Jon Turrillas Blog sobre TIC y Derecho

LA SENTENCIA COMENTADA DE SNS-OSASUNBIDEA

2011-10-27T23:58:00.000-07:00

Continuando con la noticia que leí en Diario de Noticias de Navarra, he conseguido localizar la sentencia Jdo. Contencioso-Administrativo Nº 1 de Pamplona/Iruña que paso a comentar a continuación.

La sentencia hace hincapié en que lo que se ha hecho mal en Osasunbidea es el poco control de accesos que hay en cuanto a las autorizaciones se refiere. Ya que a pesar de disponer de medios y de una implantación hecha en materia de LOPD, la juez apelando a lo expuesto por el perito informático destaca que no existen apenas límites a la hora de acceder a los historiales clínicos desde la aplicación informática de Osasunbidea (sí disponen de usuario y contraseña, pero pueden acceder distintos perfiles de empleados, tales como enfermeras/ os, médicos, auxiliares y otros no especificados si apenas límites en los accesos y sin que medie relación con el paciente).

Se destaca en la sentencia que sí se ha formado a los empleados en cuanto a su deber de confidencialidad y en materia de protección de datos.

Por otro lado en la sentencia, se tocan fundamentalmente dos puntos, uno el de los accesos indiscriminados y no justificados al historial clínico por parte de personal no autorizado a tal efecto y otro el hecho de que a la paciente se le tomaron fotografías sin su consentimiento ni el de sus familiares en estado de inconsciencia y después se adjuntaron al expediente o historial médico. En este último punto se establece lo siguiente en la sentencia:

“Es claro que muchas de las actuaciones medicas que se llevan a cabo en la practica, se hacen con el consentimiento tácito del paciente y la necesidad de sacar fotografías podría en este caso, tal y como explicaban los médicos intervinientes considerar justificada, sin embargo hay que reconocer, que son muchas las fotografías que se sacaron, son fotografías especialmente duras del cuerpo de una mujer muy joven desnudo y en un estado impactante. Estas fotografías se ha acreditado que obraban en la historia clínica informatizada y en algunas de ellas se podía identificar la cara, por lo tanto se podía identificar a la paciente, aunque después se retiraron. Sin embargo, a esas fotografías se pudo acceder, como así fue. Por otro lado tampoco se sabe hoy a ciencia cierta, que estas fotográficas no sigan circulando por ahí, es decir, no sean accesibles a través del acceso , valga la redundancia a la historia clínica informatizada de xxxxxxxx .”

En cuanto a la indemnización establece 50.000€ para cada progenitor de la paciente fallecida y 25.000 para la hermana. Desarrolla un poco el tema del derecho al honor en cuanto a que a pesar de ser un derecho personalísimo como el de la protección de datos en ocasiones es ampliable al ámbito familiar, como es el caso en esta sentencia. Para ello cita lo siguiente:

“Ha dicho el Tribunal Constitucional que los derechos a la integridad física, a la intimidad, al honor, o a la dignidad humana, son personalísimos y, en principio, intransferibles por lo que el titular de los mismos sólo puede ser la persona viva, y ello sin perjuicio de reconocer que la persona ya fallecida, como realidad jurídicamente distinta, ha de ser objeto de una particular protección jurídica por cuanto el techo a la intimidad familiar puede verse afectado ( Auto del Tribunal Constitucional 149/1999, de 14 de junio ).”

Reconoce así mismo que no es un derecho absoluto,

En conclusión establece que la formación estaba bien desarrollada en el hospital y los sistemas de acceso no, ya que era un poco como se suele decir coloquialmente café para todos.

Dice más cosas pero en general en mi opinión lo más destacable de las 21 hojas de las que dispone la sentencia es más o menos lo anteriormente expuesto.

Sentencia completa sin datos personales

Sentencia contra SNS-Osasunbidea en materia LOPD

2011-10-18T04:30:00.000-07:00

SNS-O debe pagar 125.000 €

Tal y como publicó el Diario de Noticias de Navarra el pasado 12 de octubre, "La historia clínica de una mujer, ya fallecida, fue vista por 419 sanitarios en 2.825 ocasiones", por lo que la jueza entiende que las medidas de seguridad y el protocolo de Salud no son suficientes para garantizar la protección de datos.

En el fondo lo veía venir, ya que Osasunbidea arrastraba desde hace años claras deficiencias en la adaptación y cumplimiento de la LOPD y que decir del RD 1720/2007 que la desarrolla. La duda que me queda es si en la actualidad, tal y como comenté en un post anterior (Osasunbidea deberá auditar la seguridad en materia de protección de datos), se encuentra a día de hoy correctamente adecuada a la citada normativa sobre Protección de Datos de Carácter Personal o si por el contrario continua padeciendo dicha insuficiencia (ya que la sentencia es sobre un asunto de 2007).

En mi opinión este tipo de sentencias deja clara una cuestión y no es otra que la importancia de la formación, el problema no es que determinadas personas entren por puro "cotilleo" a un historial, sino que el propio centro no haya advertido claramente de su prohibición y de las consecuencias que puede acarrear el incumplimiento sobre dicha prohibición. Por no mencionar el hecho de la falta de procedimientos en cuanto a las medidas de seguridad se refiere, ya que deberían disponer de medios en el sistema de información de Osasunbidea para evitar los accesos no autorizados, así como de medios para poder registrar e identificar todos los accesos no autorizados de forma inequívoca, para poder proceder si fuese el caso, a la apertura de investigaciones y expedientes disciplinarios, en aquellos supuestos de accesos no autorizados que no dispusiesen de alguna disculpa coherente y justificada por la cual se hubiese producido el citado acceso no autorizado.

Por último destacar claramente una cuestión a todos los empleados del sector público y en especial al sanitario (en vistas a que estos últimos tratan y gestionan datos de mayor sensibilidad). Los datos personales son de las personas físicas, es decir, de los ciudadanos, no de los hospitales o centros sanitarios y mucho menos de sus empleados. Por ello los datos personales deben ser tratados y/o gestionados exclusivamente por personal autorizado para las actividades que tengan asignadas en sus funciones y para las finalidades descritas en las mismas.

En conclusión, a mi modo de ver es vital la formación y concienciación de los empleados ya que es fundamental de cara a evitar este tipo de noticias tan penosas y vergonzosas, consiguiendo de este modo entre otras cosas un servicio de mayor calidad y confianza para los ciudadanos.

Hackean INTECO

2011-06-07T01:23:00.000-07:00

Como ya casi todo el mundo sabe, INTECO ha sufrido un ataque en su plataforma de formación, la verdad es que últimamente hay muchas noticias sobre este tipo de ataques, pero de momento creo que la respuesta ante la incidencia de seguridad por parte de INTECO está siendo ejemplar, veremos en que para y que consecuencias tiene el ataque, ya que los usuarios afectos pueden ser 20.000 y eso son muchos usuarios, pero de momento el plan de contingencia y la reacción de INTECO creo que son adecuadas.

INTECO ha reconocido su fallo o el ataque sufrido en su página web, http://www.inteco.es/

Asi mismo en su web informa de los siguientes aspectos:

06/06/2011

El Instituto está adoptando las medidas necesarias para minimizar los daños a los usuarios de la Plataforma

El hecho ha sido descubierto hoy en el curso de actuaciones que lleva a cabo regularmente INTECO, en colaboración con empresas de seguridad de la información y otros centros de respuesta a incidentes de seguridad.

Según las primeras investigaciones, la sustracción de datos podría haber afectado a parte de los 20.000 usuarios de la plataforma y la información personal que habría sido robada se refiere exclusivamente a los siguientes datos, en el caso de que hubieran sido aportados por los usuarios:

Nombre y apellidos.
Número de teléfono.
DNI.
Correo electrónico.

INTECO ha puesto el incidente en conocimiento de la Brigada de Investigación Tecnológica de la Policía Nacional y está preparando un comunicado personalizado a los posibles afectados alertándoles de los riesgos derivados del incidente y de la manera de protegerse.

INTECO pide disculpas a los usuarios de su plataforma de formación en línea por los inconvenientes causados.

En el sitio web de INTECO (www.inteco.es) se irá ofreciendo información actualizada sobre este incidente.

Le recomendamos que siga los siguientes consejos de seguridad:

Desde INTECO nunca se le solicitará información de carácter personal por correo electrónico o teléfono. No responda a ninguna petición de información de estas características.
No haga clic en enlaces incluidos en mensajes de correo electrónico, mensajes SMS o MMS cuyo origen no sea confiable.
Revise el estado de seguridad de su equipo. En particular, compruebe que el sistema operativo, el navegador y otras aplicaciones (entre otras las de seguridad) están debidamente actualizadas.
Ante cualquier duda, póngase en contacto con INTECO en la dirección de correo electrónico: incidencias@cert.inteco.es

Otras publicaciones han dado eco a la noticia: http://www.diariodeleon.es

Actualización 1: INTECO no es la única organización que ha sufrido un ataque en las últimas horas, El FBI atacado por hackers

Actualización 2: La AEPD abre una investigación a INTECO. Nota informativa AEPD

Actualización 3: Han matizado cuales han sido los datos que han sustraído de INTECO, http://www.inteco.es/Prensa/Actualidad_INTECO/INTECO_incidente_Seguridad
Sí han sustraído:
Nombre y apellidos.
Número de teléfono.
Dirección.
Sexo y fecha de nacimiento.
No han sustraído el número de DNI ni el correo electrónico de los usuarios, según el análisis forense realizado en INTECO.

Actualización 4: http://www.abc.es/agencias/noticia.asp?noticia=863078

Suben las denuncias ante la AEPD en Navarra

2011-05-27T00:06:00.000-07:00

Hoy he leído en "Diario de Noticias de Navarra" que en los últimos cinco años las denuncias ante la AEPD en materia de protección de datos se han duplicado desde 2006, la noticia cita que la mayoría de las denuncias provienen de un incremento de las mismas por parte de los empleados a las propias empresas donde trabajan. En cualquier caso siempre es bueno que los ciudadanos tomen conciencia de sus derechos y que los ejerzan cuando lo crean conveniente más si cabe con las modificaciones en materia sancionadora que ha introducido la Ley de Economía Sostenible, con novedades como la figura del apercibimiento, de forma que aquellas empresas que cometan una infracción leve o grave por primera vez, en lugar de ser sancionadas con una multa o sanción económica, la AEPD les advertirá de la irregularidad cometida y les requerirá la adopción de las medidas adecuadas que permitan, en cada caso, corregir la situación o evitar la repetición de la conducta infractora. Por ello al disponer de una primera advertencia antes de la sanción, con más razón los ciudadanos deberemos velar por nuestros Derechos en este Derecho Fundamental que es el Derecho a la Protección de Datos Personales.

Para ello, quiero recordar como se puede denunciar ante la AEPD y cual es el procedimiento, ¿Cómo denuncio ante la AEPD? ¿Qué hay que hacer?

Android y su agujero de seguridad

2011-05-23T07:45:00.001-07:00

Android es un sistema operativo basado en Linux para dispositivos móviles, tales como teléfonos inteligentes o tablets. Fue desarrollado inicialmente por Android Inc., una firma comprada por Google en 2005. Es el principal producto de la Open Handset Alliance, un conglomerado de fabricantes y desarrolladores de hardware, software y operadores de servicio. En la actualidad las unidades vendidas de teléfonos inteligentes con Android se ubican en el primer puesto en los Estados Unidos, cuenta así mismo con más de 200.000 aplicaciones y hoy por hoy es el único sistema operativo que rivaliza directamente con el Apps Store de Apple.

No obstante, al igual que la todo poderosa Sony, Android ha mostrado fallos importantes en materia de seguridad, yo como usuario del mismo también me veo preocupado por esta cuestión, ya que por lo visto dispone de una brecha de seguridad en conexiones de red wifi abiertas, públicas o inseguras, de las cuales se puede acceder a datos del usuario tales como a datos personales y bancarios, esto sucede en versiones 2.3.3 (“Gingerbread”) y anteriores, este fallo de seguridad podría afectar al 99,7% de los usuarios de Android.

Así lo han manifestado algunos investigadores de la Universidad alemana de Ulm los cuales informaron de que algunas aplicaciones de Android transmiten datos confidenciales de autenticación sin asegurar adecuadamente cuando están conectados a una red Wi-Fi insegura, además permitirían, por ejemplo, que un atacante realizara cambios en dicha información sin conocimiento del usuario. De esta forma sería posible cambiar la dirección de correo electrónico almacenada del jefe de la víctima o algún socio de trabajo con la intención de recibir material sensible posteriormente.

Por otro lado FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación a Google por los fallos de seguridad del sistema operativo Android en 'smartphones' y tablets, por haberse vulnerado el "principio de seguridad de los datos", regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad.

Una posible solución por el momento:

Precaución a la hora de conectar el terminal móvil a redes Wifi púbicas o libres inseguras ya que resulta extremadamente sencillo capturar información que viaja en claro. Actualizar lo antes posible a la versión 2.3.4

Actualización: Android Market víctima de nuevo malware/ Security Alert: DroidDreamLight, New Malware from the Developers of DroidDream

Listado de aplicaciones afectadas.

Magic Photo Studio

Sexy Girls: Hot Japanese

Sexy Legs

HOT Girls 4

Beauty Breasts

Sex Sound

Sex Sound: Japanese

HOT Girls 1

HOT Girls 2

HOT Girls 3

Mango Studio

Floating Image Free

System Monitor

Super StopWatch and Timer

System Info Manager

E.T. Tean

Call End Vibrate

BeeGoo

Quick Photo Grid

Delete Contacts

Quick Uninstaller

Contact Master

Brightness Settings

Volume Manager

Super Photo Enhance

Super Color Flashlight

Paint Master

DroidPlus

Quick Cleaner

Super App Manager

Quick SMS Backup

GluMobi

Tetris

Bubble Buster Free

Quick History Eraser

Super Compass and Leveler

Go FallDown !

Solitaire Free

Scientific Calculator

TenDrip

Más info en http://blog.mylookout.com/2011/05/security-alert-droiddreamlight-new-malware-from-the-developers-of-droiddream/

Ataque al Network de Playstation

2011-04-27T03:16:00.000-07:00

Tal y como se ha publicado en diferentes medios de comunicación y tal y como ha confirmado y publicado la propia compañía en su blog oficial blog.us.playstation.com, la empresa recibió un ataque en el que se han copiado los datos personales de 77 millones de usuarios, entre los cuales se pueden encontrar datos personales entre otros como números de cuenta bancaria, nombres y apellidos y números de identificación personal. Por su parte FACUA, ha solicitado a la Agencia Española de Protección de Datos Personales una investigación a Sony sobre este asunto, por el agujero de seguridad en su red de juegos online PlayStation Network por el que un hacker ha accedido a datos confidenciales de sus usuarios.

Por su parte Sony se plantea emprender de nuevo acciones legales contra uno de los Hackers que facilito el pirateo del soporte Playstation 3 por entender que este agujero de seguridad puede haberse producido en respuesta a las acciones legales emprendidas contra el mismo anteriormente.

Aclarar que los datos personales sustraídos han sido copiados por los hackers por lo que los usuarios afectados a priori no notarán nada, veremos en que para todo esto.

ACTUALIZACIÓN 1: "Los usuarios españoles no podrán denunciar a Sony por el caso PlayStation Network" No lo tengo tan claro por que habría que ver que empresa ha sido hackeada, Sony (Japón, o EEUU), no obstante lo analizaré más adelante... noticia publicada en http://www.vadejuegos.com/noticias/2011/04/30/los-usuarios-espanoles-no-podran-denunciar-a-sony-por-el-caso-playstation-network-124245.html

ACTUALIZACIÓN 2: “Sony contrata "detectives de ciberseguridad" y el FBI investiga el robo” publicado en noticias de Guipúzcoa.com, http://www.noticiasdegipuzkoa.com/2011/05/04/ocio-y-cultura/sony-contrata-detectives-de-ciberseguridad-y-el-fbi-investiga-el-robo.

ACTUALIZACIÓN 3: Parece ser que al tener Sony su sede en EEUU y disponer esta del acuerdo con España de Puerto seguro, la AEPD no dispone de competencia para investigar los hechos, por lo que se ha desestimado la solicitud que presento FACUA a este respecto por los fallos de seguridad detectados y publicados por la propia compañia en la que se han visto afectados millones de usuarios.

OSASUNBIDEA deberá auditar los hospitales navarros en materia de seguridad de protección de datos

2010-12-17T04:19:00.000-08:00

Hoy quiero hacer eco de una noticia publicada en el Diario de Noticias de Navarra:

Kutz encarga el trabajo a una firma pública

Salud debe auditar la seguridad de las historias clínicas para cumplir la ley de protección de datos

La agencia de protección de datos le requiere a hacer la revisión antes del 1 de abril de 2011

Kutz encarga el trabajo a una firma pública y destaca que Navarra es una de las comunidades con mayor cumplimiento de la norma

Como siempre habrá que ver hasta donde se llega en materia de seguridad en la auditoría que van a llevar a cabo hasta abril de 2011. Desde mi punto de vista deberían abordar el tema teniendo en cuenta los diferentes riesgos de fuga y/o perdida de información, también deberían tener en cuenta la concienciación del personal de los centros de salud en cuanto a confidencialidad y al uso de la información se refiere. Ya sea este uso en soporte papel, en soporte telemático, o en el tratamiento y utilización del sistema de información de Osasunbidea. Asimismo, en mi opinión, entiendo que deberían reforzar más las medidas de seguridad y empezar a dar un mayor cumplimiento entre otras a todas las medidas recogidas en la propia Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) de 13 de diciembre, así como aquellas que el Real Decreto 1720/2007 de 21 de diciembre (RDLOPD) establece y desarrolla. Asimismo, también hay que tener en cuenta aquellas que la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) y su Real Decreto 3/2010, de 8 de enero, el cual regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica establece. Para esto último, en teoría disponen de un plazo de implantación de las citadas medidas de seguridad de menos de un mes ya que vence a principios de enero de 2011.

¿Les dará tiempo a cumplir con lo que el Real Decreto 3/2010 establece? O tan solo se dedicarán a cumplir con el plazo de cumplimiento de la normativa sobre protección de datos que ellos mismos se han impuesto (abril de 2011) con el final de la auditoría que recientemente han encargado a una entidad pública.

Se admiten apuestas... :)

Los treinta

2010-12-16T09:07:00.000-08:00

Hoy me han caído los treinta, la verdad es que casi no me he dado ni cuenta de que hoy era mi cumpleaños, me he olvidado el móvil en casa y además me ha tocado trabajar en Bilbao así que casi ha sido como un día más...

Me consuelo pensando con lo que se dice ahora de que los treinta son los veinte del siglo veintiuno jejeje :)

Las pymes y la LOPD

2010-12-01T07:16:00.001-08:00

Hoy me voy a hacer eco de la siguiente noticia: “Solo un 21% de las pymes cuenta con un plan en protección de datos”, noticia publicada en el periódico digital “5 Días” en la que se destacaba que solo el 21% de las Pymes Españolas cuentan con un plan en materia de protección de datos, por lo que casi el 80% de las Pymes Españolas incumplen totalmente los preceptos recogidos en la vigente normativa de protección de datos de carácter personal a pesar de que más del 70% de las compañías españolas reconoce la importancia de tener una estrategia corporativa en materia de protección de datos. Además “5 Días” afirma también que el 13,7% de las mismas desconoce la normativa mientras que el 26% piensa que no está afecto por la normativa de protección de datos. Todos estos datos proceden de un estudio realizado por ISMS Forum Spain, Asociación sin ánimo de lucro cuyo principal objetivo es fomentar la seguridad de la información.

Lo citado por el artículo contrasta con el hecho de que cada vez se utilizan más los medios electrónicos para todo tipo de actividades como son la relación con la administración pública, las transacciones bancarias, las operaciones de compra-venta y sobre todo el uso de las redes sociales tanto de un modo personal como comercial o empresarial. A pesar de todo ello, las empresas no son conscientes de la importancia que hay que prestar a la información, no sólo porque existe una normativa que así lo establece, sino porque la información es en muchos casos el principal activo y pilar fundamental de la empresa, tanto para su buen funcionamiento como para la generación de beneficios.

Por todo ello, en mi opinión si por ejemplo una empresa hace copias de seguridad de sus sistemas de información pero los almacena en el mismo lugar en el que se ubica el servidor o la mayoría de su información y dicha sala no dispone de medidas de seguridad mínimas (sala ignifuga con control de accesos, ventilación etc.), poca utilidad tendrán las citadas copias en caso de desastre o de un incidente grave en nuestros sistemas de información. Esto que dicho así parece una tontería, es uno de los incumplimientos más típicos en materia de seguridad de la información que suelo observar en las auditorías que realizo.

En conclusión, no se trata sólo de cumplir la legislación para que no nos multen, se trata de preservar la información porque es nuestro principal activo junto con nuestros clientes y su privacidad.

Para más info sobre protección de datos y las jornadas:

www.protegetuinformación.com

Redes sociales

2010-10-30T03:53:00.000-07:00

Este es un video que hace poco que lo he descubierto a pesar de que ya lleva un par de meses colgado en Youtube, me parece que hay bastante de cierto en lo que comenta el rapero "Tote King" en su canción "Redes Sociales" y dado que ya es fin de semana y puente de todos los santos lo dejo para animar un poco.

¡Cierra el ... Tuenti ya! ¡Redes Sociales! ¡Redes Sociales! :)

http://www.youtube.com/watch?v=Gm4aGPsICTE

México ya tiene Ley de Protección de datos

2010-09-09T23:52:00.001-07:00

El planteamiento de crear una nueva norma que regulara en México el tema de la privacidad, comenzó en 2001, finalmente, La Comisión de Gobernación aprobó por mayoría el dictamen por el cual se expide la Ley Federal de Protección de Datos Personales en Posesión de Particulares, en principio la idea es que las empresas que quieran adecuarse, obtengan como beneficio la ayuda y asistencia para la misma y evitar así las posibles sanciones que pueden llegar a 1.414.400 $ de dólares y en el caso de vulnerar datos especialmente sensibles, la sanción puede ascender a 2.828.800 $ por incumplir la nueva norma. Por otro lado el objetivo principal de la norma, es el de velar y garantizar los principios, derechos y procedimientos de los ciudadanos sobre sus datos de carácter personal.

De este modo, México se alinea con países miembros de la OCDE y la Unión Europea, al contar con una ley que prevé los principios en materia de datos personales que actualmente son observados por los países miembros de dichos organismos. Asimismo, México sería el primer país que emita una ley que cumpla con los estándares internacionales en materia de privacidad, aprobados en la Conferencia Mundial de Comisionados de Privacidad y Protección de Datos.

APPLE ya está aquí

2010-08-20T00:39:00.000-07:00

He de reconocer que esta noticia me alegra, porque a pesar de que no soy un gran consumidor de productos "Apple", es cierto que muchos de ellos me maravillan y la verdad que abran una tienda oficial es cuando menos interesante, yo personalmente he estado en la de Nueva York y me pareció espectacular el edificio y el funcionamiento de la misma en la cual podía un@ comprar y pagar en cualquier pasillo ya que había numerosos empleados con lectores de tarjetas de crédito para facilitar el cobro de las mismas sin necesidad de acudir a las cajas generales, consiguiendo así evitar las masificaciones y colas que se suelen crear en este tipo de giga-tiendas. La noticia la he leído en la edición de ABC electrónico:

La multinacional de la informática Apple, abrirá su primer tienda a principios de septiembre en el centro comercial La Maquinista de Barcelona, según comunicaron fuentes del sector inmobiliario a Efe.
Las Apple Store, como se conoce a las tiendas de Apple, ya se pueden encontrar en varias ciudades europeas, sin embargo España era una de las asignaturas pendientes de la compañía. Hasta el momento, la empresa operaba en el mercado local a través de distribuidores autorizados, bajo el nombre de K-tuin, o en espacios diferenciados en centros como el FNAC y El Corte Inglés.
Finalmente, y tras haber buscado una ubicación mas céntrica y de mayor visibilidad como el paseo de Gràcia, la empresa se instalará en el centro comercial, debido a la falta de locales disponibles en esa zona. El futuro Apple Store contará con 1.300 metros cuadrados en una sola planta y estará ubicado entre el local de Zara y el de Desigual. La tienda catalana será similar a las instaladas en ciudades como Nueva York, Londres o Tokyo, y dispondrá de todos los productos Apple ademas de brindar atención al cliente, servicios técnicos, cursos y formación.

El Blog ya está en FACEBOOK

2010-08-19T03:53:00.000-07:00

Tal y como comenté hace ya algún tiempo, tenía la intención de generar un perfil del Blog en Facebook, que apesar de que es una red social que no es santo de mi devoción en lo personal, hay que reconocer que tiene un efecto viral impresionante y por ello creo que es más que recomendable tener un perfil del blog o de la empresa, tienda, servicio etc. en esta red, en la que podemos combinar lo bueno de una red social con lo bueno de un blog.

De momento tengo el perfil bastante pelado, pero con el tiempo lo iré mejorando... :)

Introducción a la "LAECSP"

2010-08-19T00:39:00.001-07:00

Hace ya algún tiempo que esta normativa se encuentra entre nosotros y dado que he tenido acceso a ella en numerosas ocasiones y dado que se me han planteado numerosas cuestiones, he considerado oportuno compartirlas en el blog con el propósito de ayudar al que se encuentre en aquellas situaciones en las que me encontraba yo hace poco tiempo. Lógicamente cuando hablamos de la "LAESCP" nos estamos refiriendo a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Esta normativa, tiene como objetivo, reconocer el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos y regular los aspectos básicos de la utilización de las tecnologías de la información en la actividad administrativa, en las relaciones entre las Administraciones Públicas, así como en las relaciones de los ciudadanos con las mismas con la finalidad de garantizar sus derechos, un tratamiento común ante ellas y la validez y eficacia de la actividad administrativa en condiciones de seguridad jurídica. Para ello, Administraciones Públicas utilizarán las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

Dicho esto, dentro de sus criterios de aplicación, hay que tener en cuenta los diferentes conceptos con los que las Administraciones Públicas deben cumplir en el mundo electrónico y de Internet, tales como Sede Electrónica, Gestor de formularios, Registro electrónico, Pasarela de pagos, Gestor de expedientes, Notificación electrónica, Identificación electrónica, Archivo electrónico e Interoperabilidad. En concreto, en materia de certificados digitales cabe destacar que en general aunque la norma establece a modo general, que las firmas digitales avanzadas serán los certificados digitales a utilizar por parte de las Administraciones Publicas, una primera cuestión que se nos plantea es si estas deben llevan "Time Stamp" o no, ya que no todas las firmas avanzadas no necesariamente llevan con sigo dicho sello de fecha y hora, pero en el artículo 26.1 (Cómputo de plazos) de la LAECSP se establece:

Los registros electrónicos se regirán a efectos de cómputo de los plazos imputables tanto a los interesados como a las Administraciones Públicas por la fecha y hora oficial de la sede electrónica de acceso, que deberá contar con las medidas de seguridad necesarias para garantizar su integridad y figurar visible.

Conclusión, es mejor utilizar siempre “Timestamping”, a pesar de que técnicamente requiere más esfuerzo, ya que en la actualidad todavía no hay resoluciones que establezcan cuando se debe utilizar “TimeStamp” y cuando no. Más adelante continuaremos analizando diversas materias contenidas en esta normativa. hay resoluciones que establezcan cuando se debe utilizar “TimeStamp” y cuando no. Más adelante continuaremos analizando diversas materias contenidas en esta normativa

Más información: http://www.cenatic.es/laecsp/

Ley de Transparencia

2010-08-16T23:48:00.000-07:00

Una nueva Ley está en proyecto de creación, tendrá como objeto reforzar la transparencia de las Administraciones Públicas Españolas incluyendo entre ellas no solo la Estatal, las Autonómicas y Locales, sino también todos aquellos organismos que desarrollen actividades de carácter público tales como colegios profesionales, mancomunidades de servicios y/o Universidades.

Está Ley tratará de reforzar el derecho de los ciudadanos a conocer la información de carácter público, tratando así de evitar y de establecer un mayor control a los poderes públicos con el fin de evitar casos de corrupción de personalidades con cargos públicos en las diversas entidades públicas. Los plazos para responder a las peticiones de los ciudadanos serán en principio de treinta días, aunque en algunos supuestos serán prorrogables a otros treinta días más y en principio en los supuestos en los que no se atienda o se deniegue injustificadamente el acceso a la información por parte de la Administración Pública correspondiente, se podrá acudir entonces a la vía contencioso administrativa para reclamar el acceso a la información, no obstante, para evitar los plazos y costes de la misma, se podrá acudir ante la Agencia Española de Protección de Datos, la cual pasará a denominarse "Agencia Española de Protección de Datos y Acceso a la Información".

Todo esto como no, desata numerosas cuestiones, tales como: ¿Tendrán las otras Agencia de Protección de Datos tales como la de Madrid, la Vasca o la catalana, competencias en esta materia? ¿Se verá afectada la normativa en materia de protección de datos por esta nueva norma? Lo que es seguro es que se trata de un proyecto de Ley y que en general en mi opinión, tendrá por parte de los ciudadanos una buena aceptación dados los cuantiosos supuestos de corrupción que han asolado numerosas Administraciones Públicas de este país.

Tal y como recoge el periódico el País en su noticia "Una ley regulará el 'derecho a saber' de los ciudadanos ante la Administración" será además la AEPD la que:

En un máximo de dos meses, y tras recabar las alegaciones de las partes, el director de la agencia -actualmente, Artemi Rallo, catedrático de Derecho Constitucional- dictará una resolución. El Gobierno ha querido curarse en salud, y en este trámite no se aplica el silencio positivo, sino el negativo. Además, sus resoluciones solo afectarán a la Administración central, no a la autonómica o a la local.

Esta última, en virtud de una modificación de la Ley de Régimen Local, deberá entregar a los ciudadanos que lo pidan "copias y certificaciones de los acuerdos de las corporaciones locales y sus antecedentes" y permitirles consultar sus archivos y registros.

Las administraciones no se limitarán a contestar las demandas de información, sino que deben adelantarse a difundirla. "Los poderes públicos facilitarán la información cuya divulgación resulte de mayor relevancia para garantizar la transparencia de su actividad", dice el texto. Y en la era de Internet lo harán "preferentemente por medios electrónicos".

Para más información:

http://www.elpais.com/articulo/espana/ley/regulara/derecho/saber/ciudadanos/Administracion/elpepuesp/20100816elpepinac_1/Tes

"SPAM"

2010-08-16T00:19:00.000-07:00

Dado que creo que es un tema que afecta a casi todo el mundo, he decidido publicar una entrada en la que aporto tipos de comunicaciones que creo pueden resultar útiles para alejar a las empresas que sin nuestro consentimiento previo, se dedican a "Spamearnos" por diferentes medios tales como el e-mail, el teléfono ya sea por medio del teléfono fijo o móvil e incluso por medio del fax, también denominado este último como "Spam-fax". Pues bien como comentaba a continuación expongo el texto que deberemos remitir a la empresa o compañia que nos esté "Spameando" teniendo en cuenta el medio que estén utilizando en cada caso.

"ANTI SPAM CORREO ELECTRÓNICO"

Les agradecería que dejasen de enviarme publicidad vía correo electrónico. Mi correo electrónico esxxxxxxxx@hotmail.com

De lo contrario me veré obligado a presentar una denuncia ante la Agencia Española de Protección de Datos contra su empresa, por el incumplimiento del Artículo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y del comercio Electrónico, así como lo establecido en el Artículo 38.1 h de la Ley32/2003, de 3 de noviembre, General de Telecomunicaciones. Reservándome el derecho a utilizar como documentación probatoria, los correos electrónicos publicitarios recibidos desde su empresa.

"ANTI SMS/MMS-SPAM"

Les agradecería que dejasen de enviarme publicidad vía SMS/ MMS. Mi número es 6xx xxx xxx

"ANTI SPAM-FAX"

Les agradecería que dejasen de enviarm publicidad vía FAX. Mi número es 943 xxx xxx

Por otro lado, Hace poco leí en un Post de Samuel Parra ya.com, France Telecom, y las llamadas comerciales, K.O., en el que indicaba los pasos y el largo camino que tuvo que recorrer para que dejarán de llamarle por teléfono con la intención de ofrecerle servicios de Internet, no obstante cabe destacar, que es posible conseguir que nos dejen de llamar a casa, aunque para ello haga falta una media de dos años de alegaciones escritos y solicitudes tal y como comenta Samuel Parra en su blog:

Sólo se ha necesitado 2 años para conseguir por la vía legal que ya.com (France Telecom) deje de llamar a mi domicilio para ofertarme sus productos, bajo la presión de que la siguiente llamada que reciba podrá suponer directamente una multa de hasta 300000 euros.

Nota de interés: En la red he encontrado esta entrada en tu experto.com la cual me ha parecido muy interesante: http://www.tuexperto.com/2008/11/24/como-evitar-recibir-llamadas-comerciales-en-el-telefono-fijo-o-movil/

17 de Mayo, día de Internet

2010-05-17T14:42:00.000-07:00

¿Qué es Internet y para qué sirve? En sentido estricto según Wikipedia, Internet es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. Ya que hoy es el día de Internet, día que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad, no está demás preguntarse ¿Para qué sirve Internet? ¿Cual es su objetivo o finalidad? En mi opinión, Internet o la red sirve y debe servir cada vez más, para hacer llegar entre otras cosas la cultura a cuantas personas se pueda, para comunicarse, para buscar contenidos y auto-informarse de una manera más libre y objetiva, en definitiva para poder relacionarnos, educarnos, formarnos y expresarnos libremente. Por todo ello, hay que celebrar el día de Internet. Porque celebramos que Internet es libre que la información fluye y que los contenidos a día de hoy no los controlan ni los tarifican las grandes compañías de telecomunicaciones y para que esto siga siendo así no hay que olvidar principios tan básicos como la neutralidad de la red, por el que la red o Internet, debe continuar libre de restricciones en cuanto a los modos de comunicación permitidos, o por contenidos y que la comunicación no esté irrazonablemente degradada por otras comunicaciones e intermediarios. En definitiva, que la red siga siendo un marco en el que las personas puedan expresarse y relacionarse de manera diversa y libre sin sufrir la presión y las restricciones que algunos lobbies como las grandes compañías de telecomunicaciones quieren llevar a cabo.

Feliz día de Internet a tod@s.

"La LOPD y los derechos y obligaciones de los trabajadores"

2010-05-14T00:51:00.000-07:00

Quiero hacer hincapié en una de las cuestiones más controvertidas y polémicas que me suelo encontrar cuando realizo auditorías en materia de protección de datos de carácter personal. La de hoy, no es otra que la que se refiere a los derechos de los empleados o trabajadores y el derecho de las empresas a controlar el buen uso y optimización de sus recursos tecnológicos como son los Sistemas de Gestión de la Información corporativos, tales como el correo electrónico de empresa, los equipos informáticos y software de la empresa, el acceso y buen uso de Internet etc. Por eso recomiendo la lectura detallada de la siguiente guía que publicó hace ya algún tiempo la AEPD (Agencia Española de Protección de Datos) en su página Web www.agpd.es. La Protección de datos en las relaciones laborales, es una guía muy completa y esclarecedora sobre que puede hacer y que no puede hacer una empresa a la hora de controlar la correcta y eficiente gestión de sus sistemas de información como son los controles biométricos, la huella digital, la videovigilancia, los controles sobre el ordenador, las revisiones y/o el análisis o la monitorización remota, la indexación de la navegación por Internet, la revisión y monitorización del correo electrónico y/o del uso de ordenadores, controles sobre la ubicación física del trabajador mediante geolocalización etc. con todo este tipo de controles, las posibilidades de repercusión en los derechos del trabajador se multiplican.

En las páginas 27 y 28 de la citada guía, se establece que para el desarrollo de la función empresarial y en concreto, a la hora de decidir adoptar una medida de control que comporte un tratamiento de datos personales debe aplicarse el principio de proporcionalidad. Asimismo, debe cumplirse con el deber de información a los trabajadores, este deber resulta particularmente relevante cuando se trate de controles sobre el uso de Internet y/o del correo electrónico. En este caso es muy recomendable que la información a los trabajadores sea clara en lo que respecta a la política de la empresa en cuanto a utilización del correo electrónico e Internet, describiendo de forma pormenorizada en qué medida los trabajadores pueden utilizar los sistemas de comunicación de la empresa con fines privados o personales. Ej. Puede ser perfectamente razonable dotar de un dispositivo de geolocalización en tareas como el transporte de mercancías para las que resulte relevante conocer donde se encuentra el vehículo y en qué momento podrá realizar una determinada entrega. Ello no puede suponer que se facilite un dispositivo de esta naturaleza a todos los trabajadores de la empresa cuando su tipo de prestación no lo haga necesario, por lo que deberá existir una finalidad que, en este caso, no puede ser otra que la establecida por el Art. 20.3 ET de «verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales».

Es necesario recordar lo que ya se dijo sobre la existencia de un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores. Esa tolerancia crea una expectativa también general de confidencialidad en esos usos; expectativa que no puede ser desconocida, aunque tampoco convertirse en un impedimento permanente del control empresarial, porque, aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso y al margen de los controles previstos para esa utilización y para garantizar la permanencia del servicio. Por ello, lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos, así como de las medidas que han de adoptarse en su caso para garantizar la efectiva utilización laboral del medio cuando sea preciso, sin perjuicio de la posible aplicación de otras medidas de carácter preventivo, como la exclusión de determinadas conexiones. De esta manera, si el medio se utiliza para usos privados en contra de estas prohibiciones y con conocimiento de los controles y medidas aplicables, no podrá entenderse que, al realizarse el control, se ha vulnerado "una expectativa razonable de intimidad" en los términos que establecen las sentencias del Tribunal Europeo de Derechos Humanos de 25 de junio de 1997 (caso Halford) y 3 de abril de 2007 (caso Copland) para valorar la existencia de una lesión del artículo 8 del Convenio Europeo par la protección de los derechos humanos. (Sentencia de la Sala de lo Social del Tribunal Supremo de 26 de septiembre de 2007).

Nuevo Máster en redes sociales de la Universidad de Deusto (Bilbao)

2010-05-12T00:17:00.000-07:00

Ayer por medio de uno de los grupos de Linkedin al que pertenezco me enteré de que La Universidad de Deusto, ha preparado un máster especializado en Redes Sociales, el máster dispone de varias áreas, en las que se analizan muchísimas materias tales como seguridad, ámbito jurídico, ámbito mercantil y de publicidad, reputación, las diferentes herramientas disponibles en las redes sociales, consultoría en redes sociales y muchísimas cuestiones más, para ver la programación completa, http://www.masterenredessociales.deusto.es/programa/.

El máster cuesta unos 12.500€ y cuenta con un total de 60 créditos ECTS, por lo que he podido saber en principio, se impartirá en Bilbao de modo presencial, aunque no sé si habrá posibilidad de realizarlo vía on-line.

En definitiva, es un máster de lo más interesante, aunque habrá que ver si tiene buena acogida en esta época de crisis.

Actualización: Sí que existe el modo de formación no presencial u on-line, tal y como lo explican en http://www.masterenredessociales.deusto.es/programa/.

"Yo tampoco estoy en Facebook"

2010-05-07T00:05:00.000-07:00

He decidido hacer esta entrada porque la verdad es que me ha sorprendido leer en el "New York Times" en su sección de tecnología, la siguiente noticia:

"Facebook Glitch Brings New Privacy Worries": On Wednesday, users discovered a glitch that gave them access to supposedly private information in the accounts of their Facebook friends, like chat conversations ...Not long before, Facebook had introduced changes that essentially forced users to choose between making information about their interests available to anyone or removing it altogether ...Although Facebook quickly moved to close the security hole on Wednesday, the breach heightened a feeling among many users that it was becoming hard to trust the service to protect their personal information...

Recomiendo leer todo el artículo ya que me ha parecido muy interesante y tal vez así nos demos cuenta de los riesgos reales de Facebook, la noticia entera la podéis consultar en www.nytimes.com

Casualidades de la vida, hace dos semanas yo también me di de baja en Facebook, ya que al igual que Jeffrey P. Ament (contratista del Gobierno de Estados Unidos, citado en el artículo del NYT) no me fío de la política en materia de protección de datos que lleva acabo Facebook, yo, que me dedico entre otras cosas a la protección de datos, estaba harto de ver como constantemente se vulnera el derecho a la intimidad de las personas y en el caso de Facebook esta vulneración para mi es clara. Si leemos y estudiamos su política de privacidad, sabemos más o menos a que atenernos, pero si dicha política de privacidad cambia cada dos por tres, ya no puede existir al menos en mi caso, confianza alguna en dicha red social. Por eso me ha llamado la atención esta noticia, porque destaca entre otras cosas, como se podía acceder a la información del chat de nuestros contactos algo que seguramente la mayoría de los usuarios desconocen o desconocían, por ese tipo de cuestiones yo decidí que no quería formar parte de Facebook.

No obstante, he de decir que para realzar negocios o mejorar las ventas, como por ejemplo a la hora de lanzar un producto o servicio al mercado creo que es una herramienta muy útil, más si cabe si se combina adecuadamente con otras herramientas como youtube, twiter u otras redes sociales, ya que se podría generar un valor añadido a nuestra empresa además de darle una mayor notoriedad en el mercado por medios de campañas de publicidad, lo cual seguramente se traduciría en un aumento de las ventas y por consiguiente de los ingresos de la compañía. Pero si Facebook lo usamos como red social en sentido estricto, es decir para relacionarnos con amigos ya sean estos viejos amigos o conocidos que no vemos en mucho tiempo o amigos íntimos, creo que en ese caso es una herramienta cuando menos peligrosa, ya que no considero Facebook como un canal seguro para ese tipo de relaciones, por eso entre otras cosas, yo he elegido no estar en facebook.

Actualización/ nota de interés 1:

http://profesores.ie.edu/enrique_dans/download/facebookprivacy-cincodias.pdf.

Actualización/ nota de interés 2:

http://www.blogoff.es/2009/10/28/10-situaciones-que-quieres-evitar-en-facebook-y-como-hacerlo/ (en Castellano) / http://laptoplogic.com/resources/10-things-not-to-do-on-facebook (en Inglés).

Actualización/ nota de interés 3:

http://www.enriquedans.com/2010/05/hablando-sobre-facebook-y-privacidad-en-cinco-dias.html

Actualización/ nota de interés 4: http://www.nytimes.com/2010/05/13/technology/personaltech/13basics.html?ref=technology

Actualización/ nota de interés 5: http://www.genbeta.com/redes-sociales/myspace-mejorara-su-configuracion-de-privacidad

¿Redes sociales o escaparates de la privacidad?

2010-02-23T08:52:00.001-08:00

Hace unos días, estuve leyendo en distintos medios y discutiendo en grupos profesionales del sector de la privacidad sobre Google Buzz, el nuevo producto/ servicio de Google que fue lanzado al mercado el pasado dos de febrero. Google entraba otra vez en el mundo de las redes sociales (pues ya lo hizo anteriormente en 2004 cuando lanzó la red social Orkut), con el objetivo esta vez de desarrollar una nueva red social, para dar lugar a que los usuarios de Gmail así como de otros productos Google puedan ordenar y compartir su información de manera más eficiente y en tiempo real. Hasta aquí todo parece ser positivo, sin embargo e aquí parte del problema así como el motivo por el cual la empresa ha recibido cuantiosas críticas, y es que cuando un usuario se da de alta en el servicio, por defecto la aplicación, toma de los contactos del usuario los 40 con quienes tiene más trato a través de correo y Chat y los añade entre sus seguidores de Google Buzz. Esto podría estar bien si no llega a ser porque tal vez el usuario no quiera que nadie se entere de que personas le siguen y a cuales sigue, sobre todo si pensamos en países donde la libertad se encuentra restringida y donde no conviene que a una persona le relacionen con determinadas personas o tendencias políticas, lo mismo sucede en el caso de amantes o de relaciones privadas que no son de carácter público como son las que pueden vincular a los usuarios con miembros de empresas de la competencia, periodistas y sus fuentes, doctores y pacientes etcétera, hacer esas listas públicas puede crear serios problemas

En mi humilde opinión, Google no parece haberlo hecho de mala fe ni conscientemente ni por encima de cierta ética para obtener una mayor aceptación del producto en cuestión o una mayor rentabilidad del mismo, creo que ha sido un despiste en el afán de proporcionar un servicio más eficaz y cómodo para el usuario. No obstante debería cuidar más el tema de la privacidad de sus productos, pues es un tema por el que ya ha recibido críticas y por el que sus propios competidores como Facebook ya las han recibido anteriormente también. Además cabe destacar que la privacidad y/o la protección de datos, es un tema a tener muy en cuenta en el mercado Europeo de cara a cumplir con la legalidad vigente y con la voluntad de los usuarios de mantener si así lo desean la privacidad de cuales son sus contactos.

Por último, creo que aunque las ventajas del servicio son cuantiosas, también hay que tener en cuenta los contras que la misma acarrea. Destacar también, que tal y como sucede con otras redes sociales de cara a mantener los criterios de privacidad resulta altamente recomendable informarse antes de los derechos que nos asisten como usuarios de las mismas así como de los consejos y manuales que desde las Agencias de protección de datos se facilitan al los usuarios (AVPD, AEPD).

Antes de acabar este post, he comprobado que desde el blog de Gmail, ya hubo respuesta por parte de Todd Jackson a la oleada de quejas de muchísimos usuarios descontentos, en ella explicaba que la intención originaria era la difusión de Buzz de forma "rápida y fácil, para que los usuarios no tuvieran que crear una red social desde cero ". A pesar de ello, tal y como publicaba "El País" hace una semana: "El Centro de información sobre privacidad electrónica (EPIC) de Estados Unidos ha interpuesto una denuncia ante la comisión federal de comercio (FTC) argumentando que Buzz viola la ley federal de protección del usuario. La denuncia de EPIC insta a la FTC a reclamar a Google que Buzz sea un servicio completamente independiente y deje de utilizar la lista de contactos privada de Gmail para recopilar listas y crear la red social además de dar al usuario un "control significativo" sobre sus datos personales. "Esto es una golpe significativo a las expectativas de privacidad que tienen los usuarios. A Google no le debería estar permitido aprovechar la información personal de los usuarios para crear una red social que ellos no han pedido", declaró el director ejecutivo de EPIC, Marc Rotenberg".

Esperemos que de esta desagradable situación el equipo de Google saque las conclusiones adecuadas para que no vuelvan a suceder este tipo de cosas, ya que las redes sociales pueden estar muy bien, pero nunca deben ser escaparates de la privacidad.

Día Europeo de la Protección de Datos Personales

2010-01-28T00:21:00.001-08:00

Hoy 28 de enero de 2010, después de tres años desde que en el año 2007 se celebrará por primera vez el día Europeo de la protección de datos, se celebra hoy la cuarta edición del mismo, en general, podemos decir que existe mayor concienciación en la ciudadanía respecto al uso responsable de los datos personales, no obstante continúan utilizándose de forma poco recomendable algunas herramientas como son aquellas que ofrecen desde hace algún tiempo las redes sociales. En ellas las personas más vulnerables y las personas más desprotegidas, son los niñ@s y adolescentes, dado que muchos de ellos desconocen los riesgos que las mismas contienen.

Por todo ello es fundamental la educación en materia de protección de datos que se debe prestar a los menores y a los padres sobre el uso de Internet y en concreto sobre el uso de las redes sociales, redes P2P etc., estableciendo medidas de contención como son las que han desarrollado desde la Diputación de Gipuzkoa www.gipuzkoa.net "Internet Segura", con una herramienta que realiza una auditoría sobre el estado de la seguridad de nuestro PC y que además incorpora sub-herramientas como filtro de contenidos, para evitar el acceso a información no deseada en Internet. Asimismo existen otro tipo de manuales y de herramientas como son aquellos que se encuentran en la página Web de la Agencia Vasca de Protección de datos (AVPD). Entre ellas cabe destacar una serie de capítulos de dibujos animados, como son: las Aventuras de Reda y Neto: en los que se muestra a los más pequeños los riesgos de Internet y la precaución que se debe tener con los datos personales. Asimismo para niños y adolescentes de otras edades, existen también manuales o guías con diversos supuestos de la vida diaria en los que se cometen irresponsabilidades en la cesión de datos de carácter personal, como el Manual de uso de Tecnologías para jóvenes de entre 9 a 11, 12 a 14 y por último el de 15 a 17 años.

Desde la Agencia Española de Protección de Datos (AEPD) existen también diversas iniciativas como es la del manual "Recomendaciones menores 2008", todas estas herramientas y más están a disposición del ciudadano, de los padres, profesores, alumnos... por lo que por medio de este post he creído conveniente en un día como el de hoy darlos a conocer y difundirlos en la medida de lo posible.

Por último destacar la nueva aplicación de auto-evaluación que ha puesto a disposición de los ciudadanos la Agencia Española de Protección de Datos (AEPD). Después de probarla un poco ayer, he de decir que me pareció cuanto menos interesante, aunque hay que dedicarle entre 30 y 45 minutos, creo que sin duda esta nueva herramienta dará para al menos otro post.

"Datos Personales y Cloud Computing"

2010-01-27T04:00:00.000-08:00

El presente “Post” surge entorno a la Política de Privacidad de los servicios ofrecidos por Google Apps en cuanto a su adecuación al Derecho Nacional y Europeo en materia de protección de datos y de telecomunicaciones. Hace más de un año, se publicó el informe realizado por la consultoría “Forrester”, “Should Your Email Live In The Cloud? A Comparative Cost Analysis” en el que se declaraban las virtudes y ahorros de los servicios de la compañía Google en el ámbito de las aplicaciones utilizadas por parte de las empresas, como son los sistemas de telecomunicaciones, mensajería etc. Este primer informe, fue objeto de análisis por parte del bufete de abogados “Almeida.com”, en concreto por parte de Javier Maestre, en el artículo “El cuento de la Lechera 2.0”, publicado por el mundo, en el se cual cuestionaba la legalidad en materia de telecomunicaciones, así como en materia de privacidad y de protección de datos sobre los servicios ofrecidos por Google Apps. Lo cual suscitó la inmediata respuesta por parte del director de Google Enterprise España y Portugal, Carlos Gracia Armendáriz con el artículo “Esto no es un cuento 2.0”, también publicado por el Mundo.

Por todo ello y por la ardua polémica que se generó entorno a la Política de Privacidad de los servicios de Google Apps, voy a proceder a analizar la situación actual entorno a la Política de Privacidad del servicio de mensajería de Google (Gmail), así como el planteamiento de posibles soluciones a las cuestiones o interrogantes que pudieran surgir.

En este caso, si atendemos a las obligaciones que establece la LGT, deberemos tener en cuenta que en el presente supuesto si una empresa decide instalar y utilizar Gmail como servicio de correo electrónico interno o para sus colaboradores y/o personas o terceros vinculados con la comercialización o desarrollo de los servicios de la empresa lo utilicen, no se considerará a Gmail ni a la empresa contratante del servicio como un operador de telecomunicaciones, ya que el servicio no se difunde con el fin de prestar servicios de telecomunicaciones sino que se utiliza como una herramienta tecnológica más de la empresa. No obstante, en caso de una interpretación más estricta y sí que resultase de aplicación el Artículo 6.2 de la LGT (“Requisitos exigibles para la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas. 2. Los interesados en la explotación de una determinada red o en la prestación de un determinado servicio de comunicaciones electrónicas deberán, con anterioridad al inicio de la actividad, notificarlo fehacientemente a la Comisión del Mercado de las Telecomunicaciones (CMT) en los términos que se determinen mediante real decreto, sometiéndose a las condiciones previstas para el ejercicio de la actividad que pretendan realizar. Quedan exentos de esta obligación quienes exploten redes y se presten servicios de comunicaciones electrónicas en régimen de autoprestación”.

Asimismo la LGT recoge entre sus preceptos los siguientes obligaciones:
“deben inscribirse en el Registro de Operadores de Redes y Servicios de Comunicaciones Electrónicas, gestionado por la CMT, las empresas que presten alguno de los siguientes servicios”:
• Servicio de acceso a la red de Internet.
• Servicio de correo electrónico (actual supuesto).
• Servicio de acceso a bases de datos.
• Servicio de noticias.
En ese caso, tanto Google como la empresa contratante del servicio, deberían registrarse en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico de la CMT. En caso de no cumplir los preceptos descritos anteriormente y si aplicásemos de forma estricta los preceptos legales establecidos en el Artículo 6.2 de la LGT, tanto Google como la empresa contratante del servicio de correo electrónico (Gmail) podrían ser sancionadas por “conductas que están tipificadas como infracciones muy graves”, dichas infracciones se recogen en el Artículo 53 a) y t), el importe por este tipo de infracción se recoge a su vez en el Artículo 56.1 (Sanciones) en su apartado1 b). El importe de la sanción se determinará en cada caso concreto, y estará ligada al beneficio bruto obtenido, siendo el importe no inferior a esta cifra, ni superior al quíntuplo de ella. Según la ley, el máximo aplicable es de dos millones de euros al ser una infracción considerada como muy grave por la LGT. Contra esta resolución cabe la apelación y justificación de la documentación remitida para la revisión del caso por parte de la CMT. Y si no hubiera acuerdo, los denunciados podrían acudir a la Audiencia Provincial. No obstante este sería el peor de los casos y hay que tener en cuenta que sólo se puede interpretar de esta manera si la empresa contratante diese una dirección de correo electrónico a terceros no pertenecientes a la misma, por lo que bastaría con no dar este tipo de correo a terceros para evitar la sanción. Además de todo expuesto anteriormente, la CMT diferencia entre la figura de Revendedor y distribuidor del servicio de mensajería electrónica, la diferencia radica en que el primero obtiene beneficio directo (lucro directo) por la prestación del servicio y el segundo en principio no.

No obstante, lo más adecuado sería que Google en su política de privacidad o en los contratos a suscribir con nuevos clientes para la contratación de sus servicios de Google Apps o en concreto en este caso el de mensajería electrónica (Gmail), la inclusión de una cláusula en la que se prohíba expresamente a la empresa contratante la posibilidad de otorgar cuentas de correo electrónico (de “Gmail”) a terceros no integrantes de la misma, o en su caso si así lo hiciese estableciendo expresamente que ello se hace bajo su responsabilidad. Asimismo resultaría altamente recomendable que Google controlase en la medida de los posible el cumplimiento de la citada cláusula. En definitiva, habrá que evitar generar cuentas de correo a clientes, colaboradores así como otro tipo de terceros ajenos al personal estrictamente integrante de la plantilla de la empresa contratante del servicio, ya que de no optar por esta vía, se deberán cumplir los requisitos previstos en la LGT en su Artículo 6, dado que estaremos actuando como prestadores de servicios de telecomunicaciones y al no encontrarnos registrados en el “Registro de operadores de redes y servicios de comunicaciones electrónicas” para servicios de correo electrónico, podremos ser objeto de la citada sanción por parte de la CMT. Si bien cabe aclarar que la CMT no actúa de oficio, no obstante existen resoluciones de la CMT en las que se han impuesto sanciones por infracciones similares a las descritas anteriormente, por lo que resultan recomendables las medidas a tomar anteriormente establecidas. Un ejemplo de sanción establecida por el incumplimiento del Artículo

Por último destacar que el registro como operador de telecomunicaciones es un procedimiento gratuito. Sin embargo, si se realiza una explotación económica del servicio estas empresas estarán obligadas a pagar unas tasas anuales que suponen el 1,25 por 1.000 de los ingresos brutos de explotación. Es decir, si la facturación no es elevada, la tasa aplicable resultará mínima.

Protección de Datos/ Política de Privacidad:

En cuanto a la protección de datos se refiere, deberemos tener en cuenta los preceptos legales establecidos por la LOPD, el RDLOPD que la desarrolla así como la Decisión de la Comisión 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU., 2000/540/CE.
En el caso de Google al tratarse de una empresa que dispone de servidores en diferentes Estados por todo el mundo, habrá que tener en cuenta donde se encuentran ubicados dichos servidores, es decir si hablamos de estados miembros, será de aplicación la Directiva 95/46/CE, pero en el caso de que los servidores se encuentren ubicados en Estados que no pertenezcan al espacio de la Comunidad Europea, se deberá observar si disponen de algún tipo de acuerdo o convenio en el que se establezcan las medidas de seguridad oportunas y en caso de no ser así se deberá solicitar autorización expresa para la cesión internacional de los datos personales al Director de la Agencia Española de Protección de Datos.
En el caso que nos ocupa se plantean como ejemplo para la recepción de los datos cedidos por la empresa contratante Española a dos países, Irlanda el cual es miembro de la Unión Europea, por lo que será de aplicación la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Y EE.UU., en este caso es diferente ya que al tratarse de un Estado no miembro, le será de aplicación la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Por lo que para garantizar la efectividad de la decisión, el Departamento de Comercio de Estados Unidos de América, o su representante, debe mantener a disposición del público una lista de entidades que auto certifiquen su adhesión a los principios y a su aplicación y quedar sujetas a la jurisdicción de la “Federal Trade Comission” (FTC Comisión Federal de Comercio), con arreglo a la competencia que le confiere el Artículo 5 de la Ley de la Comisión Federal de Comercio, o del Departamento de Transporte de Estados Unidos, con arreglo a la competencia que le confiere el Artículo 41.712 del Título 49 de la United States Code, los cuales estarán facultados para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares que estén sujetos a esta jurisdicción, independientemente de su país de residencia o de su nacionalidad.
Se considerará así, a tenor de los requisitos exigidos en la Directiva 95/46/CE, que los principios de puerto seguro garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad Europea a entidades establecidas en Estados Unidos, siempre que la entidad receptora de los datos (en este caso Google) haya manifestado al Departamento de Comercio de Estados Unidos o a su representante, de forma inequívoca y pública, su compromiso de cumplir estos principios de puerto seguro y se sujete a la jurisdicción a la que nos hemos referido.
Cabe destacar que la adhesión a los requisitos de puerto seguro, es voluntaria, actualmente tanto para registrarse como para acceder a la lista pública de las entidades suscritas a los requisitos de puerto seguro, se puede realizar accediendo a la Web del Departamento de Comercio de EE.UU.:
http://www.export.gov/safeharbor/Safe_Harbor_Instructions.asp (en esta Web podemos observar la legislación y jurisdicciones que son aplicables al Puerto Seguro así como el contenido del mismo). En la siguiente dirección podemos acceder al listado de entidades suscritas a los requisitos establecidos por el Departamento de Comercio de Estados Unidos en cuanto al Puerto Seguro se refiere:
http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list.
Actualmente Google se encuentra inscrita en el registro de la Página Web (http://www.export.gov/safeharbor) en concreto en la “Safe Harbour List” o Lista de Puerto Seguro, en la siguiente dirección que se detalla a continuación:

http://web.ita.doc.gov/safeharbor/SHList.nsf/f6cff20f4d3b8a3185256966006f7cde/9d486b16464df0648525709b006df57c?OpenDocument&Highlight=2,GOOGLE (El cual da acceso a la siguiente información):

De la información que muestra este registro se desprende que Google voluntariamente se ha suscrito al documento de Puerto Seguro en el que se detallan los principios y obligaciones generales adoptados por la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio con arreglo a la Directiva 95/46/CE (en particular el Artículo 25 apartados 2 y 6 así como el artículo 26 apartado 3) del Parlamento Europeo y del Consejo, sobre la Protección conferida por los principios de Puerto Seguro para la Protección de la Vida Privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de EE.UU. Tal y como se plasma en el apartado dieciséis del registro del Departamento de Comercio sobre Puerto Seguro:

“Do you agree to cooperate and comply with the European Data Protection Authorities? Yes”

Puerto Seguro es una Decisión de adecuación de carácter sectorial a la que pueden acogerse, exclusivamente, compañías establecidas en los EE.UU., por lo que no se puede extender su aplicación, como en algún momento se ha pretendido (e incluso se sigue pretendiendo) a compañías filiales de empresas americanas establecidas fuera de este país.

No obstante, es importante recalcar que además de los requisitos, deberes y obligaciones establecidos en la documentación de puerto seguro que ha suscrito Google, por el cual se adquiere también el compromiso de cumplir las obligaciones y deberes recogidos en la Decisión 2000/540/CE de la Comisión Europea del 2000 de 26 de julio. También habrá que tener en cuenta que la Comisión ha establecido que todas las decisiones (incluida la Decisión 2000/540/CE sobre la cesión de estados miembros a EE.UU.) de adecuación respecto de terceros países aprobadas hasta la fecha por la Comisión tienen un serie de elementos comunes. En primer lugar, las decisiones establecen, taxativamente, que la aplicación de las mismas sólo afecta a las transferencias de datos personales al tercer país desde la UE y, en ningún caso, al resto de condiciones y obligaciones establecidas en el Derecho nacional de cada Estado miembro. En el supuesto que nos ocupa, esto quiere decir que además de las obligaciones recogidas en los requisitos de Puerto Seguro a los que se ha suscrito Google, también deberá cumplir con la normativa Española en materia de protección de datos.

Además, sin perjuicio de las competencias que les asignen las Leyes nacionales, se otorga a las Autoridades de Control de los Estados miembros la posibilidad de bloquear una transferencia determinada cuando la autoridad de supervisión del país tercero ha resuelto que la entidad ha vulnerado las condiciones de la Decisión o si existen grandes probabilidades de que se estén vulnerando las normas de protección de datos y la autoridad de supervisión del país tercero no ha tomado ni tomará las medidas necesarias para resolver el caso, la continuación de la transferencia podría crear riesgo inminente de grave perjuicio a los afectados y, además, la autoridad de control del Estados miembro ha hecho esfuerzos razonables para notificárselo a la entidad y proporcionarle la oportunidad de alegar.

Una vez analizado el marco general de las transferencias internacionales de datos personales en la Directiva, pasaremos a ocuparnos del caso concreto de EE.UU. Para comenzar, debemos preguntarnos porqué existe un problema entre EE.UU. y la UE. El problema se deriva de la existencia de dos entendimientos distintos de lo que la privacidad es y significa y de los mecanismos que deben utilizarse para su salvaguardia.

Para la UE, la protección de datos personales es un derecho fundamental de los ciudadanos. Así lo reconocen explícitamente algunas constituciones de los Estados miembros (la española, entre ellas). Además, tanto la UE mediante diversas directivas como sus Estados miembros al transponer las mismas, han aprobado normas jurídicas de obligado cumplimiento y de carácter general en las que se establecen los principios y los derechos que los ciudadanos tienen respecto al tratamiento de sus datos personales. Finalmente, en todos los Estados miembros existen autoridades de control independientes encargadas de la supervisión del cumplimiento de la legislación en esta materia.

Por su parte, en EE.UU. la protección de datos se considera un elemento disponible por parte de los ciudadanos, regulado parcialmente en una multitud de normas específicas y sectoriales8 sin conexión entre ellas, poniéndose casi todo el énfasis en la autorregulación y sin que exista una autoridad o autoridades de control encargadas de garantizar eficazmente el cumplimiento de las reglas y la aplicación de unos estándares universalmente aceptados. Por ello, esta situación hacía inviable la posibilidad de una declaración de adecuación de los EE.UU. por parte de la Comisión Europea.

El sistema de adhesión por parte de las empresas de manera voluntaria a los requisitos de Puerto Seguro, se fundamenta, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, es un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro.

Al resultar de aplicación la normativa española además del Puerto seguro, habrá que tener en cuenta el ámbito de aplicación en cuanto a la legislación Española en materia de protección de datos queda clarificado por el Artículo 2 de la LOPD Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:
a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

En relación a este último documento legal , ciñéndonos al caso español, si se desea transferir datos a un país tercero con la finalidad de que en el mismo se produzca un tratamiento por encargo del responsable establecido en España, con independencia de los mecanismos que se utilicen para la legitimación de la transferencia (país de destino adecuado, garantías contractuales, etc.) deberán cumplirse las obligaciones que establece el Artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), respecto de la obligatoriedad de regular dicho tratamiento mediante un contrato que incluya una serie de requisitos imprescindibles.

De la misma manera, si la transferencia constituye una cesión o comunicación de datos, para poder realizarla deberá de estarse en presencia de alguno de los supuestos legitimadores presentes en el Artículo 11 de la LOPD.
Asimismo, además de los dos artículos citados, también se deberán tener en cuenta de cara a cumplir con las obligaciones previstas en la normativa española sobre protección de datos de carácter personal el Artículo 10 del RDLOPD, en el que se establecen los supuestos en los que se legitima el tratamiento o cesión de datos. También se deberá cumplir con los preceptos legales recogidos en el Artículo 21 RDLOPD en el caso de que Google subcontrate parte de su servicio a terceras empresas, como podría suceder si mantuviera la información en Irlanda y en EE.UU. ya que se produciría una subcontratación del servicio, por lo que se debería cumplir con lo establecido en el citado artículo. También será de aplicación el Artículo 22 para la conservación de los datos por parte del encargado del tratamiento (en este caso Google).
El Artículo 12 del RDLOPD (Principios generales), también resultará de aplicación indirectamente:
1. El responsable del tratamiento deberá obtener el consentimiento del interesado para el tratamiento de sus datos de carácter personal salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.
2. Cuando se solicite el consentimiento del afectado para la cesión de sus datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario, el consentimiento será nulo.
3. Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.
Por último cabe destacar que al igual que el Artículo 12 LOPD en cuanto a las obligaciones del encargado de tratamiento se refiere, también el responsable del fichero (empresa contratante) deberá velar y ser diligente a la hora de elegir al encargado de tratamiento, por ello deberá verificar que el encargado de tratamiento (en este caso Google), cumple con las medidas establecidas por el RDLOPD 1720/2007, en concreto en lo que a las medidas de seguridad establecidas en el Artículo 88 del RDLOPD se refiere. Este último artículo establece las siguientes medidas de las que la empresa contratante debería solicitar a Google por medio de verificaciones periódicas oportunas, para ello Google debería procedimentar los procesos de seguridad actuales en los que se cumplan con las medidas de seguridad técnicas establecidas en el Artículo 88 del RDLOPD (Documento de Seguridad), como son:
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios organizativos del responsable. En todo caso, tendrá el carácter de documento interno de la organización.

3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas.
8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Todas estas obligaciones, se podrán concretar de varias formas, como por ejemplo por medio de Códigos Tipos como los recogidos en la Página Web de la AEPD, en los que se establece de manera privada las obligaciones de las partes respecto a las obligaciones legales en materia de protección de datos de carácter personal sería lo más recomendable para subsanar todos los defectos que pudieran derivarse de una no adecuada adaptación de los preceptos legales de la normativa Española a las medidas que adopta Google actualmente, otra opción es la inclusión de las mismas en los contratos a suscribir por Google y sus clientes o la inclusión de las citadas medidas legales en la Política de Privacidad de Google.

Para que la empresa Google se adecue a la normativa Española y Europea por completo en materia de protección de datos de carácter personal, debería suscribir con sus clientes un contrato de Encargado de Tratamiento, en el que se establezcan sus obligaciones y responsabilidades.

Privacidad, confidencialidad y seguridad en la red

2009-05-01T04:31:00.000-07:00

Hoy voy a relacionar dos cuestiones que considero muy importantes en Internet. Por un lado la seguridad en Internet y por otro lado el tema de las políticas de privacidad de algunas macro compañías como Facebook.

Han sido moviditas estas dos últimas semanas para Facebook por la gestión que han llevado acabo respecto a su política de privacidad. Esto empezó cuando Facebook estableció un cambio en su política de privacidad respecto a la utilización de los datos facilitados por sus usuarios, en el que el usuario que facilitaba sus datos personales quedarían para siempre a disposición de la empresa, lo cual generó una avalancha de críticas de los usuarios, ya que la privacidad muchas veces es cuestionada pero la realidad es que tiene que haber un control sobre la misma y no se deben permitir cláusulas abusivas como las que implantó Facebook el 4 de febrero. Si bien es verdad que ha servido para demostrar que en Internet todavía son los usuarios los que mandan y que si se unen ante este tipo de actos unilaterales y desproporcionados se pueden cambiar las cosas, tal y como se puede apreciar en el anuncio realizado a través del blog de su fundador y máximo dirigente, Mark Zuckerberg, en el que decide volver a las condiciones y términos de uso del portal previas a los cambios del 4 de febrero. En definitiva Facebook ha tomado el buen camino y ha decidido hacer caso a sus usuarios que al fin y al cabo es su bien más preciado, por lo que desde viálogosTIC alabamos su decisión y más aún cuando el que la notifica es su propio fundador, ya que como se suele decir rectificar es de sabios.

Si por un lado están las compañías, por el otro estamos los usuarios y/o las personas, considero importante que las personas se conciencien sobre el uso responsable de sus datos personales, tanto en redes sociales, como en suscripciones a servicios por Internet. No se trata de pensar siempre en la posibilidad de sufrir robos, estafas, o grandes hermanos, sino de actuar con sentido común, es decir, si en la calle no le revelamos nuestros datos personales a un desconocido en la red tampoco debería ser diferente. La AEPD publicó hace no mucho una guía en la que se advierte sobre los riesgos de las redes sociales (AEPD e INTECO), en los que se sugieren las mejoras en los sistemas de protección.

Por otro lado, la semana pasada se celebro el día de Internet seguro, algo que consideró importante aunque poco útil, ya que celebrar un día no sirve de mucho, si bien es verdad que al menos contribuye a la concienciación de un uso más prudente de las herramientas y servicios que podemos encontrar en Internet. El Día Internacional de Internet Segura es un evento que tiene lugar cada año en el mes de febrero, en el que participaron 55 países de los 5 continentes en 2008. Está organizado por INSAFE, la Red Europea por una Internet Segura y en España por la Asociación Protégeles como nodo español de INSAFE. En 2009, el tema central que se aborda es la prevención del ciber-bullying o acoso escolar en internet. PROTÉGELES tiene como objetivo fundamental el conseguir una Internet más segura para los menores, así como el promover un uso óptimo y más seguro entre ellos de las tecnologías de la información y la comunicación (TIC). Para ello realiza la actividad de promoción y sensibilización de un uso seguro de Internet por parte de los menores, mediante campañas de sensibilización dirigidas a menores, educadores y padres, así como campañas de comunicación e informativas que alcancen a los medios de comunicación y al público general.

Microsoft y la comisión europea se unen a Protégeles y a la Asociación Española de Pediatría para celebrar el día de internet seguro. Entre las actividades previstas, está la formación por parte de 60 voluntarios de Microsoft a más de 300 padres de familia, alrededor de 3.000 niños y 15.000 jóvenes Scouts en toda España. La puesta en marcha del site, además de promover en uso del software de protección infantil, aporta consejos para padres y niños/adolescentes.

La AEPD (Agencia Española de Protección de Datos) publicó hace algún tiempo una guía para el uso de Internet por los menores, guía que está también orientada para los progenitores de los menores de edad ya que en numerosas ocasiones los padres no saben que riesgos y beneficios ofrece o posee Internet, es por eso muy importante enseñar también a los padres sobre el uso de Internet y sus herramientas como redes sociales, foros, chats, etc.

No obstante no todo lo que Internet ofrece es malo para los menores, ni mucho menos, tal y como comentaba en el post "Redes sociales, niños y cuentos de viejas" el profesor del Instituto de Empresa (IE) y conocido blogger Enrique Dans. En el que destacaba las ventajas de este tipo de herramientas para los niños a la hora de mantenerse vinculados y en sintonía con sus amigos y reforzar así sus relaciones sociales.

Por todo ello debemos velar por que Internet sea un sitio más seguro y útil para todos, empezando por ser más diligentes en el uso de nuestros datos personales, así como de cara a nuestros hijos, en el estudio de la red, ya que si un padre o una madre no sabe nada sobre Internet (peligros, precauciones y medidas de seguridad), difícilmente podrá orientar y ayudar a su hijo sobre que debe y que no debe hacer en Internet.

safer internet day , Internet Segura 2009, protégeles , INSAFE , INTECO , AEPD , Facebook , Mark Zuckerberg , Enrique Dans

Luces y sombras de las redes sociales

2009-05-01T04:27:00.000-07:00

Esta red social que está dirigida sobre todo a personas menores de 25 años y que goza de una excelente popularidad y éxito en los últimos tiempos, ya que se diferencia de otras redes sociales en que son los usuarios los que permiten el acceso de nuevos usuarios por medio de invitaciones. Este sistema mejora el termino de red social de contactos, ya que de esta manera se consigue que la red mantenga en cierto modo los contactos y relaciones reales de los usuarios sin llegar a masificar como otras redes el número de contactos.

Otra característica de Tuenti es que es un red social nacional, actualmente goza de mayor número de usuarios a nivel estatal que otras redes sociales extranjeras como Facebook, si bien es cierto que debe mejorar algunos aspectos como es la subida de imágenes, ya que no es tan rápido o dinámico como el de otras redes sociales.

Otra luz en el camino de las redes sociales, es el hecho de que cada vez más son objeto de deseo para las empresas, ya que resultan ser un escaparate muy jugoso y atractivo de cara a la publicidad, algo que Tuenti también ha sabido aprovechar, lo cual de cara a 2009 va repercutir en un aumento cuantioso respecto a los más de 700.000€ facturados a lo largo del 2008.

No obstante, no es oro todo lo que reluce y como el resto de redes sociales no escapa de la posibilidad de ser víctima de un mal uso por parte de algunos usuarios. Un ejemplo de un mal uso es el caso de dos institutos de La Rioja, en el que ha surgido la polémica ya que supuestamente unos menores del centro han publicado fotos manipuladas e injurias dsobre algunos profesores de los citados centros educativos. Por todo ello actualmente el sindicato de profesores (ANPE) ha denunciado la violación de la intimidad y del derecho al honor ante el Defensor del Pueblo, para proceder a la busqueda de los autores de dichas injurias e invasión de la intimidad sufridas por parte de los profesores. De momento no sabemos como terminará este asunto ni si se producirán más conflictos como este pero lo que está claro es que tenemos redes sociales para rato, tanto para lo bueno como para lo malo.

ACTUALIZACIÓN: Una luz a sumar a las redes sociales, hoy he leido una noticia vinculada a las redes sociales y la verdad es que también pueden resultar una herramienta social muy útil para mover a muchas personas por una causa, "Tuenti reúne a 470.000 personas para buscar a una joven desaparecida" la noticia la recogía El País Digital.

Redes Sociales , Tuenti , ANPE

Las empresas e Internet

2009-05-01T04:23:00.000-07:00

Hoy me he puesto a reflexionar sobre los tipos de empresa que existen en relación a su incursión y posición respecto a Internet. Penetrar en la red de redes es una alternativa económica y muy interesante, además, son las empresas que utilizan Internet como enfoque para potenciar su negocio las que más crecen y las que mejores resultados obtienen en la actualidad.

En concreto podemos establecer una división de tres tipos de empresa respecto a su incursión en Internet:

1.- Empresas 100% e-commerce o virtuales (sólo existen en la red).

2.- Empresas que comienzan en Internet pero que también existen en el mundo real.

3.- Empresas que existen en el mundo real y comienzan a utilizar Internet para mejorar sus ventas o servicios obteniendo así un elemento diferenciador).

La primera de las tres, tiene la ventaja de no necesitar demasiados recursos ni personal lo cual facilita la posibilidad de emprender y de maximizar beneficios, pudiendo utilizar herramientas útiles como son direcciones de correo electrónico gratuito para las comunicaciones como son Hotmail, Gmail, Yahoo etc., así como otro tipo de herramientas para facilitar su progreso.

La segunda de las empresas es aquella que al disponer de mayores recursos iniciales dispone de oficinas y de venta física por lo que pueden combinar los dos mundos el real y el virtual según le convenga. Este tipo de empresas puede evitar intermediarios gracias a la utilización de Internet lo que facilita su expansión.

La tercera de las empresas es la tradicional, la que primero existe físicamente y decide utilizar e introducirse en Internet como elemento diferenciador respecto de la competencia, este tipo de incursión no requiere de una gran inversión y puede facilitar su expansión en ventas así como una mejora de su reputación y aumento de popularidad no sólo por medio de la venta de sus servicios vía Web sino también por medio de la utilización de páginas Web de tipo corporativo o Blogs corporativos así como por medio de campañas publicitarias en Internet por medio de servicios como adsense y adwords de Google.

En definitiva la red es un sitio muy extenso e interesante para los diferentes tipos de negocio y los medios y tipos de empresa en este entorno también son cada vez más variados.

Internet , comercio electrónico , e-commerce , Blog corporativo , LSSICE , LIMSI , pasarelas de pago

La televisión en los móviles

2009-02-05T14:45:00.001-08:00

Según datos recogidos en el estudio La sociedad de la información en España 2008, realizado por la Fundación Telefónica, la TV móvil cuenta con 250.000 usuarios.

El País.com refleja en una noticia los siguientes datos: "en España, están al alza los sistemas de televisión IP (por Internet), que superaba los 636.000 abonados a finales de 2007 y el de la televisión por dispositivo móvil, que en el primer trimestre de 2008 tenía contabilizados 250.000 usuarios". Esto quiere decir que la tendencia es que la TV móvil es una opción que tiene futuro, pero en realidad lo importante de todo esto es que el futuro de la TV pasa por Internet ya sea en soporte portátil o no. No obstante uno de los problemas actuales aún és el tema de la duración de las baterias durante el momento de emisión, así mismo la TV móvil ofrece infinidad de posibilidades en materia de publicidad, como son los tradicionales spot televisivos así como banners y otros sistemas publicitarios disponibles en la red, por lo que cabe la posibilidad de que la TV móvil pueda ser gratis.

En conclusión la TV móvil tiene un gran futuro en detrimento de la TV satelital o también denominada digital.

TENDENCIAS, PROPIEDAD INTELECTUAL Y LA NUBE

2009-02-04T10:57:00.001-08:00

Desde hace tiempo vengo observando el fenómeno denominado como "la nube". La gente cada vez utiliza más programas de Internet para escuchar música, y ver películas "on line" en páginas de Internet sin tener que realizar descargas previamente.

Tal y como he leído en el país digital, en concreto en la siguiente noticia: "El futuro de la música está en la nube". Esta ha sido la tendencia a finales de 2008, la prestigiosa Web tecnológica Arstechnica aseguraba que la computación en "la nube" (aplicaciones que funcionan directamente desde la red), era una de las tendencias confirmadas durante el pasado año. Además otro dato clave es la adecuación del mercado del hardware a este fenómeno como ocurre con los ya archi conocidos "Netbooks" poca memoria frente a tamaños reducidos, rapidez en la navegación, versatilidad, comodidad y facilidad en su manejo.

En cuanto a las Páginas Web que proveen de música, series de televisión, películas etc., son en su mayoría Páginas que cumplen con la legalidad y que no vulneran los derechos de autor ni la Ley de Propiedad Intelectual (LPI), al menos así lo ha estimado la jurisprudencia Española (Resolución "sharemula", "Las Webs de enlaces a redes P2P no son delito").

Existen también radios a la carta, donde uno escucha las canciones que desea, así como la posibilidad de recopilar varias canciones para hacer una lista y reproducirlas, se pueden hacer selecciones y busquedas por estilos de música etc., por todo ello, descargarse archivos ya sean de video o de audio, se recordará dentro de un tiempo como cuando se grababa la música en casetes y las películas en cintas de video. En mi humilde opinión, el futuro pasa por la desaparición de las memorias de gran capacidad y el aumento de maquinas más rápidas y capaces para procesar muchos datos en breves periodos de tiempo.

Por último frente a "la nube" se plantean cuestiones como el "Copyright" y los derechos de autor. En principio cabe pensar que la "medida Sarkozy" no tendrá validez contra "la nube" ya que sólo es valida para las descargas o copias ilegales de archivos que contengan propiedades intelectuales. No obstante a pesar de la problemática entre los defensores de los derechos de autor y/ o del "Copyright", se encuentran también un sector partidario del "Copyleft" y/o del "Creative Commons" el cual únicamente exige citar la fuente del autor para poder reproducir la literalidad de la información, ayer sin ir más lejos, la Casa Blanca ha aplicado el criterio del "Copyleft" o "Creative Commons" sobre los contenidos de su Blog.

Por último en España cabe destacar que el gobierno preve regularizar las redes P2P para el año 2010, adoptando por lo que parece, medidas similares a las Francesas, no obstante por el momento sólo se habla de las descargas y de las copias ilegales, no de las reproducciones on line. Habrá que estar atento para ver como evolucionan las cosas.

LA SGAE Y LAS BODAS

2009-02-03T15:47:00.000-08:00

El otro día leí que la Agencia Española de Protección de Datos de Carácter Personal (AEPD), iba a sancionar a la Sociedad General de Autores y Editores (SGAE) por grabar videos de bodas en los que se pretendía demostrar como los organizadores del evento disponían a su antojo de la propiedad intelectual de algunos autores sin haber pagado el precio que a los autores les correspondía según la Ley de Propiedad Intelectual (LPI).

Como he comentado se pretendía utilizar las citadas grabaciones como prueba para el juicio, creo que la SGAE está en su derecho de perseguir a aquellos que no cumplen con la vigente normativa en materia de propiedad intelectual, pero también creo que no vale todo, y que por encima del derecho a la propiedad intelectual de los autores y en concreto a la explotación de las obras intelectuales se encuentra el derecho a la intimidad, por lo que en este caso la AEPD ha acertado con la sanción, cabe destacar que dicha sanción ha sido de 60.101€ ya que la SGAE ya había sido sancionada por cometer la misma infracción, por dicha reincidencia, esta última sanción ha sido de una mayor cuantía.

Espero que la SGAE tome nota de ello para sus próximas actuaciones ya que en caso contrario queda claro lo que sucederá visto lo visto.

DÍA EUROPEO DE LA PROTECCIÓN DE DATOS

2009-01-28T16:41:00.000-08:00

Como no la entrada de hoy, la he querido realizar sobre diferentes noticias relacionadas con la protección de datos, ya que hoy se celebra "El Día Europeo De La Protección de Datos". Hace ya muchos años que en España disponemos de cuerpos legales que se encargan de regular nuestro derecho fundamental a la protección de datos. Ahora más que nunca debemos velar por la protección de nuestros datos personales, ya que al utilizar Internet como herramienta así como las nuevas tecnologías, nos encontramos más expuestos a una posible pérdida, extracción o cesión no consentida de nuestros datos de carácter personal, por eso resulta importante la celebración de un día como el de hoy.

La Agencia Española de Protección de Datos (AEPD), ha celebrado hoy una sesión abierta en la Universidad Carlos III de Madrid (Campus de Leganés), en la cual se ha dirigido especialmente a los jóvenes, ya que son estos los que en numerosas ocasiones, utilizan redes sociales donde publican infinidad de datos personales sin ser conscientes de sus posibles consecuencias. Por lo que se les han explicado algunas medidas básicas de seguridad para utilizar adecuadamente este tipo de redes sociales, ya que el problema está en que eres tú y no la red social el que tiene que restringir activamente estas posibilidades de acceso y muchos usuarios no son conscientes.

Por otro lado, hoy he leído varias noticias que no dejan de ser un poco inquietantes, como por ejemplo que el número de cámaras de videovigilancia se ha triplicado en el último año, pasando de las 5.000 videocámaras inscritas en 2007 a las 15.500 registradas en 2008, según los datos de la Agencia Española de Protección de Datos (AEPD). Por otro lado, los datos del CIS de 2008 revelan que 7 de cada 10 ciudadanos está a favor de que se controle la difusión de las imágenes que graban las cámaras de videovigilancia y se emiten por Internet. En la página Web de la Agencia Española de Protección de Datos (AEPD) www.agpd.es se puede obtener gratuitamente la guía sobre videovigilancia del año 2009, así como la guía de recomendaciones de 2008: Derechos de los niños y niñas, deberes de los padres y madres.

Otra de las noticias que me ha llamado la atención y que resulta bastante más inquietante que la anterior, es la siguiente: Monster.com vuelve a sufrir el robo de millones de datos personales, es la segunda vez en 18 meses que la Página Web de búsqueda de empleo Monster.com ve cómo un agujero de seguridad en sus sistemas propicia el robo de millones de datos confidenciales de sus clientes. Y es la segunda vez que la compañía trata de tapar el suceso, del que sus usuarios se tienen que enterar por los medios. (ambas noticias recogidas en el País Digital). Este hecho ha tenido mayor trascendencia en Inglaterra ya que es allí donde ha saltado la noticia (The Times), no obstante este tipo de noticias, no sólo se dan en empresas privadas, el propio Gobierno Inglés hace algo más de un año admitió haber perdido los ficheros de millones de ingleses, por lo que en este aspecto depende también de los ciudadanos el exigir que se cumplan con las medidas de seguridad recogidas en las diversas normativas sobre protección de datos, así como de la diversa legislación de servicios de la información y de telecomunicaciones de las que disponemos en Europa, para de este modo obligar tanto al sector privado como al sector público a aplicar adecuadamente y a mejorar las medidas de seguridad, evitando así este tipo de situaciones tan lamentables.

SIMO 2008 CANCELADO

2008-10-15T14:07:00.000-07:00

Hace unos pocos minutos que me he enterado de que este año no se va a celebrar SIMO 2008, lo cual la verdad me ha sorprendido negativamente, según la organización en su comunicación a la prensa lo posponen al SIMO 2009. No sé si es cierto o no, pero a mi me da en la nariz, que cuando un evento como SIMO (el cual hace años que sigo), se cancela a un mes vista de su celebración, algo raro pasa, y solo espero que ese "algo raro pasa" no tenga nada que ver con la crisis financiera en la que no encontramos inmersos, ya que hay que tener en cuenta que si en épocas de crisis como la actual, se suspenden eventos que ayudan al I+D+I de las empresas y en definitiva a innovar y a desarrollar nuevos servicios gracias a la utilización de las nuevas tecnologías, si esto sigue así, será bastante incierto el futuro que se nos aproxima.

¿CÓMO SE DENUNCIA ANTE LA AEPD?

2008-10-15T14:06:00.000-07:00

Para denunciar ante la Agencia Española de Protección de Datos (AEPD), el procedimiento es muy sencillo, gratuito y no es necesario acudir a los tribunales ni disponer de asistencia letrada. Si crees que tus datos de carácter personal han sido vulnerados o utilizados sin tu consentimiento y dispones de pruebas que acrediten el efectivo incumplimiento de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, puedes ponerlo en conocimiento de la Agencia Española de Protección de Datos, o de alguna de las diferentes agencias existentes en algunas de las comunidades autónomas como son la Madrid, País Vasco y/o Cataluña, no obstante en mi opinión lo más recomendable es realizarlo ante la AEPD. Para ello deberás presentar una escrito de denuncia en los términos que se prevén en el artículo 70 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Dicho escrito deberá contener:

- Nombre y apellidos, y/o en su caso, de la persona que te represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.

- Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.

- Lugar y fecha.

- Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.

- Órgano, centro o unidad administrativa a la que se dirige. (En tu caso sería la Subdirección General de Inspección de Datos de esta Agencia).

- Igualmente deberás acompañar los documentos o cualquier otro tipo de prueba que pueda corroborar los hechos denunciado (cartas recibidas, fax, cualquier documento ya sea en en soporte papel o electrónico).

Para más información consulta la Página Web de la AEPD:

AEPD Denuncias y Reclamaciones

AEPD Modelo de Denuncia (pdf)

¿A quíen pertenecen realmente nuestros datos personales?

2008-09-18T13:30:00.000-07:00

El otro día me puse a pensar en el poco control del que disponemos sobre nuestros datos personales así como de lo fácilmente accesibles que resultan hoy en día para cualquier persona o empresa. Me di cuenta también, de que en cualquier momento en cualquier lugar cuando te haces socio de un comercio, o de las miles de tarjetas descuento existentes hoy en día como pueden ser las de las gasolineras, supermercados, vídeo clubes (estos últimos para nostálgicos), o tiendas de todo tipo en general, resulta cuando menos curiosa la utilidad y rentabilidad que obtienen de dichos datos. Sin darnos cuenta estamos facilitándoles información valiosísima sobre los hábitos de consumo, periodicidad en las compras, gustos y preferencias de las que disponemos, llegando así a la absurda situación en la cual conoce mejor nuestros gustos una gasolinera o un supermercado que nosotros mismos.

Por si esto no fuera lo bastante deprimente, existe otra cuestión inquietante, como es la de la cesión de datos que realizan las empresas de las que somos clientes a terceras empresas y viceversa. Si lo pensamos bien, resulta increíble la cantidad de imágenes, fotos y vídeos de los cuales somos protagonistas y circulan por ahí sin control sin que seamos conscientes de su propia existencia. Todo ello por culpa de todas aquellas cámaras de vigilancia instaladas en más y más sitios, como garajes, tiendas bancos, portales... por no mencionar las cámaras de los teléfonos móviles y demás soportes, capaces de captar y grabar imágenes prácticamente desde cualquier lugar así como de conectarse a la red de redes, desde donde podrán ser vistas por cualquier persona, tal y como sucede con muchísimos vídeos en Youtube por citar un ejemplo. No obstante actualmente merece la pena mencionar la existencia de situaciones más alarmantes respecto al uso que se da sobre nuestros datos de carácter personal, como es el uso fraudulento e ilegal que llevan a cabo la inmensa mayoría de empresas de telecomunicaciones, que generalmente actúan sin nuestro consentimiento, ya que en muchísimas ocasiones es más que dudosa la procedencia de nuestros datos personales a sus bases de datos. Por todos es sabido que dichas empresas se intercambian datos personales de sus respectivos clientes y todo ello lo realizan sin el previo consentimiento del titular de esos datos personales. En cuantas ocasiones nos encontramos plácidamente en nuestras casas disfrutando de nuestra intimidad y sosiego cuando somos interrumpidos por una llamada telefónica de una persona a la que no conocemos pero la cual si conoce nuestro nombre y apellidos así como nuestro número de teléfono móvil,. Lo más curioso de todo esto es que siempre se trata de una compañía diferente a la que tenemos contratada, por no mencionar lo difícil que resulta ejercitar cualquiera de los derechos ARCO (acceso rectificación, cancelación y oposición). En consecuencia a todas estas situaciones, termino planteando la siguiente cuestión:

¿A quíen pertenecen nuestros datos personales?