Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más “oficial”, pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.

Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de “¿Por favor, podría ir un poco más despacio?”.

Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.

La entrada de hoy, en la serie de colaboradores, viene firmada por José Ignacio Ruiz, Director Tecnológico de la Información de ASEVAL, la entidad de banca-seguros de AVIVA y Bancaja. Y con esa referencia profesional, poco más hay que decir para presentar al autor de la siguiente entrada, que va en la línea de uno de los temas que más me interesan: qué pasa con nuestra información en Internet: quién, cómo y dónde. Espero que disfruten con el post.

Leía hace unos días un artículo titulado Cuidado con lo que dice Google de ti, en el que se hablaba de la popularización de las redes sociales personales y de búsqueda de empleo, así como los blogs, que hacen que Internet pueda ofrecer datos que permitan que la balanza en un proceso de selección se pueda decantar en un sentido o en otro.

Aunque la semana pasada les dije que un servidor —editor del blog— estaba de vacaciones, puesto a actualizar mi blog personal, he pensado darme una vuelta por aquí y actualizarlo también. No les puedo prometer que de aquí al 25 de marzo habrán más entradas, dado el abundante número de días festivos, pero en cualquier caso, de momento esto es lo que hay. La entrada de hoy, que estrena la sección de colaboraciones, procede de una colaboradora habitual de S2 Grupo en temas de índole legal: Ana Marzo, de Equipo Marzo.

Como presentación formal, y más allá de lo que puedan encontrar en su página web, e-marzo es una entidad con oficinas en Madrid, Barcelona y Valencia, que se dedica a la prestación de servicios jurídicos, de consultoría y auditoría. Integrada por un equipo de abogados, consultores, auditores y técnicos, presta sus servicios en diversas áreas: protección de datos, contratación informática, seguridad de datos, propiedad intelectual, comercio electrónico y servicios de la sociedad de la información. Y no me enrollo más, así que vamos con la entrada de Ana.

La LOPD puede a veces verse como una ley sin sentido y exagerada, pero cuando te paras a pensar y analizas el uso que gente sin escrúpulos puede hacer de la información que se maneja en el mundo hoy en día se te ponen los pelos como escarpias. Es en este momento cuando empiezas a entender el significado y el alcance de esta ley que está pensada sobre todo y ante todo para proteger el derecho de los individuos en una sociedad moderna y protectora como la sociedad en la que vivimos.

Les cuento uno de los casos que personalmente me hizo reflexionar sobre el sentido de la ley.

[Hemos decidido, para incrementar la participación en el blog, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones.]

Ayer por la mañana amanecí con la noticia de FACUA de que “Protección de Datos confirma que la lectura de los correos de los usuarios para mostrarles publicidad personalizada vulnera la legislación española y comunitaria“, en patente referencia a Gmail. Esta misma noticia también ha aparecido en ALT1040, EuropaSur, y seguramente a estas alturas habrá aparecido ya en muchos otros sitios. He demorado este comentario por tres razones: la primera, por falta de tiempo; la segunda, porque Fernando se me adelanto con la entrada a propósito del escándalo de Société Générale (entrada que quizá no he dejado reposar demasiado); y la tercera, para poder encontrar argumentaciones convincentes, aunque a muchos no se lo parecerá.

Y es por esta tercera razón por donde voy a empezar, porque está claro que GMail es actualmente y con toda probabilidad el mejor sistema de correo electrónico gratuito que existe. Es eficiente, es rápido, está bien pensado y tiene una capacidad con la que, como bien publicitan, probablemente no te haga falta borrar un correo nunca más. Por ello, no es extraño que cualquier comentario en contra de GMail suela despertar un aluvión de críticas; es en mi opinión algo razonable; y es que como ya hecho en anteriores ocasiones, insisto que a título personal, soy un usuario de Google y GMail.

Lo que voy a hacer a lo largo de esta entrada es destacar algunos puntos que me parecen de interés en relación con GMail (aunque asumo que puedo estar equivocado en más de uno), y que intentan mostrar que no porque un servicio sea bueno y gratuito hemos por ello de venderle nuestra alma; Google no es al fin y al cabo una ONG ni una “Fundación por un correo electrónico mejor”, sino una empresa que presta un servicio con el cual hace negocio, y eso al menos debería mantener alerta nuestro espíritu crítico; piensen qué pasaría si Telefónica adoptase algunas de las políticas de Google en cuestión de privacidad (y no, el nivel de satisfacción del usuario no es un factor a considerar en la gestión de los datos de carácter personal, o DCP en adelante). Antes de empezar, advierto que quizá esta entrada sea algo larga, pero creo (es más una esperanza que un creencia) que no se les hará pesada:

Si siguen este blog, ya conocen nuestra pequeña y particular obsesión por Google (y si no, ya lo saben). Eso no quita, por supuesto, que un servidor (yo) utilice sus servicios tanto como lo necesite; el hecho de que Google conozca mis hábitos de navegación, tenga acceso a mi correo de Gmail, o sepa quién y cuando accede alguien a mi blog personal les confieso que no me quita el sueño; quizá porque asumo que no hay nada en todo ello que le pueda ser interesante a Google, más que desde un punto de vista publicitario (siempre por supuesto en un ámbito personal, ya conocen aquello de “en casa del herrero…”). También es cierto que en algún momento de mi vida tuve una relativa preocupación por la indexación y almacenamiento que este buscador realizaba de los grupos de discusión (Usenet News), debido a mi por aquel entonces habitual costumbre de enzarzarme en discusiones estériles y nada sensatas con otros usuarios de estos grupos. Eso y otras cosas hicieron que decidiese añadir una etiqueta CONTENT=”NOARCHIVE” a toda aquella información que vuelco en mi página personal; esto no evita que Google (y otros motores de búsqueda) indexe los contenidos, pero sí que los guarde en caché, dándome la libertad de poder eliminar o cambiar cualquier texto en cualquier momento. Claro que siempre quedan aquellos robots menos educados, o los servicios de lectura feeds, pero dejemos eso para otro momento.

En resumen, cuando uno dispone de un acceso total a los medios de publicación, tomar algunas precauciones es sencillo (y recomendable). Pero esto cambia radicalmente cuando es un tercero quien publica estos datos. Entonces, esta información está accesible a cualquiera que tenga acceso a Internet gracias a Google, hasta que la fuente original decida eliminarla, algo que no siempre es tan fácil como cambiarle el nombre a un fichero. Y no se trata de cuando alguien decide publicar información que uno mismo hizo públicamente accesible en por ejemplo un blog personal, como comentamos aquella vez, sino de cuando es un tercero que sin autorización y en ocasiones con todo el respaldo legal, publica algo que a nosotros nos gustaría ocultar.

Queridos lectores, vuelvo de mi baja temporal (”cervicalgia aguda con impotencia funcional“), mis vacaciones y un “de moderado a intenso” dolor de cabeza con la sorpresa —noticia que probablemente muchos de ustedes ya conozcan— de que el pasado 21 de diciembre fue finalmente aprobado en el Consejo de Ministros el Nuevo Reglamento de la LOPD, que como saben carecía de uno y hacía uso del reglamento de la derogada LORTAD.

Puesto que al parecer no se ha publicado éste aún en el BOE, y como es pronto y sería algo insensato por mi parte ponerme a reflexionar sobre las modificaciones que introduce, les dejo el enlace de la Moncloa donde pueden al menos ir abriendo boca; estarán ansiosos por leerlo. No se preocupe, seguro que tenemos tiempo para alabar y demonizar las novedades del nuevo texto.

Hace unos días, leyendo una entrada sobre la evolución del spam de un conocido tecnólogo 2.0 (con el que, a título personal, estoy habitualmente más que en desacuerdo), me sorprendió —relativamente, visto lo visto— encontrar comentarios como los siguientes:

«En la cuenta de mi trabajo recibo más de mil correos diarios de spam. [...] Ahora simplemente tengo una cuenta de Gmail que “chupa” el correo de mi trabajo y aparta el spam. Por último bajo lo que queda, el correo “bueno”, vía POP [...]»

Hemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

Ayer, mientras mantenía una reunión de seguimiento con compañeros de trabajo, surgió el tema de qué es un “evento LOPD” y cual es la finalidad de su registro; si es posible, factible o incluso razonable delimitar claramente y registrar (todos) los eventos de tipo LOPD en una organización, con oposición a otros tipos de sucesos. En este sentido, no quiero limitar el concepto de “evento” a “incidencia” en el sentido entendido por el artículo 10 del RMS, “Registro de incidencias”, sino que dentro de la idea de “evento” estoy incluyendo todas aquellas situaciones recogidas por dicho artículo —pérdida de una contraseña, fallo en una copia de seguridad, detección de una intrusión, pérdida de un soporte, ejercicio de derechos ARCO, etc.— más cualquier otra que sin suponer una incidencia, afecta igualmente a la confidencialidad, integridad y disponibilidad de los datos de carácter personal: solicitud de acceso a determinada ubicación de acceso restringido, movimiento de un soporte entre distintos CPDs, realización de pruebas de recuperación, pérdida de disponibilidad de una máquina, etc.

Hay que empezar diciendo que la identificación de todos y cada uno de los “eventos LOPD” sería una tarea casi interminable no sólo por la cantidad sino por la “calidad” (¿es la permanencia de un listado de personal en una impresora durante más de 5 minutos un “evento LOPD”? ¿Y la caída de un switch en una zona de producción industrial? ¿Y la ausencia de un sensor de temperatura en un CPD? ¿Sí? ¿No? ¿Depende?), y no me malinterpreten; un registro de incidencias y/o eventos completo y en tiempo real es vital para una buena gestión de explotación y de seguridad: peticiones de instalación de software, caídas de red, fallos en los equipos, pérdida de fluído eléctrico y puesta en funcionamiento del SAI, recuperación de datos LOPD y no-LOPD, pruebas de contingencia, actualización del antivirus, detección de ataques, migración de sistemas, etc. Ello permite realizar un seguimiento de las tareas, cumplir con las SLA (Service Level Agreements) acordadas con los clientes y dar un servicio de calidad. Imagino que estamos de acuerdo.