Archivo por meses: noviembre 2011

Más opciones para el tratamiento de datos sin consentimiento

Posted on por

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

– La relación restrictiva de fuentes accesibles al público pierde relevancia.

– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Primer ciberataque a una infraestructura crítica

Posted on por

El servicio de distribución de agua de Illinois puede haber sido la primera infraestructura crítica norteamericana en sufrir un ciberataque desde el extranjero.

Los atacantes, que presumiblemente habrían utilizado un servidor ubicado en Rusia para acceder al sistema, utilizaron las claves de acceso que previamente habían obtenido de un proveedor relacionado con el sistema de control industrial que permite la automatización y la gestión remota de este tipo de infraestructuras.

El resultado del ataque fue la desactivación de una bomba del servicio de distribución de agua.

El proceso seguido para el ataque se aprovechó, supuestamente, de los eslabones más débiles de la cadena de seguridad siguiendo un plan que podría ser probablemente el siguiente:

1. Identificación de los proveedores que tienen acceso al sistema de control industrial (SCADA) o prestan servicios que exigen tener dicho acceso. A través de cualquier buscador se pueden localizar las páginas web de los proveedores que ofrecen estos servicios o productos.

2. Selección de los proveedores que pueden ser más vulnerables a un acceso no autorizado o a una estrategia de ingeniería social. Algunos indicadores externos pueden ser el haber realizado recientemente un ajuste de plantilla o haber aplicado un severo plan de austeridad presupuestaria (aunque ello no debería afectar teóricamente a la seguridad de sus sistemas).

3. Obtención de las claves de acceso mediante un ataque al sistema del proveedor o un engaño a sus empleados.

4. Selección de un servicio público como vía de acceso al sistema de control industrial por considerar que, al depender del sector público, estará afectado por restricciones presupuestarias y los sistemas de seguridad no estarán actualizados.

5. Acceso al sistema de la infraestructura crítica y obtención de los privilegios necesarios para actuar sobre los controles que permiten gestionar local y remotamente la infraestructura.

De confirmarse las características del ataque, el método utilizado y las vulnerabilidades explotadas por los atacantes, las conclusiones son obvias, y las recomendaciones a los operadores de infraestructuras, también:

1. La seguridad debe estar al margen de cualquier restricción presupuestaria, pública o privada.

2. El control en materia de seguridad debe extenderse a los proveedores, aplicando un estricto sistema de homologación y auditoría continuada.

3. El sistema de control SCADA debe ser objeto de una profunda revisión y actualización continuada en materia de seguridad, si se confirman sus posibles vulnerabilidades en relación al protocolo TCP/IP.

4. Debe acelerarse el desarrollo y la aplicación de los planes de protección de infraestructuras críticas.

5. Los operadores de infraestructuras críticas y sus proveedores deben aplicar normas internas y ampliar la formación de sus empleados en materia de seguridad e ingeniería social

Normas relacionadas

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas

Resolución de la Secretaría de Estado de Seguridad por la que se acuerda la apertura del trámite de información pública respecto a las guías de contenidos mínimos del Plan de Seguridad del Operador y del Plan de Protección Específico como instrumentos de planificación del Sistema de Protección de Infraestructuras Críticas

Proyectos tecnológicos fallidos y marisco gallego (Relato corto)

Posted on por

Habíamos quedado a las 14:00 horas en la sede central de la empresa con el Director Financiero y el Consejero Delegado y mientras nos saludábamos, aparecieron sus secretarias y tres consejeros. A los dos minutos, todo el departamento de informática y el departamento jurídico al completo. Cuando pensábamos que ya estábamos todos, vimos como se acercaba muy despacio un señor de unos 80 años al que todos identificaron como el Presidente y fundador de la compañía, el Sr. García.

Al llegar, el Sr. García, que sigue liderando de forma honorífica la compañía a sus 86 años, nos dijo lo importante que había sido la firmeza de la sentencia para ellos. Por eso había convocado a la comida a las 16 personas afectadas directamente por el proyecto fallido.

La mesa estaba montada como si fuese una comida de Navidad. Inmediatamente nos sirvieron cava y brindamos por el éxito de la sentencia. Entonces empezaron las intervenciones.

El Consejero Delegado, hijo mayor del Presidente, dijo que la inversión realizada en el desarrollo del ERP y la duración de un proyecto tecnológico de tanta importancia había llegado a amenazar la continuidad de la compañía. “Cuando recibí los pagarés con la cantidad establecida en la sentencia fue como el fin de una larga pesadilla». La secretaria del Director Financiero dijo:  «A mi este proyecto informático me afectó la salud. Me desesperaba ver la lentitud del sistema. El proceso de facturación duraba días. Por la noche soñaba que no podíamos atender los pedidos y perdíamos a los clientes.» “Además, nuestro negocio es el pescado y el marisco fresco que transportamos desde Galicia a toda España, y un ERP defectuoso puede provocar enseguida la pérdida de un producto tan efímero”.

Entonces llegaron las ostras. El hijo menor del Presidente era el experto. Nos explicó que se trataba de unas ostras muy apreciadas, que reservaban para grandes ocasiones. Nos pidió que diésemos la vuelta a la concha. El número de capas indicaba la edad de la ostra. Estas tenían siete años. Y había doce por persona. «Queremos mostrar nuestro agradecimiento en forma de comida. Dudo que volváis a comer un marisco tan fresco y de tanta calidad como el hoy» dijo el Sr. García, que se expresaba con una lucidez y un sentido del humor envidiables. No exageraba, cada ostra era como una bocanada de aire marino y un sorbo del Atlántico en nuestra boca.

Al acabar las ostras, sirvieron unas bandejas con los percebes más grandes y sabrosos que he visto en mi vida. «La tecnología no ha llegado todavía a la recolección del percebe. Los que lo cogen bajan a las rocas con unas cuerdas durante la marea baja. Los de arriba cuentan las olas y avisan cuando llega la ola grande. A veces no da tiempo a escapar. Por eso los percebes son tan caros», dijo el hijo menor.

Cuando llegaron las almejas, el clima de confianza era tal que el Sr. García, entre chiste y chiste, fue contando la historia de la compañía. Desde que le llamaban «el rápido» cuando era estibador en los muelles del puerto de Barcelona hasta ser una de las primeras empresas españolas en utilizar barcos frigoríficos. Su hijo mayor le interrumpía sólo para aclarar algún error en las fechas, pero lo hacía con sumo respeto y después lo abrazaba y le cogía la mano. El hijo menor aprovechaba entonces para explicar algún detalle sobre lo que estábamos comiendo. «Esto son almejas babosas gallegas. Se diferencian de las del Carril en que las del Carril duran mucho más fuera del mar, te da tiempo a transportarlas lejos de la costa y a servirlas vivas. La almeja babosa, por el contrario, no aguanta, y hay que comerla cocida el mismo día en que se pesca.» Por eso el tiempo era crucial en su negocio, y el diseño del ERP no contemplaba las necesidades del negocio. El proveedor no había dedicado tiempo suficiente para conocer las prioridades de la empresa.

Los centollos iban rodeados de nécoras. Tal vez por la asociación de ideas que produjo verlos juntos, el Director Financiero comentó que lo que más le había impresionado de la preparación del juicio fue el trabajo codo con codo, de todo un equipo cohesionado. La fase de preparación de los testigos, el análisis de los informes periciales. “Era un asunto muy complejo y trabajar juntos nos permitió hacerlo sencillo». «Juan, apura el carro del centollo», dijo el Sr. García.

«Estas angulas son de Aguinaga. En esta época están muy tiernas. Su sabor tiene unos matices que exigen un tenedor de madera para no alterarlos y poderlos apreciar plenamente», comentó el hijo menor. El Director Financiero siguió hablando: «Imagínate tener que demostrar quién es el responsable del fracaso de un proyecto informático tan complejo como éste. ¿Cómo puedes dedicarte al comercio mayorista de pescado fresco y marisco de primera calidad si tu sistema informático no te permite controlar de forma fiable las fechas de entrada y salida, ni el origen y el destino de cada partida?». “Todavía recuerdo el latinajo: aliud pro alio. Nuestro proveedor informático nos entregó algo totalmente diferente a lo que habíamos pedido”.

Las bandejas siguieron llegando y continuaron las intervenciones en clave de humor del Sr. García. En la mesa había tres generaciones que representaban tres formas distintas de ver la empresa. Para nosotros era un ir y venir en el tiempo. El Sr. García nos llevaba a los años cincuenta, a las neveras de hielo y a las cajas de madera. Sus hijos nos traían a la actualidad, y nos hablaban de geolocalización de flotas, de optimización de rutas y de tracking a través de Internet. Fue una comida muy entrañable, que empezó con un apretón de manos y acabó con un abrazo. No creo que olvide nunca el clima de confianza y hermandad que se generó aquel día.

 A las siete de la tarde, después de cinco horas de comida, y no sé cuantos platos, el Sr. García, con la frescura de sus 86 años, se puso un poco más de sacarina en el café. «Me gusta el café dulce, pero los médicos me recomiendan que me porte bien». Su hijo mayor comentó que cada sábado a las 10 de la mañana el Sr. García se juntaba con cuatro amigos de su edad y se zampaban un desayuno de cinco platos. «¿Mañana harás lo mismo, papá?». «¿Tú que crees?» respondió el Sr. García.

Obstáculos para el DNI electrónico

Posted on por

A las puertas de una nueva campaña del Gobierno para estimular la utilización del DNI electrónico, convendría realizar un análisis profundo y objetivo de los obstáculos que impiden su utilización por parte de los 25 millones de usuarios de este sistema de identificación. El coste de la nueva campaña de divulgación va a ser de 3 millones de euros, que se sumarán a los 113 millones invertidos hasta la fecha en el DNI electrónico, por lo que podría resultar temerario incentivar a secas el uso de esta herramienta sin intentar eliminar previamente los obstáculos que impiden su uso.

OBSTÁCULOS IDENTIFICADOS

1. Los comercios online no apuestan por el uso transaccional del DNIe porque ralentiza la venta y disuade al comprador espontáneo.

2. Por ello, y debido a que es una obligación legal, muchos comercios online y entidades financieras se limitan a explotar la función de autenticación del DNIe.

3. La mayor parte de los usuarios no dispone de lectores de DNIe.

4. El uso del DNIe en dispositivos móviles como smartphones y tablets es inexistente por su complejidad.

5. Los terminales públicos en locutorios, hoteles, aeropuertos y grandes superficies no disponen de los lectores adecuados.

6. Algunas versiones de navegadores y sistemas operativos dan problemas.

7. La mayoría de los usuarios no conserva ni recuerda el pin del DNIe.

8. Una buena parte de los certificados de los DNIe han caducado y no han sido renovados.

9. Muchos usuarios desconocen que el DNIe caduca a los dos años.

10. En la declaración de la renta, el DNIe compite con el certificado de la FNMT, mucho más popular, que no necesita lectores.

11. La formación media de los usuarios es insuficiente para instalar el lector, configurar el sistema y utilizarlo.

12. Ello refuerza la resistencia al cambio en segmentos de población con hábitos de compra sin DNIe muy arraigados.

13. Aunque no parece que el problema sea generacional, ya que los nativos digitales tampoco usan el DNIe.

14. Muchos usuarios siguen sin asociar el DNIe con funciones y usos que resulten realmente útiles para ellos.

15. La oferta de servicios y comercios con DNIe para funciones transaccionales es mínima y no compensa el esfuerzo.

16. En algunos casos la transacción no puede consumarse debido a la aparición de errores en el proceso.

17. Algunas plataformas exigen un número de confirmaciones superior al de las compras sin DNIe.

La mayoría de estas críticas han sido obtenidas de foros de Internet en los que los usuarios expresan los motivos por los que no utilizan el DNIe. Todos estos usuarios han iniciado una conversación. Sería ideal que los responsables del DNIe en la Administración participasen en ella.