El Diablo está en los detalles

24 de febrero de 2009 Por

La portada de uno de los periódicos que conservo por casa reza en un gran titular “Obama inagura el primer gobierno 2.0 del mundo”, y a nadie se le escapa, en efecto, que el nuevo presidente norteamericano ha hecho de Internet y la web 2.0 una de sus principales bazas para llegar al Capitolio. Pero aunque eso lo hace indudablemente más real y cercano a la realidad de los ciudadanos, desde el principio han surgido voces críticas con el uso que se le da a algunos servicios, que van en la línea de las críticas a la privacidad de las redes sociales y el gigante Google.

En este caso no vengo a hablarles de la reticencia a desprenderse de su Blackberry, aspecto que ya comentamos hace unas semanas, sino de un par de cuestiones que Steve M. Bellovin y Christopher Soghoian entre otros, han puesto de relevancia en los últimos tiempos, y es el uso que la Oficina Ejecutiva del Presidente de los Estados Unidos hace de terceras partes para la provisión de servicios web, violando directivas federales, y proporcionando una valiosa información de orientacion política e ideológica a empresas privadas “afines”.

Empecemos por el principio. Hace algo más de un mes se puso en marcha una iniciativa por la que cualquier miembro del Congreso y del Senado norteamericano dispondría de un espacio en YouTube para colgar sus videos y exponer sus ideas a los ciudadanos, algo totalmente elogiable. Si no recuerdo mal, en la campaña electoral española se hizo algo similar, aunque ignoro con qué porcentaje de éxito. Como apunta Bellovin, el problema de esta iniciativa es que aunque aprovecha la tecnología para acercar los representantes a los ciudadanos, lo hace pagando un precio nada despreciable, como es la cesión de una información muy valiosa a una compañía privada como es Google. Francamente, a estas alturas de la historia, y una vez abandonado hace tiempo el lema Don’t be evil, proporcionarle al buscador información de carácter ideológico y político de los ciudadanos para que la utilice en su propio provecho, con el beneplácito y la connivencia del gobierno estadounidense, me parece una falta de concienciación y de la importancia de la privacidad en el mundo 2.0.

En segundo lugar, y para entender lo que sigue, cabe distinguir entre lo que son cookies de sesión y cookies persistentes. Mientras que las primeras son utilizadas mientras el navegador permanece abierto, y son eliminadas al cerrarlo, las segundas no se borran, sino que permanecen en el navegador, permitiendo al “propietario” de la cookie conocer información sobre la última visita o la información que hemos visitado en el pasado. En este último caso, páginas como YouTube han llegado a un nivel de sofisticación que permiten a Google conocer, bajo ciertas condiciones, las páginas y blogs que un usuario está visitando con la sola presencia de un video de YouTube en la página, aun cuando el usuario no “clickee” sobre el video.

Tras esto, déjenme introducirles con un fragmento del Memorando M-00-13, Privacy Policies and Data Collection on Federal Web Sites, de la Office of Management and Budget of the Executive Office of the President of the United States, que se abrevia como OMB. Disculpen si las traducciones no son demasiado apropiadas; lo que sigue es el cuarto y quinto párrafo del dicho memorando, que data del 22 de junio de 2000:

Las inquietudes particulares sobre privacidad deben ser tenidas en cuenta cuando el uso de tecnologías web pueda permitir seguir las actividades de usuarios a través del tiempo y entre páginas web diferentes. Estas preocupaciones son especialmente importantes cuando los individuos que han llegado a las páginas gubernamentales no tienen un aviso claro y visible de cualesquiera actividades de seguimiento. […]

[…] la presunción debe ser que las “cookies” no serán utilizadas en las páginas web federales. Bajo esta nueva política federal, las “cookies” no deben ser utilizadas en las páginas web federales, o por los contratistas que gestionen páginas web en nombre de las agencias, a menos que, además de existir un aviso claro y visible, se cumplan las condiciones siguientes: una necesidad imperante que obligue a recopilar los datos sobre el sitio; protecciones de la privacidad apropiadas y públicas para el manejo de la información derivada de las “cookies”; y aprobación personal por el jefe de la agencia. […]

Dicho memorando fue modificado posteriormente, el 26 de Septiembre de 2003, por el memorando M-03-22, OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 introduciendo las siguientes modificaciones (Anexo D):

1. Tracking technology prohibitions:

a. Agencies are prohibited from using persistent cookies or any other means (e.g., web beacons) to track visitors’ activity on the Internet except as provided in subsection (b) below;

b. Agency heads may approve, or may authorize the heads of sub-agencies or senior official(s) reporting directly to the agency head to approve, the use of persistent tracking technology for a compelling need. When used, agency’s must post clear notice in the agency’s privacy policy of:

      * the nature of the information collected;
      * the purpose and use for the information;
      * whether and to whom the information will be disclosed; and
      * the privacy safeguards applied to the information collected.

Dicho de otra forma (y en castellano), el uso de cookies persistentes está terminentemente prohibido, salvo que haya una necesidad de peso para ello. En tales casos, debe informarse de la información recogida, finalidad, destinatarios y medidas de seguridad aplicables, y esto aplica tanto a las agencias como a cualquier contratista que gestione contenidos en nombre de las agencias. No obstante, y aquí vuelven de nuevo los “pero’s”, si acceden a algunas de las entradas del blog de La Casa Blanca, verán que algunas de ellas contienen videos incrustados que apuntan a YouTube, y que los videos también se encuentran alojados en Vimeo, para lo cual la política de privacidad ha sido modificada convenientemente, incluyendo los siguientes párrafos:

For videos that are visible on WhiteHouse.gov, a ‘persistent cookie’ is set by third party providers when you click to play a video. […]

This persistent cookie is used by some third party providers to help maintain the integrity of video statistics. A waiver has been issued by the White House Counsel’s office to allow for the use of this persistent cookie.

Esta excepción (waiver) al uso de cookies persistentes ha sido duramente criticada, ya que no parece existir ninguna base fundamentada ni razón de peso para su existencia, y la utilización de proveedores de video externos no sólo les envía un nada despreciable flujo de visitantes, algunos de los cuales continuarán en el website externo, sino que sobre todo les proporciona, igual que comentábamos antes, información sobre los visitantes de varias páginas gubernamentales.

Como apunta Soghoian, no es comprensible que a estas alturas, y dado el presupuesto que La Casa Blanca maneja, se siga utilizando un website externo para el alojamiento de videos gubernamentales, cuando existen múltiples opciones comerciales de video streaming que podrían gestionarse internamente de manera autónoma, tal y como hace America.gov. Como aspecto positivo, el uso de una técnica similar al script MyTube de la Electronic Frontier Foundation para evitar algunas cookies persistentes, o las recientes modificaciones de la política de privacidad parece que apuntan a un creciente concienciamiento sobre la importancia de la privacidad, aunque es todavía claramente insuficiente. Si tenemos que escoger entre la privacidad y la web 2.0, creo que la elección no deja lugar a dudas; no podemos supeditar la primera a la segunda, por mucho que la web 2.0 traiga innumerables e inmensas ventajas. Nunca sabe uno dónde puede estar el punto de no retorno, y eso es algo que todos deberíamos tener presente, ya que jugamos en contra de los intereses de las grandes multinacionales de Internet. Por fortuna, la tecnología y las leyes permiten que no tengamos que escoger… siempre que nos dejen escoger.

En la línea de lo dicho en el anterior párrafo, seguramente a algunos lectores les parezca que puedo estar rozando la paranoia, entrando en este nivel de detalle, y más cuando no soy un ciudadano estadounidense. Sin embargo, aunque no descarto la existencia de una manía persecutoria, a estas alturas creo francamente en ese dicho que titula esta entrada y que dice que el Diablo está en los detalles. No sólo está en esa política de privacidad que deja la puerta abierta a una retención de datos para “usos legítimos de negocio”, en esa frase sutilmente introducida que exime (principalmente) a YouTube de la prohibición expresa de hacer uso de cookies persistentes en una página gubernamental, o en la aparente insignificancia que tienen los registros de visitantes al “canal de Internet” de un representante político. Está también en esa regla del cortafuegos “ANY:ANY” que alguien puso para una “demo” un día antes de irse a casa, en esa petición de acceso que por prisas y favores no sigue los cauces procedimentados, o en esa hoja Excel que mantiene Recursos Humanos, que contiene el personal con minusvalía y de la que el Responsable de Seguridad no sabe nada. Casi siempre, desde la superficie se ve todo impoluto. Rasquen un poco con la uña, y verán quién hay detrás.

* * *

Referencias:

Steve M. Bellovin: YouTube, the Government, and Privacy; More on YouTube, the Government, and Privacy.
Christopher Soghoian: Why Obama should ditch YouTube; White House exempts YouTube from privacy rules; White House acts to limit YouTube cookie tracking.
About.com: Federal Web Sites Violate Privacy Rules.
Electronic Frontier Foundation: Embedded Video and Your Privacy.
Whitehouse.org: Online Privacy Policy (24/02/2009).
OMB: OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002 (M-03-22); Privacy Policies and Data Collection on Federal Web Sites (M-00-13).

Idiota del mes

19 de febrero de 2009 Por

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Por cierto, ¿se imaginan a alguien comprando este trasto en un chiringuito cualquiera de Barcelona por 50 euros?

PD: Si a alguien le preocupa lo de “idiota”, estoy seguro de que eso es lo más suave que le han dicho en las últimas horas…

Para este jueves, la encuesta de la semana es la siguiente:

[poll id=”5″]

Y el resultado de la anterior es la siguiente:

[poll id=”4″]

¿Qué hay de nuevo, Facebook?

17 de febrero de 2009 Por

Cada vez que uno plantea en público, ya sea en este u otros blogs, dudas y cuestiones sobre las políticas de privacidad (y afines) de las compañías 2.0 “habituales”, tiene que hacer un esfuerzo por no acabar invadido por una terrible sensación de paranoia; ¿soy yo, o son ellos? ¿es normal tener dudas razonables, o soy simplemente un desconfiado? Ahora verán porque se lo pregunto. Les cuento.

Facebook cambió hace un par de semanas sus Términos de uso, que actualmente recogen esta interesante cláusula:

You are solely responsible for the User Content that you Post on or through the Facebook Service. You hereby grant Facebook an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license (with the right to sublicense) to

(a) use, copy, publish, stream, store, retain, publicly perform or display, transmit, scan, reformat, modify, edit, frame, translate, excerpt, adapt, create derivative works and distribute (through multiple tiers), any User Content you

    (i) Post on or in connection with the Facebook Service or the promotion thereof subject only to your configuraciones de privacidad or

    (ii) enable a user to Post, including by offering a Share Link on your website and

(b) to use your name, likeness and image for any purpose, including commercial or advertising,

each of (a) and (b) on or in connection with the Facebook Service or the promotion thereof. […]

[Read more…]

Security Art Work

5 de febrero de 2009 Por

Como sabrán si visitan blogs de manera asidua, cualquier blog que se precie está obligado a dedicar una parte de sus entradas a mirarse el ombligo, o si quieren llamarlo así, a publicar “metaentradas”, cuya única finalidad es hablar del propio blog. Puesto que en los casi 2 años que llevamos de vida apenas nos hemos dado palmaditas en la espalda, y aprovechando la actualización e instalación del WordPress y diversos plugins, he creído conveniente aprovechar esta entrada para que Security Art Work hable de sí mismo.

En cifras, desde el pasado 25 de abril de 2007 llevamos publicadas un total de 220 entradas, sin contar la presente, que han recibido un total de 284 comentarios, es decir una media de 1.29 comentarios por entrada, valor que, todo sea dicho, es francamente mejorable. Si nos vamos a las estadísticas, aunque durante su comienzo los números fueron bastante modestos, lo cierto es que durante los últimos meses Security Art Work ha experimentado un apreciado incremento de suscriptores y visitantes, especialmente a raíz de la aparición en portada de menéame de la entrada sobre la rotura de WPA/WPA2 anunciada por Elcomsoft; tampoco crean que estamos hablando de un aumento impresionante, tal y como verán en las gráficas de debajo.

A partir de los datos de Feedburner (i.e. Google), la gráfica de suscriptores es la siguiente (la caída a mediados de enero fue provocada por un error de Google en la migración de feeds a sus sistemas):

Suscriptores

Mientras que esta es la gráfica de visitas, sacada de Google Analytics:

analytics

Esos son los números de Security Art Work. Como editor y principal colaborador del blog, mi opinión es que el margen de mejora tanto de visitantes/lectores, incluso manteniendo las cifras en una escala “modesta”, es todavía inmenso, y lo mismo puede decirse de la frecuencia de publicación del blog; cada tres días aproximadamente ha habido una nueva entrada, y aunque puede verse como el vaso medio lleno, me permitirán que me quede con el vaso medio vacío. Al fin y al cabo, ya saben que como dijo Antonio Mingote, un pesimista no es otra cosa que un optimista bien informado.

Para acabar, les dejo con una encuesta, que actualizaré cada jueves y a la que podrán acceder a través de la entrada en cuestión y a través de la columna de la derecha. Naturalmente, tras esta breve pausa retomamos nuestra programación habitual, más y mejor si cabe.

[poll id=”3″]

Son *tus* datos

28 de enero de 2009 Por

diaeuropeo.jpgAprovechando que hoy es el Día Europeo de la Protección de Datos, tal y como apunta la imagen de la izquierda, quería comentarles un par de errores de concepto relacionados con la protección de datos, y que mi compañero y amigo Fernando Seco intenta enmendar con mayor o menor éxito en prácticamente todas las sesiones de formación que imparte.

El primero de ellos, aunque les parezca obvio, es pensar que los datos son de la empresa. Los datos de carácter personal son, como indica su nombre, de la persona. Es decir, suyos, de ustedes. Usted, y sólo usted, es el propietario de sus datos personales; para bien o para mal, le pertenecen, y excepto en algunas cuestiones puntuales, tiene el derecho de decidir qué se hace con ellos. A pesar de lo obvio que esto parece, muchos ciudadanos todavía no son conscientes de este hecho, y muchas empresas siguen considerando los datos que gestionan como propios. No lo olviden. Sus datos son suyos.

El segundo de los errores está relacionado con los objetivos de la LOPD, aspecto que el entorno empresarial pervierte consciente o inconscientemente. Entre otros, el cumplimiento de la LOPD por parte de una empresa busca a) garantizar el adecuado tratamiento de los datos personales custodiados, y b) asegurar el cumplimiento de la legislación aplicable, con objeto de evitar las posibles sanciones de la AEPD. ¿Cuál creen ustedes que va primero? ¿Cuál creen ustedes que las empresas consideran como el primero?

Para acabar, más allá de regulaciones y leyes, hay un tema vital que es la concienciación de los ciudadanos respecto de sus datos y de los de otros. Cualquier persona que gestiona datos de otras personas debe entender que tratar datos correctamente es más que una obligación legal; es su pequeña aportación al ejercicio de un derecho constitucional, su participación en la defensa de los derechos no sólo propios sino también de los de sus conciudadanos. Es, de alguna forma, la aplicación de ese lema que dice aquello de “No hagas a los demás lo que no quieres que te hagan a ti”.

* * *

Después de un punto y aparte, le invitamos a asistir a la Jornada gratuita sobre Seguridad Informática organizada por el Instituto Tecnológico de Informática de la Universidad Politécnica de Valencia, titulada “Seguridad y Fiabilidad Informática Factor Clave para el Crecimiento de las Empresas“, que tendrá lugar en la el próximo día 5 de febrero por la mañana y en la que S2 Grupo participará a través de nuestro compañero Antonio Villalón, quien dará una ponencia sobre la gestión de las incidencias de seguridad. Esta y mucha más información la encontrarán en la página de la jornada. Le esperamos; al fin y al cabo, piense que el café es gratis.

El cuento de la lechera en la nube 2.0 (o porqué Google no contesta con rotundidad)

20 de enero de 2009 Por

[Como habrán visto, y a petición del respetable, hemos introducido la funcionalidad de búsqueda, tanto simple (a su derecha), como avanzada, algo que empezaba a ser una necesidad teniendo en cuenta la cantidad de entradas en las que nos empezamos a mover.]

La semana pasada estuve de vacaciones, y me perdí la entrada de Enrique Dans insistiendo, otra vez, en la conveniencia de gestionar el correo corporativo a través de Google Apps Premium Edition. Bueno, en realidad no me la perdí, pero intenté mantenerme alejado del tema, al menos hasta mi vuelta.

Poco después, el abogado Javier Mestre del Bufete Almeida publicaba un artículo en elmundo.es titulado “El cuento de la lechera 2.0“, poniendo en tela de juicio la conveniencia legal de utilizar los servicios de Google Apps Premium Edition para cuestiones corporativas, en algo que parece casi una respuesta personalizada dirigida a Enrique Dans (“un experto asesor en nuevas tecnologías, de esos que van siempre a la última rodeado de ‘gadgets’ por todos lados”, Javier Mestre dixit). Como respuesta, Carlos Gracia, Director de Google Enterprise España y Portugal, replica con un artículo titulado “Esto no es un cuento 2.0“, y Enrique Dans remata la faena con un artículo en el que critica desde la ignorancia el enfoque de Javier Mestre y respalda los prácticamente inexistentes argumentos proporcionados por el portavoz de Google, casi en calidad del comercial del gigante norteamericano.

[Read more…]

Vodafone les desea feliz navidad (y S2 Grupo feliz año)

30 de diciembre de 2008 Por

No, no me he equivocado. Esta mañana leía en un foro lo siguiente, con fecha del pasado 22/12 21:40h:

Durante la tarde de hoy observo una incidencia en Mi Vodafone. Tengo 3 líneas que gestionar una de contrato y 2 de prepago, el caso es he observado de cada vez que accedo a la sección “mis datos” y nombre del “titular de la línea” me sale una persona distinta, me explico conecto y en alguna de las lineas me sale un nombre, nif, dirección, teléfono de contacto y dirección que nada tienen que ver conmigo, me desconecto y vuelvo a conectarme y vuelven a salirme los datos de otras personas, nunca son los mismos. Cada vez que me conecto veo los datos de otras personas en lugar de los mios. ¿Es esto normal? ¿Están a salvo nuestros datos en manos de Vodafone? [gsmspain.com]

Al parecer, este problema afectaba únicamente a los clientes de prepago, y aunque no he indagado demasiado en el error, también existía alguna relación entre el usuario que el cliente veía cuando accedía, y las fechas de alta de la tarjeta o el programa de puntos de ambos. Vodafone dió de baja el acceso a dicha sección de la web a partir de las 12h del día siguiente, un poco tarde en mi opinión para un operador nacional de móvil de estas dimensiones. A pesar de ello, hasta ayer 29 los medios de comunicación no se hicieron eco del problema, y todo gracias a la denuncia interpuesta por Facua contra Vodafone ante la AEPD. Sin mayores reflexiones, sirva este último caso como colofón a un año que nos ha traído la entrada en vigor de un nuevo reglamento y un buen montón de fugas, pérdidas, robos, evaporaciones, transmutaciones y venta de datos de carácter personal, algunas públicas, otras (¿muchas?) no. Y discúlpenme que no ponga los enlaces, pero es que son muchos.

* * *

No podíamos acabar el año sin dar respuesta al tercer problema LOPD, aunque lo cierto es que todos los participantes habéis acertado de pleno y no creo que pueda añadir demasiado. Más allá de las medidas que Atmedsa debe implantar en relación con sus propios trabajadores, la idea era centrarse en la relación responsable – encargado del tratamiento.

La verdad es que, si les gustan los puzzles, la situación en la que Atmedsa y Plásticos Cremallera están es un bonito rompecabezas que incluso es parcialmente regularizable. ¿Se han planteado que Plásticos Cremallera, contra todo pronóstico, podría actuar de Encargado del Tratamiento de los datos responsabilidad de Atmedsa, dando servicios de soporte informático? Entre otras muchas cosas, deberían firmar un contrato de acceso a datos y Cremallera disponer de un Documento de Seguridad como Encargado del Tratamiento. Claro que el tema de las llaves del armario no hay manera de regularizarlo.

No obstante, el señor Botón y su amigo, que se dedica “a eso de la LOPD”, son partidarios de las soluciones sencillas. De la navaja de Occam y del Principio KISS (Keep It Simple, Stupid) que tanto le gusta a Tanenbaum. Y por eso se dan cuenta de que convertir a Plásticos Cremallera en Encargado del Tratamiento de Atmedsa, es, aparte de una estupidez, y perdónenme el lenguaje, un marrón considerable teniendo en cuenta el nivel de los datos que el servicio médico gestiona.

Así pues, en la línea de las soluciones indicadas, es imperativo que el servicio médico tenga en exclusiva las llaves del armario, y recomendable que los equipos informáticos sean proporcionados por Atmedsa. Vuelve a ser imperativo que el soporte técnico de los equipos (copias, registro de acceso, cifrado, etc.), independientemente de quien lo proporcione, no lo preste técnicos de Plásticos Cremallera, sino personal de Atmedsa o una tercera empresa contratada por ésta (desde el punto de vista de cumplimiento, ese es ya su problema y no el de Plásticos Cremallera). Es recomendable que se disponga de segmentación en la red, tanto para evitar el acceso al equipo del servicio médico por parte del personal de Plásticos Cremallera (esto debe ser preocupación de la empresa del servicio médico) como para impedir que el personal médico tenga acceso a la red corporativa (y esto, preocupación de Cremallera). En este caso en particular, la solución ideal podría ser en mi opinión una ADSL directa al equipo del médico sin ningún tipo de conexión con la red corporativa, pero por supuesto eso tiene un coste (tanto económico como de gestión, y en este caso yo deshabilitaría lógicamente cualquier punto de red a menos de 5 metros del router ADSL). Y creo que, aunque no haya añadido nada, eso es más o menos todo; ¿qué les parece?

Ahora, déjennos que tomemos las uvas, pensemos un poco y el año que viene venimos con más problemas. Total, es pasado mañana. Así pues, feliz año a todos, con puente o sin él.

“Problemas LOPD” (III): Plásticos Cremallera

16 de diciembre de 2008 Por

(Primero, la solución del anterior)

Hace ya demasiado tiempo, recordarán que planteamos el problema de Piruletas de Motilla del Palancar. Resumiendo, Piruletas es una empresa que utiliza los servicios de la empresa Bolsa de Trabajo, (BdT) cuya actividad es un portal web de selección de personal. Cuando un candidato ve una oferta de Piruletas, se apunta a ella y Piruletas es informada de ello. El problema es que BdT no permite que Piruletas informe al candidato de sus derechos respecto de dicha cesión cuando se le informa de que se ha apuntado a la oferta, por lo que el candidato sabe que sus datos son cedidos pero no cómo y frente a quién exactamente ejercer sus derechos.

A lo largo de los comentarios que hemos mantenido Javier Cao, Edgard (inspirador del caso) y un servidor, han quedado evidenciadas algunas lagunas en el procedimiento de actuación de BdT. Al parecer, aunque el candidato conoce el nombre de la empresa ofertante, BdT no permite que tras la inscripción, Piruletas le conteste con los datos de contacto para el ejercicio de derechos ARCO (asumo que Piruletas no conoce los datos de contacto “externos” del candidato, ya que esto facilitaría mucho las cosas); esto no tiene como finalidad (creo) que BdT siga actuando de intermediaria durante todo el proceso. Continuando las suposiciones, se me ocurre que pueden existir empresas que se quieren mantener anónimas hasta el final del proceso, en el cual ellas mismas se ponen en contacto con los “finalistas”, o que como sugería Javier, el negocio de BdT se centre en la gestión, filtrado y envío inicial del lote de candidatos, tras lo cual la empresa (en este caso Piruletas), puede ponerse en contacto con ellos.

Dejando ya el campo de las suposiciones, y pasando a la solución, existe por supuesto una solución inmediata que es el cese de la colaboración con la empresa, aunque quiero considerar esa opción como el último recurso a efectos del presente caso. Por supuesto, en el mundo real ™, cuando se valoran ofertas de diferentes proveedores, uno de los criterios para escoger no es otro que el cumplimiento legal. Otra solución aportada por Javier es la de que BdT anonimice los datos de los candidatos, ya que en un proceso de selección, y excepto cuando la presencia personal tiene un papel importante, los datos identificativos carecen de sentido. Esta solución, aunque es buena, obligaria a BdT a cambiar su forma de trabajar, algo a lo que no creemos que BdT sea especialmente receptiva.

En nuestra opinión el problema reside en su mayoría en la actuación de BdT, que realiza una cesión cuyo destinatario no está definido. Por parte de Piruletas, es cierto que accede a datos identificativos de personas a quienes no puede informar de sus derechos durante el tiempo que dura el proceso de selección (entiendo que no hay manera de contactar con ellos), pero no vemos mayor problema. Respecto a aquellos que rechaza, no está obligado a comunicarles sus derechos ya que no va a tratar sus datos (de forma similar a un curriculum que se destruye nada más ser recibido. Aún así, si considerasemos que existe tratamiento, éste puede verse como extremadamente marginal para ser significativo). Respecto a los que acepta para una fase posterior del proceso de selección, es obvio que tarde o temprano tendrá que conocer sus datos de contacto, que es cuando deberá informarles de sus derechos. Quizá hilando muy fino podríamos ver una no conformidad “temporal”, pero en cualquier caso, creo que no supone un gran problema.

¿Qué os parece?

* * *

Andrés Cremallera fundó Plásticos Cremallera la primavera de 1987. Gracias a varios contratos con la administración pública y a una impecable gestión, pasó de tres empleados a trescientos cincuenta diez años después, momento en el que el crecimiento de la compañía se estabilizó. A partir de 1991, y por requerimientos legales y del negocio, se decidió contratar una empresa de atención médica (Atmedsa) que prestase servicios de asistencia médica en las oficinas de la planta. Dicha atención médica se facilita actualmente por parte de un médico “residente”, en una sala anexa al despacho de Antonio Botón, Responsable del Departamento de Prevención de Riesgos Laborales. Aunque en un principio para el almacenamiento de información había sólo un único archivador, en la actualidad dispone de cinco archivadores con llave (copias de las cuales están en posesión de Antonio Botón), y un ordenador personal propiedad de Cremallera, ubicado lógicamente en el segmento de usuarios, y cuya copia de seguridad diaria (incremental) y semanal (total) están incluidas en las políticas de backup de la compañía. El médico utiliza dicho equipo para almacenar la información habitual (minusvalías, alergias, analíticas) en ficheros ofimáticos de rápido acceso, y para conectar, por medio de la salida a Internet de Plásticos Cremallera, a la aplicación de Atmedsa para la gestión de historiales clínicos.

Ayer, primer día de la primera auditoría del reglamento a la que la empresa se somete, Antonio Botón se dió cuenta de cómo la cara del auditor cambiaba a medida que le describía el funcionamiento del servicio médico, así que por miedo a haber metido “la pata hasta el fondo”, llamó a un amigo suyo que se dedica a “eso” de la LOPD. ¿Qué le dijo éste?

Actualización 19/12, 12h: Dani, de Eddasec, plantea una solución en esta entrada de su blog.

“Problemas LOPD@@@ (II): Piruletas de Motilla del Palancar

20 de noviembre de 2008 Por

Siguiendo con la línea de “Problemas LOPD” que comenzó con Palotes de Chiclana, a continuación les presento un caso que hace unas semanas plantearon Edgard y Dani Puente en su blog Eddasec; les advierto que en este caso, a diferencia del anterior, es posible que no exista una solución clara más que la interrupción de la relación comercial. Vamos allá.

Una empresa, llamémosla Piruletas de Motilla del Palancar, tiene una relación mercantil con la página web “Bolsa de trabajo”, cuyo negocio se centra en la gestión de ofertas de empleo a través de Internet; se trata obviamente de un portal de búsqueda de empleo. Ésta informa al candidato de sus derechos en los términos establecidos por la LOPD, y puesto que existe una relación de comunicación/cesión de datos con el ofertante de empleo, “Bolsa de trabajo” recoge el debido consentimiento.

No obstante, Piruletas de Motilla del Palancar está preocupada porque en ningún momento se informa claramente al candidato del destinatario de los datos, en este caso ellos, aspecto que aunque está implícito en la oferta a la cual se inscriben, no se ajusta a los requisitos de la LOPD. A tal efecto, han pensado en incluir una advertencia legal con sus datos (en calidad de responsables “temporales” del tratamiento, mientras valoran la posible adecuación del candidato al puesto ofertado) en el correo de respuesta que automáticamente reciben todos/as los/as candidatos/as que se inscriben a las ofertas, incluyendo por supuesto en éste las direcciones de contacto para el ejercicio de derechos ARCO.

Sin embargo, “Bolsa de trabajo” no permite que se incluya este tipo de información de contacto, y sus condiciones de uso no permiten facilitar datos de contacto a los candidatos, seguramente para mantener su modelo de negocio y otras razones permitir a las empresas mantener el anonimato hasta el final del proceso de selección. No obstante, ¿qué debería hacer “Piruletas” al respecto? ¿Es necesario que informen de su condición de destinatarios de la cesión, o ese aspecto le concierne a la web “Bolsa de trabajo”? ¿Hay alguna solución “intermedia”? ¿Qué opinan ustedes?

Nuestra “solución”, en una próxima entrega.

¡Esto es un escándalo!

30 de octubre de 2008 Por

Hoy he desayunado leyendo la última entrada de Enrique Dans en su blog, llamada “Trucos para quien depende de Gmail“. En la línea de sus aportaciones habituales, con las que se puede estar más o menos de acuerdo, Enrique aboga por el uso de Gmail para el usuario corporativo, diciendo que:

En las empresas, Gmail ha provocado más de una discusión: no son pocos los directivos y trabajadores que, hartos de las limitaciones de su correo corporativo (de tamaño, usabilidad, acceso remoto, etc.) deciden un día redireccionarlo a una cuenta de Gmail y gestionarlo desde ahí, lo que provoca no pocos escándalos entre responsables de tecnología preocupados por la seguridad y la confidencialidad (escándalos, desde mi punto de vista, completamente estériles e injustificados… desde mi experiencia, es una práctica que recomiendo a cualquiera: Google siempre será capaz de gestionar tu correo mejor de como lo gestiona tu empresa, que no se dedica a esos menesteres como actividad principal).

Creo que no hay nada que añadir al respecto; se siente uno como una pequeña rata de laboratorio paranoica, aunque le queda el consuelo de saber que no lo es. Es razonable que algunas personas piensen, por ejemplo, que la LOPD es excesiva, pero el Reino Unido está empeñada en darnos la razón a los que decimos que no lo es, cuando millones de datos van y “se pierden”. También es razonable pensar que los webmails de Hotmail, Gmail o Yahoo! son sistemas seguros, pero casos como el de Sarah Palin nos dan la razón de que no lo es. Tampoco hay que olvidar las repercusiones de la LOPD en este tipo de servicios; el correo electrónico hoy en día no es sólo un sistema de comunicación electrónica: es también (y cada vez más) un repositorio de documentación. Documentación que incluye datos de carácter personal, informes confidenciales, contratos, ofertas, y muchos otros contenidos de todo tipo. Entiendo la motivación de Enrique Dans, pero es obvio que no la comparto y para ser sincero, me parece una insensatez y jamás la recomendaría a nadie, por muchas razones.

Para acabar con esto, me resulta curioso la mención de que Google gestionará tu correo mejor de lo que lo gestiona tu empresa, cuando un servidor de correo de tamaño medio no es algo tan difícil de gestionar, pero dejémoslo ahí. Si van a la entrada original, encontrarán opiniones a favor y en contra. Aquí (y allí) tienen la mía, ahora háganse la suya.

* * *

En relación con la anterior entrada, el “problema LOPD” de los Palotes de Chiclana, admito que no he dado demasiado tiempo para posibles respuestas, pero creo que el problema no era demasiado complejo. Primero he de decir que la recepcionista, María Antonia Ruíz Pérez, es empleada de Palotes, para no complicar las cosas, y no meternos en rollos de encargados del tratamiento y similares. Y en segundo lugar tengo que decir que el problema admite diversas interpretaciones, y probablemente tenga más de una solución válida; yo personalmente no me siento legitimado para decir que una solución es más correcta que otra, por lo que deberán considerar esta “solución” como mi opinión personal, y en este caso coincido con Javier Cao. Si hubiese alguna discrepancia o error con lo que sigue, les ruego que me lo digan.

Como indicaba Javier, existe una resolución específica en relación con el control de acceso a edificios, la 1/1996 [pdf], que en su norma quinta, “Cancelación de los datos”, especifica que “Los datos de carácter personal deberán ser destruidos cuando haya transcurrido el plazo de un mes, contado a partir del momento en que fueron recabados“. Aunque ésta hace referencia a la LORTAD, y existe una cierta concurrencia de instrucciones con la 1/2006 sobre videovigilancia (pdf) (ver Félix Haro), no se encuentra derogada, y ha sido referenciada en resoluciones de la AEPD posteriores a la LOPD.

Por tanto, tenemos que disponemos de un fichero con una finalidad muy clara (control de acceso) y para el que existe una directiva específica de la AEPD, y al que queremos darle otra finalidad adicional (confirmación de la firma del compromiso de confidencialidad), pero cuyos plazos de conservación son claramente incompatibles. Yo, como Javier, me inclino por un segundo fichero, dado que al mantener el mismo fichero con ambas finalidades, estaríamos incumpliendo la citada directiva. Y esa es, en mi modesta opinión, la solución más apropiada.

En cualquier caso, se admiten correcciones, recursos, y quejas; sólo me queda dar gracias a los participantes y aunque no hay premio, quizá un día les pueda invitar a una cerveza.