Por: Catalina | vuelos a india

Catalina | vuelos a india — Mon, 04 Apr 2011 15:24:45 +0000

Buena información , es dificil encontrar está informacion en
internet, ya tienes una fan …

Por: Álvaro Del Hoyo

Álvaro Del Hoyo — Tue, 02 Mar 2010 16:34:45 +0000

Javier,
Como siempre rápido y en la vanguardia ;-p
Buff, aquí entramos en terreno pantanoso. ¿O siempre estamos en él?
Algunos ya me han dicho que soy un talibán de la protección de datos, a lo que yo les digo que me vean más como consultor de seguridad que abogado, pues ante la in-seguridad de la información y la in-seguridad jurídica existente no nos queda otro que tomarle el pulso a las actividades empresariales poniendo un ojo en la tecnología y otro en la normativa, y diagnosticar nuestro mejor tratamiento a aquélla enfermedad. Cuando digo nuestro mejor tratamiento me refiero al mejor de entre los que podamos pagar. El presupuesto para la seguridad de la información es finitio, mientras que el riesgo de ser sancionados también, pero casi con total seguridad que éste se parece más que nosotros al primo de Zumosol. En definitiva, creo que el cumplimiento o la seguridad total no existen, y por tanto no nos queda más que recurrir al precavido incumplimiento.
¿No nos estamos complicando demasiado la vida con la protección de datos?
En la interpretación de las normas, lo mismo que en la redacción de las mismas no se puede dejar de lado la realidad social y los usos establecidos.
En los próximos años se van a revisar las Directivas de Protección de Datos Personales y de Privacidad Electrónica. Y creo que no deben perderse en cuenta en este futuro debate derivadas tales como los usos de las personas en cuanto a su privacidad -no sus ideas, o manifestaciones sobre lo que les preocupa, sino lo que hacen en pro o en contra de la protección de su privacidad, piensa en los menores nativos digitales y su futuro por ejemplo-, las condiciones de la Sociedad de la Información actual, el nivel de burocracia traído por la normativa existente y que como barrera de desarrollo tecnológico y humano ha de ser considerado,…
Por cierto, que tampoco se deben olvidar al respecto de transferencias internacionales los acuerdos de puerto seguro con USA, y las empresas multinacionales que se integran o no en el listado de personas acogidas al mismo.
Ahora algunas cuestiones y comentarios a los que me temo seguirá cierto debate:
- Datos de tráfico y localización: ¿Tienen los operadores que conservar los datos de tráfico tratados con ocasión de la interconexión?¿Y los de las comunicaciones entrantes? Hay un Considerando, 23 ó 25, no recuerdo ahora mismo, de la Directiva 2006/25/CE que se alega para afirmar por algunos que sólo se han de registrar sólo los datos de las las comunicaciones salientes. Me temo que no es así. Las claves en este sentido: datos generados o tratados, operadores que prestan servicios o explotan redes públicas de comunicaciones, nombre y direcciones de usuarios registrados que sean destino de comunicaciones,…Y si se han de registrar los datos de comunicaciones entrantes, ¿no debería registrar la fecha, hora y duración de las comunicaciones? Piensa en por ejemplo tratar de obtener evidencias del acceso a un buzón de mail de un correo de phishing por medio del derecho de acceso por el afectado al fichero de datos de tráfico y localización. ¿Y tienen las entidades de referencia de portabilidad fija y móvil que aplicar medidas de nivel medio y cumplir con el art. 103 RLOPD por el hecho de tratar tan sólo el dato de tráfico de número de teléfono junto con datos identificativos?¿Es ese dato por sí mismo un dato de tráfico?¿Seguro que las entidades de referencia sólo tratan los números de teléfono y datos identificartivos, o también tratan otros datos de tráfico? Creo que mi respuesta no gustará a muchos, es de un talibán. Pero a la respuesta añado propuestas de gestión del problema, que no de solución, pues me temo ésta no está a nuestro alcance. Qué poco motivador, ¿no?
- Redes sociales: Se te ha olvidado comentar que les aplica la Ley 25/2007 dado que algunos de sus servicios pueden tomarse. A lo que se podría añadir que entonces por ejemplo Tuenti podrá utilizar los mismos para realizar monitorizar la seguridad en su red, pudiendo por ejemplo detectar falsos perfiles, acosos,… El Grupo del Art. 29 ya decía en su Opinión sobre las redes sociales la primera parte de lo dicho por mí ahora
- Publicidad basada en intereses. El Grupo del Art. 29 emitió ya hace años una opinión al respecto de las transferencias internacionales que nos decía que las cookies instaladas en nuestros ordenadores son medios de tratamiento ubicados en nuestro país y por tanto aplica- La opnión sobre el anonimato en la Red no tiene desperdicio tampoco.
- Computación distribuida: O también computación redundante o por continuidad de negocio. Por ejemplo el caso SWIFT con su establecimiento en USA con sistemas espejos de los disponibles en Europa.
Ahora pongamos unos ejemplos, pero a la inversa.
- Encuadrar o no en la definición de datos de carácter personal las direcciones IP y lo que ello supone de negativa a iniciativas como las bases de datos de las barras antiphishing de los navegadores alimentadas por los propios desarrolladores y terceras empresas, los servicios antifraude y cierre de sitios delictivos, los servicios de vigilancia digital para el inicio de acciones judiciales, solicitudes de borrado definitivos de perfiles y datos personales hechos disponibles en Internet,…
- El ejercicio de la libertad de información, el concepto de medios de comunicación social y la especial consideración que los medios de comunicación social on-line deberían tener.
- La consideración de las muestras biológicas y ADN como dato de carácter personal y lo que ello supone como trabas a la investigación sobre el ADN, nuestra predisposición a unas u otras enfermedades, el desarrollo de medicamentos y tratamientos de enfermedades, la prevención y tratamiento de enfermedades genéticas,… ¿Cómo se come lo de la disociación termina el tratamiento de datos y que ahora en un determinado sector se permita la disociación reversible?¿Entonces estamos jugando a la LOPD o no?¿De verdad van a existir soluciones de anonimización irreversible infalibles o eternas?¿No dependerá todo de la disponibilidad del conocimiento, el tiempo y los medios para hilar tan fino, por tanto de una mayor o menor probabilidad de que el ciudadano medio pueda o no alcanzar tratamientos de informaciones pudiendo llegar a identificar la persona detrás de un conjunto de datos?
Sinceramente, creo que sobre todo hay que eliminar burocracia y poner reglas más claras de cómo se han de hacer las cosas: inscripción de ficheros por países, procedimientos de autorización de transferencias internacionales por cada país,… y sobre todo pensar en centralizar de forma regional. ¿La información que se incluye en el Registro AEPD no la tenemos ya en las webs de algunos de las empresas?
Debemos aceptar que somos humanos, que las leyes no son perfectas, que no toda iniciativa o empresa ni es necesariamente bueno ni tampoco malo, sino que depende,… Por ejemplo, Google Video en Italia, mal por el juez, incidente Google Buzz, mal por Google.
En cuanto a lo del cloud computing creo que es importante tomar en consideración que ya hacemos outsouring con la empresa de al lado, y que quizás está o sus empleados estén más tentados por nuestra información que un Google, Apple,…, quienes por otra parte están muy lejos de entrar a competir con muchos de nosotros, sin que por ello podamos entender que no haya riesgo alguno al tomar la decisión de jugar al cloud computing.
Entonces ¿qué hacemos?
Llevo un tiempo listando de modo informal cuestiones a considerar en la normativa de protección de datos. Entre ellos están los aquí apuntados, pero hay otros muchos asuntos que seguro son de tu interés como por ejemplo la consideración de datos de carácter personal del ADN y muestras biológicas.
Un saludo

Por: TMA WebSolutions Blog! » Blog Archive » Noticias LOPD 19

TMA WebSolutions Blog! » Blog Archive » Noticias LOPD 19 — Tue, 02 Mar 2010 04:30:18 +0000

[...] Problemas en el tratamiento de datos por cuenta de tercero en un contexto global, por Javier Prenafeta. [...]

Por: Áudea

Áudea — Fri, 26 Feb 2010 11:18:43 +0000

Interesantísimo y necesario artículo, Javier. Una nota sobre las redes sociales: no sólo tienen una responsabilidad radical con los datos que sus usuarios les confían. Esa responsabilidad debería ampliarse a dónde se aloja la web. Por mucha política de privacidad que se implemente. Por ejemplo, Facebook no está en una https, por lo que el reclamo es demasiado atractivo para usurpadores o bromistas, y la herramienta no corresponde al grado de seguridad que sería deseable.

Un saludo.

Por: Javier Valiño

Javier Valiño — Fri, 26 Feb 2010 09:13:31 +0000

Hola Javier, me ha venido al pelo este artículo: ahora precisamente estamos analizando la problemática de los servicios en la nube alojados en servidores fuera de España y también fuera de la UE. Básicamente por una cuestión económica: el hospedaje es MUCHO más barato en USA

Gracias de nuevo

Por: David

David — Fri, 26 Feb 2010 08:09:39 +0000

Muy interesante Javier, bien recopiladas todas las opciones.

Y lo de siempre, usar servicios de google (y similares) en entornos profesionales, uff, te puede jugar una mala pasada….