martes, 26 de agosto de 2008

Decalogo de medidas de seguridad para tratamientos no automatizados

Como continuación de mi post sobre buenas prácticas en la gestión del papel, les presento el siguiente decálogo que puede distribuirse entre el personal de una Organización para explicar de manera sencilla las medidas de seguridad que deben aplicar en el tratamiento del papel:
1º. Mesas limpias. Al finalizar la jornada laboral, guarda todos los documentos con los que hayas estado trabajando en cajones o armarios. Piensa que cuando estás fuera de la oficina, otras personas pueden leer los expedientes o informes que has dejado sobre la mesa.
2º. Destrucción segura. Los expedientes, legajos, informes y cualquier documento que contenga datos de carácter personal o información sensible para la empresa no pueden ser abandonados en contenedores públicos o en las papeleras de la oficina. Utiliza la destructora de papel o deposita los documentos en el “buzón del papel” que retirará una empresa encargada de eliminar el residuo de una manera segura.
3º. Oficina sin papel. Reduce la información en soporte papel que manejas. Escanea y destruye todo aquello de lo que no vayas a necesitar el original….pero recuerda que algunos documentos como los contratos, los “recibí” o los albaranes que van firmados por otras personas no se pueden destruir por si fuera necesario acreditar su autenticidad en un juicio o presentarlos a una auditoría.
4º. Trabajo fuera de la oficina. Evitar sacar o documentos o informes confidenciales de la oficina (por ejemplo, para trabajar en casa, para leer durante el descanso del café…) Cada vez que lo haces, lo expones a riesgos como la pérdida o el robo. Es muy fácil olvidar una carpeta o un maletín en un autobús o en una cafetería.
5º. Impresiones segura. Imprime datos o documentos que tengas en formato electrónico sólo cuando sea estrictamente necesario.
6º. Documentos abandonados. Revisa periódicamente las bandejas de entrada y salida del fax y de las impresoras compartidas para evitar que se acumulen documentos abandonados a los que puede acceder cualquiera.
7º. Reutilización de papel. Es una mala práctica reutilizar la cara en blanco de informes y documentos como borrador... A veces se escriben mensajes o notas por detrás de listados de clientes o documentos confidenciales.
8º. Archivo adecuado. Archiva la documentación de la que eres responsable de manera adecuada. Respeta los criterios de almacenamientos fijados por la organización. Recuerda que la información sensible debe permanecer bajo llave y es de acceso restringido.
9º. Traslados de centros. En los traslados de centros o de oficinas, no abandones ningún expediente o arhivador. Debes prestar atención preferente al traslado de tu documentación en papel. Las mudanzas no son una excusa para hacer limpieza de los papeles acumulados. Toda la documentación en soporte papel debe destruirse ordenadamente y siguiendo los procedimientos establecidos.
10. Colaboración. Tu colaboración resulta imprescindibles. Comunica cualquier incidencia de seguridad que afecte a la gestión del papel en tu departamento para que podamos solucionarla cuanto antes y transmítenos tus sugerencias para mejorar los procedimientos internos de archivo y gestión del papel.

jueves, 21 de agosto de 2008

Buenas prácticas en la gestión del papel

Hoy les comentaré dos resoluciones de la Agencia Española de Protección de datos en las que se pone de manifiesto la importancia contar no sólo con políticas adecuadas para la gestión del papel sino también la necesidad de concienciar/entrenar al personal en su cumplimiento.
Los hechos son bastante parecidos en ambas.
En la resolución R/00648/2008, recaída en el PS/00480/2007, la Agencia sancionó al Banco Santander con una multa de 60.101,21 € por una vulneración del art. 9 de la LOPD (principio de seguridad).
El procedimiento se inició con una denuncia de la Jefatura de Policía de Laguardia, en la que se ponía en conocimiento de la Agencia que se habían encontrado en una carretera diversos documentos con datos de carácter personal de clientes del Banco Santander. Al parecer, los documentos habían sido desechados indebidamente en una caja destinada a papel no sensible (como prensa escrita o publicidad). Durante las actuaciones, el representante de le entidad aportó la circular interna de la Organización sobre destrucción del papel, parte de la cual es reproducida en la resolución comentada. En ella, se indica expresamente que “es de vital importancia evitar que tanto la información relativa a datos bancarios o personales de nuestros clientes, como aquélla otra de uso interno que tenga el carácter de reservada o sensible, salga del control del Banco” y se detallan medidas concretas sobre como proceder a la destrucción de cada tipo de documentos.
A juicio de la Agencia, contar con una política interna sobre destrucción del papel no es suficiente. En este sentido, recuerda la jurisprudencia de la Audiencia Nacional (sentencias de 13/06/2002 y 07/02/2003), en donde se deja claro que no basta con la aprobación formal de las medidas de seguridad, sino que resulta necesario demostrar la diligencia de la organización en su cumplimiento. No obstante, aplicando los criterios de graduación establecidos en el art. 45.4 de la LOPD, la AEPD impone la sanción en su grado mínimo.
En la resolución R/00665/2008, recaída en el procedimiento PS/00523/2007, la sancionada es la marca de ropa Bershka. En este caso, el SEPRONA de Santa Cruz de Tenerife pone en conocimiento de la AEPD el abandono en un paraje de currícula vitae con fotografías y datos de contacto, así como tarjetas de contacto denominadas “MICRO CV” cuyo destinatario era la organización sancionada.
Bershka también aportó un procedimiento escrito en el que se informaba al personal del tratamiento que debería darse a los CV de candidatos y se señalaba que éstos deben ser remitidos a la central para su destrucción, nunca tirarse a la basura. Adicionalmente, se presentó copia del contrato suscrito con una empresa especializada en destrucción del papel que cumplía los requisitos del art.12 y las cartas de despido remitidas con anterioridad al inicio del procedimiento sancionador a la encargada y segunda encargada de la tienda de la que procedían los documentos por diversas irregularidades en su trabajo.
La Agencia repite casi textualmente el razonamiento de la resolución del Banco Santander, sin embargo la sanción impuesta es tan sólo de 6000 €. La razón está en que en este caso aplica no los criterios de graduación de la sanción del art. 45.4, sino el artículo 45.5 con la siguiente argumentación:
“La aplicación con carácter excepcional del citado artículo 45.5 exige la concurrencia de, al menos, uno de los siguientes requisitos: a) Disminución de la culpabilidad del imputado y b) Disminución de la antijuricidad del hecho.
Dicho artículo, que no es sino la manifestación del llamado principio de proporcionalidad (art. 131 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, en lo sucesivo LRJPAC), incluido en el más general de prohibición de exceso reconocido por la Jurisprudencia como Principio General del Derecho (Sentencia del Tribunal Constitucional 62/1982), y es consecuencia del valor justicia que informa nuestro Ordenamiento Jurídico (Art. 1 de la Constitución Española), sin embargo debe aplicarse con exquisita ponderación, y sólo en los casos en los que la culpabilidad resulte sustancialmente atenuada atendidas las circunstancias del caso concreto. Lo cual puede darse , por excepción, en casos extremos.
Pues bien, los hechos descritos suponen una clara conducta negligente por parte de una empleada de Bershka España, S.A., al no cumplir las medidas de seguridad exigidas en la legislación vigente e implementadas por dicha entidad, con el resultado del acceso de terceros no interesados a datos personales, vulnerándose en consecuencia el deber de secreto que tiene tanto el responsable del fichero como aquellos que intervienen en cualquier fase del tratamiento de dichos datos. No obstante, se aprecia una cualificada disminución de la culpabilidad ya que la entidad responsable incorporó las medidas de seguridad adecuadas al tipo de ficheros que mantiene, informó a sus empleados de ellas, los documentos se encontraron y recuperaron de forma inmediata, por tanto, procede la aplicación en el presente supuesto del artículo 45.5 de la LOPD, proponiendo la imposición de la sanción de 6000 €.”

¿Por qué en el caso del Banco Santander la AEPD no aplicó el art. 45.5 si la en también la entidad responsable había informado a sus empleados y desarrollado procedimientos de seguridad adecuados?
Quizás los datos bancarios se consideraron de mayor relevancia que los incluidos en un cv (aunque de ser así, ¿por qué no se menciona en ninguna parte de la resolución?).
En el ámbito de la protección de datos, hay preguntas que no tienen respuesta. En cualquier caso, al hilo de los anteriores procedimientos, les dejo las siguientes recomendaciones sobre gestión de papel en una organización:
1º. Redacte instrucciones sencillas que puedan ser cumplidas por el personal sin incurrir en obligaciones adicionales.
2º. Invierta en los recursos necesarios para la gestión del papel…No sólo destructoras de papel, sino también archivadores y dependencias adecuadas…. En muchos casos, los empleados no pueden cumplir adecuadamente las políticas internas de la organización por falta de medios.
3º. Si el volumen de papel lo aconseja, contrate a una empresa especializada en la destrucción de éste. No olvide que en este caso deberá firmar un contrato de tratamiento de datos por encargo. Cuanto más preciso sea dicho contrato detallando el método de destrucción, mejor. Nunca está de más exigir certificados con la fecha de destrucción o pedir que se muestre el documento de seguridad corporativo y los informes de auditorías de medidas de seguridad, si corresponde realizarlos.
4º. Informe a todo el personal de los procedimientos internos de gestión de papel por medios que dejen constancia de que dicha comunicación se ha realizado: organización de cursos internos con listas de asistencia, distribución de notas informativas periódicas por e-mail o a través de redes corporativas, entrega de manuales de seguridad del empleado a la firma del contrato de trabajo, ….
5º. Motive a su personal para cumplimiento de las directrices sobre gestión del papel (por ejemplo, organice concursos para premiar a los departamentos o sedes que gasten menos papel como medida para reducir las impresiones de pantalla).
6º. Realice auditorías internas y/o externas en las que se mencione expresamente que se ha verificado la correcta aplicación de la política corporativa de gestión de papel. Los informes de auditoría, podrán presentarse como prueba de la diligencia de la empresa en caso de que la AEPD instruya algún procedimiento sancionador.

martes, 19 de agosto de 2008

Internet, fotografías digitales y la pérdida de intimidad

Es un tópico aquello de que vivimos en una aldea global, pero desde que Google ha puesto en marcha el servicio Street View, versión a pie de calle del Google Earth, nadie lo puede negar. Ahora, además de señoras desnudas tomando el sol en la azotea, podrán ver borrachos, bolsas de la compra, mujeres con sobrepeso metiéndose en el maletero de su coche y japoneses aficionados al porno. Lean este interesante post del Blog Mundo Insólito para más información.
¿Pero es que en Google no hacen una selección de las imágenes que recogen o buscan a propósito estas escenas como forma de publicidad gratuita?

jueves, 14 de agosto de 2008

Sentencia sobre Licencias de Software Libre en EEUU

Lessig, impulsor del Proyecto Creative Commons, informa en su blog de una sentencia de la Corte de Apelación del Circuito Federal que considera que el incumplimiento de las condiciones de uso de una licencia de software libre constituye una violación de la normativa sobre copyright:
"While public licenses are generous in their permissions, the rights and remedies of copyright law remain critically important to their enforcement. By retaining the right to sue forcopyright infringement (and the right to invoke the accompanying presumptions and statutory emedies), the public licensor enjoys an effective enforcement mechanism against those who would take the benefits of the creative work, while seeking to evade the obligations the public license demands."
Pueden leer el texto completo de la sentencia aquí y una traducción del post de Lessig en Carobotero-Co.

miércoles, 13 de agosto de 2008

Un poco de historia

La Ley Francesa de Protección de Datos, una de las primeras leyes aprobadas sobre la materia, tuvo su origen en un artículo de Le Monde.
El 21 de marzo de 1974, en la página de "Justicia", Le Monde publicaba un artículo titulado "SAFARI ou la chasse aux français". Se trataba de un juego de palabras bastante fácil con el proyecto del Ministerio del Interior denimado SAFARI, que pretendía reunir en una sola base de datos la información sobre los ciudadanos que hasta el momento se almacenaba en cientos de ficheros diferentes mantenidos por las Administraciones Públicas francesas. SAFARI son las siglas de "Système informatisé pour les fichiers administratifs et le répertoire des individus".
Este artículo abrió el debate sobre el tratamiento automatizado de los datos de carácter personal y obligó al entonces Primer Ministro Pierre Messmer a crear una comisión encargada de proponer una regulación específica que protegiera los derechos de los ciudadanos.
Resultado de estos trabajos, el 7 de enero de 1978 se publica en el Journal Officiel la Ley Informática y Libertades y se constituye una autoridad de control, llamada Comisión Informática y Libertades (CNIL).

lunes, 11 de agosto de 2008

Diccionario de la Sociedad de la Información (II)

El inesperado éxito de mi post del jueves (bueno, a quién pretendo engañar, ....sí que lo esperaba) me obliga a una segunda entrega. A continuación, les ofreceré unos consejos para adaptarse al lenguaje de la consultoría IT.

Comenzaremos hablando del prefijo "e". ¿No ha notado que todo suena más profesional si le añade una "e" delante (pronúnciese "i")? ....e-learning, e-banca, e-commerce, e-working....Decididamente, la "e" ha desplazado al "ciber", que ya suena ochentero. ¿Alguien se acuerda de la ciber-cultura o los ciber-cafés? ¡Qué cutrez!

Trate de poner en todo lo que hace el toque "e". Así, en lugar de organizar una reunión en sus oficinas, pida a todos que enciendan su web cam y llámelo e-reunión (o e-meeting). Si va a registrar su marca como nombre de dominio, ¿por qué no le añade una "e"? Algunos bancos ya lo han hecho. Por cierto, hay transgresores utilizan la "e" como sufijo (por ejemplo, banca-e), pero yo no se lo recomendo.

No puedo terminar este post dedicado al vocabulario del consultor tecnológico sin referirme a la plabra "holístico". El holismo (del griego "holos", todo) recorre el mundo de la consultoría. Haga lo que haga, cuando tenga que explicar en qué consiste su servicio o qué valor añadido aportará a la Organización, mencione que aportará un enfoque holístico al problema. Triunfará. Las palabras de origen griego aportan un punto de sofisticación que no dejará indiferentes a sus clientes.

jueves, 7 de agosto de 2008

Diccionario de la Sociedad de la Información (I)

Sé que en su vida profesional 2.0 le faltan palabras, que sus presentaciones en Power Point dejan indiferente al Director General, que se siente culturalmente subnormal cada vez que recibe su ejemplar de "Wired" .... Pensando en Usted he decidido iniciar una nueva serie de desarrollo personal donde podrá encontrar esa expresión que le hará parecer el intelectual de la sociedad de la información que siempre ha soñado ser. Si quiere convertirse en el alma de su próximo desayuno de trabajo, le sugiero que emplee al menos una de estos tres términos:

§ GLOCALIZACIÓN (o “glocalization”, si quiere Usted ser realmente chic): El
Oxford Advanced Learner’s Dictionary define esta palabra como sigue:

"Glocalization (BrE also -isation) /glklazen; AmE glo-/ noun the fact of adapting products or services that are available all over the world to make them suitable for local needs: As an example of the glocalization of fast food marketing, McDonald’s in France are using Asterix in promotions instead of Ronald McDonald. This organization sees glocalization as the merging of global opportunities and local interests to reduce the gulf between rich and poor. The Japanese have been particularly successful at adapting products to the needs of customers in a given area, a process otherwise known as glocalization".

§ INTERMESTIC: De acuerdo a Armand MATTELART, se trata de un concepto inventado "por los futurólogos norteamericanos para expresar la disipación de la línea entre el espacio internacional y el espacio interior (domestic)" (MATTELART, Armand: Historia de la sociedad de la información. Ed. Paidós. Barcelona, 2007 p. 156).

§ PROCONSUMIDOR: Sí, lo ha adivinado, es la mezcla de "productor" y "consumidor"... Lo que somos todos en la Web 2.0.

miércoles, 6 de agosto de 2008

Lecturas de verano

Para aquellos de Ustedes que leyeron hace tiempo las obras completas de Balzac y desde entonces no encuentran ninguna lectura comparable para las aburridas tardes del verano, aquí les dejo una selección de enlaces a la altura de La Comédie Humaine:

Higiene y TIC

Algunos ya lo sospechábamos y la asociación de consumidores británica Which? lo confirma: Usar el teclado de otra persona es antihigiénico.
Actividades como comer en el escritorio, no lavarse las manos después de ir al baño o abandonarse al vicio de Onán mientras se navega por páginas para adultos deja restos microscópicos en nuestro PC.
Which? publicó un estudio en enero de este año con los resultados del análisis de 30 teclados de su oficina de Londres. Sólo les diré que el microbiólogo que realizó las pruebas les recomendó tirar uno de los equipos examinados. Pinchen aquí si quiere conocer todos los detalles. Después de leerlo, les resultarán útiles los consejos de limpieza para el ordenador que elaboró el mismo equipo.
Distintos medios de comunicación se han hecho eco de esta noticia tan escatológica. Por ejemplo, en BBC News apareció una interesante reseña al respecto en mayo, donde citan una frase del Doctor Peter Wilson que me llena de pavor: "Should somebody have a cold in your office, or even have gastroenteritis, you're very likely to pick it up from a keyboard".