Agendas digitales infantiles

Se acabaron las vacaciones, vuelven los madrugones, las interminables jornadas laborales, los atascos, pero no somos los únicos a los que se les acaban las vacaciones; a los niños también se les termina el chollo y han de volver a los colegios y a las guarderías. A más de uno, esto último será la única parte positiva de la vuelta de vacaciones.

En mi caso, mi “enano” vuelve a la guardería, y este año han decidido “modernizarse” y adaptarse más si cabe a lo que la tecnología les ofrece. Este año ya no habrá agenda en papel; en su lugar utilizaremos una agenda digital. Una aplicación que descargas en tu Smartphone con toda la información de tu hijo y donde diariamente te informan de su actividad en la guardería. Si ha comido bien, cuánto ha comido, cuánto ha dormido, etc.

– ¡Qué bien! (Pensé en un primer momento).

Pero conforme la directora nos iba explicando a los padres las grandes ventajas de su uso, y la información que podríamos transmitirnos a través de la aplicación, a mí me fue cambiando poco a poco la cara; y mi mujer, que me conoce como si de mi madre se tratara, se giró y me dijo:

– Ya te has descargado la aplicación, ¿no?
– Hace minuto y medio. Le respondí.

Antes de que terminaran de explicarnos cómo funcionaba, yo ya la tenía en mi dispositivo para ver si podía trastear un poco con ella. Como necesitaba un usuario y una contraseña para poder acceder a la aplicación, entré en la página web de la aplicación, desde donde también se puede acceder a la agenda digital, para ver si decía algo acerca de su seguridad.

¡Y vaya que si ponía algo! Había un gran dibujo de un candado y debajo ponía lo siguiente:

img1

“ES SEGURA. [Nombre de la aplicación] está certificada por cumplimiento estricto con 
la LOPD nivel 3 de seguridad, el máximo exigido para este ámbito.

¡Toma ya! Certificado LOPD nivel 3 de seguridad. ¿Y por qué no un nivel 5, o un nivel 10 que queda más chulo? Vale que hace poco que he vuelto de mis vacaciones, pero yo juraría que la LOPD no se certificaba, y que no hay un nivel 3 de seguridad, sino medidas de seguridad de nivel bajo, medio y alto. Pero vete tú a saber, que con tanto cambio de gobierno, igual han modificado la ley o el Real Decreto y yo no me he enterado.

Pero no, después de preguntar si había entrado en vigor una nueva ley de protección de datos, o un nuevo Real Decreto, y confirmar que todo seguía igual (prefiero no comentar la cara que pusieron mis compañeros ante esa pregunta, y tampoco quiero saber lo que pensarían de mí en ese momento), pensé que quizá esa aplicación no era tan segura como ellos mismos publicitan.

Visité el aviso legal de su página web para ver qué decía, y lo primero que me llamó la atención fue lo que ponía en el primer párrafo:

“[EMPRESA X] le informa que los datos personales que nos pueda facilitar a través de 
MAIL O FORMULARIO DE CONTACTO, no serán incorporados a los ficheros registrados 
en la Agencia de Protección de Datos de Carácter Personal”.

Y, entonces, ¿qué hacen con ellos? Porque los datos ya los tienen y los han recabado. ¿Los tiran, les prenden fuego? Además, si seguías leyendo el aviso legal, tres párrafos más abajo indicaban lo siguiente:

“[EMPRESA X] solicita, recaba o, simplemente, almacena una serie de datos e 
informaciones que el Usuario introduce en la Web o la Aplicación [Nombre de la 
aplicación] a través de cualquier formulario electrónico u hoja de captación ya sea 
durante el proceso de registro del Usuario en la Web o durante el uso diario de 
[Nombre de la aplicación]. Durante la navegación en la Web, “[EMPRESA X] también 
puede recabar y almacenar información de su dispositivo.”

Pero vamos a ver, ¿en qué quedamos? ¿Sí o no? ¿Y los datos de la aplicación, dónde los meten? Esto no tenía sentido…

Navegué un poco más por la página web y me descargué un manual de uso de la aplicación, a ver si podía esclarecer un poco todo esto, y efectivamente lo hizo. Nada más abrir el documento me encontré con esto:

img2

Datos de salud; la aplicación almacena información de salud de los peques, o lo que es lo mismo, esta herramienta debe de tener aplicadas las medidas de seguridad de nivel alto descritas en el Real Decreto de la LOPD. Recordemos que cuando se tratan datos de nivel alto, como son datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, se han de aplicar además de las medidas de seguridad de nivel básico y medio, las medidas de seguridad de nivel alto. Estas son:

  • Gestión y distribución de soportes (artículo 101): Sistema de etiquetado confidencial. Cifrado de datos en la distribución de soportes. Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
  • Copias de respaldo y recuperación (artículo 102): Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren los equipos.
  • Registro de accesos (artículo 103): Usuario, hora, fichero, tipo de acceso, autorizado o denegado. Revisión mensual del registro por el responsable de seguridad. Conservación 2 años.
  • Telecomunicaciones (artículo 104): Transmisión de datos a través de redes electrónicas cifradas.

Bueno, ya sabemos que la aplicación debe de cumplir estas medidas de seguridad, pero la única que podía verificar en un principio y sin entrar mucho en harina, era a través de la última: Telecomunicaciones.

Solicité el usuario y la contraseña a la directora y accedí a la agenda a través de la página web. ¡Voilà!

img3

Como era de esperar la página no tenía un certificado digital, por lo que los datos no viajan a través de un canal cifrado. ¡La primera en la frente! Bueno y ahora ¿qué? ¿Cómo es posible que la guardería, que “en teoría” están siempre haciéndonos firmar papeles por temas de la LOPD, haya contratado una aplicación que no cumple con ella?

ACTUALIZACIÓN: Tras un correo remitido a la dirección del centro explicando el incumplimiento del artículo 104 del RDLOPD, hemos podido verificar que se ha instalado un certificado digital en la aplicación que da conformidad a dicho artículo.

Debemos tener presente que, si hay algún problema con los datos, el responsable es la guardería, que es el responsable del fichero; la empresa propiedad de la aplicación es el encargado de tratamiento y como tal debe comprometerse a cumplir con las medidas de seguridad. Esto debe quedar reflejado a través de un contrato de acceso a datos por cuenta de terceros entre ambas partes, tal y como indica el artículo 12 de la LOPD. En dicho artículo establece entre otras cosas:

“En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el 
artículo 9 de esta Ley que el encargado de tratamiento está obligado a implementar”.

¿En dicho contrato establecerá qué medidas de seguridad ha de aplicar el encargado de tratamiento? Ni idea, pero igual pone que implementan las medidas de seguridad de nivel 7… visto lo visto, no me extrañaría nada.

En fin, creo que voy a meterme en un berenjenal, pero vamos a seguir rascando un poco a ver si conseguimos sacar algo a la luz. Yo por el momento he pedido que sigan informándome de las andanzas de mi hijo a través de la antigua agenda de papel.

Queridos lectores, os mantendré informados.

Comments

  1. Sí, en mi guardería este año también han puesto la agenda electrónica. El otro día nos la presentaron y conforme iba hablando me estaba preguntando hasta qué punto los datos de mi hija quedan en privado.

  2. Montenegro Marcelo Fabian says

    Vivo en Argentina, y gracias a Dios no tenemos aún este problema…
    Veo que al menos, tienes la posibilidad de optar por continuar como tú dices; con la vieja agenda en papel.
    ¿Pero si así no fuera? Supongo que deberías cargarte todo el problema al hombro, avisar al resto de los padres y soportar quedar como paranóico o loco cual Don Quijote… no?

  3. Anais, no sé decirte si la agenda digital que utilizan en la guardería de tu hija es segura y conforme a lo exigido por la LOPD. Entiendo que sí, ya que se podrían enfrentar a una fuerte sanción económica por parte de la AEPD. Pero lo mejor es que hables con la dirección del centro y preguntes.

    Marcelo, desconozco por completo la ley que regula la protección de datos en Argentina, pero entiendo que antes de obligarte a usar una aplicación nueva, deberían darte la opción de decidir su uso o no.