domingo, 29 de junio de 2008

Cine 2.0

Lo he leído en El Catalejo, en eCuaderno y en el blog de Enrique Dans y esta mañana he visto "Love and War"...aunque esto de mezclar música y marionetas me recuerda a la película "Bluebard" de Ulmer.

Google acaba de lanzar la screening room, un proyecto para publicar películas (de momento cortometrajes) en colaboración con sus autores. No sabemos en qué acabará convirtiéndose: un nuevo canal de televisión en el que todos podremos participar, el fin del espectador tal y como lo concebimos, un pequeño paso para Internet y un gran paso para el bien común en la sociedad de la información.

Por cierto, no se pierdan The Danish Poet.

sábado, 28 de junio de 2008

Paradoja del sábado por la noche

La siguiente paradoja nos la ha sugerido Paco, que la semana pasada realizó un estudio exegético de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
Pinche aquí y encuentre el artículo 8.

LOPD for Dummies (I)

Iniciamos hoy una nueva sección que espero que tenga tan buena acogida como la de "Esas desconocidas organizaciones internacionales". En ella, podrá encontrar respuestas a todas las dudas que la LOPD le plantea en el desarrollo de su actividad diaria, explicadas de una manera tan sencilla que incluso Usted podrá entenderlas.
Sin más preámbulos, paso a comentar todo lo que debe Usted conocer sobre la prestación de servicio en los que no se produzca acceso a datos. Estos servicios aparecen regulados en el art. 83 del nuevo reglamento, que dice:
"El responsable del fichero o tratamiento adoptará las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales.
Cuando se trate de personal ajeno, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio."
Las obligaciones que impone el citado artículo son dos:
1º. La primera obligación se trata, quizás, de una redundancia con respecto a lo dispuesto en el art. 91 del RLOPD sobre control de accesos. En cualquier caso, responsable del fichero deberá implantar medidas de seguridad específicas dirigidas a prestadores de servicios sin acceso a datos. Por ejemplo, si contratamos a un pintor que repase el gotelé de la sala de juntas, deberíamos revisar antes la dependencia para que no queden en ella armarios sin cerrar o documentos encima de la mesa como curricula vitae o informes. Otra medida podria ser desarrollar un procedimiento de atención a visitas que implique nombrar un responsable de las mismas (que acompañe en todo momento al visitante) e identificar al externo con una tarjeta. Resultaría conveniente añadir estas políticas en el documento de seguridad de la compañía.
2º. En segundo lugar, en los contratos celebrados con los prestadores sin acceso a datos, habrá de incluirse una cláusula del tipo: "El prestador del servicio se compromete a informar a todo su personal de la prohibición de acceder a cualquier soporte que contenga datos de carácter personal o a los recursos que contengan el sistema de información. Cualquier acceso accidental será inmediatamente comunicado al responsable del fichero y obligará al prestador y a sus trabajadores al secreto profesional respecto a la información de la que se haya tenido conocimiento".

domingo, 22 de junio de 2008

¿Estatuto del blogger?

En el Proyecto de Informe sobre la Concentración y el Pluralismo en los Medios de Comunicación, aprobado el 3 de junio pasado, la Unión Europea aboga por un estatuto jurídico para los weblogs que acabe con las incertidumbres respecto a la "imparcialidad, fiabilidad, protección de las fuentes, aplicación de códigos éticos y atribución de responsabilidades en caso de acciones judiciales".
Como cualquier intento de regular Internet, ha despertado polémica. La gracia de la "web 2.0" es que todos somos productores de información; no sólo leemos, también escribimos. Por primera vez, no dependemos de los medios de comunicación para que todo el mundo nos oiga. Es cierto que esto provoca un exceso de información, que no toda es de la misma calidad, que a vecesse difunda información no fiable, pero....¿no queda todo ampliamente compensado por los beneficios que obtenemos?

viernes, 20 de junio de 2008

KISS

KISS (Keep It Simple, Stupid) es la formulación americana de la "Navaja de Ockham". Se atribuye a Guillermo de OCKHAM el principio que dice que las cosas esenciales no se deben multiplicar sin necesidad ("pluralitas non est ponenda sine necessitate"... reconozca que si hubiera titulado este post así nunca lo habría leido).
Aplique este principio cuando decida registrar sus ficheros en el Registro General de Protección de Datos. No se dedique a notificar bases de datos; agrúpelas según finalidades y usos.
Una empresa media podría registrar solamente dos o tres ficheros: el de recursos humanos (trabajadores y selección de personal), el de clientes (o el propio de su actividad) y el de proveedores.
Además, hay que tener en cuenta que, de acuerdo al artículo 2 del nuevo reglamento, muchos ficheros de proveedores (y algunos de clientes) quedarán fuera del ámbito de aplicación de la normativa sobre protección de datos. Los apartados dos y tres del citado artículo determinan:
"2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal. "

miércoles, 18 de junio de 2008

Esas desconocidas organizaciones internacionales (V)

Dedicaremos el post de hoy al Consejo de Europa, organización pionera en la regulación de la protección de datos, a quien debemos dos de los primeros textos sobre la materia que datan de principios de los años 70:
- La Resolucion (74) 29, sobre la protección de datos de carácter personal en los tratamientos automatizados de bancos de datos del sector público.
- La Resolución (73)22 sobre la protección de datos de carácter personal en los tratamientos automatizados de bancos de datos del sector privado.
Unos años más tarde, en 1981, el Consejo de Europa aprobó el Convenio 108, primer instrumento internacional en materia de protección de datos. Como todos Usted saben, el Convenio 108 fue ratificado por España y constituyó la base sobre la que se redactó la derogada LORTAD.
El Consejo de Europa dispone de una sección en su página web dedicada a la protección de datos:
Nótese que ha nombrado un Comisario de Protección de Datos para verlar por el derecho que ha todos nos asiste.
Si desea ampliar sus conocimientos sobre la protección de datos en el Consejo de Europa, le recomiendo que se descargue gratuitamente este trabajo del Prof. Juan Antonio PAVÓN PÉREZ:

martes, 17 de junio de 2008

Los peligros de las redes P2P

A petición de mis escasos blogtores, facilito el link donde se puede encontrar la sentencia del Tribunal Supremo 236/2008 de 9 de marzo de 2008 (sala de lo penal, recurso de casación 1797/2007):
Los antecedentes de hecho de la sentencia han sido ampliamente comentados en distintos medios de comunicación: La acusada realizó varias búsquedas en emule por palabras claves como "bebés", "mamás", "papás", "niñas", "girls", "boys", "mamas con bebes". En varias ocasiones los archivos así descargados, resultaron contener pornografía infantil que la acusada borraba de su ordenador. La internauta fue localizada por la policía a través de su dirección IP y acusada de un delito de difusión de pornografía infantil.
¿Quién no se ha descargado alguna vez una película sadomaso pensando que era un clásico de Paco Martínez Soria? Descritos así los hechos, más de uno estará temblando mientras lee estas líneas.
Les gustará saber que la Audiencia Provincial absolvió a la acusada, declarando nula la prueba en que se sustentaba la acusación del Ministerio Fiscal, por estimar vulnerado el derecho al secreto de las comunicaciones.
Sin embargo, el Ministerio Fiscal recurrió en casación, dictaminando el Supremo en su Fundamento de Dercho Segundo:
"SEGUNDO.- Visto el panorama jurisprudencial y legislativo y trasponiéndolo al caso que nos ocupa se puede concluir lo siguiente: a) los rastreos que realiza el equipo de delitos telemáticos de la Guardia Civil en Internet tienen por objeto desenmascarar la identidad críptica de los IPS (Internet protocols) que habían accedido a los "hash" que contenían pornografía infantil. El acceso a dicha información, calificada de ilegítima o irregular, puede efectuarla cualquier usuario. No se precisa de autorización judicial para conseguir lo que es público y el propio usuario de la red es quien lo ha introducido en la misma. La huella de la entrada -como puntualiza con razón el Mº Fiscal- queda registrada siempre y ello lo sabe el usuario.
b) entender que conforme a la legalidad antes citada (unas normas vigentes en el momento de los hechos y otras posteriores) se hacía preciso acudir a la autorización del juez instructor para desvelar la identidad de la terminal, teléfono o titular del contrato de un determinado IP, en salvaguarda del derecho a la intimidad personal (habeas data). La policía judicial a través de un oficio de 6 de noviembre de 2005, completado por un informe de 24 de octubre del mismo año del Grupo de delitos telemáticos de la Guardia Civil interesa la preceptiva autorización que obtuvo con el libramiento de mandamiento judicial dirigido a los operadores de Internet para identificar ciertas direcciones IP del ordenador al objeto de proseguir la investigación.
Consecuentemente quien utiliza un programa P2P, en nuestro caso EMULE, asume que muchos de los datos se convierten en públicos para los usuarios de Internet, circunstancia que conocen o deben conocer los internautas, y tales datos conocidos por la policía, datos públicos en internet, no se hallaban protegidos por el art. 18-1º ni por el 18-3 C.E."
¿Qué les parece el razonamiento del Tribunal Supremo?

lunes, 16 de junio de 2008

Esas desconocidas organizaciones internacionales (IV)

Hoy dedicaremos nuestra sección de organizaciones internacionales desconocidas a la que quizás sea la más conocida de todas (y perdónenme lo fácil del juego de palabras): El Grupo de Trabajo del Artículo 29.

El GT29 se crea en cumplimiento de lo establecido en el mencionado artículo de la Directiva 95/46/CE , como grupo consultivo independiente con las funciones de:
  • Facilitar a la Comisión una opinión autorizada en nombre de los Estados Miembros sobre cuestiones relativas a la protección de datos.
  • Promover la aplicación uniforme de los principios recogidos en la directiva en los Estados Miembros.
  • Informar a la Comisión sobre toda medida comunitaria que tenga incidencia sobre la protección de datos y la protección de la vida privada.
  • Emitir recomendaciones destinadas al gran público y a las instituciones sobre distitntas cuestiones relativas a la protección de datos de carácter personal y a la vida privada.

Resulta fundamental conocer y citar los documentos del GT29 si uno quiere ser tomado en serio en el mundo de la protección de datos. La lista completa de los mismos puede encontrarse en la siguiente dirección:

http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2008_en.htm

Me ha parecido muy interesante el dictamen 4/2007, sobre el concepto de datos personales, pero su comentario merece un post aparte.

domingo, 15 de junio de 2008

Paradoja del domingo

Amigo blogtor:
Le animo que dedique esta tarde de domingo a una interesante paradoja lopedística. Lea atentamente y compare las dos infracciones siguientes:
"44.3. Son infracciones graves:
(...)
c) Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.
(...)
44.4. Son infracciones muy graves:
(...)
c) Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.
(...)"
Si procedo a recabar y tratar datos de salud sin consentimiento del afectado, ¿qué infracción se me imputará? Las diez primeras respuestas remitidas a este blog recibirán un regalo.

viernes, 13 de junio de 2008

Esas desconocidas organizaciones internacionales (III)

Como todos los viernes, acabo de recibir en mi buzón el informativo semanal "Observatorio de la Sociedad de la Información", una revista en línea editada en español por la Oficina de la Unesco en Montevideo. Si Usted desea suscribirse o consultar números anteriores, visete la siguiente dirección: http://www.unesco.org.uy/informatica/observatorio/
La publición de esta revista se inscribe dentro de un proyecto de la UNESCO denominado precisamente así, "Observatorio de la Sociedad de la Información". Se inició en el 1998 con el objeto de crear un mecanismo de vigilancia internacional permanente sobre los riesgos éticos y jurídicos asociados a los cambios que propician las nuevas tecnologías. Sus primeros temas de interés fueron el acceso a la información, la violencia en el ciberespacio, el comercio electrónico y, como no, la protección de los datos de carácter personal.
El Observatorio ha puesto en línea una interesante biblioteca electrónica que puede descargarse de manera gratuita en formato "pdf". Mi recomendación, un clásico: Status of Research on the Information Society.

jueves, 12 de junio de 2008

Esas desconocidas organizaciones internacionales (II)

Seguramente, Usted dormirá más tranquilo esta noche sabiendo que hay una persona que vela por el tratamiento de los datos de carácter personal en las instituciones comunitarias. Ese héroe anónimo que se confunde en el tranvía con cualquier funcionario belga es el Supervisor Europeo de Protección de Datos.
Para llevar a cabo la ingente tarea que tiene encomendada, la Oficina del Supervisor Europeo de Protección de Datos cuenta con un staff de 31 personas (incluyendo al Supervisor Adjunto, cargo actualmente ocupado por un español).
Si visita su página web, no olvide suscribirse a su servicio de newsletters.

miércoles, 11 de junio de 2008

Esas desconocidas organizaciones internacionales (I)

París, Estrasburgo, Bruselas y Nueva York están llenas de organizaciones internacionales de las que dependen los más exóticos e inverosímiles grupos de trabajo.
Es probable que Usted no haya oido hablar del Grupo de Trabajo de Seguridad de la Información y Protección de la Privacidad (WPISP, Working Party on Information Security and Privacy), dependiente del Comité para la Política de la Información, Informática y Comunicaciones, ICCP, Comité adscrito a la dirección para la Ciencia, la Tecnología y la Industria, de la OCDE.
Pues bien, este grupo, en el que participan por parte de España el Ministerio de Industria, Turismo y Comercio, el Ministerio de Administraciones Públicas y la Agencia Española de Protección de Datos, es el encargado de promover la adopción de políticas armonizadas entre los estados miembros en materia de seguridad de la información y protección de datos.
El WPSIP ha desarrollado un portal de "cultura de la seguridad", donde pueden consultarse documentos de interés sobre identidad digital o lucha contra el Spam.
Recordemos que la expresión "cultura de la seguridad" se utilizaba en las "Líneas Directrices de la OCDE para la seguridad de sistemas y redes de información: Hacia una cultura de seguridad" del año 2002. Las Líneas Directrices de la OCDE, pese a estar prácticamente vacías de contenido, o precisamente por eso, han sido reconocidas por la ONU y el Consejo de Europa. Se componen de los siguientes nueve principio, que deben ser interpretados como un todo:
1º. Sensibilización
2º. Responsabilidad
3º. Reacción
4º. Ética
5º. Democracia
6º. Evaluación de riesgos
7º. Concepción y puesta en práctica de la seguridad
8º. Gestión de la Seguridad
9º. Reevaluación
Los tres últimos principios sin duda resultarán familiares a aquellos que se hayan aventurado a implantar un Sistema de Gestión de Seguridad de la Información.....

martes, 10 de junio de 2008

Este blog no está actualizado desde mi puesto de trabajo

Hace unos días, “EL MUNDO” informaba de que un trabajador del Centro Espacial Johnson de la NASA había sido sancionado con una suspensión de empleo y sueldo de 180 días por actualizar su blog desde su puesto de trabajo. Esta noticia apenas despierta interés, comparada con los primeros casos de trabajadores sancionados por mezclar su vida laboral con su actividad como bloggers.
Quizás uno de los más comentados fue el de Jessica Cutler, que bajo el nombre de Washingtonienne, creó un blog en el que relataba sus aventuras sexuales con distintos políticos americanos. Cutler trabajaba por aquel momento como asistente del Senador Republicano por Ohio, Mike DeWine. Su intención era mantener un blog que consultaran únicamente sus amigos más cercanos, pero una página web especializada en cotilleos políticos difundió la dirección de la web. Miles de personas, incluyendo muchos de los hombres que aparecían en las historias de Washingtonienne, leyeron el blog antes de que Jessica Cutler pudiera retirar su contenido. Como suele pasar en estos casos, tras su despido fulminante, la revista Playboy le hizo una oferta para posar desnuda.
Su historia fue objeto de un extenso artículo en el Washintong Post de fecha 15 de agosto de 2004, disponible todavía on-line. Quien quiera saber que ha sido de Washingtonienne puede visitar estas páginas:
http://washingtoniennearchive.blogspot.com/
http://jessicacutleronline.com/
En España, tuvo cierta repercusión el "caso AXPE". Un trabajador despedido por la citada consultora comenzó a realizar comentarios en su blog sobre su antigua empresa, que remitió un burofax solicitando la retirada de los mismos. El texto del burofax fue colgado inmediatamente del blog. Como comenta Enrique DANS, “la reacción del blogger al escanear y publicar el amenazante burofax desencadenó una respuesta en la que más de doscientos blogs, entre los que se encontraban los más leídos en lengua española, se hacían eco del suceso, mientras se creaban por otro lado, páginas web en las que otros afectados por despidos similares en la misma empresa comentaban sus experiencias. La respuesta tuvo tal magnitud que inundó la página de búsquedas de los principales buscadores cuando se intentaba obtener información utilizando el nombre de la compañía, y resultó notablemente perjudicial para la misma.”(DANS, Enrique: “Blog y empresa: de la oscuridad a la luz, pasando por las tinieblas” en CEREZO, José M. dir.: La blogosfera hispana: Pioneros de la cultura digital. Fundación France Telecom España. Página 166).
Por cierto, la publicación de la que proviene la anterior cita se puede obtener gratuitamente en la siguiente dirección: http://www.fundacionorange.es/areas/25_publicaciones/publi_253_9.asp

lunes, 9 de junio de 2008

Acceso a la Historia Clínica por los herederos del paciente fallecido

Sorprende que la Agencia Española de Protección de Datos tutele el ejercicio del derecho de acceso a la Historia Clínica por parte de los descencientes de un paciente fallecido después de declarar en un informe jurídico del año 2002:
"No obstante, sería posible el acceso de los herederos a los datos del causante siempre que los mismos aparezcan directamente relacionados con su propia condición de heredero (por ejemplo, el acceso a los datos necesarios para conocer el caudal relicto o el estado de determinados bienes de la herencia). Sin embargo, el acceso a la información a la que nos referimos no podría entenderse relacionado con el derecho de acceso consagrado en la legislación de protección de datos de carácter personal, sino que se desprendería del derecho de todo heredero a conocer el caudal relicto y el estado del mismo, así como realizar las acciones necesarias para su determinación y defensa, toda vez que el mismo sucede al causante en todos sus derechos y obligaciones como consecuencia de su muerte, tal y como determinan los artículos 651, 659 y 661 del Código Civil.
En consecuencia, a la vista de lo que se ha venido exponiendo, los herederos podrán tener acceso a los datos del causante en cuanto ello suponga el ejercicio en su nombre de una acción amparada por la Ley Orgánica 1/1982 o en cuanto dicho acceso se produzca en defensa de su derecho hereditario. Sin embargo, tales accesos no podrán ser considerados como manifestaciones del derecho de acceso, consagrado por el artículo 15 de la LOPD."

Practicas empresariales contrarias a la LOPD

La Agencia Española de Protección de Datos ha indicado lo incorrecto de dos prácticas empresariales muy extendidas.
La primera de ellas es la solicitud a subcontratistas de los TC2 correspondientes a los trabajadores asignados al servicio. En opinión de la Agencia, bastaría con obtener de la Tesorería General de la Seguridad Social de la certificación a que se refiere el artículo 42.1 del Estatuto de los Trabajadores. El Informe Jurídico 180/2006 declara:
Además, en el modelo descrito en la consulta parece hacerse referencia a la cesión de la totalidad de la información contenida en los documentos TC2 presentados por el subcontratista.
Los citados documentos no se limitan únicamente a incluir una mera relación nominal de los trabajadores respecto de los cuales el empresario da cumplimiento a su obligación de abono de la correspondiente cuota, sino que introducen diversas informaciones referentes a los citados trabajadores, tales como su número de afiliación, si se encuentran en una de las situaciones especiales descritas en el Texto refundido de la Ley General de la Seguridad Social, aprobado por Real decreto Legislativo 1/1994, de 20 de junio, el tipo de contrato celebrado o la concurrencia de circunstancias que determinan la existencia de deducciones o compensaciones.
Todo ello implica que dicho documento incluye datos que incluso pueden encontrarse vinculados con la salud de los trabajadores, relacionados con su salud laboral, incapacidades o minusvalías.
(...)
La Agencia Española de Protección de Datos ha puesto reiteradamente de manifiesto que la aplicación del artículo 7.3 implica, por mor del principio de especialidad, la imposible aplicación a los datos referidos en el mismo de cualquiera de las causas legitimadoras del tratamiento previstas en el artículo 11.2 de la Ley Orgánica, quedando limitados los supuestos habilitantes del tratamiento y cesión de estos datos a los establecidos en la norma especial o a aquéllos en los que la norma general se refiere expresamente a tales datos (como sucede en relación con los datos de salud en el artículo 11.2 f) de la Ley Orgánica 15/1999).
(...)
Por este motivo, una comunicación de datos que pudieran encontrarse relacionados con la salud de los trabajadores subcontratados no sólo sería contraria al principio de proporcionalidad, sino además implicaría una cesión que excedería de lo dispuesto en el artículo 7.3 de la Ley Orgánica, así como del artículo 42 del Estatuto de los Trabajadores, que exime de responsabilidad al contratista por la existencia de una certificación negativa por descubiertos de la empresa subcontratista, sin alcanzar a datos de la naturaleza de los descritos en la consulta”
La segunda práctica se refiere a la de firma de contratos de encargado del tratamiento con las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social. Las Mutuas, como entidades colaboradoras de la Seguridad Social, no pueden ser consideradas prestadores de servicios al uso. Ni reciben el grueso de los datos almacenados en sus ficheros de las empresas asociadas (la mayor parte de estos datos provienen del propio interesado durante las asistencias sanitarias que recibe o de la Tesorería General de la Seguridad Social), ni siguen en sus tratamiento instrucciones del empresario.
Sin embargo resulta frecuente que las empresas asociadas les exijan la firma de un contrato con los requisitos del artículo 12 de la LOPD. Esperemos que tras el informe jurídico 189/2008 se resuelvan las dudas al respecto, puesto que señala claramente que:
"En consecuencia cuando la empresa contrate con una Mutua la protección de las contingencias profesionales de los trabajadores o la prestación económica de incapacidad temporal derivada de contingencias comunes, será considerada responsable del tratamiento de datos que realizan de acuerdo con las funciones que tiene legalmente atribuidas, y no con un mero tratamiento por cuanta de terceros.
Podemos concluir que tanto las empresas encargadas de la Prevención de Riesgos Laborales como las Mutuas de Accidentes tienen la consideración de responsables del tratamiento de datos que realizan, al amparo de las funciones que tiene legalmente atribuidas."