LOPD Proteccion de datos: junio 2013

miércoles, 26 de junio de 2013

Guía sobre cookies

La empresa IAB SPAIN ha publicado una guía que te puede servir de ayuda si tienes una web y quieres adaptarla a la normativa sobre cookies.

Como sabéis, hace poco era la propia Agencia Española de Protección de Datos la que publicaba una guía de cookies, que se puede consultar en internet, en su web, aquí:

https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_Cookies.pdf

Pues bien, lo que IAB ha hecho es crear una guía (infografía, como ellos mismos la llaman) para llevar esa guía a la práctica, de una forma clara y sencilla.

Recomiendo su lectura, que no lleva más de un par de minutos. La tienen en su web, en este link:

http://www.iabspain.net/wp-content/uploads/2013/05/INFOGRAFIA_COOKIES_IABLegal.pdf

Previamente a la adaptación de tu web a la normativa sobre cookies, es fundamental que sepas si usas cookies (la mayoría de la gente no tiene ni la más remota idea) y en caso afirmativo, qué cookies son exactamente.

¿Es difícil saber si tengo cookies y de qué tipo son?

Normalmente, no.

Puedes preguntarle a tu informático o webmaster, o descargarte un programita (es gratis) que te hace un análisis.

Yo utilizo uno que se llama GHOSTERY. Lo instalas en unos minutos y verás un simpático fantasmita en la parte superior-derecha de tu navegador, que te va contando qué cookies hay en cada página por la que navegas.

En mi opinión, lo mejor y más fácil que puedes hacer es quitar las cookies de tu web. Normalmente no son necesarias y así no tienes que hacer ninguna adaptación.

No obstante, si pese a todo, sigues teniendo dudas, pregúntame.

domingo, 23 de junio de 2013

Agencia Española de Proteccion Datos

Como os contaba en mi anterior entrada, en el Anteproyecto de Ley de Transparencia Pública de Andalucía se prevé la creación de una Agencia de Transparencia y PROTECCIÓN DE DATOS DE ANDALUCÍA.

Por primera vez se crearía en esta Comunidad una autoridad independiente de control en materia de protección de datos y transparencia, como se establece en el artículo 41 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Muchos son los cambios que se están produciendo en esta materia, y que comenzó con la desaparición a principios de año de la Agencia de Protección de Datos de la Comunidad de Madrid.

Ahora, se proyecta la creación de una Agencia Andaluza de Protección de Datos.

Y por si fuera poco, ya ha empezado a anunciarse la desaparición de las agencias de protección de datos de Cataluña y País Vasco, como se extrae de los informes publicados por la Comisión CORA, sobre propuestas de reforma de las Administraciones públicas.

En definitiva, se entiende que las funciones de dichas agencias pueden ser perfectamente asumidas por la Agencia Española de Protección de Datos.

Todo apunta, en mi opinión, a que estos recortes, cambios y supresiones van a dar lugar a un empeoramiento del funcionamiento de los organismos supervivientes.

De hecho, en los últimos tiempos se ha empezado a cuestionar el correcto funcionamiento de la Agencia Española de Protección de Datos, por retrasos significativos a la hora de resolver y por elevados porcentajes de revocación de sus resoluciones por parte de los tribunales.

La verdad, tampoco son cosas que deberían extrañarnos: si los cubatas de la cafetería del Congreso están en torno a los tres euros y medio, a saber a cómo estarán de baratitos en el bar de la AEPD…

martes, 11 de junio de 2013

Transparencia y proteccion de datos

Con fecha 4 de junio de 2013 se ha hecho público el texto inicial del Anteproyecto de Ley de Transparencia Pública de Andalucía.

El objeto de esta norma sería la regulación de la transparencia en su doble vertiente de publicidad activa y de derecho de acceso, como instrumento para facilitar el conocimiento por la ciudadanía de la actividad de los poderes públicos.

Entre otros, el Anteproyecto sentaría dos principios que me parecen de gran interés, a saber:

1. Principio de transparencia, que significa que toda la información pública es en principio accesible, y sólo puede ser retenida para proteger otros derechos e

intereses legítimos de acuerdo con la Ley.

2. Principio de libre (y gratuito) acceso a la información pública, en cuya virtud cualquier persona puede solicitar el acceso a la información pública.

Como más de uno ya habrá intuido, esta normativa tiene importantes puntos de conexión con la de protección de datos, ya que la posibilidad de acceder a la información pública conlleva que se puedan ver datos de carácter personal recogidos en documentos de la Administración u otras entidades a las que se le aplicaría la Ley de Transparencia.

Naturalmente, el tema ya se prevé en el Anteproyecto, que indica que:

Serán de aplicación, en su caso, los límites al derecho de acceso a la información pública previstos en la normativa básica y, especialmente, el derivado de la protección de datos de carácter personal. A este respecto, cuando la información contuviera datos especialmente protegidos, la publicidad sólo se llevará a cabo previa disociación de los mismos.

A lo que el artículo 24 del texto añade que:

De conformidad con lo previsto en la Ley básica de acceso a la información pública, para la resolución de las solicitudes de acceso a la información pública que contenga datos personales del propio solicitante o de terceros, se estará a lo dispuesto en dicha Ley básica y en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Y para hacer efectiva la normativa sobre transparencia se prevé la creación de LA AGENCIA DE TRANSPARENCIA Y PROTECCIÓN DE DATOS DE ANDALUCÍA.

Interesante novedad que podría traer cambios a la comunidad andaluza en materia de protección de datos. Recordemos que por ahora Andalucía no tiene Agencia de Protección de Datos propia, por lo que las cuestiones y procedimientos se plantean ante la Agencia Española de Protección de Datos, en Madrid.

Será la andaluza una autoridad independiente de control en materia de protección de datos en el territorio de Andalucía, según las previsiones del artículo 41 de la LOPD.

Además, se propone la creación de una Comisión Consultiva de la Transparencia y la Protección de Datos como órgano de participación y consulta en materia de transparencia y protección de datos.

Imagino que la creación de una Agencia Andaluza de Protección de Datos ayudará a la difusión de la normativa de referencia entre profesionales y autónomos, y supondrá una mayor actividad inspectora por estas “latitudes”.

Lo veremos con el tiempo.

sábado, 8 de junio de 2013

Los troyanos de Gallardón

Ha saltado en estos días a todos los medios de comunicación la noticia de los troyanos de la policía, los troyanos de Gallardón o troyanos buenos.

En definitiva, lo que se ha planteado es la introducción en el borrador del nuevo Código Procesal Penal español de medidas que permitan la instalación de software en ordenadores –por parte de la policía y previa autorización judicial- de sujetos sospechosos de ciertos delitos, para poder hacer un seguimiento remoto de su actividad.

Desde luego, la utilización de troyanos (ya sea por policías buenos, malos, de verdad, de mentira, por delincuentes, por detectives privados, etc…) no es nueva y ha habido unos cuantos “escándalos” por su utilización.

La cuestión es que hoy día, con la LOPD y normativa de desarrollo en la mano, yo concluyo básicamente dos cosas:

1ª. Si tu ordenador tiene un troyano, estás incumpliendo la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre).

2ª. Si has permitido que coloquen un troyano en tu ordenador, la verdad: eres un poquito tonto.

No olvidemos que nuestra famosa LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) es eso: una Ley Orgánica. Además, es una Ley que desarrolla un Derecho Constitucional, como así lo ha declarado el Tribunal Constitucional en su Sentencia nº 292/2000, de 30 de noviembre, que ubica este Derecho dentro del artículo 18 de la Constitución Española. Con todo esto quiero decir que no estamos hablando de una ordenanza municipal sobre caquitas de perro, ni de cualquier normativa administrativa secundaria, sino de las normas más básicas y esenciales de nuestro ordenamiento jurídico, de derechos que gozan de la más suprema protección.

Por ello, difícilmente puede casar el troyano del amigo Gallardón (ni ningún otro) con todo eso.

Veamos qué nos dice exactamente la LOPD:

Artículo 9 Seguridad de los datos

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Si nos dirigimos al Reglamento de desarrollo de la LOPD, encontramos las siguientes normas (y me centro sólo en las medidas de seguridad de nivel básico, porque son aplicables a TODOS los sujetos que estén bajo el ámbito de aplicación de la Ley):

Artículo 91 Control de acceso

1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.

4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero.

5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.

Artículo 93 Identificación y autenticación

1. El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios.

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.

Es decir, que como responsable de los datos que almacenas en tus equipos informáticos, tienes la obligación legal de adoptar todas las medidas técnicas y organizativas de seguridad necesarias para garantizar la seguridad de la información, evitando con ello su pérdida, alteración, accesos no autorizados, etc… Las medidas que cito en los artículos de arriba, son las medidas mínimas que tienes que aplicar siempre y en todo caso.

El de la Seguridad es uno de los principios básicos y esenciales de la normativa de protección de datos. De ahí que haya dicho anteriormente que, además de ser un poco tonto si permites que te metan un troyano, también estarías incumpliendo la Ley Orgánica y su Reglamento.

Pues ya me dirás qué tipo de medidas de seguridad tienes implantadas en tu negocio que permiten que los troyanos se paseen felizmente por tus datos de carácter personal…

Y si tuvieras un troyano o la menor sospecha de que pudieras tenerlo, más te vale que, con carácter inmediato, te asegures de que no lo tienes o procedas a su eliminación.

De estos asuntos (y de muchos otros) sabe un montón mi amigo Antonio el de la salsa. A pesar del “apellido” que le pongo, es informático y experto en seguridad de la información y casi abogado. Puedes leer su peculiar parecer sobre estas cuestiones en su blog, aquí:

https://sites.google.com/site/seoenmalaga/contacto/quitareltroyanodelapolicia

La verdad, sobran comentarios: mejor léelo.

¿Quien soy?

Soy VANESA, abogada especializada en LOPD, LSSI, seguridad de la información, derecho de las nuevas tecnologías en general y prevención del blanqueo de capitales

Mi número de Colegiada es el 4882 de Málaga.

Mi equipo de trabajo lo compongo YO. Cuando me llames, te atenderé YO. Cuando te dé cita, te recibiré YO. Cuando tengas una duda y consultes conmigo, te la resolveré YO. La documentación de la adaptación te la hago íntegramente YO. Cuando te vuelva a dar cita para entregarte y explicarte la documentación, otra vez te atenderé YO. Cuando tenga que facturarte, te facturaré YO. Es mucho más operativo, y aunque tal vez acabes cansándote de mi egocentrismo, al menos tendrás la impresión de haber encargado un simple y eficaz servicio profesional y no de haber pedido una cita con el Papa. Voy a adaptarte a la LOPD, no a salvar tu alma de las llamas del infierno.

Para adaptarte a la LOPD (salvo raras excepciones) no necesitas un equipo multidisciplinar compuesto por abogados, informáticos, técnicos ni otras rarezas.

Conmigo tienes de sobra. Y si te surgen dudas técnicas, puedes acudir al informático con quien habitualmente trabajes.

No obstante, hay cientos de despachos multidisciplinares que le prestan un servicio integral al cliente.

Siempre puedes llamarlos: suelen tener unas secretarias muy simpáticas, que luego te pasan con el departamento, que a su vez te pasa con el subdepartamento, que a su vez te pone en contacto con el responsable de.

¿Cuál es mi titulación?

Soy Licenciada en Derecho por la Universidad de Málaga.

De otra forma, y sin dicha licenciatura, no podría ser la colegiada nº 4882 del Ilustre Colegio de Abogados de Málaga, al que siempre puedes llamar si tienes alguna duda sobre la autenticidad de mi colegiación y mi profesión (cosa que además le recomiendo a todos aquellos que quieran contratar a un letrado: no es el primero que se hace pasar por abogado, te pide una jugosa provisión de fondos y se larga con tu dinero...).

Cada vez son más las empresas y profesionales dedicados a estas materias que se muestran como Consultores homologados o exhiben titulos adicionales, como el máster, que intentan vender como garantía de profesionalidad. En la mayoría de los casos te estarán tomando el pelo ya que hoy día no se exige ningún tipo de titulación para hacer adaptaciones a la LOPD. Es más: te la puedes hacer tú mismo, informándote en la página de la Agencia Española de Protección de Datos.

Por eso, el mono de mi título homologado de máster del universo en LOPD, se va de vez en cuando de chupitos con el mono del título de profesor de salsa, homologado por su prima, de mi amigo Antonio el de la salsa, al que puedes conocer aquí (y a su mono, que por razones obvias, es primo hermano en 2º grado del mío):

¿Tengo sellos?

Sin duda, a estas alturas de mi blog, te estarás preguntando si tengo un sello de calidad, medio ambiente o seguridad de la información, que como bien sabes garantiza la calidad de mis procesos de trabajo, contraseñas y lo limpia que tengo la escobilla del wáter, sobre todo el día que viene el auditor a renovarme el sellito, que es el único día que cumplo los procedimientos y los falsifico en un 99,9% para que el muy tonto me siga permitiendo exhibirlo y me cobre mi cuota anual ( y de paso él también pueda seguir cobrando)... Pues sí, tengo un sello (además, otorgado por el mismísimo Rey), por si quieres verlo:

¿Soy "miembrode"?

Y si eres de los que hila aún más fino, también te asaltarán las dudas sobre si soy miembro de alguna Fundación, Asociación, o ente corporativo que aúne a profesionales como yo.

Pues no. No soy “miembrode”. Lo he sido durante muchos años, pero ahora soy un "espíritu libre de".

Ser “miembrode” significa pagarle a otro X euros todos los meses a cambio de que te deje exhibir su logo, imagen y usar su sistema de trabajo y sus precios. Hablando en plata: una franquicia.

Me encanta la comida que ponen en montones de franquicias de restauración y me parecen negocios estupendos, en la mayoría de los casos.

Pero lo de los temas jurídicos es distinto, y los "miembrosde" y las franquicias no me convencen nada, la verdad. Ellos lo llaman cuestión de imagen, y calidad y excelencia de sus "miembrosde".

Yo lo llamo tomadura de pelo.

Sí. Otra.