtenidos habrá sido cifrado con la misma letra de la clave utilizada o, lo que es lo mismo, con la misma fila de la tabla que el cifrado de Vigenère emplea para cifrar los mensajes, es decir, con el mismo alfabeto (el correspondiente a cada carácter de la clave o fila de la tabla: un máximo de 27 alfabetos diferentes si consideramos las letras del español, incluida la "Ñ").

Una duda que me preguntan es por qué consideramos las letras "A", "E" y "O". La respuesta es porque dichas letras son las más frecuentes en español, ya que el texto en claro del mensaje del primer post está escrito en español (si estuviera escrito en inglés, como es el caso del segundo post, deberíamos considerar las letras "E", "T", "A", ya que son las más frecuentes en dicho idioma).

Como digo cada subcriptograma ha sido cifrado utilizando la misma letra de la clave (fila de la tabla) y partiendo de la tabla con la frecuencia relativa de los caracteres (el número de veces que aparece cada uno de ellos) en cada subcriptograma, que era la siguiente en el primer post:
actuaríamos de la siguiente manera:

1º) En primer lugar consideremos la posición que ocupa cada una de las letras en el alfabeto español:
Y, por tanto, hay que tener en cuenta que la letra "A" está en la posición 0, la letra "E" está 4 posiciones a su derecha y la letra "O" está a 11 posiciones a la derecha de la "E".

2º) Ahora en cada subcriptograma vamos a buscar las tres letras más frecuentes (cuya suma de sus frecuencias sea la mayor) que cumplan con esa distribución, ya que éstas serán las candidatas a ser la "A", "E" y "O" (las tres más frecuentes en español) en el texto en claro, lo que como veremos más adelante nos permitirá obtener el carácter de la clave (la fila de la tabla) con la que se cifró el subcriptograma.

Para ello nos creamos otra tabla en la que para cada subcriptograma vamos sumando para cada carácter la frecuencia relativa en la tabla anterior de ese carácter más la de aquel que se encuentra cuatro posiciones a su derecha más la de aquel que se encuentra 11 posiciones a la derecha de este último (pongo como ejemplo el primer subcriptograma):
Como se observa la suma mayor de frecuencias relativas de los caracteres que cumplen con esa distribución se corresponde con la de la letra "R" (aparece en dos ocasiones en el subcriptograma) más la de la letra "V" (situada cuatro posiciones a la derecha de la "R", que aparece en 8 ocasiones) más la de la letra "G" (situada 11 posiciones a la derecha de la "V", que aparece en 2 ocasiones. Lógicamente si se nos acaba la fila contando posiciones seguimos contando desde la primera).

3º) ¿Por qué en el ejemplo la letra de la clave (la fila de la tabla) con la que se ha cifrado el primer subcriptograma es la "R"?.

Porque la suma mayor de las frecuencias relativas de las tres letras que cumplen con la distribución indicada se corresponde con la de las letras "R", "V" y "G", que son las candidatas a ser la "A", "E" y "O" en el texto en claro, y tal y como se observa en la siguiente figura para que esto sea así se habría utilizado la fila "R" (carácter de la clave) para cifrarlo:

Si repetimos esto para el resto de subcriptogramas nos haremos una idea bastante aproximada de cuál puede ser la clave, y en caso de duda podríamos comprobar si alguna de las posibles claves tiene algún significado (lo más probable) y, en cualquier caso, podríamos probar las posibles claves obtenidas hasta descifrar el mensaje.

En nuestro caso, si no me he equivocado, obtendríamos lo siguiente para los cuatro subcriptogramas:
Con lo que en en su día, en el primer post, deduje que, casi con toda probabilidad, la clave era "RAUL", para lo que bastaba con leer, a su vez, el post que dio origen al que yo publiqué y que se menciona en él. Probé a descifrar el mensaje con ella y acerté.

lunes, 16 de noviembre de 2015

¿Somos todos París?

Escribo este post porque me sale del alma y sólo como una reflexión personal sobre la locura en la que creo que estamos inmersos tras los atentado de París del pasado viernes, aunque esto a nadie se nos escapa que viene de largo. Demasiado tiempo mirando para otro lado con el silencio cómplice de todos nosotros, al menos el mío.

Sólo una mirada a las redes sociales me basta para llegar a la conclusión de que doy asco (lo pongo en primera persona porque creo que me afecta a mí también).

¡Qué pronto se nos olvidan las cosas cuando no nos tocan de cerca y, de momento, no sentimos amenazados ni nuestro bienestar ni nuestra forma de vida!. Craso error, por otra parte.

Al igual que con el pequeño que apareció ahogado en una playa de Turquía, del que ni siquiera me acuerdo de su nombre, y que nos conmovió a todos, eso sí, durante dos míseros días, también parece que se nos ha olvidado lo ocurrido hace apenas 72 horas en París (por supuesto, ni siquiera recuerdo tampoco el nombre de una sola víctima).

Ahora, en las redes sociales sólo veo lo de siempre:

el "Jeu suis Paris" deja, poco a poco, su sitio a nuestra "vida normal" (banalidades de lo más variopintas, al menos en mi caso).


El colmo de los rescoldos que aún quedan de las tragedias con las que nos desayunamos cada día, sin casi inmutarnos o sólo afectados los dos citados días, como máximo, es lo que acabo de leer que dice el gran "estadista" Pedro Sánchez del PSOE (pero lo mismo o similar aplicable a Albert Rivera de Ciudadanos, Pablo Iglesias de Podemos, Mariano Rajoy del PP,...). El tío va y propone con dos c... como medida definitiva: "Una batería de medidas educativas y de integración que prevengan la radicalización de jóvenes y dificulten su captación por redes yihadistas".

Y sólo me vienen a la cabeza dos cosas:

"Pero..., ¿este tío en qué p... planeta vive?" y "¡Estoy hasta los cojones de todos nosotros!".


La foto del pequeño ahogado en una playa de Turquía es para recordarme que no se me debe olvidar lo importante, para recordarme que no debo equivocar las cosas (víctimas con verdugos) y para recordarme que debo exigir a "nuestros estadistas" que dejen de mirar hacia otro lado (ponerse de perfil) y hagan algo de una puta vez por la gente de bien y para eliminar a esos hijos de puta (que hay muchos, y muchos de ellos entre nosotros y "nuestros aliados"). Es decir, para recordarme que:

 si callamos tendremos también mucha responsabilidad sobre lo que está ocurriendo.

viernes, 6 de noviembre de 2015

La LOPD, la mujer del César y el mus

Una de las frases que suelo emplear cuando me llaman de una empresa a una reunión preliminar porque están interesados en abordar un proyecto de adecuación a la normativa actualmente vigente en materia de protección de datos es la que se atribuye a Cayo Julio César:

"La mujer del César no sólo debe ser honrada, sino además parecerlo".

¿Y que tiene que ver esta frase con la adecuación a la LOPD de una organización?, ¿y el mus?. Un poco de paciencia.

Me explico, cuando acudo a una de esas reuniones, el potencial cliente, que ha oído hablar de las sanciones que se pueden imponer por el incumplimiento de esta normativa, asegura que está muy interesado en "hacer eso de la LOPD", aunque no parece saber muy bien a qué se refiere; uno se le queda mirando fijamente, pero él ni continúa con su exposición ni pestañea, y te devuelve una mirada arqueando las cejas (vamos, como si estuviéramos jugando al mus y tuviera dúplex).

Y yo pienso: "empezamos mal (vamos, como casi siempre)"; otro que quiere cumplir la normativa única y exclusivamente como un trámite formal más de obligado cumplimiento y sólo por temor a posibles sanciones.

Armado de infinita paciencia le pregunto si han hecho algo previamente para su adecuación a la norma. La respuesta habitual suele ser: "no" o "sólo la declaración de los ficheros", y, por tanto, la siguiente pregunta es obligada: "Por curiosidad, ¿por qué estáis muy interesados ahora en adaptaros?". Aquí las respuestas son de lo más variopintas: "sabemos que 'algo' tenemos que hacer", "es que nos han dicho que te pueden sancionar con una multa importante por incumplirla" (no pocos suelen hacer referencia a que han recibido una llamada diciéndoles que han verificado que no cumplen la normativa y que si no lo hacen serán sancionados), etc.. A esto último, sin comentarios.

Sospecha confirmada, no le ven ningún valor añadido a abordar un proyecto de seguridad de la información que maneja la organización, y para mí un proyecto de adecuación a la LOPD es un proyecto de este tipo que puede aportar mucho más valor que el mero cumplimiento de la norma, y, por consiguiente, el único interés parece ser el "cumplimiento" formal de una obligación legal; algo que hay que "pasar" (vamos, como si tuvieran el sarampión).

En este punto continúo con la toma de datos preliminar con objeto de recabar la información de contexto de la organización necesaria para poder posteriormente elaborar una propuesta de colaboración profesional ajustada a la problemática concreta de la organización en materia de protección de datos. Asunto sobre el que no me extenderé mucho y que como sabemos no es nada fácil de realizar en poco tiempo, pero el potencial cliente quiere un proyecto cerrado, es decir, antes que nada saber el precio.

Evidentemente, hay multitud de aspectos involucrados que el potencial cliente suele desconocer por completo, de ahí lo de la infinita paciencia que he comentado: sector de actividad (para hacerse una idea de la mayor o menor sensibilidad de los datos manejados por la organización), estructura de la empresa (en ocasiones puedes encontrarte con que realmente son un grupo de empresas, incluso con la central en otro país y que en ocasiones también les lleva "eso de la informática"), sedes de la empresa, identificación a un primer nivel de los ficheros con datos de carácter personal, empleados con acceso a dichos datos, sus funciones y características (movilidad,...), grado de automatización de los sistemas de información (CPD, puestos de trabajo, aplicaciones,...) y características de los mismos (virtualización de puestos de trabajo, desarrollos a medida o paquetes,...), encargados de tratamiento, cesiones,... y un larguísimo etcétera.

Una vez finalizada la toma de datos preliminar les esbozo ya el que conforme a nuestro entendimiento podría ser el ámbito y alcance del proyecto, fases a abordar para llevarlo a cabo incluidas (muy resumidamente: organización y planificación del proyecto, estudio y diagnóstico de la situación actual, notificación de ficheros y elaboración de toda la documentación de adecuación, comunicación, sensibilización y formación en esta materia a la Dirección, mandos intermedios y empleados, e implantación de todos los aspectos recogidos en el Documento de Seguridad, incluidas todas las medidas organizativas y técnicas).

La cara que suele poner el potencial cliente después de esto último es la del emoticono "alucinado" (vamos, como si le hubiera soltado un órdago a la grande y le hubiera pillado con dos pitos).

Y acto seguido, me guiña un ojo (ahora parece tener treinta y una) y me dice: "pero, ¿hay que hacer tantas "cosas"?, ¿esto cuanto cuesta?, ¿será 'baratito', no?, porque ya hemos pedido otras ofertas y hay quien lo hace muy barato (incluso sin coste), además, nosotros 'eso de la informática' lo tenemos bien". Y es aquí donde mi infinita paciencia se torna en la resignación más absoluta, máxime cuando todavía no he hablado del precio, y le digo eso que me recuerda a lo de la mujer del César:

"Tú que quieres: ¿ser honrado o sólo parecerlo?".

Y después le digo que "eso de la LOPD" es mucho más que notificar los ficheros, los contratos con encargados de tratamiento y tener un Documento de Seguridad, es decir, mucho más que el "cumplimiento" formal de la norma. Que así lo único que va a conseguir es tener un Documento de Seguridad perfectamente inútil cogiendo polvo, como en muchas otras empresas junto al manual de calidad, que así ni siquiera habrá hecho una gestión adecuada del riesgo ante determinados incumplimientos y, por consiguiente, de posibles sanciones, y que "eso de la LOPD" sólo aporta valor cuando realmente se llegan a implantar convenientemente todas las medidas organizativas y técnicas tendentes a proteger los datos de carácter personal y, en general, toda la información manejada por la organización (valor añadido), y que tenga en cuenta que se trata además de un proyecto de seguridad de la información que debe tener un seguimiento del que se derivarán de forma permanente en el tiempo las acciones correctoras, complementarias y de mejora pertinentes.

¿Sirve para algo todo el tiempo invertido en esta "evangelización"?. Pues en mi opinión y en la inmensa mayoría de las ocasiones no y, por tanto, después de la reunión sé que, aunque ajuste la oferta económica al céntimo y por muy buena que sea la parte técnica, no tendré ninguna posibilidad, y, en ocasiones y tras enterarme del importe por el que finalmente lo han adjudicado (un importe ridículo), no me queda ninguna duda no ya sólo sobre que lo que se buscaba era única y exclusivamente un "cumplimento" formal (aunque por el precio creo que ni siquiera se llegará a hacer adecuadamente ésto), sino que tampoco me cabe ninguna duda de que además, efectivamente, no tenía ninguna posibilidad. En fin, en estos casos siempre me quedo con la sensación de haber perdido la partida... pero seguiré intentándolo :).

lunes, 2 de noviembre de 2015

Sé lo que hicisteis la última jornada

Uno de las aspectos, a mi juicio, más controvertido y cada vez más frecuente en lo que respecta a la privacidad y protección de datos de carácter personal en el ámbito laboral es el control empresarial del cumplimiento de las obligaciones y deberes de los trabajadores utilizando todo tipo de medios, desde la auditoría de los sistemas de información de la compañía (conexión a Internet y correo electrónico incluidos), pasando por las cámaras de videovigilancia con esa finalidad, hasta la instalación de GPS en los vehículos de la empresa, etc.

Tanto empresarios como trabajadores, a la hora de implantar controles de este tipo o cuando se implantan, respectivamente, suelen hacer la misma pregunta: ¿es legal?, aunque evidentemente por razones diametralmente opuestas.

Los primeros suelen querer implantar medidas de este tipo cuando sospechan, al menos es lo que ellos dicen, que algún empleado se escaquea impunemente de forma habitual de sus obligaciones, aunque en ocasiones también puede ser, más bien yo diría que es con bastante frecuencia, una forma de "buscarle las vueltas" a algún trabajador con el fin de intentar utilizar como causa de despido cualquier incumplimiento de éste, por mínimo que sea, es decir, realmente el fin es echar al empleado intentando justificar el despido como sea.

Además, en ocasiones los empresarios suelen utilizar medios de este tipo sin encomendarse a dios ni al diablo, es decir, "haciéndolo a la brava" y sin la oportuna reflexión sobre los pasos previos a dar para llevarlo a la práctica de forma idónea, respetando convenientemente la privacidad y el derecho a la protección de datos de carácter personal del trabajador implicado y, lo que incluso es más importante, de terceros (otros trabajadores y/o personas que se relacionen con el primero), asunto a tener muy en cuenta cuando por ejemplo se inspecciona el correo electrónico corporativo de un empleado.

Pero... ¿se puede hacer, sí o no?. Vaya por delante que este tema no es nada nuevo y en este post sólo pretendo hacer una breve reflexión sobre ello (me temo que hay multitud de aspectos involucrados y que es necesario estudiar caso a caso: si se puede o no y, en caso afirmativo, cómo hacerlo). Dicho esto y en esa línea, cuando recibo consultas por parte de una empresa en este sentido yo siempre aviso de que se están "metiendo en un jardín" de consecuencias imprevisibles (se puede hacer, pero teniendo muy en cuenta eso que he comentado de considerar cada caso concreto y todos los aspectos que le son de aplicación).

Muy resumidamente, en primer lugar siempre les digo que conforme al artículo 20.3 del Estatuto de los Trabajadores:

“El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

En este momento mi interlocutor se viene arriba:

"Vale, entonces se puede hacer".

Y yo continúo contándole que en virtud de lo expuesto entiendo que existe legitimación para establecer ciertos mecanismos (no todo vale), pero, lógicamente, siempre que se trate de instalaciones y medios de la propia empresa implicados en el desarrollo de las funciones laborales de los trabajadores (por ejemplo, cuidado con el BYOD, cada vez más usual en muchas organizaciones por el simple ahorro de costes que supone para éstas, y que yo entiendo como un absoluto despropósito desde muchos puntos de vista - éste incluido, pero además: seguridad de la información, administración de los sistemas,... - ) y siempre que se haya informado previamente a éstos sobre los medios de control que se van a utilizar.

Respecto al último de los asuntos citados en el párrafo precedente, le suelo preguntar: ¿has informado a los trabajadores de que los medios que la empresa les proporciona son para un uso estrictamente profesional y de los mecanismos de control que puede emplear ésta para asegurarse de que eso sea realmente así?. En la inmensa mayoría de las ocasiones la respuesta es no; pues así mal vamos, les suelo comentar...

De ahí que yo siempre suela hacer hincapié en la importancia de elaborar una normativa que establezca previamente las reglas de uso de los medios que la empresa pone a disposición de los trabajadores (entre otros muchos: puestos informáticos, acceso a Internet, correo electrónico,...) y, además, en que es imprescindible informar de los controles que se instaurarán así como de las medidas que se adoptarán en caso de existir abusos (para el caso de los recursos informáticos y de comunicaciones ya escribí hace bastante tiempo un post sobre esta cuestión).

Esta normativa, a mi juicio, es fundamental, y no sólo para evitar que algunos trabajadores (seguro que los menos, no seamos mal pensados) puedan hacer un uso malicioso o inadecuado a sabiendas de dichos recursos, sino para evitar además una utilización de los mismos que pueda suponer un menoscabo del prestigio y del buen nombre de la empresa (e incluso responsabilidad de la misma) por la realización sin conocimiento de actividades ilegales o inapropiadas, y, al mismo tiempo, que sirva para garantizar la seguridad (confidencialidad, integridad y disponibilidad) y un rendimiento óptimo de los sistemas de información de la compañía.

En este punto, mi interlocutor me suele preguntar (ya le ve algo más de dificultad a este asunto):


"Vale, entonces... si les doy a firmar un 'papelito' (él llama así a la normativa y al compromiso de cumplirla por parte de los trabajadores), ¿ya se puede hacer?".

Y es aquí cuando continúo: sí, si además se respetan los principios de idoneidad, necesidad y proporcionalidad en sentido estricto; que les suelo explicar con "peras y manzanas", es decir: ¿los mecanismos a utilizar son idóneos para lograr verificar el cumplimiento de las obligaciones y deberes laborales por parte de los trabajadores?, ¿son necesarios para ello o puedes utilizar para esa finalidad otros con igual eficacia menos invasivos para la privacidad y el derecho a la protección de datos de los trabajadores y de terceros? y, finalmente, ¿guardan proporcionalidad entre los derechos de los trabajadores y las facultades atribuidas a los empresarios para el control del cumplimiento de las obligaciones y deberes laborales de éstos?.


Ya aquí mi interlocutor enmudece y no me pregunta nada más (la cara que suele poner me recuerda al emoticono "alucinado"), se levanta y me quedo con la sensación de que, le diga lo que le diga, tenía ya tomada la decisión, sólo me preguntaba para que le confirmara que, efectivamente, podía hacer lo que le viniera en gana y, es más, estoy seguro de que lo hará.

Un tema muy interesante, que da para mucho y que como digo se plantea cada vez de forma más frecuente en las empresas, y sobre el que PRIBATUA (Asociación Vasca de Privacidad y Seguridad de la Información / Pribatutasun eta Informazio Segurtasuneko Euskal Elkartea) tiene previsto realizar en breve una jornada.