EDDASec: EDDASec

Por Dani, hace 1 año y 1 mes

Triplete en copas

Supongo que todos estaréis esperando un artículo homenajeando a los ganadores de tan importante corona, pero NO!!, no es la temática de nuestro blog, y, aunque violemos sin ningún pudor la política de actualización, no vamos a hacer lo mismo con la de contenidos (por lo menos por ahora).
Si no es del Barça, ¿de qué más se puede hablar estos días con ese título? Pues de uno de nuestros temas favoritos, LOPD en situaciones cotidianas.
Hace pocos días quedé con un amigo en un bar bastante conocido en mi ciudad, el típico bar previo a la entrada a la discoteca. Pues bien, tres patadas bastante importantes a la ley coincidían en el establecimiento. Haciendo un símil futbolístico, os las voy a clasificar por importancia (así la decepción para los que esperaban una entrada deportiva no lo será tanto)
Copa: Una vez pagada la consumición, nos dan un folleto a rellenar para el sorteo de una camiseta del F.C.Barcelona o del R.C.D Espanyol firmada por los jugadores. Datos que recababan: nombre, apellidos, DNI (necesario?) Dirección para el envío, teléfono (supongo que para comunicarte que eres el ganador) y camiseta a la que optabas. Ni que decir tiene que no había ningún tipo de aviso legal al pie del folleto, es más, según la pericia del «concursante» al doblar el folleto, dentro de la urna, transparente, se podían ver todos los datos.
Liga: Dadas las dimensiones del local, y suponiendo que por un afán de seguridad, el local disponía de CCTV, sin la correspondiente advertencia. Haciendo un pequeño paréntesis, últimamente estoy viendo mucha concienciación en casos de este tipo, y para mi sorpresa, el otro día acudí a cenar a un restaurante de comida asiática donde se encontraba una placa con la advertencia y el lugar donde ejercitar tus derechos.
Champions: Para mí ésta es increíble. Una especie de tablón de anuncios de corcho, con fotos enganchadas, en las cuales se veían capturas del CCTV, y en el tablón rezaba la siguiente inscripción. BEBEN PERO NO PAGAN.
Se que no es fácil ir a un establecimiento de este tipo contándole las virtudes de la LOPD, y más difícil aún que lo intenten aplicar, qué hacer entonces? Complicado. En mi caso, y con gente muy cercana adopto la posición de «malo-malote», y los intimido con las posibles sanciones, muchas veces contrastando mis palabras con documentos de las ya impuestas por la AEPD.
CITA DEL DIA: «Cuando el personal que conoce el negocio no participa en el BIA mejor no empezar»

Compartir esta entrada

Por Edgard, hace 1 año y 2 meses

LOPD & ACREDITACIÓN SOFTWARE

Con objeto de cumplir debidamente con lo establecido en la Disposición Adicional Única del Real Decreto 1720/2007 he optado por solicitar a los distintos proveedores de software un documento a modo de acreditación del nivel de (in)seguridad que sus respectivos productos alcanzan. Como era de esperar esta información no aparece en la documentación que poseemos.
Disposición adicional única. Productos de software.
Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el título VIII de este reglamento.

Tras más de un año de vigencia del mencionado RD, y sin que NINGÚN proveedor se haya tomado la molestia de suministrarnos formalmente esta acreditación, hemos decidido tomar la iniciativa. Bajo mi particular criterio considero que el cumplimiento de esta cláusula es competencia absoluta del desarrollador, pero por lo visto la cosa parece que no va con ellos .......
Con objeto de facilitarles aún más el trabajo he hecho una especie de «trasposición» de las medidas de seguridad del RD en clave de desarrollo de software. Los criterios (acumulativos) por los que se debe regir la acreditación del software dependiendo del nivel de seguridad que le corresponde son:
NIVEL BÁSICO
  • Resulta obvio pero debe disponer de mecanismos de control de acceso (por algo será ...... yo me he encontrado con más de uno, de dos, de tres, .............)
  • Relación actualizada de usuarios y accesos autorizados (repositorio propio o integrado en uno externo, por ejemplo eledap)
  • Distintos privilegios de acceso según funciones/perfiles de usuario (dependiendo de la complejidad del producto)
  • Mecanismos que eviten el acceso datos o recursos con derechos distintos de los autorizados (obvio no?)
  • Identificación y autenticación personalizada (entre otras cosas no permitir sesiones simultáneas desde distintos equipos)
  • Características básicas de las contraseñas (repetición, secuencias, combinar caracteres numéricos/alfanuméricos, etc..)
  • Sistema de almacenamiento ininteligible de las contraseñas
  • Mecanismos de caducidad de las contraseñas
  • Posibilidad de bloqueo de los datos (no eliminación física)

NIVEL MEDIO

  • Control de accesos fallidos (bloqueo de cuenta tras superar el límite establecido)

NIVEL ALTO

  • Log de accesos reflejando usuario, hora, registro accedido, tipo de acceso, autorizado o denegado
  • Conservación de los logs durante 2 años
  • Si el software en cuestión efectúa directamente la transmisión de datos por redes de telecomunicación, ésta debe ser de forma cifrada
Hay bastantes puntos más como por ejemplo las copias de seguridad, usuarios genéricos, etc. pero según mi particular criterio corresponden al ámbito general o global de la LOPD (política de seguridad) y no son directamente dependientes del producto de software como tal. Esta lista hace referencia a las medidas mínimas que todo software de tratamiento de datos de carácter personal, para entendernos el típico software de alta/baja/modificación, debe cumplir.
Obviamente no pretende ser un conjunto de requerimientos para todo tipo de software, para eso ya están los common criteria y sus EAL1, EAL2, ..... El objetivo es que sea una relación de las características mínimas que cualquier producto de software debería poseer para poder tratar datos de carácter personal de acuerdo a lo especificado en el RD.
CITA DEL DÍA: «Durante un análisis de riesgos no hay lugar para el optimismo»

Compartir esta entrada

Por Dani, hace 1 año y 4 meses

Crisis en la construcción? Voy a acabar con ella!

No se por qué, pero hay algo en lo que me fijo demasiado en las auditorías, quizás en exceso incluso, y es la insonorización de las instalaciones.
Este apartado es especialmente importante en un entorno sanitario, ya que no sería de recibo estar en un reconocimiento médico, teniendo a un compañero de trabajo en la sala contigua y que el sanitario te comente que tienes la tensión muy alta (por ser suaves). En estos casos, la confidencialidad médico-paciente se ha roto completamente, y en cuestión de minutos muy probablemente lo conocerá toda la empresa.
Como comprenderéis me he unido a la plataforma «Enemigos del Pladur«, así como a «Los biombos son bonitos pero inútiles en el trabajo», no creo que haga falta explicaros el por qué.
Algunas veces hemos conseguido solucionar este tema con la instalación de un hilo musical, ya que, aunque no es mi solución preferida, hay que reconocer que en determinadas situaciones es válida. En otras se ha llegado al extremo de reubicar la mesas en las que se atiende a los pacientes.
En el escenario que hemos comentado es viable esa solución, pero... ¿habéis extrapolado esta pensamiento a otras situaciones en las que la vulneración de la confidencialidad pasa más inadvertida?
  • Tienda de telefonía : damos nuestros datos a la dependienta teniendo a otra persona a unos 20 cm realizando el alta de su teléfono
  • Sucursal bancaria : ¿Quién respeta las distancias marcadas en el suelo? Por no hablar de lo próximas que están las mesas de atención.
  • Gimnasio : Cuando nos damos de alta en un gimnasio, hay un degoteo incesante de socios que entran /salen, es muy difícil que nos lleven a una sala aparte a realizar todos los trámites.
  • Concesionarios de vehículos : Estamos diciéndole al comercial cual es nuestra cuenta de ahorro, nuestro dni, etc... y tenemos a curiosos que miran el coche que está a nuestro lado.

Esto nos llevaría a redefinir el término espacio vital. Leyendo varios estudios podemos llegar a la conclusión que el espacio vital se tasa en una media de 1'5 metros alrededor nuestro, variando según la procedencia de la persona (los latinos nos gusta más el roce y la rebajamos ;-) ). ¿Es ésta distancia óptima cuando tratamos la seguridad de la información? Pues depende en que aspectos, lo que si podemos tener claro es que al menos es la mínima.

CITA DEL DIA: «Paquete rechazado, ¿amenaza resuelta?»

Compartir esta entrada

Por Dani, hace 1 año y 4 meses

¿Dónde está el límite?

El otro día, haciendo repaso a la prensa digital, nos sorprendió la siguiente noticia.
El motivo de nuestro interés es, primero el tema, el cual todos sabéis es uno de nuestros favoritos, y por otra parte, el ámbito, el sanitario, en el que pasamos la mayor parte de nuestro tiempo.
No vamos a ser nosotros los que hablemos de la importancia que tiene la protección de datos, y de lo contentos que estamos de que casos como éste se sancionen, ¿pero con qué sanción?
Estamos acostumbrados a ver las sanciones que impone la AEPD, y que, en muchos casos, son de 600€ para particulares (la sanción mínima), y no me habría extrañado que en este caso, de haber estado en manos de la Agencia, se hubiera resuelto con esta sanción, o a lo sumo, con 6.000€.
Estar hablando de penas de años de cárcel nos parece excesivo, no entendemos si han buscado un cabeza de turco o ha sido una «ida de olla» del juez de turno.
No vamos a hacer demagogia relatando casos aberrantes que terminan sin sanciones o con sanciones de risa, pero lo que si que queremos dejar claro es que ésta, nos parece excesiva.
CITA DEL DIA: «La gestión de la seguridad debe ser tanto top-down como down-top»

Compartir esta entrada

Por Edgard, hace 1 año y 5 meses

La AEAT y la eleopede

Casualmente ha llegado a mis manos el modelo 145 de la AEAT (comunicación de datos al pagador). Por deformación profesional me he puesto a leer la advertencia que incorpora en materia de protección de datos. La verdad es que en primera instancia me ha sorprendido bastante. Aquí la tenéis:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el perceptor tendrá derecho a ser informado previamente de la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante, así como de la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos.

Ya sé que es prácticamente inviable redactar una advertencia completamente genérica y que cumpla exactamente con los requisitos de la LOPD (en concreto el artículo 5). Ahora bien, de ese extremo a lo que en esta advertencia se dice hay un trecho. Bajo mi particular criterio se ha adoptado la postura de sacarse el marrón de encima como diciendo que se ocupe otro ........

De forma breve y sin entrar en mucho detalle jurídico, por no aburrir y porqué tampoco es mi fuerte, se podría llegar a aplicar la excepción del artículo 5.3 de la LOPD por lo que únicamente se debería informar (artículo 5.1 LOPD) de los puntos a y e:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De todos modos, si se tuviera que informar del resto de puntos tampoco habría excesivo problema al no tratarse de información demasiado específica del pagador en cuestión (quizás el punto d, relativo al ejercicio de derechos debería quedar reflejado pero tengo serias dudas).

Dicho todo esto yo hubiera sido partidario de incluir esta otra advertencia o similar:

De conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la empresa o entidad pagadora (identificada en el punto 7) le informa de la existencia de un fichero o tratamiento de datos de carácter personal cuya finalidad es la aplicación de la correspondiente retención sobre la renta de las Personas Físicas. Esta información únicamente será comunicada a los organismos públicos competentes de acuerdo a la legislación vigente. Ud. tiene la posibilidad de ejercitar sus derechos de acceso, rectificación o cancelación de los mismos dirigiéndose a la empresa o entidad pagadora.

Obviamente, el redactado es mejorable pero creo que jugando un poco con el contenido del apartado «7 Acuse de recibo» se puede llegar a identificar claramente al Responsable del Fichero y por tanto cumplir con lo estipulado en el artículo 5. La verdad es que cualquier cosa sirve antes de tener que, por ejemplo, informar con otro documento adicional.

Por pura y simple curiosidad me ha dado por comprobar otros formularios similares (para nada de forma exhaustiva). A modo de ejemplo aquí tenéis otros modelos en los que no hay ningún problema puesto que directamente no incorporan ninguna advertencia de ningún tipo ...... Sinceramente no sé si es mejor o peor, o todo lo contrario ...............

Rendimientos del trabajo y de actividades económicas, premios y determinadas ganancias patrimoniales e imputaciones de renta

Deducciones por Maternidad y por Nacimiento o Adopción Solicitud del abono anticipado

Nacimiento o Adopción de Hijo Solicitud del Pago Único

Comunicación del desplazamiento a territorio español efectuada por trabajadores por cuenta ajena

En estos casos entiendo que el Responsable es la propia AEAT (al pie aparece «Ejemplar para la Administración») por lo que no hay excusa alguna para que NO figure la pertinente advertencia legal. Como ya comenté en esta otra entrada una buena forma de fomentar el cumplimiento de la LOPD es aplicarse el cuento (ver punto Dar ejemplo).

Para finalizar, espero que estas observaciones, totalmente constructivas, no sean objeto de ninguna inspección por parte de nuestra querida AEAT..... :-)

CITA DEL DÍA: «La seguridad de la contraseña radica en el propio usuario»

Compartir esta entrada

Por Dani, hace 1 año y 5 meses

Jugando a Pádel

Está claro que la LOPD es bastante desconocida para «la gente de a pie», pero hay que reconocer que cada día más gente empieza a oír hablar de ella, que se interesa e incluso se plantea dudas.
En el club deportivo al que pertenezco, el personal de administración sabe a qué me dedico y muchas veces me ha caído alguna que otra pregunta. Habitualmente de ofimática, usabilidad de windows e incluso como descargar más rápido de redes P2P (está claro que si trabajas con un ordenador tienes que ser el que sepa acelerar las descargas y bajarte los estrenos de cine antes que nadie).
Pues el otro día la pregunta me sorprendió, no os voy a engañar, hasta se me caía la lagrimilla y todo... y fue la siguiente:
«Dani, una cosa. Mira, estamos organizando un torneo de paddel, y nos gustaría poner en la web los participantes, con su foto, su posición en el ranking y su nombre, ¿habría algún problema ?»
La respuesta no os la voy a exponer porque de sobras sabéis que hay que hacer en estos casos, lo destacable de la historia es ver como una persona ajena por completo a estos temas de privacidad, confidencialidad, etc... ha llegado a preocuparse por un tema que la LOPD toca de lleno. Por supuesto que desconocía la Ley, pero algo en su interior le dijo que a lo mejor no estaba actuando del todo bien.
¿Estará cambiando algo o me pilló con la defensa baja?
CITA DEL DIA: «Cuidado con lo que te entra por detrás, en informática también»

Compartir esta entrada

Por Dani, hace 1 año y 8 meses

Y las notas hijo ?? Toma papá, rellena esta solicitud......

Hoy ha llegado a nuestras manos una propuesta promovida por la Agencia de Protección de Datos de Madrid (APDCM). Habitualmente las entradas del blog las realizamos, independientemente del que la firma, de forma conjunta puesto que los dos mantenemos puntos de vista similares. En este caso, que tarde o temprano tenía que suceder, no ha habido entendimiento entre ambos por lo que compartimos entrada pero no opinión. Os dejamos aquí la noticia y nuestros puntos de vista. ¿De qué parte estáis?
DANI:

Si bien muchas veces hemos creido que la Agencia (aunque en este caso hablemos de la Agencia de Madrid) ha estado a punto o incluso ha sobrepasado la raya en algunas resoluciones, en caso de dar trámite a esta norma, considero que habrá pisado con los dos pies en el otro lado. No voy a negar que gracias a la AEPD se ha avanzado y mucho en un camino correcto, pero ahora estamos caminando sobre arenas movedizas.
Si un alumno puede «esconder» las notas a sus padres a los 16 años, mucho me temo que para una parte de los adolescentes en esa edad, este hecho hará que la educación a partir de esa edad que se convierta en un «todo vale». Aunque no esté relacionado con la LOPD, y tal vez nos apartemos un poco de nuestra temática, hemos de pensar que la enseñanza en la juventud no está pasando por sus mejores momentos: alumnos «rebeldes», gran fracaso escolar... Una de las pocas medidas que un padre puede tomar es su seguimiento escolar, ligado a premios/reprimendas según los resultados obtenidos. Si este único punto de control lo perdemos también, acentuaremos aún más esta fractura que hay en nuestra sociedad actualmente.
Por otro lado, si actualmente consideramos que hasta los 18 años una persona no es mayor de edad y sigue estando «tutelada», ¿por qué debemos hacer una excepción en este tema? Por supuesto debemos ser conscientes que los datos son personales, pero en este caso entrarían en conflicto con el deber de los tutores.
Si bien la Agencia declaró tiempo atrás que no se podían colgar las calificaciones de los alumnos en tablones públicos, el caso en el que nos encontramos difiere mucho de aquel, ya que la única persona a la que se haría conocedora sería al tutor.
Entonces, en estos casos, ¿qué debemos hacer? Al apuntar al «niño» al colegio, ¿hacemos que firme un consentimiento de cesión de datos para que sus calificaciones lleguen al tutor por parte del colegio?
EDGARD:

Pues en contraposición de mi amigo Dani este planteamiento me parece de lo más acertado. CUALQUIER individuo tiene pleno derecho sobre todos aquellos datos que son inherentes a su persona. El argumento de la edad no me parece un criterio determinante puesto que es un juicio totalmente subjetivo. Hay gente de 40 años que parece que tenga 16 o menos, y viceversa. Siempre nos lamentamos de que no hay concienciación, conocimiento, etc.. relativo a la privacidad y/o la protección de los datos de carácter personal, por tanto, me parece estupendo que desde jovencitos tengan claro que poseen plena potestad sobre sus datos y el consiguiente uso. De ser así estoy seguro que las próximas generaciones harán un uso mucho más responsable de sus datos. Obviamente esto tendrá efectos negativos sobre todos aquellos que hacen un uso ilegítimo y/o bordeando la ilegalidad de los datos de las personas. La propia sociedad exigirá el pleno cumplimiento y respeto en orden de garantizar su propia intimidad.
Probablemente esté tirándome piedras sobre mi propio tejado y me arriesgo a que mis dos hijas, aún lo suficientemente pequeñas por suerte, se lo tomen al pie de letra......... aunque con toda sinceridad me parecerá absolutamente perfecto y legítimo. Otra cosa es que me guste o no.
En cuanto al tema de fondo, que es la educación, considero que las calificaciones sólo son la culminación y el reflejo de como ha ido o como va el curso escolar. En otras palabras, la educación debe ser continua y permanente por lo que siendo unos progenitores responsables deberíamos saber en todo momento como está yendo la educación y formación de los «niños». Hay muchos otros temas relacionados como la comunicación padres-hijos, la confianza, el respeto, los valores, la propia escuela, etc. que dependiendo de como se encuentren este tema no dejara de ser una anécdota. En definitiva, estoy convencido de que la solución está en la casa particular de cada uno, es un asunto a solventar entre padres e hijos. Como es lógico no voy a entrar en más detalle puesto que no es para nada la temática del blog.
CITA DEL DIA: «Cuanto más inseguro te sientes más seguro te haces»

Compartir esta entrada

Por Edgard, hace 1 año y 8 meses

Guía de seguridad de datos

Hoy mismo la AEPD ha publicado esta guía para facilitar la adecuación a la LOPD. Por lo poco que he leído me ha parecido un mix de varios temas ya publicados, por ejemplo, se ha incluido el modelo o plantilla del documento de seguridad, el cuadro resumen de medidas del RD 1720/2007, un check-list o comprobaciones para verificar el nivel de cumplimiento y un conjunto de preguntas-respuestas habituales.

Compartir esta entrada

Por Edgard, hace 1 año y 8 meses

En momentos de crisis .....

hay que ahorrar como sea ............... :-)

Leyendo esta resolución de la AEPD no he podido evitar una carcajada pensando sobre la posibilidad de que se trate de un ejemplo más de la típica picaresca que desde siempre nos caracteriza.
En esencia, se trata de una ciudadana que reclama ante la AEPD que no se ha atendido una solicitud de ejercicio de derecho de acceso a su historia clínica. Según la afectada la historia clínica entregada estaba incompleta.
Para no extenderme más, sirva este párrafo de la resolución como conclusión de la situación planteada:
«En segundo lugar, en relación a las pruebas realizadas con posterioridad al 03/01/2007 y que la reclamante afirma no haber recibido, éstas se encuentran en el mencionado Hospital a disposición de la misma, previo abono del importe de su realización, hecho éste ajeno a las competencias de la Agencia Española de Protección de Datos.»
Desde luego lo primero que me viene a la cabeza es que se trata de una buena estratagema para intentar ahorrarse unas perrillas. Una anécdota más de como la LOPD puede ser utilizada como arma arrojadiza o como mecanismo para intentar obtener «beneficios» personales .........
En cualquier caso, pido disculpas públicamente a la ciudadana en caso de que mi interpretación sea totalmente ajena a la realidad.
CITA DEL DÍA: «El desconocimiento es el caldo de cultivo de la inseguridad»

Compartir esta entrada

Por Dani, hace 1 año y 9 meses

Abra la boca y diga LOPD

Vamos a relatar otro caso más (por desgracia no cesan) de incumplimento de la LOPD, y como si de una película americana de sobremesa se tratara, esta vez está «basado en hechos reales».
Ayer, por desgracia, acudí a un centro odontológico. Era la primera vez que acudía a esta clinica, y procedieron a «ficharme». Ni que decir tiene que el deber de información no había venido ese día a la consulta. Una vez que empezaron el cuestionario me sorprendió mucho que me preguntaran el DNI y el estado civil.
¿Es necesario mi DNI para tratarme una caries? A lo mejor es para facturarme...
¿Importará si estoy casado en el tratamiento que me den? Si no lo estoy, ¿será más cariñosa la enfermera? :-)
Uno, que lleva la deformación profesional siempre encima, no podía hacer otra cosa más que preguntarlo, la respuesta fue clara, y la que se suele recibir en estos casos: «a mí me han pasado el formulario y yo lo pregunto» con el tono claramente me estaba diciendo «¿No vendrás a tocarme las narices no?».

Como se puede comprobar estamos ante un flagrante caso de incumplimiento de los principios de información y de calidad de los datos. Se está recabando información excesiva y además no se informa, lo cual, vulnera de lleno la LOPD. Este anecdótico hecho hace que volvamos a acordarnos del informe de INTECO en el que se reflejaba la penosa, si se me permite la palabra, calidad y cantidad de implantaciones de la LOPD en las PYMES.

En estos casos, ¿qué podemos hacer? nosotros porque somos buena gente y no vamos a denunciar, pero otro usuario que salga enfadado por el trato, el desembolso o incluso el dolor, ¿qué le impide denunciarlo a la Agencia? Está claro que las empresas desconocen el riesgo que corren en estos casos, tal vez un aviso diciéndole al empresario «¿Sabes que estos incumplimentos te pueden suponer miles de euros de sanción?» le haga espabilar, o tal vez no...

No obstante, el empresario juega con ventaja puesto que el pobre ciudadano de a pie está todavía menos concienciado y puesto en estos temas.

CITA DEL DIA : «El que mucho abarca... sufrirá para defender...»

Compartir esta entrada

← Anterior 01 02 Siguiente →

Creative Commons License

Buscar

Sitios favoritos

Suscribirse

Categorías

Bloggers

Archivos