28 jun 2012

Diligencia y Concienciación sobre nuestro Derecho a la Intimidad y a la Protección de Datos

Hace mucho tiempo escribí una entrada titulada ¿A quíen pertenecen realmente nuestros datos personales? En ella reflexionaba sobre como muchas veces a cambio de descuentos ya sea en Internet como en el mundo real,  por medio de las miles de tarjetas descuento existentes hoy en día como pueden ser las de gasolineras, supermercados, vídeo clubes (estos últimos para nostálgicos), o tiendas de todo tipo en general, resulta cuando menos curiosa la utilidad y rentabilidad que obtienen de dichos datos (es decir de nuestros datos).
Sin darnos cuenta los usuarios y ciudadanos, estamos facilitándoles información valiosísima sobre los hábitos de consumo, periodicidad en las compras, gustos y preferencias de las que disponemos, llegando así a la absurda situación en la cual conocen mejor nuestros gustos las gasolineras y los supermercados (por citar algunos ejemplos) que nosotros mismos.

Bien hasta aquí, es un tema en el cual cada uno es responsable de sus actos y de lo que hace con sus datos, ya sea a cambio de descuentos o bonificaciones de distinta índole (que la verdad sea dicha muchas veces no son gran cosa) o por el mero hecho de disfrutar de un servicio como puede ser el caso de las redes sociales.

Pero al margen de todo eso, lo que me ha alarmado esta semana, son dos noticias relacionadas con el acceso ilegítimo y el tráfico de datos personales. Hoy sin ir más lejos he leído por medio de un Twit de Iñaki Vicuña la siguiente noticia publicada por El País, "Bancos, seguros y abogados, principales clientes de la red de tráfico de datos" en la que se destaca que:

  • La policía ha transcrito 300 pinchazos telefónicos y va a analizar 80 discos duro.
  • Un intermediario pidió al menos 100 informes diarios a la empleada del Inem.

<<Los mejores clientes de la trama de venta de datos desarticulada por la policía de Barcelona eran las entidades bancarias, las aseguradoras, las agencias de cobro de morosos, los despachos de abogados y las grandes empresas, según fuentes de la investigación. En las 300 conversaciones transcritas por los investigadores, tras los pinchazos telefónicos autorizados por el juez, se repiten los nombres de este tipo de entidades. No obstante, lo que puede aportar una mejor radiografía de este escándalo son los 80 discos duros informáticos decomisados a los detectives privados e intermediarios detenidos.>>

Siempre se ha dicho que la información es poder y en mi humilde opinión, creo que es una verdad como un templo. De ahí que existan empresas multimillonarias las cuales trafican con datos, que además por lo general suelen ser su máxima fuente de ingreso. Eso sí, si se cumplen las normativas vigentes en cada momento en materia de privacidad, entonces y solo entonces será licito y plenamente valido, a pesar de que ciertamente pueda levantar ciertos recelos. Por poner un ejemplo, lo que pasa con muchas redes sociales (viven de los datos de los usuarios, no son gratis), con el cambio repentino de las Políticas de Privacidad etc. Dicho lo cual, hay que destacar que los casos como los que plantea la noticia publicada por El País, son cien por cien ilegales y por ello se les persigue tal y como ha ocurrido en esta ocasión.

Entrando un poco en harina y por poner un ejemplo, en uno de los párrafos de la noticia, se cita lo siguiente:

<<Los tentáculos de la red disponían también de información tan sensible como historiales clínicos. Para ello, no dudaban en hacerse pasar por médicos, como hizo en una ocasión Jordi A., un detective de la provincia de Barcelona, que consiguió telefónicamente que una doctora de Canarias le diera el historial personal del trabajador de una empresa.>>

¿Por qué pasan cosas como la descrita en el quinto párrafo de esta noticia?
Porque la doctora de Canarias que se cita en la noticia, a lo mejor es cierto que actúo de buena fe para ayudar a un colega y en última instancia a un paciente, pero la realidad es que obro mal, ya que nunca se deben facilitar datos de terceros telefónicamente, NUNCA. Esto es así por una razón muy simple, ¿Cómo sabemos quien es realmente la persona que está detrás o al otro lado del teléfono? No se puede saber ni tener una certeza exacta y en mi opinión, este tipo de actuaciones como la descrita en la noticia, deja en evidencia en este caso concreto, que esta doctora, probablemente no fue informada debidamente sobre lo que se puede hacer y lo que no en materia de protección de datos en la ejecución de su trabajo.

En otro apartado de la misma noticia hacen mención a otro incidente bastante inquietante:
<<Al margen de la compra de datos a funcionarios corruptos, la organización tenía en su entramado a personas como M. B., un habilidoso ingeniero informático de Barcelona que ha trabajado mucho para el Centro Nacional de Inteligencia (CNI). Por medio de él, lograban penetrar en los discos duros de las personas a las que alguien quería atacar, lo que les permitía tener acceso a sus correos electrónicos y a todo el contenido de sus ordenadores. De esa forma, se apoderaban de información comprometida que más tarde lavaban haciendo que la víctima —generalmente un trabajador al que una empresa quería despedir— accediese voluntariamente a abrir su ordenador en presencia de un notario.>>

En este caso, no se puede hacer otra cosa que perseguir a este tipo de personas, si bien muchas veces es difícil dada su experiencia y conocimientos técnicos. No obstante, esperemos que como en esta ocasión, finalmente a este tipo de profesionales de la seguridad de la Información se les atrape tal y como ha ocurrido en este supuesto.

Por lo general en la era de Internet, en la que los datos y la información vuelan de un lado a otro por medio de ordenadores y smarth phones de última generación, despierta cierta alarma y temor escuchar y/o leer este tipo de noticias. No obstante, por aportar algo positivo, creo debemos difundir y ejercer nuestros derechos ARCO. Es decir, ejercer el derecho de Acceder, Rectificar, Cancelar (en muchas ocasiones no supondrá la supresión de la información, sino el bloqueo) y de Oponernos al uso que se esté dando a nuestra información si consideramos que no es la adecuada o la deseada. Me parece importante realzar estos derechos que tal vez en muchas ocasiones los usuarios no son conscientes de que los tienen y son importantes para que precisamente sean ellos mismos, los usuarios o terceros los que vigilen y estén atentos sobre como se tratan sus datos personales y para que fin.

Por otro lado, haciendo referencia a la segunda noticia que me ha llamado la atención esta semana: "Los delitos por accesos ilegales a correos electrónicos y móviles crecen en Navarra de 2 a 39 en un año" quiero hacer la siguiente reflexión:

Tal vez algunos ciudadanos no sepan que la Protección de Datos Personales y el Derecho a la Intimidad de las personas son Derechos Fundamentales protegidos por la propia Constitución. Esto supone muchas cosas, pero la duda que me asalta es por poner un ejemplo, si la ciudadanía tiene claro que al igual que abrir la correspondencia ajena era una acción tipificada como delito (lo sigue siendo obviamente), entrar en la red social, whatsapp, correo electrónico, contenido del móvil o a otro tipo de cuentas personales y mensajes de otra persona sin su consentimiento expreso, es también una acción delictiva exactamente igual a la anterior (salvo muy pocas excepciones que habilitan dichos accesos sin consentimiento del interesado). Pero lo cierto, es que como decía, lo es, es un delito y el desconocimiento de la norma no exime de su cumplimiento y de sus posibles consecuencias en caso de incumplimiento. 


Por ello, quería destacar también las declaraciones realizadas esta misma semana por el Fiscal de Navarra en la que presentó la memoria de la Fiscalía Foral de Navarra correspondiente al año pasado, 2011. En ella se destacan entre otros actos delictivos que han tenido un notable incremento, aquellos delitos por accesos ilegales a correos electrónicos y mensajería móvil (SMS, whatsapp etc), en el que se ha observado un crecimiento en Navarra de un 1.850 por ciento pasando de 2 en en el año 2010 a 39 en el año 2011. El Fiscal, así mismo ha advertido que este tipo de actos,
<<"se castigan con multa y cárcel".>> 


En concreto es de aplicación lo establecido en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, en su Título X. Delitos Contra la Intimidad, el Derecho a la Propia Imagen y la Inviolabilidad del Domicilio, y en el Capítulo I. del Descubrimiento y Revelación de Secretos. Dentro del Artículo 197.1. El cual recoge que, el que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Por último, quiero recordar que el Derecho a la Intimidad y el Derecho a la Protección de Datos de las personas, son cuestiones muy serias y a tener muy en cuenta. Por este motivo, debemos tener precaución a la hora de gestionar nuestra información y la de los demás, por lo que creo profundamente en que es necesaria una mayor concienciación, formación e información en el ámbito de la Seguridad de la Información en general a la ciudadanía. A lo que a título personal como profesional y como miembro de PRIBATUA, (Asociación Vasca de Privacidad y Seguridad de la Información)  y APEP (Asociación Española de Profesionales de la Privacidad) trataré de promover siempre el respeto a la Intimidad y a la Protección de Datos de las personas y al ejercicio de buenas prácticas en el ámbito de la Seguridad de la Información en general. 


En este sentido por poner un ejemplo, se está trabajando ya desde esta misma semana en la organización de la segunda edición del congreso "euskal securiTIConference", por parte de Pribatua en colaboración con el COIIE / EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco). Quisiera así mismo, hacer una especial mención de Mikel G. Larragan como presidente de Pribatua y principal promotor del evento, ¡Eskerrik asko por este tipo de iniciativas Mikel!

Más información en: http://bit.ly/KMiC0X http://bit.ly/LrTUOr http://bit.ly/N4VOEP http://bit.ly/M7RZo5

Entrada Relacionada:

¿A quien pertenecen realmente nuestros datos personales?



19 jun 2012

"El Máster"


Quería destacar este Máster en Auditoría, Seguridad,  Gobierno y Derecho de las TIC el cual es impartido y organizado por la Universidad Autónoma de Madrid e IAITG, ya que creo que a las personas que como yo, damos importancia a seguir formándonos continuamente, entiendo que puede resultarles de interés por su perfil técnico y jurídico. Me parece realmente atractivo, tanto por el contenido como por los ponentes. Observando el horario se puede apreciar que está claramente orientado a personas que actualmente se encuentran trabajando ya que se impartirá los viernes y los sábados tanto en formato presencial como on-line.


 Programa:

  • Fundamentos Tecnológicos de los Sistemas de Información.
  • Seguridad Informática I.
  • Auditoría de los Sistemas de Información I.
  • Gobierno de los Sistemas de Información I.
  • Control Interno Auditoría de los Sistemas de Información II.
  • Seguridad Informática II.
  • Gobierno de los Sistemas de Información II.
  • Auditoría de los Sistemas de Información III.
  • Seguridad Informática III.
  • Gobierno de los Sistemas de Información III.
  • Informática Forense Derechos y Garantias en Sistemas de Información (Derecho al honor, órganos de control...). 
  • Protección Jurídica de los Bienes Inmateriales.
  • Gestión Económico Financera Capital Humano en la Gestión del Capital Intelectual.
  • Firma Electrónica y Certificación.
  • Digital Estándares (COBIT, ISO 38500, ISO 20000, ISO 27000, ISO 9000, UNE). 
  • Proyecto Final de Máster.  


La verdad es que incluso me estoy planteando realizarlo, para los que nos dedicamos a esto de la Seguridad de la información, sinceramente me parece "El Máster"...


¿Y a vosotros qué os parece?

Más información en: http://bit.ly/Lv7LZW


12 jun 2012

Pribatua en el número 100 de la revista SIC


Quiero agradecer desde aquí a la Revista SIC por la posibilidad que nos han brindado de dar a conocer a Pribatua, en especial a Virginia Moreno, a Luis G. Fernández y José de la Peña por contactar conmigo, para difundir la creación de la Asociación Vasca de Privacidad y Seguridad de la Información (Pribatua).

Un saludo y ¡A por otros cien números más!


6 jun 2012

¿Qué es Pribatua?

Hace ya una semana que varios profesionales vascos constituimos Pribatua. Por este motivo he querido realizar la presente entrada, ya que tal y como anuncié en anteriores post de este blog, esta Asociación, es para mi un proyecto personal, digo personal, porque a pesar de llevarlo a cabo con un montón de compañer@s más, es algo que hago y en la que me implico por iniciativa propia, como profesional de la Seguridad de la Información. La idea de crear Pribatua, surgió aproximadamente entre enero y febrero de 2010 y no fue hasta agosto del 2011 cuando se empezó a gestar lo que hoy en día se está poniendo en marcha.

Una cuestión que quiero destacar y aclarar es el nombre o "marca" de la Asociación (Pribatua). Ya que para bien o para mal creo que lleva a equivoco. ¿Qué significa? En Euskara Pribatua es privado y pribatutasun es privacidad, y no al revés, parece una tontería pero como decía, suele conducir a error, no sólo por lo explicado sino porque sin querer, se vincula Pribatua a privacidad (erróneamente) y esa no es más que una de las materias que abarca la Asociación. No obstante, en su momento, a la mayoría de las personas que conformábamos el proyecto de esta Asociación les/nos gustaba más como quedaba Pribatua como nombre y por ese motivo se decidió elegir ese nombre y no otro. Ahora bien, hay que aclarar que es un nombre de pila o de marca por así decir, ya que su verdadero nombre es el de Asociación Vasca de Privacidad y Seguridad de la Información.

Aclarado el nombre y el porque del mismo, me gustaría exponer en mi opinión, qué es Pribatua y por qué surge. La Asociación nace o se crea con la idea de compartir conocimiento en materia de Seguridad de la Información por parte de todas aquellas personas, entidades públicas o privadas o profesionales de Euskadi que tengan como interés la Seguridad de la Información.

Entonces ¿Cuál es el objeto de Pribatua? Como decía, en mi opinión el objeto de la misma es la propia Seguridad de la Información, pero y eso ¿Qué es? ¿Qué supone? Mejor dicho ¿Qué abarca la denominada Seguridad de la Información?

La Seguridad de la Información abarca muchísimas cuestiones, no sólo temas de Privacidad/ LOPD/ RDLOPD/ Futuro Reglamento Europeo en materia de Protección de Datos etc, que también. Sino que abarca cuestiones como Cloud Computing, o la propia Seguridad Informática que comprende numerosas cuestiones o submaterias de índole técnica como lo es el software (antivirus, medidas de seguridad, controles de acceso lógico), bases de datos, metadatos, archivos, o de hardware y sus distintos tipos de soportes, materias y productos, así como todos aquellos aspectos relacionados con la legislación de manera directa como indirecta, normativas, estándares, normas de calidad, metodologías y buenas prácticas relativas a la Seguridad de la Información en general. Por tanto ese es el ámbito de la Asociación o al menos en el que se quieren promover sus actuaciones.

En definitiva, lo que en mi opinión se pretende desde Pribatua es acercar dos mundos, el de los expertos en Tecnología de perfil técnico y el de los juristas o expertos en organización y en normativas vinculadas con las TIC (con toda la amplitud que ello conlleva). En este sentido, Pribatua, luchará por la defensa de los intereses de los distintos profesionales que tendrán acogida en la misma y se creará además, una bolsa de trabajo con la finalidad de promover la inserción en el mercado laboral de los profesionales de la Seguridad de la Información y la Privacidad.

Desde Pribatua, se difundirán así mismo y se impulsarán sinergias entre todo tipo de entidades en aras a colaborar y aprender entre tod@s para que la Sociedad Vasca en general se beneficie de su actividad.

Sólo me falta agradecer el acogimiento general que hemos recibido por numerosos profesionales del sector y espero que Pribatua aporte algo a todos ellos de aquí en adelante.

Un saludo
Jon


Entradas vinculadas: Al Blog de Mikel García Larragan

¿Por qué PRIBATUA? (I)

¿Por qué PRIBATUA? (II)