El “debido control” en el Nuevo Código Penal

26 de mayo de 2011 Por

Ya tenemos con nosotros otro de esos términos que va a dar mucho que hablar y es que definir las cosas de forma concisa y concreta debe costar demasiado trabajo, o tal vez es que quien escribe determinadas leyes considera que no debe “mojarse” en exceso.

El hecho cierto es que el Nuevo Código Penal introduce la responsabilidad directa de la persona jurídica en el caso, entre otros, de delitos cometidos por personal sometido a la autoridad de personas que ostenten la representación legal de la persona jurídica y administradores de hecho o de derecho, propiciados por no haber ejercido el debido control.

¡¡Toma ya!! Ahí queda eso. Y ahora, con algo tan delicado como el código penal que comporta penas para las personas jurídicas como la disolución de la persona jurídica, la suspensión temporal de actividades, la clausura temporal de locales y establecimientos, la inhabilitación de obtención de subvenciones o la inhabilitación para contratar con el sector público y penas de cárcel para personas físicas, nos quedamos con un concepto tan vago como “el debido control”. Pero, ¿qué es el debido control? ¿será tan difícil concretar un poco más y poner algo como sistemas de gestión de la seguridad de reconocido prestigio?

En este caso tendríamos la discusión sobre ¿qué es reconocido prestigio? Bueno la solución creo que es tan fácil o tan difícil como especificar el tipo de Sistema de Gestión al que se refiere: un Sistema de Gestión de la Seguridad basado en referenciales como ISO 27001, SAS 70 o similar, que estén reconocidos internacionalmente y certificados por una entidad acreditada para hacerlo.

Desde luego entiendo que lo cómodo para el legislador es utilizar el término “debido control” y dejar luego que el juez de turno tenga que devanarse los sesos en pensar que querrá decir o que habrá querido decir con “debido control”. En mi opinión no hay derecho a que equipos creados por el legislador, que tienen la oportunidad de preguntar y asesorarse en estas materias, dejen cabos sueltos de este calibre.

En la LOPD pasa algo parecido pero con algún matiz; en el artículo 9 de la LOPD se dice textualmente:

ARTÍCULO 9. SEGURIDAD DE LOS DATOS

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Esta frase en la que se utiliza la formula de “…habida cuenta del estado actual de la tecnología…” viene a ser algo parecido al “debido control” utilizado en el código penal. El legislador deja en manos del interesado que él defina las medidas de control que debe implantar para proteger en este caso los datos de carácter personal. Ahora bien, también hay que decir que se desarrolla el Reglamento en el que sí se entra en detalle de las medidas de control que el legislador considera oportunas, aunque vuelve a dejarlo todo un poco en el aire cuando, en el artículo 81 del reglamento “Aplicación de los niveles de seguridad”, en su punto 7, se refiere a la condición de “mínimos exigibles” cuando habla de los controles de seguridad.

Me consta que entre nuestros lectores hay un buen grupo de abogados a los que pido desde estas líneas que opinen o puntualicen las cosas que aquí decimos para que entre todos seamos capaces de aplicar las leyes con mayor rigor.

En definitiva, desde el punto de vista tecnológico exclusivamente, en nuestra opinión, el “debido control” al que hace referencia el legislador en el nuevo código penal se consigue implantando en las organizaciones Sistemas de Gestión de la Seguridad certificables, aunque no tengan que estar explícitamente certificados, basados en estándares como la ISO 27001 que se apoyan en códigos de buenas prácticas como la ISO 27002 y con una plataforma de monitorización y gestión de la seguridad que permita a los CIOs, CISOs o responsables de informática en general, supervisar el uso que los empleados de una organización hacen de sus recursos tecnológicos, observando, eso sí, el cumplimiento de sus deberes de información a los mismos del control ejercido en la red a través de las políticas y normativas de seguridad adecuadas.

En fin, un tema que, en mi opinión, dará mucho que hablar….

¿Expertos en protección de datos o caraduras monumentales?

14 de mayo de 2011 Por

La verdad es que no salgo de mi asombro por la cara que pueden llegar a tener algunos individuos. Tal vez no sea cara dura y sea simplemente un grado de insensatez alto. Si fuese así les pido disculpas, pero les recomiendo “que se lo hagan mirar”, en caso contrario, también les pido disculpas, pero en este caso no soy quien para recomendarles nada, ustedes verán…..(Es por esta duda por la que he preferido mantener el anonimato de la empresa en cuestión)

¿A que me refiero? ¿Qué es lo que me ha llamado la atención? Uno de tantos correos que recibimos que, siendo SPAM como la copa de un pino, nuestro anti-spam no lo detecta, porque parece venir de “buena gente” En este caso concreto el correo en cuestión, “pegado” tal cual, es el siguiente:

Estimado Cliente:

Desde hace algún tiempo nos viene preocupando el cumplimiento de la normativa de la Ley Orgánica de Protección de Datos (LOPD).

Debemos recordar que la LOPD es de Obligatorio Cumplimiento para todas las empresas, que las sanciones pueden llegar a ser importantes, y que cada vez más, se está solicitando en las inspecciones rutinarias de la Seguridad Social y por demanda. Es un tema vigente y las inspecciones cada vez son más frecuentes.

Últimamente hemos mantenido contactos con diversas empresas dedicadas a crear las rutinas necesarias para cumplir con la Ley, pero siempre ha surgido el inconveniente del precio de los servicios. Sin embargo, la consultoría con la que hemos llegado a un acuerdo, seria y solvente, nos puede resultar interesante, ya que todos los trámites los puede realizar a coste 0€.

Para proporcionarle más información al respecto podemos ponernos en contacto a la mayor brevedad posible, ya que entendemos que es una obligación que no deberían desatender por más tiempo.

No soy un experto en la materia, aunque algo sé. Tal vez Fernando, nuestro Director de Consultoría, podría hacer alguna precisión al respecto, pero analizando el contenido del correo no puedo evitar sorprenderme en varias ocasiones. Se suponen que con este correo nos quieren vender asesoramiento en LOPD y, a mi juicio se permiten varias licencias importantes:

1. Dan por supuesto que no la estoy cumpliendo ya que afirman que no puedo seguir ignorando esta obligación por más tiempo.

2. Incumplen claramente el artículo 21.1 de la Ley 34/2002, Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico ya que para poder enviarme un correo electrónico a mi cuenta personal deben haber conseguido mi consentimiento expreso por otro medio.

3. Dicen que obtienen mis datos de una fuente de acceso público. Internet NO es una fuente de datos de acceso público y para poder tratar datos personales obtenidos de internet es necesario contar con el consentimiento del interesado.

4. Se refieren a los controles o salvaguardas que exige el reglamento como “rutinas”. Puede ser también que se refieran, con el término “rutinas”, a los procedimientos de trabajo que, desde el punto de vista organizativo debe incorporar cualquier sistema de gestión de la LOPD o de seguridad en términos generales. Extraña forma de referirse a los controles o a los procedimientos, pero bueno…. para gustos, colores, ¿no?

5. Por último, dicen que cuesta 0 €. Tras un largo esfuerzo y tras preguntar a muchos insensatos que querían cobrar por su trabajo, han encontrado a unos “sensatos” que trabajan gratis.

Evidentemente la conclusión es clara: NO TIENEN NI LA MENOR IDEA DE LO QUE ESTÁN HACIENDO, eso sí, lo que sea que hagan es “gratis”.

Seguros para cubrir incumplimientos legales

28 de abril de 2011 Por

Como dijo un paisano nuestro en un medio de comunicación, en dos palabras, im-presionante. Este es el calificativo que emplearía para referirme al artículo que se podía leer en la edición de Expansión del martes 26 de abril de 2011 con el titular “Los registros se aseguran ante las multas de protección de datos”. (Por cierto en la edición digital de orbyt de Expansión que está francamente bien).

Si analizamos en detalle el contenido del artículo resulta que el Colegio de Registradores de España ha suscrito una póliza de seguros para cubrir las multas impuestas por la Agencia de Protección de Datos por reclamaciones que les puedan presentar derivadas de incumplimientos de la Ley Orgánica de Protección de Datos y del Reglamento que la desarrolla con un tope de 5 millones de euros anuales, una franquicia de 5.000 euros y un límite superior de 600.000 euros por siniestro y ojo, según se puede leer literalmente en el artículo “La póliza garantiza las consecuencias de actuaciones negligentes, errores u omisiones cometidas en el curso de la actividad profesional y que den lugar a actuaciones por posible incumplimiento de la Ley de Protección de Datos”.

Vamos, que analizado el caso, resulta más barato pagar el correspondiente seguro que implantar las medidas necesarias que posibiliten el cumplimiento de la ley y garanticen, de paso, un “pequeño detalle”, la cobertura de un derecho fundamental de los ciudadanos como es el cuidado de sus datos de carácter personal.

No soy abogado y no sé si este tipo de conductas es o no lícito. En el mismo artículo podemos leer opiniones contrapuestas de dos abogados expertos en la materia. Desde luego no es muy tranquilizador para un ciudadano ver cómo instituciones como “El Colegio de Registradores de España” (entiendo que ilustre) se quedan tan “panchos” declarando que han asegurado un riesgo porque entiende que hay una probabilidad determinada de que “incumplan” una ley que garantiza un derecho fundamental, refiriéndose a este tipo de incidentes como un siniestro. ¿Siniestro? No se trata de siniestros, puede haber fallos de seguridad o accidentes, en cuyo caso no tengo nada que decir al respecto, pero de lo que se está hablando aquí no es de eso. En muchos casos parece que resulte más fácil pagar el seguro que aplicar las medidas de seguridad que exige la ley. ¿Creen ustedes que esto es serio?

Es cierto que cuando se trata de gestionar los riesgos de una organización, en función del tipo de riesgo, debemos definir una estrategia para mitigarlo, para lo cual nos encontramos con cuatro alternativas:

  • Asumir el riesgo: La organización acepta el riesgo y sigue operando de la misma forma. Únicamente es recomendable si el riesgo calculado es bajo o muy bajo.
  • Eliminar el riesgo. Eliminación de la causa o consecuencia del riesgo. No siempre es factible.
  • Reducir el riesgo. Implantación de controles técnicos u organizativos necesarios que mitiguen los niveles de vulnerabilidad o los impactos asociados, dejando un riesgo residual que la organización asuma.
  • Transferir el riesgo. Compensación, en caso de que se materialicen los riesgos, a través por ejemplo de Aseguradoras. También podríamos considerar en esta categoría la transferencias del riesgo a través de la subcontratación de determinadas actividades.

Es posible que en algunos casos no se pueda optar por hacer desaparecer el riesgo totalmente porque, por decirlo de una forma coloquial, “resulta más caro el collar que el perro”. Asumiremos, en este caso, un riesgo residual después de haber hecho todo lo posible. El problema es que “hacer lo posible” en materia de protección de datos exige un trabajo de fondo, bien hecho, por parte de profesionales y, a veces, parece que resulta más interesante, o sencillo, atacar la “consecuencia” o resolver el incidente, en este caso la sanción ante una posible denuncia, que impedir que se produzca trabajando en el terreno de la “causa”.

¿Asistiremos al nacimiento de otro tipo de pólizas de seguros que cubran otros incumplimientos de leyes? ¿Será la solución al desarrollo legislativo en esta y otras materias el desarrollo en paralelo de pólizas de seguro específicas que cubran estos riesgos? ¿Dónde está el límite de este tipo de actuaciones? Creo que es una cuestión interesante que requiere tanto un análisis legal como un análisis ético por parte de la sociedad y desde luego creo que los ciudadanos tenemos derecho a saber las entidades que se están asegurando para dar cobertura a incumplimientos de las leyes que nos protegen porque esto, sea o no legal, dice mucho en cuanto al “cuidado” que van a tener con nuestras cosas.

La “seriedad” de las auditorías del RDLOPD

10 de noviembre de 2010 Por

Hace unas semanas aparecía en prensa la noticia de que el Ministerio de Economía y Hacienda había sancionado por falta grave a Gassó, la auditora que se encargó de supervisar las cuentas de la constructora Astroc en 2006, cuando salió a bolsa, al haber aprobado las mismas sin poner ninguna salvedad, cuando posteriormente PwC detectó irregularidades. Esto supuso una multa de aproximadamente 200.000 € para la auditora, y de 8.000 € para el auditor que firmó el trabajo.

No me cabe ninguna duda de que una auditoría del Reglamento de la LOPD tiene en general una relevancia menor que una auditoría financiera, por la relevancia e impacto que esta última tiene sobre los inversores y el desarrollo económico de la organización, pero no por ello deja de ser menos cierto que a la auditoría del RDLOPD no se le concede en mi opinión la importancia que se debería. Y en esto tiene culpa tanto el cliente, para quien la auditoría es en ocasiones poco más que un molesto trámite a cuyo resultado no le va a prestar la más mínima atención, como las empresas auditoras, que en muchos casos simplemente buscan cubrir el expediente y facturar los servicios; si bien es cierto que en nuestro equipo de consultoría tendemos a valorar en la auditoría aspectos que van más allá de lo que marca el RDLOPD, por tratarse de un reglamento de mínimos, he tenido acceso a informes de auditoría presumo que nada baratos que rozaban lo vergonzoso (en realidad, algunos lo eran). En una situación adecuada, la auditora propone iniciativas a cumplir, y el cliente implanta, dentro de sus análisis coste/riesgo y sus posibilidades económicas aquellas que considere oportunas, pero esto sólo se da en ocasiones.

Dicho esto, ¿qué razones hay para considerar algo “serio” una auditoría del RDLOPD?

La primera de todas, es que es un requisito legal/reglamentario para datos de nivel medio y alto (art. 96 y 110 del RDLOPD, respectivamente). No se trata de un capricho de las consultoras/auditoras, que nos gusta importunar a nuestros clientes con reuniones, informes, preguntas y demás parafernalia implicada. Si hay que molestar, pues se molesta, pero molestar para nada, como que no.

Sigamos con las razones económicas. Espero no decir una barbaridad al afirmar que una auditoría financiera viene a tomar el pulso a la “salud económica” de una entidad, de cara a los accionistas, inversiones, solicitud de subvenciones, préstamos bancarios, etc. Por su parte, lo que la auditoría del RDLOPD analiza es la “salud” de los tratamientos de datos de carácter personal, con el objetivo de detectar incumplimientos y evitar sanciones de la Agencia Española de Protección de Datos que puedan derivarse de éstos. Aunque la agencia ha reducido significativamente el importe de las multas, conocedora de las implicaciones que sus actuaciones pueden tener para una organización de tamaño pequeño o mediano, una sanción de 600.000 € (o incluso de más, si hay varios incumplimientos) es algo a tener en cuenta por el impacto económico tanto directo como indirecto (léase reputacional), ya sea para una empresa del IBEX35, empresas cotizadas más pequeñas, o simplemente, cooperativas. Dicho de otra forma, de la misma forma que el mercado obliga a ciertas empresas a publicar sus análisis de “salud financiera” y exponer así su “riesgo financiero”, el accionista de una empresa, un cooperativista o cualquier persona que aporta capital a una organización (incluso las entidades financieras) debería saber el riesgo que la organización de la que participan tiene de sufrir una sanción de la AEPD.

Por supuesto, una auditoría de la RDLOPD no tiene como fin solucionar los incumplimientos que detecta, ya que eso es tarea de la organización, pero sí ofrece una visión del grado de cumplimiento de la organización, y debe proponer iniciativas, proyectos y soluciones de aquellas no conformidades detectadas, de cara a mejorar el grado de adecuación, y de nuevo, reducir el riesgo.

Por último, vamos con las razones “éticas”, si las quieren llamar así. No debemos olvidar que la ley de protección de datos tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar (LOPD, Art. 1). La LOPD, más allá de una ley de obligado cumplimiento o un foco de riesgo económico y reputacional (que como les decía antes, viene a ser lo mismo), vela por un derecho de cualquier persona, y eso es algo que las organizaciones, y cualquier persona que trabaja con datos de carácter personal debería tener siempre muy en cuenta; la auditoría del RDLOPD simplemente cuida de que estos derechos se estén aplicando de la manera correcta. Esta razón debería ser en realidad la primera de la lista, aunque la he puesto aquí para que no me tildasen ustedes de idealista.

Llegados a este punto, tenemos tres razones de peso para que una auditoría de la RDLOPD deba considerarse algo “serio”: requisito legal, riesgo económico y obligación ética o moral. Sin embargo, insisto en que la auditoría del RDLOPD sigue siendo algo a lo que se le da escasa importancia, tanto para muchos clientes como para algunas consultoras (entre las que, cabe destacar, y como no podría ser de otra manera, nos estamos incluidos). Para los clientes, o responsables de los datos, está el cuerpo de inspectores de la AEPD y su capacidad sancionadora. Pero, ¿y para las consultoras? ¿Qué implicaciones tiene para una de estas empresas realizar de manera poco profesional, intencionadamente o por simple incompetencia, una auditoría del RDLOPD? ¿Qué pasa cuando una auditora entrega un informe (que en ocasiones no puede ni llamarse así) afirmando que todo está correcto, cuando en realidad existen problemas serios en la gestión de datos personales de la organización?

Básicamente, no pasa nada. Por un lado, porque aunque el cliente pueda ser el primero que prefiere que no le agobien con cambios de aplicaciones, declaración de ficheros, documentos de seguridad, y registros de acceso, tampoco es un experto en el tema; para eso ha contratado a la consultora, y si ésta dice que todo está correcto, pues es de suponer que será cierto, porque ellos son los que saben de esto. Segunda, porque a dicho informe no se le da demasiada importancia, más que en casos muy concretos, a diferencia de un informe de auditoría financiera. Tercera, porque más allá de las acciones legales que una organización pudiera emprender contra la auditora que ha realizado la auditoría del reglamento, no existe ninguna repercusión legal para ésta. Cuarta, que a menudo el responsable interno de la auditoría presiona para que se “maquillen” determinados aspectos encontrados, o al menos que no se encuentren visibles en el informe ejecutivo para dirección. Y quinto, que de la poca importancia que les comentaba antes, se deriva que exista un mercadeo en el que se audita el reglamento por “cuatro duros”, y que provoca que por tanto el trabajo realizado sea conforme a ese importe.

Aquí es donde vuelvo al párrafo inicial con el que comenzaba esta entrada: las sanciones económicas para las consultoras, pero en este caso para las que nos dedicamos a la protección de datos. Sería tan sencillo como hacer que la sanción fuese compartida en un determinado porcentaje entre la organización y la consultora (asusta, ¿eh?), con lo que se incrementaría automáticamente la importancia de la auditoría del reglamento y la protección de datos, y se garantizaría un mínimo de calidad en los informes entregados; el cliente podría hacer la vista gorda si quisiese, pero la auditora no. En ciertos casos, y estoy ya divagando, podrían incluso valorarse penalizaciones temporales o permanentes de inhabilitación para auditoras y auditores.

Por supuesto, la consultora debería poder garantizar que la sanción corresponde a un incumplimiento del que se informó en la auditoría, que el auditor solicitó pero no tuvo acceso a la información de la que se deriva la sanción (bien porque se le ha negado, bien porque no se le ha entregado en tiempo y forma), que el problema originador de la sanción no se encontraba presente en el momento de realizar la auditoría, o que es un aspecto no controlable externamente (por ejemplo, un empleado que habiendo sido formado en materia de LOPD, olvida gestionar una solicitud de acceso). De cualquier modo, aunque pueda ser interesante tratar este último punto en una entrada posterior, ¿qué les parecería una medida así?

La Ley Ómnibus…¿y?

7 de mayo de 2010 Por

El pasado día 26 la Unidad Central de Seguridad Privada (Cuerpo Nacional de Policía) hacía llegar una nota informativa acerca de las implicaciones de la conocida como Ley Ómnibus (Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio) en el régimen de autorización, inspección y sanción en materia de Seguridad Privada.

El resumen de la situación es sencillo: hasta este momento, sólo las empresas de seguridad privada (esto es, las autorizadas por el Ministerio del Interior con arreglo al artículo 5 de la Ley 23/1992, de 30 de julio, de Seguridad Privada) estaban capacitadas para la instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad; con la disposición que introduce la Ley Ómnibus, se liberaliza el servicio, permitiendo la venta, entrega, instalación y mantenimiento de los equipos o sistemas de seguridad a los que se hace referencia por parte de particulares o empresas distintas a las de Seguridad Privada, siempre que la instalación no implique una conexión a CRA o CECON, por lo que -con ciertas salvedades- ya no es necesario recurrir a empresas autorizadas por el Ministerio para la instalación o manejo de estos dispositivos (por ejemplo, en el caso de soluciones de videovigilancia), y por supuesto siempre que el prestador no se dedique a otras actividades de Seguridad Privada establecidas legalmente.

Las implicaciones de esta ley están generando muchos comentarios en el ámbito de la seguridad; de un lado, están las empresas de Seguridad Privada “clásicas” que ven cómo se liberaliza una parte de su nicho de mercado, hasta ahora fuertemente regulado y restringido a unos pocos, y por otra están las empresas de servicios que ven cómo se eliminan las barreras a ese negocio que hasta ahora tenían vetado. Como siempre, no ha llovido a gusto de todos, y cada uno defiende sus intereses como buenamente puede.

Más allá de apoyos y rechazos, de buenos y malos, de problemas y soluciones… en los que no voy a entrar esta vez (cada uno tiene sus razones y todas, hasta cierto punto, parecen razonables), y por supuesto más allá de las implicaciones -y lagunas- que esta Ley pueda introducir con respecto a otras (seguro que los compañeros de Consultoría van a preparar próximamente un post sobre la Ley Ómnibus y sus implicaciones en videovigilancia -por poner un ejemplo- en relación a la LOPD), para mí, la Ley Ómnibus no ha hecho más que poner el dedo en la llaga de un problema mucho más serio que muchos venimos señalando desde hace años: la necesaria remodelización al completo de la Ley de Seguridad Privada. Nos cansamos -todos- de decir que la seguridad ha cambiado mucho en los últimos años (11S, inteligencia, information sharing, terrorismo, convergencia…) y, sin embargo, en España la regulamos con una ley que está a punto de cumplir la mayoría de edad…

La LSP, bajo mi punto de vista, necesita no una disposición adicional sexta como la introducida por la Ley Ómnibus (y podemos discutir si es buena o mala), sino un lavado de cara completo, que defina nuevos roles en materia de Seguridad Privada (¿la hora del “auditor” junto al “inspector”? ¿la hora del “cibervigilante” junto al “vigilante”?), que marque nuevos requisitos de formación para el personal de seguridad privada (no es admisible, bajo ningún concepto, que el Director de Seguridad de una entidad financiera considere, como alguno me ha llegado a decir, que el phishing no es un problema de seguridad para él… imagino que porque no sabe combatirlo con una pistola) y que actualice las regulaciones, requisitos y demás que contempla la Ley -y por extensión, el Reglamento de Seguridad Privada- para trabajar en el ámbito de la seguridad.

Y es que, con todas los cambios que a diario surgen en el ámbito de la seguridad, creo que estas legislaciones son, cuanto menos, obsoletas; ojo, no hablo de eliminarlas, sino simplemente de adaptarlas, incluyendo una visión mucho más amplia de lo que es en la actualidad la Seguridad Privada y el rol que tiene en nuestra sociedad. Para ser Vigilante de Seguridad o Director de Seguridad Privada hacen falta unos requisitos perfectamente definidos por el Ministerio del Interior (seguramente mejorables, pero definidos). Para trabajar en otros ámbitos de la seguridad, como el de la seguridad de la información, no hace falta nada. ¿Quién puede hacer una auditoría de ISO 28000 o de ISO 27002? ¿Un ingeniero? ¿Un abogado? ¿Un CISA? ¿Todos? ¿Nadie? ¿Por qué para proteger un supermercado del robo de productos se exigen unos requisitos, y para proteger la información de un VIP no?

Hasta que no regulemos (o desregulemos, ¿por qué no?) de alguna forma estos aspectos -y si empezamos a regularlos, seguramente discutiremos, pero eso es bueno- seguiremos pegándonos por los detalles. Como los de la Ley Ómnibus.

GOTO VIII: LOPD a “coste cero” (¿y?)

16 de abril de 2010 Por

Leía ayer en el blog de Jesús Pérez Serna que finalmente la Fundación Tripartita va a poner coto a las empresas que con las ayudas a la formación se dedican a realizar la adaptación de las empresas a la LOPD “a coste cero” [enlace directo], y al parecer hay bastante regocijo en el sector por ello. Esta situación me trae a la cabeza algo que leí o me contaron sobre la prohibición de vender foie de oca en algunos estados de los USA. Al parecer, los dueños de los restaurantes habían evitado esta prohibición regalando el preciado alimento, y cobrando una barbaridad por el pan. No sé si ven por dónde voy. Es difícil evitar que dentro de unas sesiones de formación una empresa “regale” un proyecto de adaptación a la LOPD. Pero ya lo veremos.

Quizá estén preguntándose: ¿cuál es el problema de las LOPD “a coste cero”? Pues el problema tiene principalmente dos vertientes: una más fácil de vender, y otra menos. La primera es evitar el fraude, palabra que en estos tiempos suena peor que nunca; si las subvenciones de la Fundación Tripartita son para la formación de los trabajadores, no es de recibo, ni ética ni legalmente que ese dinero se utilice para adaptar la empresa a la LOPD, porque es obvio que el beneficiario de las ayudas en ese caso no es el trabajador. La segunda, y aquí es donde viene la parte que es posible que levante algunas ampollas, es evitar el intrusismo por la vía del corporativismo y el “sindicalismo” mal entendido. El mismo propósito persiguen las certificaciones que se están promoviendo recientemente relacionadas con la protección de datos, pero de eso les prometo que hablaré otro día. Volvamos a lo nuestro.

Parece lógico pensar que buscar apoyos para proteger el nicho de mercado de la protección de datos por la vía de la simpatía no resulta sencillo, y menos si la otra parte da el producto “por tu cara bonita” (o mejor, por la de los trabajadores) por lo que, como muchos colectivos y asociaciones han hecho en el pasado, se recurre a la amenaza de un trabajo mal hecho, lo que en este caso puede desembocar en significativas sanciones a la empresa cliente que ha cometido el error de contratar a una de esas empresas LOPD-a-coste-cero. Dicho de otra forma, al estilo de la DGT, el mensaje es el siguiente: las imprudencias se pagan, y con la LOPD, cada vez más; no se arriesgue y evite la LOPD “a coste cero”. El problema es que no existe, en realidad, una relación de implicación entre el coste de un proyecto y el nombre de la empresa que lo ejecuta, y la calidad del trabajo hecho. Por supuesto, existe cierta relación, pero he tenido el placer de ver informes de grandes empresas cuyo precio fue probablemente inversamente proporcional a la calidad que dichos informes atesoraban. A veces un KIA da mejores resultados que un Mercedes, y depende mucho del profesional encargado del proyecto.

Pero, ¿saben qué? La adaptación a la LOPD no es, en la mayor parte de los casos, un proceso especialmente complejo. Excepto en el caso de grandes o grupos de empresas, u organizaciones con una gestión intensiva de datos de carácter personal (por ejemplo, mutuas de prevención de riesgos laborales, hospitales, empresas de trabajo temporal, y esas grandes desconocidas: las ONGs), la adaptación a la LOPD es algo relativamente sencillo; quizá laborioso, pero sencillo. No requiere grandes conocimientos legales ni técnicos, y en muchos casos la agencia está lista para contestar, a su forma (es decir, manteniendo un adecuado nivel de ambigüedad), a las preguntas y dudas que se le plantean. Expresado de otra forma, me atrevo a decir que prácticamente cualquier empresa dispone de personal que con la necesaria preparación sería capaz de abordar su propia adaptación a la LOPD; excepto en casos particulares (que no son muchos, en los millones de empresas que tenemos en este país), en una organización sencilla, la adaptación será sencilla y podrá llevarla a cabo personal sin grandes conocimientos, y en una organización compleja, será compleja pero también habrá perfiles profesionales de calidad, legal e informático más cualificados.

El mensaje que les estoy intentando transmitir es el siguiente: la LOPD y su Reglamento de Desarrollo no son mecánica cuántica, y el que diga lo contrario, miente. Después de todo, aunque no sea totalmente significativo, la LOPD son 12 páginas y el RDLOPD 34 páginas (aunque contiene mucha “paja”).

Es posible que piensen que una empresa especializada puede detectar más salvedades que una persona “de la casa” sin demasiada experiencia en protección de datos. No les quepa la menor duda de ello. Pero tampoco de que su organización no estará dispuesta a cubrir todas esas no conformidades por el coste que implican. Por mi experiencia personal, al final la mayoría de organizaciones buscan tapar los “agujeros grandes”, llámense Documento de Seguridad, consentimiento informado, contratos con proveedores, o inscripción de ficheros, porque el coste de tapar los pequeños, llámense registro de acceso a aplicaciones con datos de nivel alto, registro de E/S de soportes, Documento de Seguridad como Encargado del Tratamiento, o copia de equipos personales, acostumbra a ser demasiado alto. Que hay organizaciones que persiguen ambos, cierto, pero como en toda organización, existen prioridades. En definitiva, que la intención de una empresa es tapar los “agujeros grandes”, el resultado de un externo y un interno puede ser sin muchos problemas el mismo.

Entonces, ¿cuál es la razón para contratar a una empresa especializada? Por supuesto, hay muchas, como en cualquier proyecto de consultoría: experiencia, capacidad de adaptación, respaldo de dirección, etc. Pero en mi opinión, la primera y principal es exactamente la misma por la que una empresa contrata un servicios de limpieza o un electricista: la LOPD no es su negocio, y “sacar” a alguien de sus tareas habituales para realizar la adaptación a la LOPD durante dos o tres meses (en el mejor de los casos) no es rentable, porque alguien deberá hacer su trabajo. Piensen, por ejemplo, en una gran empresa que se dedica a fabricar tornillos a nivel mundial. Probablemente dispone de un departamento de calidad, un departamento informático y un departamento legal. ¿Tienen alguna duda de que una persona de cualquiera de estos departamentos (o mejor, un comité formado por personas de cualquiera de ellos), cualificada y con experiencia tendría problemas para adaptar su organización a la LOPD si se le da el tiempo necesario? Si la respuesta es que sí, piénsenlo de nuevo. Si vuelve a ser afirmativa, es que se han tomado la LOPD (y quizá a si mismos) demasiado en serio. Por suerte, la LOPD no es ingeniería aeroespacial.

Cuando oigo historias como estas, no puedo evitar acordarme de las discográficas. Todos estamos dispuestos a criticar esa particular forma de proteger su negocio por la vía judicial y política, pero la realidad es que a nadie le gusta que le pisen el césped. No se dejen engañar; es necesario erradicar las LOPD “a coste cero” porque son un fraude que perjudica directamente a los trabajadores, no a las consultoras. Nosotros ya nos buscaremos la vida.

Temeridad, ignorancia o ambas cosas.

1 de junio de 2009 Por

monoEsta mañana, cuando he abierto el correo, tenía en el buzón personal una propaganda de KIA enviada desde la dirección “net@netaselot.com”. La imagen que contenía redireccionaba a la URL “http://www.netfilia.com/contenidos/ redirect.html?img=1& contenido=16986&web=40426&id=hiDsTT1z4FrUQ“, que redirecciona automáticamente a la página “http://www.pruebakia.es/?CAM=ANTEV3”. Es decir, KIA.

El pasado viernes recibí una propaganda exactamente igual, pero esta vez anunciaba a iBanesto. Enviada desde la misma dirección, la imagen que contenía apuntaba directamente a “http://www.netfilia.com/contenidos/redirect.html? img=1&contenido=11684&web=40426& id=hi4MOp9u5Wopw“, que es una redirección para “https://www.ibanestocambiodehipoteca.com/?idm=5uss-y8mj”. Es decir, Banesto.

Ambos correos contienen al pie una leyenda que dice lo siguiente:

Si no quiere recibir más información clic aquí

El tratamiento de los datos de carácter personal, así como el envío de boletines o comunicaciones comerciales realizadas por medios electrónicos, son conformes a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. de 14 de diciembre de 1999) y a la Ley 34/2002, de 11 de julio, de servicios de la Sociedad de Información y de Comercio Electrónico (B.O.E. de 12 de julio de 2002).

Me sorprende que empresas de la talla y reputación de KIA y Banesto utilicen el envío de spam para captar clientes, pero aun me sorprende más que lo hagan a través de empresas que no conocen ni respetan —a pesar de lo que dicen— la LOPD. Supongo que alguien en KIA y en Banesto pensó que si el correo no lo mandan directamente ellos, no pasa nada. O quizá el responsable que gestionó, compró o encargó la campaña con Netfilia se dejó aconsejar, convencer, o directamente se desentendió de cómo la empresa de publicidad iba a tratar su marca. Mal hecho, en cualquier caso.

La cuestión, que no nos cansamos de repetir, es que Internet no es una fuente de acceso público, y por tanto no puede ser utilizada para recolectar correos a los que enviar publicidad. Estas son el tipo de cosas por las que en mi opinión la LOPD impone sanciones tan fuertes; no se trata de desproporcionalidad, sino de efecto disuasorio; de evitar que las empresas hagan el balance de lo que gano (clientes) y lo que pierdo (sanción de la LOPD). Ahora bien, el que decida saltarse las reglas, ignorarlas, u obviarlas, que se atenga a las consecuencias, porque como saben el desconocimiento de la ley no exime de su cumplimiento y a estas alturas de la película ya no vale hacerse el tonto.

Ley Nokia

23 de marzo de 2009 Por

Hace ya unos días apareció en prensa una noticia que me parece interesante comentar. El titular es bastante efectista: “Los jefes podrán controlar el correo electrónico de los empleados (…)”.

La noticia recoge la aprobación en Finlandia de la conocida como “Ley Nokia”, debido a que fue esta empresa la que desde hace un par de años ha estado presionando al gobierno finés para que se modificara la ley de protección de las comunicaciones electrónicas, y que así una empresa u organismo público pudiese investigar el uso que del correo electrónico hacen sus empleados. El revuelo consiguiente es comprensible, tanto en un sentido como en otro, y es fácil encontrar opiniones que justifican la medida y otras que piden el boicot a la marca y que nadie se vuelva a comprar un Nokia en su vida…

En este país tenemos ya alguna sentencia del Tribunal Supremo que ha unificado doctrina al respecto, y que por un lado reconoce el derecho a la privacidad del trabajador en el uso de los recursos corporativos que una empresa pone a disposición de sus empleados, y admite un uso privado “racional” de los mismos, como no podía ser de otra forma. ¿O es que no puede uno/a llamar a su pareja con el teléfono de la oficina? Lo que ya no está tan claro es que lo hagas si tu pareja está en Buenos Aires pasando unos días de vacaciones y te tires 40 minutos hablando… de ahí lo de “racional”. Trasladen todo esto al uso del correo electrónico, el uso de Internet, el uso del PC que uno tiene asignado, etc.

Pero por otro lado, la sentencia reconoce el derecho del empleador, en consonancia con el artículo 20.3 del Estatuto de los Trabajadores, a controlar el uso que de dichos recursos hacen sus empleados, aunque con unas determinadas premisas:

  • Que el ejercicio de esa potestad de vigilancia se lleve a cabo respetando la dignidad del trabajador y su intimidad, teniendo en cuenta que se debe tolerar el uso personal racional y moderado de los recursos corporativos.
  • Que el empleador defina previamente las “reglas del juego”; es decir, qué se puede y qué no se puede hacer con ellos.
  • Que informe de las medidas y herramientas de control y auditoría que se van a utilizar.

Y es ahí donde normalmente, por mi experiencia, las empresas fallan. Muchas veces se han definido las reglas de uso de esos medios, y se han implantado herramientas de filtrado de contenidos, pero… ¿se ha informado de ello convenientemente a los empleados? Normalmente no. Como mucho, en algunos casos, esas normativas de uso, que raramente han sido aprobadas de manera formal por la dirección, que se han elaborado con la mejor de las intenciones desde el área TIC pero no se han consensuado con RRHH, y que están perdidas en algún apartado escondido de la intranet corporativa, nunca llegan a sus destinatarios (sólo en extraños casos en los que el empleado acaba aterrizando por allí y las lee, si es que está muy aburrido).

Sólo cuando detectan que se están produciendo más accesos a Facebook que a la intranet corporativa, o cuando el acceso a determinados sitios web ha propagado por la red corporativa algún tipo de malware es cuando se pone el grito en el cielo y se pretenden tomar medidas incluso disciplinarias, pudiendo incurrir en situaciones que, por no haber hecho las cosas bien, podrían provocar que —si me permiten la expresión— el tiro les acabe saliendo por la culata.

Como tantas otras cosas, es un tema cultural. Tiene que existir un acuerdo y un compromiso entre las partes (empleador y empleados) que contemple el uso personal de los recursos corporativos, pero que a la vez imponga ciertas condiciones a su uso. ¿Por qué no se incluye en el manual de acogida de los nuevos empleados esas normativas, como sí se hace por ejemplo con la normativa relacionada con Prevención de Riesgos Laborales?

La motivación de Nokia como empresa impulsando la aprobación de esa modificación legal en Finlandia no es poder cotillear el correo de sus empleados para “marujear”, sino que responde a haber sufrido varios presuntos casos de espionaje industrial aparentemente relacionados con la fuga de información confidencial a través del correo electrónico (y además, la modificación legal no permite acceder al contenido de los correos, sino tan solo a su remitente, destinatarios, tipo y tamaño de los ficheros anexados).

Porque no nos engañemos, que todos hemos sido cocineros antes que frailes. ¿O es que nadie se ha llevado alguna vez, digamos… “documentación de trabajo” de alguna empresa en la que trabajó? Lo que entronca con el uso de los dispositivos tipo USB, el acceso a los webmail, etc., pero eso ya sería tema para otro post.

La comunidad

10 de febrero de 2009 Por

[N.d.E.: A pesar de la entrada LOPD, les aseguro que tenemos muy en cuenta el resultado de la encuesta]

Recientemente, en el edificio donde viven unos familiares aparecía publicado junto al ascensor un listado con los propietarios de aquellos pisos que debían dinero a la comunidad, indicando el nombre, los apellidos y la cantidad de dinero a deber. La pregunta que me plantearon es si esos datos podían publicarse de esa manera o estaba prohibido por la LOPD. Mi respuesta inmediata fue, como en casi todos los casos que me plantean una consulta sobre seguridad legal, “depende”.

Normalmente, las consultas planteadas tienen un contexto, el cual resulta fundamental para analizar la consulta, y de esta forma poder plantear la respuesta más acertada. Cabe tener en cuenta que estamos interpretando una Ley, que en muchos casos, establece unas pautas subjetivas que dependen de varios factores de acuerdo a cada situación.

13rue1Volviendo al tema planteado, en cuanto al tablón de anuncios con los impagos de la comunidad (con nombres y apellidos de los “morosos”), parece claro que se trata de una cesión de datos. La comunidad de propietarios, como responsable del tratamiento, está publicitando esos datos personales, de manera que cualquiera que pase por delante de ese tablón de anuncios, desde el vecino del primero, la amiga de la hija de la vecina del sexto, hasta el personal de la compañía eléctrica que va a realizar una lectura de los contadores, pasando por la persona encargada de la limpieza de la escalera, todos ellos, pueden saber qué propietarios deben dinero a la comunidad.

Parece incuestionable que se trata de una cesión de datos —me planteé yo— por lo que sería necesario el consentimiento por parte de cada uno de los propietarios para la publicación de dichos datos. Hasta ahí bien. Pero… si se le va a pedir el consentimiento a la gente para aparecer en un listado como “moroso”, ¿quién va a dar su consentimiento para aparecer en esta lista? La cosa empieza a oler mal, pero mantengo mi posición inicial de que, desde el punto de vista de la LOPD, se trata de una cesión y la finalidad está claro que es poner al corriente al resto de propietarios sobre los impagos y los “morosos”. Por tanto, en un principio se me ocurre que habría que informar de dicha finalidad al propietario y obtener el consentimiento del mismo para poder efectuar la publicación de estos datos, pero tenemos el problema de que nadie daría su consentimiento porque a nadie le gusta aparecer en esa lista de impagos.

Tras darle unas cuantas vueltas al tema, la LOPD también nos dice que, respecto a la cesión de datos, el consentimiento exigido no será preciso cuando la cesión esté autorizada en otra ley. Y aquí encontré la solución a la consulta planteada. El artículo 16.2 de la Ley de Propiedad Horizontal establece “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2“, lo cual hace necesario la cesión de dichos datos al resto de propietarios para su conocimiento previo a una reunión de la comunidad, pero únicamente a cada uno de los propietarios de la comunidad. Por tanto no sería correcto realizar el comunicado a través del tablón de anuncios de la comunidad, para que personas ajenas a la comunidad no pudieran acceder de una manera directa al listado de morosos de la comunidad. Bastaría, por ejemplo, enviando una circular informativa con el listado de impagos, en sobre cerrado, dirigida a cada uno de los propietarios de una vivienda de la comunidad.

Normativas

29 de enero de 2009 Por

Cuando una persona o empresa decide abrir un negocio en una cierta ubicación, lo primero que debe hacer para estar en una situación legal es solicitar las licencias/permisos correspondientes para comenzar a funcionar y trabajar, así como cumplir ciertas normativas, que en algunos casos supone la elaboración de proyectos o memorias. Muchas veces, esto conlleva una serie de pagos de tasas, destinadas al ayuntamiento, a los servicios territoriales, etc. Ni que hablar tiene de la contratación de empresas externas para la gestión y tramitación de licencias, para reformas en caso de ser necesario y similares, lo que además genera un gran coste económico para la empresa.

Sin embargo, las empresas, por pequeñas que sean, realizan todos estos trámites obligatorios con el fin de conseguir los “papeles” que autoricen la apertura de su nuevo local. Al fin y al cabo, estaríamos hablando de cumplir con la normativa vigente.

No obstante, existe otra normativa que deben cumplir obligatoriamente la práctica totalidad de esas empresas, que como supondrán es la LOPD. Desde el punto de vista de la seguridad, no pretendo infravalorar las normativas pertenecientes a otros ámbitos distintos a la seguridad de la información, que estoy seguro contribuyen a proteger la integridad de las personas que ocupan un local, como puede ser el Reglamento Electrótécnico para Baja Tensión. Tampoco es mi intención promover que el ayuntamiento de una determinada localidad solicite el cumplimiento de la LOPD para otorgar una licencia de actividad de un local, lo que supondría un desembolso económico aún mayor para la empresa (en caso de que subcontrate el servicio).

Sin embargo, y esto sí que es algo que creo necesario, aún son muchas las empresas que desconocen la LOPD —o la conocen “de oídas”, con ideas preconcebidas, erróneas y confusas— precisamente por falta de iniciativas de los organismos públicos —entre ellos la AEPD, a pesar de la jornada de ayer—, que deberían promover mediante publicidad y propaganda el cumplimiento de una Ley obligatoria para todas las empresas (no importa su tamaño) que traten datos de carácter personal.

* * *

vigila.jpgPor último, comentarles que la AEPD ha publicado recientemente una Guía sobre Videovigilancia, que explica y cubre la mayor parte de las dudas de un sistema que cada vez encontramos en más lugares públicos y privados, y que con toda seguridad le resultará útil a muchos de ustedes.

Espero que este documento sirva para que la tienda de ropa de debajo de mi casa sustituya el cartel que reza “¡Sonría, le estamos grabando!” por un cartel más… “normalizado”.