martes, 15 de mayo de 2012

La basura, ese dato de carácter personal

Mientras escribo mi tesis doctoral, me he encontrado con este artículo de El País, donde se habla de la resistencia ciudadana, en distintas localidades vascas, a la implantación de un novedoso sistema de recogida de basuras puerta a puerta. Se trata de vigilar estrechamente que se cumple con las normas de reciclaje y multar a quien no lo haga. Al parecer, el contenido de las bolsas "lo revisa un “gestor autorizado” para comprobar si la clasificación está bien hecha. Y si la separación no se cumple a rajatabla, hay riesgo de recibir una multa que va de 60 a 30.000 euros en Usurbil."

Dice El País que "en Gipuzkoa se ha montado una tremenda a cuenta de las basuras. Vecinos de Zarautz (22.000 habitantes) se van a presentar ante el alcalde, Juan Luis Illarramendi, de Bildu, con 8.404 firmas que han reunido en esta localidad turística en contra del sistema (...) En Villabona (5.863 habitantes) no han sido tan civilizados. Unos desconocidos fueron a casa del alcalde, también de Bildu, y, a modo de protesta, le plantaron las bolsas de la basura en el felpudo (...)".

La basura que generamos contiene nuestra información más íntima: desde la caja vacía del Dulco-Laxo, que podría ser considerado un dato de salud, a los girones del último extracto bancario, pasando por la publicidad de entidades con las que colaboramos. En fin, examinar la basura nos permite obtener un perfil bastante exacto de su ex-propietario.

Por ello, me preocupa que no se cumpla la LOPD en su tratamiento, y me extraña que, todavía, no se haya citado a Orwell (ni a la Constitución) en relación a este asunto. Alguien malpensado diría que sólo nos preocupa lo de la web de los Mossos o la portada de La Razón. Yo sé que no es así, claro.

Buenas tardes.

lunes, 14 de mayo de 2012

Para aficionados al género

Hoy veremos dos resoluciones de archivo de actuaciones de lo más entretenidas.

La primera se refiere a un supuesto de recogida de datos en un centro médico. El paciente, había sido enviado a FISIOMED por su entidad aseguradora, ADESLAS. En la primera visita, le solicitaron, entre otros datos de contacto, el domicilio. El paciente, muy ofendido por semejante atrevimiento, se negó a facilitarlo, alegando que no se trataba de información necesaria para prestarle la atención médica requerida.

Se le indicó entonces que no podría ser atendido, y como suele ocurrir en estos casos, solicitó el libro de reclamaciones, y además, presentó una denuncia a la Agencia Española de Protección de Datos. En su denuncia, indicaba:

- Que los datos que le solicitaban eran excesivos.

- Que se le pedía que los dijera en voz alta y delante de todo el personal de administración.

- Que no se le había informado de lo establecido en el art. 5 de la LOPD.

La Agencia realizó una inspección al centro de rehabilitación, donde pudo comprobar que en la zona de recepción de pacientes se había colocado un cartel informativo que cumplía con los requisitos del art. 5 de la LOPD:

“En el presente caso, consta acreditado que POLICLÍNICA FISIOMED, S.L. recoge los datos que le facilita verbalmente el paciente, constando la cláusula informativa en un cartel accesible a los usuarios y entregando la hoja informativa, si se lo solicitan, por lo que no se aprecia infracción a lo establecido en el artículo 5 de la LOPD.”

Eso sí, la argumentación de la Agencia para determinar que no existe infracción del art. 4 y que el dato del domicilio no es excesivo parece un poco chapucera:

“En cuanto a la exigencia de datos excesivos, el art. 4.1 de dicha norma, conforme a dicho precepto los datos sólo podrán tratarse cuando “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

El solicitar el dato del domicilio del paciente no es un dato excesivo, ya que en el fichero de Historial Médico consta que se recogerán los datos personales identificativos, datos de contacto, características físicas o antropomórficas, profesión y puesto de trabajo, salud, minusvalías, número de seguridad social, mutualidades, subsidios y beneficios.”

En fin, el resultado fue el archivo de actuaciones. Lea el texto completo de la resolución aquí.

En la segunda resolución, la pataleta del cliente tampoco dio lugar a una sanción a la empresa. La señora A. había instalado su caravana en un camping, con cuya gestión se mostraba descontenta. Por tal motivo, decidió exponer sus quejas públicamente en una página de Internet especializada en este tipo de alojamientos.

La web permitía a los usuarios dejar sus comentarios de forma anónima, pero en caso de no hacerlo, les indicaba que su queja sería remitida por mail al establecimiento al que se refiriera para que intentaran solucionar el problema. El camping en cuestión contaba con un responsable de atención al cliente que había estudiado las más prestigiosas escuelas de negocio y aplicaba técnicas innovadoras: expulsó a la Señora A. con su caravana. Eso de “el cliente siempre lleva la razón” es incompatible con la nueva economía.

La Señora A. denunció a la página web por haber cedido sus datos sin su consentimiento. La AEPD archivó el procedimiento al entender que se informaba de la comunicación de datos en el aviso legal incluido en el site, con el siguiente texto:

“Tu email no se publicará ni cederá a terceros con fines comerciales. El camping tendrá acceso a todos los datos de esta opinión, si lo considera oportuno dejará publicada una respuesta o le responderá directamente al email para tratar de hacerle alguna aclaración personal si fuera necesario. Si no quiere tal posibilidad Indique en el campo email anonimous@campingdata.com. Cuando envíes tu opinión recibirás un email con un link, sólo deberás pulsarlo una vez para activar tu opinión. Si no pulsas en el enlace no te garantizamos que se publique tu opinión. Para opinar nuevamente sobre el mismo camping deberá transcurrir un periodo mínimo de 3 meses.

Cada opinión es revisada por nuestro personal, descartaremos las opiniones que parezcan generadas por los propios establecimientos o bien, contengan comentarlos inapropiados, Insultos o acusaciones personales fuera de tono, la finalidad de este pequeño filtro es mostrar información relevante y útil para futuros usuarios. Esta opinión podrá ser mostrada en otros portales gestionados por la tecnología de CampingData con el fin de que tu tiempo empleado pueda ayudar al máximo de personas posibles. Opcionalmente, te podemos registrar en nuestra base de datos para futuros emails de Campings.com”.

Lea la resolución completa aquí.

martes, 8 de mayo de 2012

GOOGLE no incumple las medidas de seguridad (por esta vez)

La asociación de consumidores y usuarios FACUA presentó una denuncia en la Agencia Española de Protección de Datos solicitando que se investigaran los fallos de seguridad de diversas aplicaciones para Android, que permitían que terceros accedieran a las claves utilizadas por los usuarios. Esta denuncia se basaba en un informe realizado por la Universidad Alemana de Ulm titulado “Catching AuthTokens in the Wild. The Insecurity of GOOGLE's ClientLogin Protocol”, al que se dio publicidad en distintos medios de comunicación de todo el mundo.

De acuerdo a la denuncia de FACUA, “los tokens o códigos de autenticación que recibe el usuario al ingresar a las aplicaciones Calendar, Contacts o Picasa desde Android eran enviados por conexiones que utilizaban el protocolo HTTP sin cifrar, lo que les hacía vulnerables a ataques”. FACUA reconocía que GOOGLE había comenzado a solucionar el problema, pero consideraba necesaria la intervención de la AEPD para proteger el derecho fundamental de datos de los usuarios españoles.”

Lean más información sobre la denuncia aquí y aquí.

La Agencia abre procedimiento sancionador por incumplimiento del art. 9 de la LOPD, relativo a seguridad de datos, y más en concreto, de los arts. 104 y 93 del reglamento de desarrollo de la ley. Finalmente, archiva el procedimiento. Veamos por qué:

El art. 104 RLOPD se refiere a la necesidad de cifrar los datos que viajen por redes de comunicaciones públicas, pero sólo es exigible su implantación en el caso de datos a los que se aplica el nivel de seguridad alto (datos especialmente protegidos, como por ejemplo, los datos de salud).

“De acuerdo con el análisis llevado a cabo por la universidad alemana, la eventual utilización de mecanismos de interceptación de la comunicación establecida entre un dispositivo Android conectado a Internet a través de una red pública abierta y el servicio de autenticación de GOOGLE del que hacen uso las aplicaciones analizadas en el momento en que se conecta el usuario hacía posible que terceros no autorizados pudieran capturar el instrumento técnico empleado para autenticar al usuario, el denominado authToken, facilitándose así la suplantación del usuario en posteriores intentos de conexión a esas aplicaciones, al tener esos instrumentos un período de validez de varios días.

El citado instrumento constituye un dato de carácter personal relativo a un usuario de las aplicaciones de GOOGLE, dado que precisamente se destina a autenticar su identidad y, por tanto, le hace identificable. Este dato, que se transmitía sin cifrar en la citada comunicación, sin embargo, no es uno de los contemplados en el apartado 3 del artículo 81 del Reglamento de desarrollo de la LOPD, por lo que no le resulta de aplicación el transcrito artículo 104.”

El art. 93, por su parte, establece medidas de identificación y autenticación de nivel básico (es decir, que deben ser cumplidas por cualquier fichero o tratamiento de datos de carácter personal). El art. 93, determina en su apartado 3, que “cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.”

Frente a esto, la Agencia argumenta:

Como se ha expuesto, si bien el denominado authToken no es en sí una contraseña, pues no es conocida por el usuario, sí es un instrumento unívocamente relacionado con el usuario de las aplicaciones de GOOGLE y su finalidad es precisamente la autenticación del usuario, por lo que análogamente a lo que el artículo 93 se exige para las contraseñas, deberían implementarse mecanismos que aseguren su confidencialidad, dado que en caso contrario, el procedimiento de autenticación perdería su eficacia. En consecuencia, resulta deseable que, aunque no esté expresamente previsto en el Reglamento, la transmisión de este instrumento por redes de comunicaciones se realice de forma cifrada, tal y como actualmente se hace, tras las modificaciones diligentemente implementadas por GOOGLE en su protocolo, al conocer los resultados del estudio realizado por la Universidad de Ulm.”

Teniendo en cuenta que no se ha producido ningún incumplimiento de la normativa de protección de datos, y que no existe constancia de que terceros hayan aprovechado estas vulnerabilidades para tratamientos indebidos, la AEPD archiva el procedimiento.

Texto completo de la resolución aquí.