NetConsulting

Netconsulting actualiza su oferta de servicios con una nueva área en su departamento de Legalidad TIC: Borramos tus datos en la red. Netconsulting entiende la nueva situación de las TIC como un abanico global en el que el usuario está expuesto en el escaparate de la sociedad de la información. Por ello, desde Netconsulting y nuestro departamento de Legalidad nos preocupamos por los datos negativos que se puedan exponer en Internet.

La red no es exclusivamente un entorno de uso personal, sino que también tiene buena parte de profesional. Además, en los últimos tiempos la búsqueda de trabajo en Internet se ha incrementado notablemente al punto que las empresas en Estados Unidos empiezan a tener en cuenta los perfiles personales de los posibles candidatos en Internet. Por ello nuestro nuevo servicio se basa en la aplicación de la Ley Orgánica de Protección de Datos (LOPD) y el ejercicio de los derechos de los usuarios.

-          Se trata de llevar a la práctica uno de los siguientes derechos:

o   Derecho de acceso (saber de dónde han salido mis datos)

o   Derecho de rectificación (poder rectificar, y que así conste, lo que se dijo/escribió en un determinado momento y, en general, los datos que se tienen de mí)

o   Derecho de oposición (no estar de acuerdo con las conclusiones que, sobre mí, han tomado empresas privadas o instituciones públicas. Este derecho es demasiado técnico y no lo vamos a mencionar)

o   Derecho de cancelación (que, como su nombre indica, se ejerce para que borren mis datos personales)

-          Cómo se ejercen:

o   Por las vías legales, a través de peticiones expresas a la empresa/Web que tiene mis datos

o   Si la empresa no atiende nuestros derechos, con denuncias a la Agencia Española de Protección de Datos

o   En casos graves, se pueden denunciar los casos por acoso, injurias, etc.

o   Con una campaña de marketing para “mejorar” la imagen de la persona en Internet

En todas las organizaciones en las que existen varios usuarios con acceso electrónico a datos de carácter personal, la lógica de la Seguridad de la Información (así como la misma LOPD), obligan a que los mencionados usuarios se identifiquen contra el servidor.

Es decir, cada usuario debe poner su nombre y contraseña para poder acceder a los datos necesarios para el desarrollo de su trabajo. Además, la legislación en materia de Protección de Datos de Carácter Personal precisa que “los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones” (art. 91, R.D. 1720/2007).

Para combinar estas exigencias legales con la práctica diaria de las empresas, en Net Consulting nos encontramos con problemas de orden práctico en algunos sectores económicos como, por ejemplo, los hoteles. Los trabajadores que desarrollan las funciones de Responsable de Seguridad en los hoteles están familiarizados con esta problemática. De hecho, siempre surge la misma pregunta: “Si el personal de la Reception accede a los datos de los clientes que se hospedan en el hotel, ¿eso quiere decir que cada recepcionista debe insertar su usuario y contraseña para poder trabajar?”.

Contestar “sí” a esta pregunta quiere decir, ni más ni menos, que crearemos unas colas inusitadas en los procedimientos de check in y check out de muchos hoteles. Imaginemos la situación: Varios recepcionistas que, en el afán de conseguir un mejor servicio para sus clientes, saltan de un ordenador a otro, para agilizar las entradas y salidas del hotel.

Pues, a raíz del Informe Jurídico 0021/2009 publicado recientemente por la Agencia Española de Protección de Datos, ya no se podrán realizar estos saltos. Las conclusiones a las que llega la Agencia se basan en una más que ajustada interpretación de lo dispuesto en el art. 93.2 R.D. 1720/2007, donde se dice que: “El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado”.

Dicho de otra forma, todos los usuarios de la información tienen que tener su propio usuario y contraseña, que tiene que ser individual, no pudiéndose tener un “usuario/contraseña” por turnos, como en el ejemplo de las recepciones de los hoteles.

Ya veremos cómo harán los hoteles para cumplir con esta estricta limitación a los accesos a la información. Además, seguro que muchos otros sectores de la actividad económica tienen un mismo usuario y contraseña para varios trabajadores.

El verano de 2009 ha sido la fecha escogida para las redes sociales más importantes a la hora de renovar su política de protección de datos. Un informe de la Fundación Solventia realizado a través de una seminario sobre la Privacidad del Menor en las Redes Sociales ha permitido saber que a principios del estío uno de cada tres menores están en peligro por su incapacidad a la hora de proteger su perfil y datos.

Por su parte, Tuenti ha cumplido el pacto adquirirido con la Agencia Española de Protección de Datos (AEPD) en el mes de abril y ha limitado el acceso a los menores de 14 años. Además, el compromiso se extiende al darse de baja de la red social, pues se cancelarán los datos del perfil al producirse esta operación. Facebook también ha potenciado su política de protección de datos en España con varias medidas entre las que se encontrarán elegir con qué miembros de Facebook se quiere realizar intercambios de archivos. El asunto de la Protección de Datos tendrá nuevas reformas, por ejemplo está prevista una reunión en octubre entre Tuenti y la AEPD.

Al respecto, Amedeo Maturo, como responsable del Departamento de Legal de Netconsulting, ha valorado la noticia en el siguiente vídeo:

Estamos de enhorabuena. El blog de nuestro compañero Amedeo Maturo, jefe del Departamento de Legal de Netconsulting, ha alcanzado las 10.ooo visitas. Es de alabar que Amedeo después de tanto esfuerzo y dedicarle a Amedeomaturo´s Weblog sus horas muertas consiga una cifra con tantos ceros. Sigue así Amedeo, poco a poco. ¡Felicidades por tus 10.000!

El mes pasado, a través de la Diputación de Alicante y del IVAP, recibí la invitación para la realización de un curso dirigido a funcionarios de los ayuntamientos de la Provincia de Alicante.

El módulo que me ha tocado, una vez más, ha sido el de Protección de Datos, dentro del curso sobre Administración Electrónica.

Tomando prestado términos de la jerga musical, he bautizado las charlas itinerantes como “Los bolos de la LOPD“. Nos hemos servido de las aulas de formación de la Diputación, que cumplían perfectamente con las exigencias docentes.

Villena, Denia, Rojales, el Hogar Provincial de Alicante y Cocentaina han sido los escenarios de las actuaciones y que conste que en ningún caso he conseguido llegar al final de las diapositivas que tenía preparadas.

Sin duda, ha sido por mi falta de previsión, pero también ha sido por la curiosidad de los asistentes por saber más sobre estos temas.

No deja de sorprenderme la idea, confirmada por muchos asistentes, de que la Protección de Datos es la gran desconocida en la Administración Pública (por lo menos, en el ámbito de la Administración Pública Local). De ahí, que nunca pudiera llegar a terminar la exposición, porque había miles (bueno, dejémoslo en muchas) preguntas por contestar.

Por qué la LOPD es una perfecta desconocida en la en la Administración Local: algunos motivos.

In primis, el escaso interés por formar a los funcionarios públicos sobre estos temas. También incide mucho la misma estructura de algunos ayuntamientos que, con sus “funcionarios-orquesta“, poco tiempo pueden dedicar a la formación.

El poco eficaz sistema de sanciones para el sector público también incide lo suyo, aunque puede que, con la tan cacareada activación de la aplicación del art. 19 LOPD, las cosas cambien (francamente, éste es mi deseo).

En fin, que la ignorancia sobre estos aspectos legales tiene muchos padres y resulta que, casi 10 años después de la entrada en vigor de la LOPD, nadie quiera hacerse cargo de “la pobre criatura“.

Entonces, ¿a qué se debe este repentino interés por la Protección de Datos? La culpa la tiene el art. 4 de la Ley 11/2007 que, entre los principios generales que deberán regir la llegada de la Administración Electrónica (cual mesías de la solución al problema de la burocracia) dice (más o menos) así:

“Muy bien, vais a implantar la Administración Pública del futuro, pero, ojo, no os olvidéis de algunos viejos principios como la protección de datos“.

Así, respondo también a uno de los asistentes a estos cursos que me preguntaba “Yo he venido a un curso sobre e-Administración. ¿Por qué me sueltas el rollo de la LOPD?”. Pues, porque sin esta última no habrá la primera.

Las casi 4 horas de charla sin interrupción (qué sufridos son los funcionarios, oiga) pretendían ver los nexos más evidentes entre la LOPD y la actividad diaria de la actividad administrativa. El objetivo último era concienciar sobre la importancia de esta legislación, así como sobre enorme importancia para la actividad administrativa y cómo pequeños despistes pueden perjudicar seriamente la vida de los ciudadanos.

¿Conclusiones?Varias y variadas.

1. Hace falta más formación. Ha quedado claro que tanto la Administración Electrónica, como la adecuación a la LOPD no es “cosas de ordenadores“, sino más bien, “cosas de personas que piensan en cómo hacer bien las cosas“.

2. La formación debe incluir necesariamente una componente tecnológica, aunque mínima, para evitar comentarios como: “¿qué es twitter?”.

3. No podemos empezar con la e-Administración, si no hemos hecho los deberes (léase, protección de datos).

4. Tenemos funcionarios con ganas de aprender: ¡suéltenlos! Que parece que asistir a curso de formación es sinónimo de ir a pasar el día de excursión.

5. Con todas las tecnologías disponibles, ¿cómo es posible que los organismos intermedios no preparen una plataforma de formación on line? Ah, bendito e-learning…

Junio 25, 2009

Antes de seguir con la documentación sobre el SIGEM 1.7, voy a apuntar las reflexiones sobre el régimen sancionador en materia de protección de datos, para los Responsables de Ficheros públicos, que quedaron pendiente de resumir.

Después de haber recordado rápidamente la clasificación de las infracciones previstas en el artículo 44 LOPD (apartados 2 como leves, 3 como graves y 4 como muy graves), empezamos a ver qué pasa si un Ayuntamiento, por ejemplo, es sancionado por la Agencia Española de Protección de Datos (AEPD).

Analizando algunas de las resoluciones sancionatorias del último año, veíamos como todas terminaban con un reproche y con una advertencia a que los infractores tomasen las oportunas medidas de seguridad para que el incidente no se volviera a repetir.

Y ya está.

Es decir, aunque las sanciones fueran por infracciones muy graves, todo terminaba en un: “Chico malo, no lo vuelvas a hacer“. A todas luces, el poder coercitivo de estos reproches parecía un poco escaso. He hablado yo con algunos alcaldes que, sin el menor reparo, han hecho delante de mis narices la siguiente cuenta:

• Adecuar mi Ayuntamiento a la LOPD me cuesta X;
• Las sanciones que me pueden “caer” me costarían “0″ (cero);
• X es mayor de cero;
• Ergo, ese dinero lo meto en las fiestas del pueblo, que me salen más a cuento. “Gracias por haber venido“.

Los que se dedican a esto de la Protección de Datos, pues, andamos desde siempre un poco moscas por la disparidad de trato (entre entes públicos y privados) en el régimen sancionador, así que, como chamanes invocando justicia divina, esperábamos que, algún día, un tribunal se decidiera a aplicar lo previsto en el artículo 19 LOPD. Esto es, antender a los interesados que, habiéndose visto perjudicados por una infracción de la LOPD, vieran reconocidos los daños y perjuicios padecidos a raíz de esta infracción, y pudieran pedir responsabilidad patrimonial a la Administración infractora.

Gracias a los amigos del Departamento de Derecho Administrativo de la Universidad de Murcia (y a su siempre interesante foro de discusión), me enteré de la Sentencia n. 1932/2003, de la Sala de lo Contencioso Administrativo del Tribunal Superior de Justicia de Extremadura, que sí había antecedentes de Responsabilidad Patrimonial. En el caso en cuestión, se había condenado a la Concejería de Bienestar Social a pagar 6.000€ por haber una infracción a la LOPD, sancionada con anterioridad por la AEPD.

“Eppur si muove“.

“Oiga, y ya puestos a pedir, para frenar los desmanes de las Administraciones Públicas en protección de datos, ¿no se podrían explorar las vías penales?“

Y eso nos pusimos a hacer en la parte final de la charla.

Y empezamos por el artículo 199 (la aplicación del artículo 197 requiere dolo, y eso ya me parece desproporcionado, como caso de estudio).

Comportamiento relevante penalmente:

1. estar al cargo de la custodia/tratamiento de información personal que debe mantenerse en secreto (toda información personal)
2. revelar esta información

Como las revelaciones pueden ser por dolo o por culpa (negligencia, impericia, imprudencia), pues, el fantasma de una condena a prisión de uno a tres años empezaba a preocupar a los asistentes a la charla.

Francamente, espero que algún penalista que tenga ganas (y paciencia), me aclare si este análisis propuesto es muy descabellado, así espantamos a nuesto

De hecho, las cosas se complican si el que llevara a cabo el comportamiento delictivo fuera un “profesional”. Por ejemplo, un Responsable de Seguridad, que se verá condenado con prisión de 1 a 4 años e inhabilitación especial para la profesión de 2 a 6 años.

Y eso que no nos dio tiempo a ver los detalles del Título XIX, de los Delitos contra la Administración Pública, Cap. IV – De la infideliad en la custodia de documentos y de la violación de secreto. De entrada, volvimos a descartar los artículos que penaban los comportamientos dolosos (artículos 413, 414 y 415), pero nos volvimos a topar con el inquietante artículo 417.

En ese punto, tocó la campana y la gente se marchó a su casa, pero ya había entrado de lleno en las preocupaciones de los Responsables de Seguridad.

Mayo 8, 2009

El pasado 28 de abril, la Dipitación de Alicante me invitó a dar una charla sobre la Protección de Datos en las Administraciones Locales. La charla era, en realidad, parte de un módulo más amplio sobre los retos de la Administración Electrónica para los pequeños Ayuntamientos.

Cuando llegué al aula, dentro del complejo del Hogar Provincial, me encontré con algunos clientes y, a pesar de ello, amigos. Eso hizo que la charla perdiera parte de su carácter formal-académico y se convirtiera más en un debate sobre los problemas que afectan a los técnicos informáticos de los Ayuntmientos en su día a día. Parece que se ha instaurado una regla no escrita según la cual “el informático” es el que se tiene que ocupar de “estas cosas modernas” como son la LAE y la LOPD.

Teníamos 3 horas a nuestra disposición y resultó que ni pausa café hicimos, tanto nos enfrascamos en los intríngulis de la Protección de Datos. A lo largo de la charla, prometí publicar un resumen en este blog, pero, las cosas como son, no he tenido tiempo. Así que va siendo hora de hacer el resumen prometido.

Después de haber hecho un inicial y rápido resumen sobre los antecedentes de la LAE, la LOPD y sus cruces de intereses, hemos pasado a revisar, también rápidamente, los deberes formales en materia de Protección de Datos que incumben sobre los Entes Locales. De paso, hemos recordado el artículo 4.a de la LAE, donde, entre los principios generales, se hace expresa mención a “El respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la LOPD…“.

En este momento ya han aparecido entre los asistentes las primeras caras de preplejidad: “¿Para qué estaré yo buscando dinero para comprar el Gestor Documental molón si mis compañeros del Ayuntamiento ni siquiera conocen la LOPD?”. La sensación de que, en los procedimientos de implantación de la Administración Electrónica en las entidades locales, se estaba trascurando un aspecto determinante, pues, se empezó a generalizar.

Por ejemplo, salvo un par de honrosas excepciones, nadie había pasado la auditoría en materia de Protección de Datos en los últimos años. Esta situación reflejaba los resultados de la pequeña estadística realizada a través de este blog donde había un preocupante 50% de lectores que había marcado la casilla “¿Auditoría LOPD? ¿Existe eso?“.

¿No estaremos empezando la casa de la Administración Electrónica por el tejado? Las dudas aumentaban.

Si hay que adecuarse a la LOPD, ¿por dónde empezamos? Yo sugerí empezar por los aspectos formales:

Pareció que todos estuvieron de acuerdo, pero algunos ya se empezaron a olerse por dónde irían los tiros.

Si la declaración del fichero (con todas las particularidades descritas por el Título V de la LOPD), y la redacción de un Documento de Seguridad son tareas al alcance de unos funcionarios preparados, la asunción de las responsabilidades propias de la figura del Responsable de Seguridad ya era harina de otro costal.

Cuando se empezó a hablar del Responsable de Seguridad, entró en escena una figura que nos ha acompañado a lo largo del resto de la charla:

Este muñequito, sobre cuya foto no tengo derecho de autor y que utilizo sólo docendi causa, quería representar al técnico del Ayuntamiento sobre el cual, de repente, recaían todas las responsabilidades de puesta en marcha de medidas de seguridad para la adecuación a la LOPD. Casi todos se vieron inmediatamente reflejados en él, asumiendo resignadamente que no se podrían librar de ser el Responsable de Seguridad. Eso sí, no llegamos a bautizarlo, pero tarde o temprano le pondremos nombre.

La identificación entre el Responsable de Seguridad y “el informático” parecía automática, pero yo me atreví a introducir un elemento de duda, a partir de la definición prevista en el art. 5.2.l), del R.D. 1720/2007: “Persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

Convertirse o no en dependía ahora de un adverbio: “formalmente“.

“Si no hay ningún nombramiento formal, y aunque en mi actividad diaria yo desarrolle buena parte de las funciones propias del Responsable de Seguridad (controlar y coordinar las medidas de seguridad), ¿soy o no soy ? Mi opinión es que, si la ley exige un nombramiento formal, sin éste, no puede haber Responsable de Seguridad. Esto afectaríatambién al eventual régimen sancionatorio disciplinar por violación de las medidas de seguridad previstas en la LOPD.

Justo el régimen sancionador ha sido el objeto de la segunda parte de la charla. Prometo seguir con el resumen en breve.