Buscar en este blog

martes, 16 de diciembre de 2008

Multa a Correos de España

La Agencia Española de Protección de Datos (AEPD), ha multado recientemente a Correos de España, con 6.000,00 €, según la información facilitada por ellos mismos en su pagina Web.

El caso concreto es el siguiente:

El consulado Argentino, remite por “Postal Express” un pasaporte a una ciudadana argentina, con residencia en España. Este paquete es retirado por otra tercera persona, que finalmente lo devolvió al darse cuenta del error, en la oficina postal.

Como la citada ciudadana argentina, cuando fue ha recoger el paquete, se la informo que ya había sido retirado, puso una denuncia, que finalmente sirvió para la imposición de la multa de 6.000,00 € a esta empresa. Basándose en la no comprobación de los datos del interesado en el “Aviso de Llegada”, ni en el propio paquete.

Esperemos que nuestros queridos carteros, empiecen a tomar en serio su trabajo, dadas las consecuencias que tienen para la empresa. Que si bien es cierto que gran número de ellos son grandes profesionales, en ocasiones, nos encontramos con cartas de otra persona en nuestro buzón o simplemente, nos pierden o entregan a otros nuestras cartas. Por desgracia, las multas no suelen perderse.

Hace años, cuando Correos era publico, no habría sido sancionada, pero esta es otra de las ventajas de las privatizaciones.

miércoles, 3 de diciembre de 2008

Problemas en la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD), es el organismo encargado de velar por el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD), su reglamento de desarrollo y junto a los Tribunales va configurando el ordenamiento jurídico para estos supuestos.

Pero como decía Don Quijote: “… con la Iglesia hemos topado, Sancho.”, la apostasía esta siendo el problema mayor que se ha encontrado la AEPD desde su creación.

La LOPD, es muy genérica en lo que se considera un Fichero, cuestión habitual en las leyes españolas, pero por este motivo, queda a la interpretación de los jueces, si el libro de bautismo es un Fichero, o solo una sucesión de datos, sin posibilidad de tratamiento.

En nuestra opinión, los antiguos libros de bautismo, es difícil de considerarlos un fichero de datos personales, pues cada parroquia realizaba apuntes según la fecha de la celebración del bautismo, pero en muchas ocasiones también se apuntaban la realización de otros sacramentos, en el mismo libro, lo que hace muy difícil localizar cualquier dato, si no conocemos la fecha. Esto lo hemos sufrido algunos en pequeñas parroquias de pueblos, donde necesitábamos un certificado de algún familiar y han tardado meses en encontrarlo.

También es cierto, que en la actualidad, muchas parroquias usan ordenadores, si bien cada una con distinta implantación, dependiendo incluso del obispado a la que pertenecen. Pero estos datos, si pueden sen considerados, en nuestra opinión, fichero. Cuestión que defiende la AEPD.

Pero el Tribunal Supremo y el Tribunal Constitucional, no lo tienen tan claro y parece que consideran lo anteriormente expuesto como un todo, por lo tanto no consideran un fichero los libros de bautismo y por tanto no considerar que sea posible apostatar, que no es mas que ejercer el derecho a cancelar nuestros datos en el fichero de la Iglesia.

Habrá que esperar a las sentencias que están pendientes, para ver cual es la doctrina definitiva a adoptar. Así se arreglara el problema que tiene ahora la AEPD.

jueves, 27 de noviembre de 2008

RESUMEN DE LA SERIE SEGURIDAD INFORMATICA

Como se ha podido ver a lo largo de estos artículos, la seguridad informática es muy importante, no solo para cumplir con la LOPD, sino como garantía de funcionamiento de nuestra organización, que a día de hoy se quedaría parada si sufriera un problema informático.

Pero la seguridad, no es solo esto, hay muchas mas cosas, que un profesional puede implementar, por lo que recomendamos que se tenga un informático de confianza, para realizar estas tareas.

También es importante, aunque no hemos hablado de ello en esta serie, las copias de seguridad, que permiten mantener nuestros datos ante posibles errores lógicos o físicos de los equipos informáticos.

Es importante contar con una buena política de copias de seguridad, incluso contratar un servicio especializado que nos realice las copias a un servidor externo, pero siempre que cumpla con las medidas de seguridad que marca la LOPD.

Desde www.bono-che.es, podemos ofrecerles un servicio que cumple todos los requisitos necesarios y a un precio razonable.

Incluso seria conveniente implementar un plan de contingencias, para poder seguir trabajando, ante desastres como un incendio, que pueden paralizar nuestra actividad e incluso hacer desaparecer nuestra organización.

Esperamos que esta serie haya sido de su interes.

martes, 11 de noviembre de 2008

La seguridad informática (VI)

Ya tenemos nuestros equipos correctamente configurados, nuestra red funciona de modo seguro, etc. Pero la seguridad nunca es completa y es importante mejorarla con unas pequeñas pautas.

4.- El programa explorador de Internet.

No recomendaremos ninguno en especial, pues los hay magníficos tanto de pago como gratuitos, pero si deberíamos tener en cuenta ciertas cosas.

Ha de mantenerse actualizado, pues gran número de problemas de seguridad se producen por estos programas.

Ha de disponer de opciones avanzadas, que eviten la apertura de pantallas emergentes, la redirección a páginas, la suplantación de direcciones, etc. Estas cuestiones las realizan la mayoría de los exploradores o en su defecto algunas barras de tareas instalables, como la de los buscadores más conocidos. Aunque se puede mejorar con programas específicos.

Es importante tener en cuenta, cuando las páginas son seguras o no lo son, pues nunca deberíamos mandar información personal por páginas no seguras.

5.- El correo electrónico.

A día de hoy, todo el mundo tiene cuenta de correo electrónico, facilita el trabajo, es rápido y permite saber si nuestro interlocutor ha leído el mensaje.

Esto tiene el inconveniente del gran número de correos no deseados o spam, que recibimos, por tanto deberemos tener un filtro anti-spam en nuestro lector de correos.

También es recomendable no leer o guardar correos de remitentes desconocidos, así como abrir los archivos adjuntos, menos aun si no los hemos solicitado.

Si sus correos o los archivos que adjunte tienen información personal, deben enviarse codificados o encriptados.

Por ultimo, ninguna empresa y menos su banco, le pedirá que reenvíe su clave personal, o no es normal que nos toque un sorteo en el que no participamos. No conteste estos correos y presente una denuncia en la sección de delitos informáticos de la Guardia Civil.

lunes, 27 de octubre de 2008

Otra mirada a la LOPD

Parece que la protección de datos, esta calando entre la sociedad actual, ahora la televisión e incluso el tetro, nos dan su visión de este asunto.

Ayer domingo 25 de octubre, en Cuarto Milenio (Canal Cuatro TV), Iker Jiménez y su grupo de tertulianos, trataron el asunto, en relación a los videos colgados en Internet.

Pero ayer, me gusto ver la mirada del teatro, sobre este tema. En la sala “Carme Teatre” (Cl Gutenberg, 12 Valencia (46003) Valencia) asistí a la representación de la obra “Antigona 18100-7”, una adaptación de Aurelio Delgado sobre textos de Sófocles, interpretada por Merce Tienda, Paula Miralles, Domingo Chinchilla y Ricardo López Ivars.

La obra teatral actualiza el mito de Antigona, “una mujer vigilada…” según los carteles, con la participación del público, que intercambia opiniones con los actores, el director… Es una obra impactante, con una muy lograda escenografía y puesta en escena. Se nota el trabajo de los actores y el director, en especial de las dos actrices.

Sin entrar en más valoraciones o críticas, quiero destacar la mirada que hace la obra sobre la video vigilancia, preguntándose: ¿Nos sentimos vigilados?, ¿Estamos protegidos frente al uso de las imágenes?, ¿Hay que vigilar tanto a las personas?, ¿Cómo nos vigilan desde los satélites?, ¿Google?, ¿Hay que legislar sobre todas las cosas?, ¿Qué ha pasado con el Derecho Natural versus Poder Legislativo?.

En definitiva, merece la pena ir a ver la obra, que se representara en salas alternativas de toda España, para ver una nueva versión actualizada de un mito, que trata sobre asuntos que todos los días nos preocupan y sobre los que trabajamos.

Fdo. Gonzalo Martín.

PD. Animo a participar con comentarios a todos sobre este asunto.

jueves, 16 de octubre de 2008

La seguridad informática (V)

Existen diferencias en cuanto a la conexión de equipos a Internet y en una red local, así como en el tipo de conexiones para realizarla, pero para simplificar englobaremos todo en uno.

4.- Los modem, router, hub, etc.

Podemos diferenciar en un principio, dos tipos de conexiones, según sean físicamente, es decir, por cable o wifi.
Las primeras se realizan entre equipos mediante tarjetas Ethernet y con el periférico de conexión a Internet por medio un cable. Son generalmente seguras si están bien configuradas. En ocasiones utilizan un hub o concentrador, para unir los diferentes equipos y compartir la conexión a Internet.
Las conexiones wifi, con menos seguras, pero aplicando todos los protocolos de seguridad, codificando la red, etc. puede lograrse un nivel aceptable.

En cuanto a la conexión a Internet, podemos utilizar diferentes periféricos, como modem o router, por cable o wifi. Estos dispositivos tienen un firewall y un software de gestión, que es importante configurar siguiendo las instrucciones del fabricante y del proveedor de la conexión.

Como medidas de seguridad, para estos dispositivos, recomendamos tener actualizado el sofware del modem o router. Codificar las comunicaciones entre equipos y por Internet, especialmente si son wifi. Utilizar las direcciones MAC para restringir el uso a las tarjetas de nuestros equipos y ocultar la red a otros usuarios.

Además, no olvide cambiar los usuarios y claves por defecto, pues cualquier usuario que sepa que equipo utiliza podría hacerse pasar por administrador y cambiar las configuraciones, teniendo acceso total a su red.

En cuanto a las conocidas como “Foneras”, donde compartimos nuestra conexión wifi gratuitamente con otros usuarios, no estamos en contra, pero las restringiríamos a las conexiones particulares.

jueves, 2 de octubre de 2008

La seguridad informática (IV)

Antes de conectar los equipos en red, creemos importante configurar un sistema de seguridad para virus, malware, etc.

3.- Los antivirus, firewall, etc.:

Existen gran número de casos que pueden afectar a la seguridad de los equipos, aunque los mas conocidos son los “virus”, dentro de estos existen muchos tipos, aunque también existe el spyware, malware, etc. incluso podríamos considerar el spam un problema de seguridad.

Como primera medida de seguridad en este campo, los sistemas operativos disponen de un Firewall, o cortafuegos, que se suele actualizar con las actualizaciones automáticas. Pero hay un gran número de fabricantes que nos proporcionan diferentes soluciones software similares o mejores que las del propio Windows.

El antivirus, es obligatorio en todos los equipos, siendo necesario que se actualicen a diario automáticamente, para poder responder a las ultimas versiones de cualquier virus, troyanos, etc. Por el precio de un buen antivirus, podemos evitar perder toda la información de nuestros equipos, lo que nos sale muy barato.

Las últimas versiones de los antivirus más utilizados, además de un gran número de todo tipo de virus, detectan software espía o spayware e incluso spam. Todo esto es conocido como malware o software mal intencionado.

Aunque existen programas antivirus gratuitos, el precio de las mejores versiones comerciales, generalmente para mas de un equipo, no es elevado. Nosotros recomendamos comprar y actualizar uno de cualquier fabricante reconocido, que disponen de equipos especializados y de alerta en todo el mundo.

Recuerda escanear, con todas las opciones posibles, para comprobar la memoria y todos los discos duros, nada mas instalar el antivirus. Así mismo, hay que comprobar los CD, DVD, disquetes, lápices USB, correos electrónicos, etc. antes de abrirlos en el equipo.

También es importante saber que la mayoría de malware es distribuido en archivos que se intercambian vía FTP, e-mule, etc. Si tu equipo es de trabajo, no juegues con el…

martes, 16 de septiembre de 2008

La seguridad informática (III)

Una vez configurado todo el sistema de usuarios, en cada PC, tendremos que asignar los periféricos.

2.- Los periféricos:

Existen gran numero de periféricos, desde el teclados, el ratón, etc. pero esos no tienen mayor importancia para nuestro sistema en materia de seguridad. Los que si pueden tener ciertas repercusiones son las impresoras, los escáner y los lectores de tarjeta o de huella dactilar.

Podemos diferenciar entre los que están en modo local y los que están compartidos en red. Los primeros solos son utilizados por el ordenador en el que están conectados, mientras que los segundos, los podemos compartir con otros usuarios.

Cuando se comparte un recurso, como es un periférico, es importante analizar previamente si de verdad es necesario que este compartido, así como si es viable, pues no se debe compartir, por ejemplo, una impresora que se encuentre en otra planta del edificio, pues no es posible retirar los documentos impresos con la suficiente rapidez coma para garantizar que no son copiados o vistos por personas no autorizadas.

También es importante no compartir una sola impresora, con muchos PC, pues puede acarrear cuellos de botella, que ralenticen todo el sistema, además de provocar problemas en las colas de impresión. Si su impresora o multifunción no esta especialmente pensada para su uso en Red, no debería de compartirla con mas de cuatro o cinco usuarios, pero siempre se puede empezar por dos o tres usuario y comprobar como se comporta, añadiendo usuarios poco a poco.

Si necesita una impresora especifica, como por ejemplo, una impresora matricial de carro ancho, para imprimir ciertos documentos, nosotros recomendamos no compartirla.

En cuanto a los escáner no suele ser muy útil compartirlos si no se encuentran cerca del equipo, pues requiere continuos desplazamientos de un sitio a otro.

Los lectores de huella dactilar, del ojo, etc. son mecanismos que aumentan la seguridad informática, garantizando que los accesos son realizados por la persona autorizada, gracias a la lectura de parámetros biológicos únicos, por lo que son muy recomendables utilizarlos. Suelen estar conectados en modo local.

Un sistema de huella dactilar, se esta instalando en muchos lugares de trabajo, como método para fichar y controlar los horarios de trabajo, ya que impide la suplantación de la persona, cosa habitual en ciertos organismos, donde fichaban con la ficha, tarjeta o clave de otra persona.

Los archivadores de CD-DVD, es un dispositivo que también ha de ser configurado respetando las medidas de seguridad y teniendo especial cuidado si se comparten, pues deberíamos encriptar también los CD o DVD que almacenan para impedir su uso por otro usuario. Nosotros no recomendamos compartirlo, si bien existen modelos especialmente preparados para ello, como los utilizados en emisoras de radio, TV, etc. de gran coste y con mantenimiento especializado.

Existen más tipos de periféricos, generalmente muy específicos, como joystick, tarjeta digitalizadora, etc., que normalmente no afectan a la seguridad.

miércoles, 3 de septiembre de 2008

La seguridad Informática (II)

Lo primero que tenemos que configurar correctamente es el sistema operativo, como ya explicamos.

Una vez configurado para que las actualizaciones automáticas se realicen en el equipo, tenemos que configurar los usuarios, que serian el primer anillo de seguridad.

Tenemos que diferenciar las labores de Administrador del equipo y las de los usuarios. Aunque solo lo utilice una persona, se han de crear dos cuentas de usuario, una con categoría de Administrador, para realizar las tareas de mantenimiento y administración, por lo tanto con control total sobre el equipo y su configuración.

La otra cuenta, será de usuario y con privilegios restringidos, pues para el trabajo diario no es necesario más. En todo caso, para casos concretos y específicos, se pueden utilizar las políticas de seguridad de Windows, que aunque complejas son suficientemente eficientes o programas especiales como Windows Steady State.

Por supuesto que cada usuario tendrá una clave personal asignada, que solo cambiara el administrador, generalmente una vez al año. Siendo necesario introducir la clave para cada inicio de sesión en el equipo.

Algunas versiones de este sistema operativo crean automáticamente una “Sesión de Invitado”, nosotros recomendamos deshabilitarla, pues en ocasiones genera problemas al poder ser utilizada por software malintencionado que instale programas en nuestros equipos, con consecuencias no deseadas, como el robo de identidad.

También resulta interesante y obligatorio en algunos casos, la utilización de un salvapantallas cuando el equipo este sin actividad tres o mas minutos, obligando a volver a introducir la clave de usuario para poder continuar trabajando.

Si el equipo es usado por más de una persona, cada persona ha de tener su propio usuario y su clave personal. Eso facilita el mantenimiento y la seguridad de los equipos y de los datos.

miércoles, 27 de agosto de 2008

La seguridad Informática (I)

Tener un sistema informático para trabajar en lo usual a día de hoy, pero es algo más que tener un PC y utilizarlo.

Las PYME, los profesionales liberales, las asociaciones o cualquier tipo de organización trabajan con equipos informáticos aislados o en red, incluso con equipos conectados vía Internet.

Como es difícil que cuenten con un informático y más aun con un especialista en seguridad informática, queremos ayudar desde aquí para conseguir mejorar los niveles de seguridad y evitar problemas indeseados.

Para ello, iniciamos ahora una serie de artículos con pequeñas tareas de administración y seguridad que ayudaran a mejorar nuestro sistema, pero en especial su seguridad, tal y como exige la Ley Orgánica de Protección de Datos y su Reglamento. Las organizaciones a las que hemos realizado la adaptación a la ley, ya las conocen y las utilizan, pero siempre es bueno un recordatorio en estos temas.

1.- El sistema operativo:

Es el encargado de gestionar todas las operaciones que realiza el equipo o hardware, se carga en la memoria nada mas encenderlo y por tanto es “el alma” de cualquier sistema informático, independientemente de su configuración y del tipo de sistema operativo utilizado. Sin el no funciona nada.

Los hay comerciales, como Windows o libres como Linux, pero no son los únicos, hay gran numero de sistemas operativos, algunos de ellos propietarios, es decir que solo sirven para un determinado equipo.

Sea el que sea que utilizamos, es importante saber exactamente cual es, como funciona y que versiones y actualizaciones tenemos instaladas. Por descontado que los sistemas operativos comerciales han de ser originales. Si el ordenador ya trae instalado de fábrica el sistema operativo, han de entregarnos los discos de la versión correspondiente y las etiquetas y manuales originales.

Todo ello nos permite mantener el sistema actualizado durante un gran número de años, incluidas las actualizaciones o parches originales del fabricante, que solucionan pequeños problemas detectados en el sistema. Pero sin ello no podremos activar el sistema y no dispondremos de las mejoras que implementan los fabricantes.

Como la mayoría del parque de ordenadores utiliza Windows en sus diferentes versiones, desde este momento nos referiremos a este sistema operativo. Aunque la mayoría de funciones también están disponibles para otros sistemas.

Una buena función de Windows es las actualizaciones automáticas, que se cargan solas en el equipo, liberando trabajo extra y mejorando la seguridad, pues la mayoría son parches para solventar agujeros de seguridad detectados.

En el próximo artículo explicaremos como configurar Windows, para que sea mas seguro de utilizar.

domingo, 3 de agosto de 2008

¿Como cubre la LOPD? (Parte II)

Continuado con el “como cubre la LOPD”, queremos aclarar los niveles de seguridad, que han ido apareciendo en el anterior articulo.

Nivel básico, todos los ficheros que contienen datos de carácter personal, han de adoptar las medidas de seguridad calificadas de nivel básico.

Nivel medio, han de implantar las medidas de seguridad de nivel medio, además de las de nivel básico, los siguientes ficheros:
- Los relativos a la comisión de infracciones administrativas o penales.
- Los de las administraciones tributarias.
- Los de las entidades financieras.
- Los de entidades gestoras y servicios comunes de la Seguridad Social, así como las mutuas de accidentes de trabajo y enfermedades profesionales.
- Los que permitan evaluar determinados aspectos de la personalidad o del comportamiento.
Nivel alto, han de implantar las medidas de seguridad de nivel alto, además de las de nivel medio y básico, los siguientes ficheros:
- Los que tengan datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
- Los que contengan o se refiera a datos recabados para fines policiales sin consentimiento de las personas afectadas.
- Los que contengan datos derivados de actos de violencia de genero.

Existen excepciones para algunos tratamientos de datos, que dejan de ser de nivel alto, cuando sean datos tratados accesoriamente y de forma no automatizada, o cuando la única finalidad es realizar transferencias dinerarias de socios o miembros, etc.

En definitiva, como cubre la LOPD es amplio y complejo, por lo que recomendamos que cuando adapte su organización para cumplir con la ley, si aun no lo ha hecho, lo realice un especialista, de manera personalizada para su organización. Puede contar con nosotros en www.bono-che.es, donde le ofrecemos un servicio completo y personalizado para usted, de forma sencilla, eficaz y económica.

martes, 15 de julio de 2008

¿Como cubre la LOPD? (Parte I)

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, marca un gran número de medidas a adoptar, por parte de las organizaciones que tienen datos de carácter personal, que son diferentes y acumulativas según el nivel de seguridad que marcan los datos.

Pero para empezar, aclarar que los datos no son de las organizaciones que los tienen, son de las propias personas físicas, que disponen del derecho de acceso, rectificación, cancelación, bloqueo o denegación, que pueden ejercer ante las citadas organizaciones, que han de realizar los derechos ejercidos y comunicarlo al titular de los datos, generalmente en un plazo de diez días máximo. Para velar por el cumplimiento del ejercicio de los derechos esta la Agencia Española de Protección de Datos, a la que se puede pedir amparo.

Otra aclaración importante, es que no se distingue entre medios automatizados o no automatizados, es decir en formato digital-electrónico o documental-papel. Tampoco se diferencia entre ficheros de organizaciones públicas o privadas, todas han de cumplir determinados requisitos, aunque con excepciones en algunos casos para los públicos.

La primera obligación es nombrar un Responsable de Fichero, que será el responsable de que la organización cumpla con todo lo que marca la ley, además de ser el interlocutor con la Agencia Española de Protección de Datos. En algunos casos también un Responsable de Seguridad, que ayude al primero.

La segunda obligación es la de inscripción de los ficheros en la Agencia Española de Protección de Datos, que ha de hacerse antes de incluir datos personales en los mismos. La citada agencia nos notificara un número de registro para cada fichero.

Tercera y quizás la mas compleja, la redacción del Documento de Seguridad, en el que se recogen todas las medidas de seguridad que se han de aplicar en la organización, todos los ficheros inscritos ante la agencia, los responsables de tratamiento y sus obligaciones, si existen responsables de seguridad y sus obligaciones. Como se gestionan los derechos de acceso, rectificación, cancelación, bloqueo o denegación, así como se informa de los mismos. Quien puede acceder a los datos, como, cuando y porque. Como se gestionan las copias de seguridad. Como se gestionan los soportes. Como se gestionan las incidencias. Etc. Todo ello adaptado a los diferentes entornos que existen en las organizaciones, según usen los datos, quien los uses y para que, así como si son el formato documental-papel, electrónico o mixto (el más habitual).

Cuarta, dependiendo del nivel de seguridad de los datos, se tomaran diferentes medias, de modo acumulativos, es decir, todos los ficheros las marcadas para el nivel básico, las de nivel medio más las de nivel básico para los ficheros marcados como nivel medio, y así sucesivamente. Todas estas medidas se desarrollan en el Documento de Seguridad, aquí solo las enumeraremos, siendo diferentes para cada nivel de seguridad:

- BASICO: Funciones y obligaciones del personal. Registro de incidencias. Control de accesos. Gestión de soportes y documentos. Identificación y autenticación. Copias de respaldo y recuperación.
- MEDIO: Responsable de seguridad. Auditoria. Gestión de soportes y documentos. Identificación y autenticación. Control de acceso físico. Registro de incidencias.
- ALTO: Gestión y distribución de soportes. Copias de respaldo y recuperación. Registro de accesos. Telecomunicaciones.

Quinta, para los ficheros no automatizados, además y entre otras medidas, se les aplicara las siguientes medidas, también acumulativas:

- BASICO: Criterios de archivo, dispositivos de almacenamiento y custodia de soportes.
- MEDIO: Responsable de seguridad y Auditoria.
- ALTO: Almacenamiento de la información, copia o reproducción, acceso a la documentación y traslado de documentación.

Sexta, la adaptación documental, que incluye las páginas Web, los correos electrónicos, los formularios o los contratos, con la inclusión de las diferentes “coletillas informativas”, la inclusión de un “Aviso Legal” en la pagina Web, así como la correcta planificación de la pagina. También a de incluirse las cláusulas correspondientes en los contratos de nuestros tratadores de datos o en los que nosotros tratemos dados de otros.

Además de todo esto, siempre esta la Agencia Española de Protección de Datos, para velar y hacer cumplir con lo que marca la ley, además de ayudarnos a ello con la publicación de diferentes guías, resoluciones, consultas, etc.

miércoles, 2 de julio de 2008

¿Qué cubre la LOPD?

La Ley Orgánica de Protección de Datos, y su correspondiente Reglamento de Desarrollo, aprobado por Real Decreto 1720/2007, es un mecanismo jurídico complejo, con el que la administración y en concreto la Agencia Española de Protección de Datos, como órgano encargado de la vigilancia y cumplimiento de la citada ley, tiene por objetivo “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades publicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal”. Comprende por tanto el tratamiento automatizado y el no automatizado de los datos de carácter personal.

Pero para aclarar lo que nos indica la ley, nada mejor que el sentido común. Podemos interpretar, que nuestros datos personales, tanto DNI, nombre y apellidos, teléfono, correo electrónico, como los que están más especialmente protegidos, como nuestras finanzas, religión, salud, imagen, etc. están cubiertos por la citada ley.

Esto significa que tenemos el derecho a saber quien tiene nuestros datos, como y para que los utiliza, además de acceder, rectificar, cancelar, bloquear o denegar el uso que hace de ellos cualquier organización, no solo las empresas, autónomos, profesionales liberales, etc., sino también la asociación de vecinos, el club deportivo, etc. Esto incluye a los organismos públicos, con ciertas limitaciones en su caso. No siendo necesario que esos datos estén tratados automatizadamente, es decir en ficheros electrónicos o mas coloquialmente en ordenador.

Como se puede apreciar de estas líneas, es una ley que cubre a todas las personas físicas, no diferenciando por el tamaño de la organización que tiene los datos, aunque si marca diferentes medidas de protección según el tipo de datos.

Por ultimo, desconfíe de las organizaciones que no le informan de la recogida de sus datos, más aun si es por Internet. Y si tiene dudas de si esa organización cumple la ley, puede empezar por buscar en la página de la Agencia Española de Protección de Datos si tienen ficheros inscritos o incluso presentar una denuncia si cree que sus datos están siendo usados de manera fraudulenta. El despacho www.abogadosedo.es puede ayudarles en cualquiera de estos casos.

lunes, 16 de junio de 2008

EL CASO DE LOS PAPELES TIRADOS A LA BASURA

Recientemente, ha salido en las televisiones, como un reportero recogía de los contenedores de basura de diferentes juzgados españoles, bolsas llenas de documentos y expedientes judiciales, que han sido llevados a la Agencia Española de Protección de Datos, para que estudie el caso.

En nuestra opinión, mientras la ley no permita multar a los responsables de los ficheros públicos, estos casos se repetirán cada vez que se realice un reportaje periodístico en juzgados, hospitales, ayuntamientos y diferentes instituciones públicas.

Es cierto que la falta de una trituradora de papeles, puede ser una excusa, pero existen otros métodos, como una guillotina, empresas especializadas o simplemente romper con la mano los documentos antes de tirarlos. Incluso, se podría añadir algún tipo de tinta en la bolsa, como remedio imaginativo.

Pero el problema se presenta porque desde las instituciones públicas no se da el valor necesario a la LOPD, ya que los responsables, solo pueden sufrir un expediente, pero la institución nunca es multada económicamente, lo que hace que no se tome en serio su cumplimiento. Además, suele ser más fácil culpar a un pobre funcionario, con su correspondiente expediente, que culpar al juez, al director de un hospital o a un alcalde.

La falsa creencia de que los datos son de quien los tiene, en lugar del titular de los mismos, tampoco ayuda, los datos no son de hacienda, del ayuntamiento, del banco o del medico, los datos son de los titulares de dichos datos. Y tienen todo el derecho a saber quien los tiene y para que los usa, además de esperar un correcto uso y custodia de los mismos, mientras son usados y una correcta destrucción al finalizar la vida de los mismos.

Por ultimo, indicar que si esto mismo, se hubiera realizado a una institución privada, con resultados similares, la multa seria histórica y ejemplarizante, además de la perdida en el valor de la marca de la empresa y en la confianza de sus clientes o usuarios, que pagaría cara.

miércoles, 4 de junio de 2008

LA GESTION DE LA SEGURIDAD DE LA INFORMACION

Para realizar una correcta gestión de la seguridad de la información, no solo tratando de cubrir los aspectos legales, se deben aplicar un gran número de políticas y medidas que engloban a toda la organización, lo que implica una correcta gestión de los datos e información de las organizaciones.

En nuestra opinión y experiencia, creemos que se pueden diferenciar cuatro casos básicos, en cuanto a como realizan esta gestión las organizaciones.

Primero, la implantación de medidas básicas o de sentido común, copias de seguridad, cuentas de usuario en los equipos, archivo de la documentación en carpetas, etc. Que son implantadas casi de primeras por cualquier organización.

Segundo, adaptación parcial a la legalidad, con el registro de ficheros en la Agencia Española de Protección de Datos, adaptación de formularios. Que suelen realizar los propios interesados, e incluso tienen la falsa creencia de cumplir íntegramente la ley.

Tercero, cumplimiento legal, con la realización del documento de seguridad, registro de ficheros en la Agencia Española de Protección de Datos, adaptación de formularios, adaptación de pagina Web y coletillas de correo electrónico, ficheros documentales – papel, información a los empleados, contratos de outsourcing, auditorias, etc. Este paso lo suelen realizar en colaboración con empresas externas, como Bono-Che SL.

Cuarto, gestión integral de la seguridad, en la que la organización se preocupa de crear, mantener y actualizar sus políticas de seguridad, planes de gestión ante incidencias y continuidad operativa. Incluso de certificar esta gestión, con sus correspondientes planes. Que son la minoría de organizaciones las que lo realizan, en especial las grandes empresas. Bono-Che SL ofrece servicios completos y personalizados también en este caso.

jueves, 15 de mayo de 2008

¿POR QUE UN PRECIO Y UN SERVICIO PERSONALIZADO?

La LOPD de Carácter Personal, diferencia tres niveles de protección, según el tipo de datos. Esto implica que no diferencia entre una pequeña clínica y una Corporación Estética.

Obviamente, las medidas de protección han de ser las mismas, pero con la diferencia importante en el numero de trabajadores, de equipos informáticos e incluso en el numero tratadores de datos. Por no incluir la existencia de una red corporativa, de paginas Web en diferentes servidores, cesiones internacionales de datos, etc.

Un programa informático estándar difícilmente puede cubrir todas las variables posibles, pues no es lo mismo una empresa, una asociación, o una comunidad de vecinos. Y dentro de ellas, no es lo mismo una empresa que otra. Además de no ser posible la realización de un Documento de Seguridad que cubra todas las distintas variables de manera automática, ha de realizarse a medida de la organización.

En el mercado existen, como ejemplo, gran número de programas informáticos para abogados o incluso formularios tipo para presentar distintos escritos ante la administración, pero nadie pondría en manos de un programa informático asuntos de importancia, que requieren los conocimientos de un Abogado, por el número de variables y casuística posibles.

Con todas estas premisas y variables posibles, apostamos por las tecnologías adaptadas a cada caso particular, creemos muy importante y así lo hacemos, ofrecer un servicio personalizado a cada organización. Adaptándonos a su estructura para implementar el sistema de seguridad y confeccionar la documentación que marca la ley. Esto implica también una adaptación en los costes y por lo tanto en los precios de nuestros servicios. Generalmente mas económicos que la mayoría de programas informáticos.

lunes, 5 de mayo de 2008

La importancia Tecnologica

Que la tecnología es importante en el mundo actual, lo demuestra que alguien dedique un tiempo a escribir estos artículos y que alguien dedique su tiempo a leerlos. La tecnología ha impregnado todos los aspectos de nuestra vida cotidiana y profesional.

La velocidad con que han mejorado los ordenadores y cualquier sistema electrónico, hacen que muchas veces se superen las previsiones de los poderes y nuestras leyes sean desbordadas por la tecnología.

Pero además, dentro del mundo tecnológico, no todo el mundo avanza a la misma velocidad. Los fabricantes como Intel tienen una velocidad de crucero elevada, pero los fabricantes de software no tanto, aunque se trate de un gigante.

Por otra parte, estamos los usuarios, la mayor parte de ellos con conocimientos básicos y medios, que con gran esfuerzo tratamos de mantenernos dentro de esta carrera de fondo a gran velocidad. Con los elevados costes que nos acarrea a todos.

Como nosotros apostamos por la tecnología, creemos importante la inversión en equipos y programas informáticos, pero siempre dentro de un razonamiento operativo, que nos permita mejorar realmente, no solo tener gráficos más vistosos o sonido envolvente, si no son necesarios para nuestro trabajo.

En ocasiones, nuestros clientes han realizado inversiones en nuevos programas que no les permiten cumplir con la normativa actual, con el encarecimiento que puede suponer otro cambio o la posible sanción económica de la AEPD.

Queremos ofrecer nuestra ayuda a los desarrolladores de software, webmaster, etc. para cumplir con la LOPD y LSSICE, para ello, abriremos una nueva línea de negocio próximamente, en la que ofreceremos a precios razonables nuestros servicios.

Recordamos a nuestros clientes que siempre pueden contar con nosotros para asesorarles en estas materias, antes de realizar una inversión en tecnología de la información.

jueves, 24 de abril de 2008

1ª SESION ANUAL ABIERTA DE LA AEPD 21-04-2008

He asistido a la magnifica jornada organizada por la Agencia Española de Protección de Datos, en el Palacio de Congresos del Paseo de la Castellana de Madrid, lo que me ha permitido volver a mi lugar de nacimiento y recordar los atascos que sufre la ciudad cada mañana (ida: 2 horas, vuelta: 25 minutos. para menos de 20 Km.). Estoy encantado de vivir en Valencia y no pasarme dos o tres horas diarias en un coche.

Las jornadas empezaron con la ausencia del Sr. Mariano Fernández Bermejo, Ministro de Justicia, que no tuvo a bien reunirse con las más de dos mil personas de toda España a las que había anunciado su presencia. Pero mandó al Secretario de Estado.

A la entrada se nos obsequio con un bolígrafo y un par de folletos informativos, pero no tuvieron el detalle de darnos ningún tipo de acreditación o certificado a los asistentes. Llamando la atención la poca seguridad, sin un solo arco de seguridad o vigilantes que miraran los bultos a los asistentes. Cuando es lo normal en cualquier sitio a día de hoy.

El acto estaba dividido en dos sesiones, con distintas intervenciones, más o menos interesantes, pero que intentaban aclarar el panorama presentado con el nuevo Reglamento, seguido de sus ruegos y preguntas. Primero se respondió a algunas de las cuestiones mandadas al formalizar la inscripción, todas de carácter muy general y por supuesto sin carácter vinculante. Pero en mi opinión lo más interesante fueron las contestaciones a las preguntas de los asistentes.

Quiero agradecer a una señora, de la que desconozco el nombre, que preguntara ¿Cómo se financia la Agencia Española de Protección de Datos? El Director de la Agencia, Sr. Artemi Rallo Lombate, tras irse por las ramas un poco, concreto que se financian con una partida de los presupuestos generales del estado, mas una cuenta que gestionan ellos con las sanciones económicas fruto de las inspecciones. A mi, me parece muy peligroso y puede generar gran numero de actuaciones de inspección y sanciones, que les permita mayor financiación…

En otra pregunta para el Subdirector General de Inspección de Datos de la Agencia, Sr. Jose López Calvo, durante su contestación, aclaro la no necesidad de informar previamente a las empresas que se van a inspeccionar, así como que se incoan expedientes de inspección, entre otros motivos por denuncias anónimas. A mi esto me parece igual o mas peligroso que lo anterior, pues puede convertirse en un medio para solucionar rencillas personales o simplemente para hundir a un adversario empresarial. Denunciar anónimamente, sin ninguna prueba, no deja el estado democrático en buen lugar. Espero que las actuaciones de la Agencia no se basen el este método.

En definitiva, una jornada interesante, en lo personal y en lo profesional. Que me hace ver como un paseo el viaje Madrid-Valencia, en comparación con el viaje Boadilla del Monte – Paseo de la Castellana. Sobre el resto de cuestiones tratadas, procurare escribir próximamente.

En este caso si animo a todos a opinar sobre estas jornadas. Gracias.

Fdo. Gonzalo Martín Hidalgo.

viernes, 11 de abril de 2008

Plazos de Adaptacion al Nuevo Reglamento

PLAZOS DE ADAPTACION AL NUEVO REGLAMENTO 1720/2007 de 21 Diciembre

Según el, Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de diciembre, de Protección de Datos de Carácter Personal, Articulo único. Aprobación del reglamento. Disposición transitoria segunda.

En el apartado 1º, respecto a ficheros automatizados que existieran en la fecha de entrada en vigor, marca un periodo de un año para los ficheros de nivel medio y de dieciocho meses para los de nivel alto. Dando un periodo de un año para los casos que requieran la implantación de una medida adicional.

En el apartado 2º, respecto a ficheros no automatizados que existieran en la fecha de entrada en vigor, marca un periodo de un año para los ficheros de nivel básico, dieciocho meses para los de nivel medio y dos años para los de nivel alto.

En el apartado 3º, respecto a los ficheros creados con posterioridad a la fecha de entrada en vigor, tanto automatizados como no automatizados. “deberán tener implantas, desde el momento de su creación la totalidad de las medidas de seguridad reguladas en el mismo”

A efectos prácticos, hemos de señalar las siguientes consideraciones:

Como creemos que la adaptación a la ley ha de realizarse en conjunto y de manera completa, siempre seria interesante ajustarse a los plazos mínimos, es decir un año, para adaptar todas las medidas necesarias.

Al tener que adaptar sus medidas a los ficheros no automatizados, al tratarse de Ficheros Mixtos en la mayoría de ocasiones, según nuestra experiencia, aprovechemos la ocasión para mejorar nuestro sistema de seguridad en su conjunto. Comprobando que efectivamente se cumple con la compleja normativa marcada por el Reglamento de Desarrollo de la Ley Orgánica 15/1999.

También consideramos importante el apartado tercero, para las empresas de nueva creación o simplemente, para la apertura de nuevas líneas de negocio, que requieren en la práctica una adaptación a la ley, tanto documental como formal desde un principio.

martes, 1 de abril de 2008

¿Que Considerar como Fichero?

Segun el Reglamento de desarrollo de la Ley Orgánica 15/99, de 13 de diciembre, de Proteción de Datos de Carácter Personal, en su Artículo 5 - Definiciones, considera Fichero "Todo Conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso."
A efectos prácticos, hemos de señalar las siguientes consideraciones:
  1. Es indiferente que los datos estén recogidos en formato documental (papel) o en archivos electrónicos informatizados, que son los más usuales, pero incluso estarían protegidos los datos guardados en formato video, sonoro, fotrográfico o cualquiera que sea el método de almacenamiento.
  2. Si en formato documental, consideramos como un fichero, por ejemplo de facturas emitidas, al conjunto de todas nuestras facturas emitidas, aunque se almacenen organizadamente en diferentes archivadores, de igual forma, consideraremos un fichero electrónico al conjunto de archivos, organizados en diferentes carpetas o directorios, o bien, organizados por el programa que trata esos datos.

Por tanto, si tenemos un programa de gestión, para trabajar con los datos de los clientes, proveedores, las facturas, las nominas o cualquier otro tipo de datos, podemos considerar todos esos datos, como un solo fichero. Si guardamos los soportes que generan esos datos, como serian las facturas, las fichas de clientes, etc. en formato documental, podemos englobarlo dentro de ese mismo fichero.

De cara a la Agencia Española de Protección de Datos, solo tendríamos que dar de alta, un solo fichero, indicando que el sistema de tratamiento es mixto.

jueves, 27 de marzo de 2008

Nos Presentamos



BONO-CHE S.L., es una empresa con domicilio en Valencia, que da servicios de Protección de Datos de Carácter Personal (LOPD).

Invertimos gran cantidad de recursos en ofrecer servicios personalizados, adaptados a cada empresa, organización, asociación, autónomos, etc. Con precios competitivos y formas de pago adaptadas a las necesidades particulares de cada uno.

Disponemos de una pagina Web http://www.bono-che.es/, donde encontrará información relacionada con nuestros servicios, así como las distintas posibilidades de contactar con nosotros mediante correo electrónico, teléfono, etc.

Estamos preparando un servicio On-Line para facilitar nuestros servicios mediante correos electrónicos, lo que redundara en una disminución de los precios y una mayor facilidad para nuestros clientes. Encontrándose en fase Beta (pruebas), esperamos poder ofrecer el servicio completo en el próximo mes de Septiembre 2008.

Mediante este blog, pretendemos dar información actualizada de la empresa, de las leyes y otros aspectos relativos a la Protección de Datos de Carácter Personal y de la Sociedad de la Información. Intentando mantener una periodicidad quincenal, que podrá irse reduciendo en función de la aceptación de los contenidos.

Para cualquier consulta, sugerencia o información, pueden dirigirse a informacion@bono-che.es, ya que este blog no queremos convertirlo en un foro de preguntas y respuestas, sino en un medio útil de información y ayuda para todos los interesados en una correcta implantación de las medidas que marca la ley.

Por ultimo, agradecer a nuestros clientes y colaboradores, la gran aceptación que hemos tenido. Esperamos seguir contando con su apoyo. Gracias.