Diferencias culturales en protección de datos

11 de julio de 2008 Por

A causa de la gestión de un proyecto europeo de protección de la privacidad de las personas y de la seguridad de sus datos en una empresa multinacional, tarea a la que llevo dedicado los últimos siete años de mi vida profesional, he tenido que estudiar las diversas leyes y normativas acerca de la protección de datos. Aunque están todas ellas basadas en la Directiva Europea y por tanto con textos legales muy similares, no sólo hay pequeños detalles que las hacen totalmente diferentes, sino que además la manera de interpretar y aplicar dichas leyes por los ciudadanos de cada país, convierten la protección de datos personales en algo muy dispar en requerimientos, riesgos y consecuencias, afectando de manera importante al coste de adaptarse a cumplirlas o simplemente ignorar que existen (ya que de todo hay en esta Unión Europea).

Si empezamos por el ámbito de aplicación, en algunos países se especifica que afecta a las personas físicas, en otros también a personas jurídicas, en otros además a todas las organizaciones legalmente establecidas, y para colmo existe un problema común ya que no hay manera de establecer el límite entre persona identificable y no identificable de una forma clara.

Otro punto a destacar es la manera en que la población de cada país percibe lo que son sus derechos; en algunos países se considera que la libertad de las personas es lo primero, y se entiende por tanto que esta libertad lo es tanto para ciudadanos como para empresas y entidades que puedan hacer negocio con los datos personales, lo que genera una situación opuesta a la pretendida por la ley. En otros países, pasadas épocas represivas hacen que el ciudadano perciba que eso de dirigirse al estado para ejercitar un derecho (los de acceso, por ejemplo) no estaría bien visto, y quién sabe si traería consecuencias negativas. En otras culturas, la libertad es un concepto ambiguo y por tanto uno ni se preocupa de sus datos personales.

A todo esto hay que añadir que el responsable de la privacidad de datos de una empresa no deja de ser un ciudadano más, que percibe los riesgos y requerimientos de cumplimiento legal de acuerdo a su propia cultura, ya no la del país donde se encuentra, lo que complica el asunto un poco más.

Si utilizamos los mismos parámetros para medir el grado de cumplimiento de la protección de datos, los resultados entre países son totalmente dispares, pero la percepción de riesgo es inversamente proporcional a éstos. Es decir, que quién mas riesgo pudiera tener por no haber hecho prácticamente nada en la protección de datos de carácter personal, percibe que tal riesgo no existe porque en su país no pasa nada si no se ocupa uno de estas cosas de la protección de datos. Como todo, esto tiene un coste en dedicación de recursos internos o externos, ya que si hay que solicitar un presupuesto para cumplir, es difícil que quien ha de aprobarlo perciba que es necesario y prioritario algo que en realidad piensa que no lo es.

Por ejemplo, en una gran empresa del Reino Unido, el responsable de protección de datos opina que poner nombres de los pacientes en las facturas dirigidas a la administración del hospital, no tiene ninguna implicación con la ley de protección de datos, pero por supuesto, el hospital requiere de inmediato la supresión de esta práctica. Y este es sólo un ejemplo; mientras que los hospitales del Reino Unido están en el punto de mira de la autoridad británica y se sienten vigilados, sin embargo ni siquiera los pacientes, los verdaderos afectados, se preocupan de que pasa con sus datos.

En el caso de incumplimiento ético y legal en la protección de datos, los empleados de la misma compañía tienen la obligación exigida por reglamento oficial, de reportar las incidencias producidas en su entorno, tanto si son motivadas accidentalmente, como intencionadamente, o la prohibición de tales prácticas, según el empleado se encuentre en Francia, España o Alemania, por ejemplo.

También en el ámbito de registro y documentación, las condiciones son dispares. La mayoría de los países europeos no exigen crear un documento que recoja las medidas de seguridad ni los ficheros y sistemas que los tratan, sin embargo otros como España, Italia o Polonia, exigen la creación y mantenimiento al día de su Documento de Seguridad y Política de Seguridad (no sé decirlo en polaco) o el Documento Programático y Disciplinare Technico respectivamente, con los costes y dedicación que este requerimiento conlleva.

Si registramos ficheros, las diferencias en los formularios son abismales y la reacción de las autoridades en el momento de aceptar o denegar el registro también. Un mismo fichero fue registrado en el Reino Unido en 48 horas, en España costó casi un mes, con requerimientos adicionales de información y en Portugal más de seis meses, tras sucesivas teleconferencias con la CNPD (autoridad portuguesa) y envío de documentación adicional. Otro ejemplo más de la disparidad de condiciones en esto de la protección de datos.

Por otra parte, en España tenemos fama de tener la ley mas restrictiva en protección de datos (léase la mas exigente) y sin embargo la Agencia Española, la AEPD, ha colaborado con la Polaca en la creación de su ley de protección de datos personales. El resultado final es una ley gemela de la nuestra, y un reglamento para chuparse los dedos, ya que el nivel de requerimientos de documentación de los sistemas informáticos raya la locura, además de sugerir que se implemente la seguridad de acuerdo a la ISO 17799. Eso sí, por el momento casi nadie conoce tal ley, y mucho menos el ciudadano polaco.

Si hablamos de Italia, el Garante (autoridad italiana) está haciendo auditorias por sectores para ver si consigue convencer a las empresas de que esto de la protección de datos va en serio. Sin embargo, el ciudadano italiano medio no sabe quién es el Garante ni a qué se dedica.

Y así sucesivamente, de tal modo que estandarizar normas y procedimientos dentro de una compañía multinacional es bastante fácil a la hora de escribirlos y publicarlos pero… ponerlos en práctica es una auténtica utopía. En unos países se considera vital y se agradece el soporte y en otros prácticamente estás molestando y creando problemas innecesarios. Y todos, bajo el mismo paraguas legal: la Directiva Europea.

Y si hablamos de controles y auditorias… eso lo dejaremos para otra ocasión.

Niveles y medidas de seguridad

18 de junio de 2008 Por

Seguimos a vueltas con la LOPD, que es de lo que me gusta hablar. Quizá por eso no tengo amigos… Bueno, pelillos a la mar, nosotros a lo nuestro.

Hoy quería aclarar una confusión que habitualmente existe —o existía— en relación con los niveles de seguridad de los tratamientos que se declaran a la AEPD y las medidas de seguridad que hay que aplicar a los datos que integran dichos ficheros. Aclaremos, aunque no creo que sea necesario, que cuando hablamos de “Fichero” o “Tratamiento” no lo hacemos en un sentido lógico del término, sino en un sentido más bien conceptual; tal y como indica el RD 1720/2007, un “fichero” es, según el artículo 5:

k) Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Por tanto, un tratamiento denominado “Recursos Humanos” podrá estar formado, por ejemplo, por una base de datos, un par de documentos ofimáticos, y una carpeta de expedientes en soporte papel.

[Read more…]

Violencia de género: nivel alto (aunque no lo parezca)

28 de mayo de 2008 Por

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud:

Más Reglamento

21 de mayo de 2008 Por

A través del blog de Paloma Llaneza me entero de que la AEPD ha colgado en su página web el contenido de una jornada sobre el nuevo reglamento llevada a cabo el pasado 22 de abril, hace hoy exactamente un mes menos un día. Los videos, presentaciones y preguntas realizadas por los asistentes pueden encontrarlas en este enlace, y no me pregunten porqué apunta a una dirección IP y no a una url. Ya saben que eso son cosas de la Agencia…

El sorprendente tratamiento accesorio de los datos personales

12 de mayo de 2008 Por

La entrada de hoy, que profundiza en algunos aspectos “oscuros” del nuevo reglamento, es la segunda colaboración de Ana Marzo, habitual colaboradora de S2 Grupo, y a la que ya presentamos en su anterior entrada. Estoy seguro de que les será de interés.

Entre las bondades del nuevo reglamento de la LOPD (en adelante RDLOPD) nos encontramos con la grata sorpresa de la rebaja del nivel de seguridad establecida en el artículo 81.5.b) el cual dispone que:

“En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.”

[Read more…]

Jornada de Seguridad: D. Jesús Rubí (comentarios acerca del nuevo RMS)

18 de abril de 2008 Por

Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más “oficial”, pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.

* * *

Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de “¿Por favor, podría ir un poco más despacio?”.

Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.

[Read more…]

Cuidado con lo que dice Google de ti

10 de abril de 2008 Por

La entrada de hoy, en la serie de colaboradores, viene firmada por José Ignacio Ruiz, Director Tecnológico de la Información de ASEVAL, la entidad de banca-seguros de AVIVA y Bancaja. Y con esa referencia profesional, poco más hay que decir para presentar al autor de la siguiente entrada, que va en la línea de uno de los temas que más me interesan: qué pasa con nuestra información en Internet: quién, cómo y dónde. Espero que disfruten con el post.

Leía hace unos días un artículo titulado Cuidado con lo que dice Google de ti, en el que se hablaba de la popularización de las redes sociales personales y de búsqueda de empleo, así como los blogs, que hacen que Internet pueda ofrecer datos que permitan que la balanza en un proceso de selección se pueda decantar en un sentido o en otro.

[Read more…]

La cancelación de datos en foros de Internet

17 de marzo de 2008 Por

Aunque la semana pasada les dije que un servidor —editor del blog— estaba de vacaciones, puesto a actualizar mi blog personal, he pensado darme una vuelta por aquí y actualizarlo también. No les puedo prometer que de aquí al 25 de marzo habrán más entradas, dado el abundante número de días festivos, pero en cualquier caso, de momento esto es lo que hay. La entrada de hoy, que estrena la sección de colaboraciones, procede de una colaboradora habitual de S2 Grupo en temas de índole legal: Ana Marzo, de Equipo Marzo.

Como presentación formal, y más allá de lo que puedan encontrar en su página web, e-marzo es una entidad con oficinas en Madrid, Barcelona y Valencia, que se dedica a la prestación de servicios jurídicos, de consultoría y auditoría. Integrada por un equipo de abogados, consultores, auditores y técnicos, presta sus servicios en diversas áreas: protección de datos, contratación informática, seguridad de datos, propiedad intelectual, comercio electrónico y servicios de la sociedad de la información. Y no me enrollo más, así que vamos con la entrada de Ana.

Internet se ha convertido de forma indiscutible y por excelencia en el medio de comunicación social del siglo XXI, donde libremente caben todo tipo de manifestaciones y opiniones en ocasiones difícilmente controlables. A ello se une que no todos los países aplican la misma normativa y regulación a este medio, lo cual permite con cierta impunidad cruzar las fronteras virtuales y utilizar determinados territorios para publicar aquello que en el país de residencia u origen posiblemente estaría sujeto a un férreo control administrativo.

[Read more…]

Siempre pagan justos por pecadores…

22 de febrero de 2008 Por

La LOPD puede a veces verse como una ley sin sentido y exagerada, pero cuando te paras a pensar y analizas el uso que gente sin escrúpulos puede hacer de la información que se maneja en el mundo hoy en día se te ponen los pelos como escarpias. Es en este momento cuando empiezas a entender el significado y el alcance de esta ley que está pensada sobre todo y ante todo para proteger el derecho de los individuos en una sociedad moderna y protectora como la sociedad en la que vivimos.

Les cuento uno de los casos que personalmente me hizo reflexionar sobre el sentido de la ley.

En un colegio indeterminado de Valencia —al menos para este post— se entregó un día a todos los alumnos entre 3 y 14 años un pequeño formulario en un papel cochambroso dónde se pedían una serie de datos aparentemente sin importancia alguna. Preguntaban a los padres por los hábitos de los niños, por su tez, por el número de pecas, por la sensibilidad de su piel y un largo etcétera. El objetivo del “papelito” era bueno a priori, pero uno, por esto de trabajar en lo que trabaja, se ha vuelto un poco paranoico y ve amenazas hasta en los recortes de la prensa.

El hecho es que con las contestaciones del “papelito”, un grupo “indeterminado” de personas con un “indeterminado” conocimiento en la materia iban a pronosticar la probabilidad de que un niño, de los anteriores, desarrollase, en algún momento “indeterminado” de su vida, algún tipo de afección maligna en su piel.

Hasta el momento el único problema es la “indeterminación” con la que se trata el asunto. Eso sí, he de decir que el cochambroso papelito llevaba un sello de una institución, aunque si me preguntan diría que, por el papelito y por el sello, la institución también era “indeterminada”.

Seamos serios, por favor, hablamos de datos de salud de un colectivo de niños de un colegio. Hablamos de predicciones de desarrollo de enfermedades muy serias y muy graves. Hablamos de recopilar de forma “indeterminada”, por parte de gente “indeterminada”, con unas medidas de seguridad “indeterminadas” y con posibilidad de acceso para un colectivo “indeterminado” de datos que para gente sin escrúpulos puede tener bastante valor. Al fin y al cabo toda esta información se convierte fácilmente en una base de datos de salud presente o futuro de 2000 o 3000 niños.

En mi humilde opinión es sobre estas iniciativas sobre las que debería caer todo el peso de la ley. Y no vale eso de decir que desconocía el alcance de la ley y de su régimen sancionador. No dudo en que el fin pueda ser incluso bueno pero no hay derecho que, a pesar de que el fin último sea bueno, se hagan las cosas de esta manera tan irresponsable…

A quién corresponda.

In God Google we trust

29 de enero de 2008 Por

[Hemos decidido, para incrementar la participación en el blog, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones.]

Ayer por la mañana amanecí con la noticia de FACUA de que “Protección de Datos confirma que la lectura de los correos de los usuarios para mostrarles publicidad personalizada vulnera la legislación española y comunitaria“, en patente referencia a Gmail. Esta misma noticia también ha aparecido en ALT1040, EuropaSur, y seguramente a estas alturas habrá aparecido ya en muchos otros sitios. He demorado este comentario por tres razones: la primera, por falta de tiempo; la segunda, porque Fernando se me adelanto con la entrada a propósito del escándalo de Société Générale (entrada que quizá no he dejado reposar demasiado); y la tercera, para poder encontrar argumentaciones convincentes, aunque a muchos no se lo parecerá.

Y es por esta tercera razón por donde voy a empezar, porque está claro que GMail es actualmente y con toda probabilidad el mejor sistema de correo electrónico gratuito que existe. Es eficiente, es rápido, está bien pensado y tiene una capacidad con la que, como bien publicitan, probablemente no te haga falta borrar un correo nunca más. Por ello, no es extraño que cualquier comentario en contra de GMail suela despertar un aluvión de críticas; es en mi opinión algo razonable; y es que como ya hecho en anteriores ocasiones, insisto que a título personal, soy un usuario de Google y GMail.

Lo que voy a hacer a lo largo de esta entrada es destacar algunos puntos que me parecen de interés en relación con GMail (aunque asumo que puedo estar equivocado en más de uno), y que intentan mostrar que no porque un servicio sea bueno y gratuito hemos por ello de venderle nuestra alma; Google no es al fin y al cabo una ONG ni una “Fundación por un correo electrónico mejor”, sino una empresa que presta un servicio con el cual hace negocio, y eso al menos debería mantener alerta nuestro espíritu crítico; piensen qué pasaría si Telefónica adoptase algunas de las políticas de Google en cuestión de privacidad (y no, el nivel de satisfacción del usuario no es un factor a considerar en la gestión de los datos de carácter personal, o DCP en adelante). Antes de empezar, advierto que quizá esta entrada sea algo larga, pero creo (es más una esperanza que un creencia) que no se les hará pesada:

[Read more…]