Una alemana, una española y un crédito sospechoso

Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:

Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.

Puntos clave de lo que le huele a chamusquina a la prima teutona:

- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 

- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 

Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...). 

Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 

1) la necesidad urgente de conseguir una cantidad de dinero y 

2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.

- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").

Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 

• Localización actual (longitud, latitud), 
• Dirección de trabajo, 
• facebookData, 
• balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
• IP de conexión y el agente de usuario (navegador), 
• Datos externos (identificador del dispositivo), 

Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.

- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.

- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.

Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.

Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>

Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?

Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 

Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 

Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!

Post express: La cesión no consentida de D(G)atos

Hola de nuevo!

Esta semana (la del Retorno para much@s) he elegido hacer un post comentando una noticia curiosa que me he encontrado buceando por la web; algo ligerito y entretenido para que veamos que realmente los temas de protección de datos van cobrando cada vez más importancia en las situaciones cotidianas. Vaya por delante que me ha dado una pena tremenda la Historia, pero me parece interesante comentarla para que veamos que hay retos sobre protección de datos que ya están aquí y que pueden chocar con sentimientos, o con otras leyes. La noticia a la que me voy a referir la tienes aquí. Te cuento de qué va el tema:

Volamos a UK para conocer la truculenta historia, y nos encontramos con los protagonistas: una familia residente en Staffordshire que, tristemente, pierde a su precioso gatito. Los que tengáis mascota, sabéis que la pérdida de estos tesoros peludetes son todo un drama, por lo que imaginaréis que, junto con la tristeza inicial de la pérdida del minino, la familia descubre, 4 años después, que el gatito está con otra familia (no sabemos si porque ellos lo encontraron tras perderse o si es que fue robado) y que esta familia está pidiendo un cambio de propietario del bichino para poder quedárselo; todo un shock para la familia de Staffordshire. Por lo que parece, la familia de Staffordshire le puso un microchip al gatito al comprarlo usando los servicios que ofrece la compañía Petlog y esa decisión es la que ha hecho que ahora se enteren de que el gatito está ahora con otra familia que pretende quedárselo formalizando la solicitud mediante esa empresa. El asunto se complica cuando los propietarios originales le solicitan a Petlog los datos de la "segunda" familia para recuperar a su mascota y la empresa se niega, amparándose en la Ley de Protección de Datos de UK y en el hecho de que ni sus microchips y ni el registro que ellos manejan son pruebas de propiedad de las mascotas, por lo que, digamos, se lavan las manos, dejando la pelota en el tejado de las familias en conflicto o en los Tribunales. Es decir: la empresa se niega a hacer lo que es una Comunicación de Datos para nuestra normativa interna, reflejada en el artículo 11 de la LOPD. Veamos brevemente lo que pasaría si la familia de Staffordshire fuera española:

Según dice el punto 1 del mencionado artículo 11: Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Es decir, que la empresa estaría actuando bien, ya que no puede comunicar los datos a un tercero sin cumplir dos condiciones: 1) que tenga el consentimiento de la familia "optante" y 2) que la cesión tenga como finalidad el cumplimiento de fines DIRECTAMENTE relacionados con las funciones legítimas del cedente y del cesionario. En este caso, parece ser que la "nueva familia" se niega a dar este consentimiento, por lo que la empresa no podría justificar la comunicación de datos sobre este artículo, así que debería bucear en las posibilidades que da el punto 2 del artículo 11 para ver si es posible obviar el requisito del consentimiento (que no tiene) y agarrarse a alguna de las excepciones que contempla ese apartado, para poder hacerlo. 

Y hasta aquí llega el post de hoy, ligerito, postvacacional, para que la vuelta a la rutina empiece con buen pie.

Que tengáis una estupenda semana.

El taparrabos no le queda bien a nadie:que no se ponga de moda la Ley de la Selva

Hola de nuevo, lopder@s.

Este post no va a ser jurídico: va a ser "reflexivo". Por casualidad me he encontrado con una noticia que me ha motivado para quitarme la bendita pereza del verano y ponerme delante del netbook a escribir.  La noticia la podéis ver aquí: http://tuoitrenews.vn/society/36591/tracking-devices-sold-used-openly-in-vietnam-despite-privacy-concerns .

Si te da pereza leer en inglés o, incluso, darle al traductor, te voy a contar de qué va: en Vietnam se están vendiendo a mansalva dispositivos de seguimiento que rastrean la ubicación de otras personas sin que éstas se enteren. Por lo que dice la propia noticia, el chismito tiene una buena demanda de esposas que lo utilizan para saber dónde andan sus mariditos. Unos reporteros hicieron un pedido de estos dispositivos y el pack no tardó en llegar: a los 3 días recibieron su paquete, lo pusieron en marcha y enseguida recibieron un link a un sitio chino que muestra la ubicación deseada. Sí: a un sitio chino. Por si fuera poco, el inventito este tan majo también funciona como grabadora; es decir: no sólo accedes a la ubicación del pobre espiado sin que se entere, es que encima puedes grabar y enterarte de lo que pasa a su alrededor.

Analicemos la situación:

1) Le ponemos una especie de chip a una persona sin su consentimiento (incluso con él o hasta con su aprobación, la cosa me parece más que cuestionable).

2) Nos enteramos de lo que pasa a su alrededor (que puede ser cualquier cosa: desde que nos enteremos de la fórmula de la Coca Cola hasta que conozcamos con pelos y señales la opinión de un ajeno sobre alguien).

Dejando aparte las cuestiones legales que plantea esto (que no son pocas), vamos a pensar en las cuestiones éticas que se nos plantean: La primera palabra que se me viene a la cabeza es "confianza". Es una palabra que se está perdiendo, como los nombres clásicos tipo Agapito o Angustias. El problema no es que se pierda la palabra en sí, si no que se pierde el concepto. Y que se pierda el concepto es una tragedia; creo que cualquiera estará de acuerdo en esto conmigo. La confianza puede ser algo muy frágil y complicado de conseguir, casi como el último Horrocrux de Harry Potter. La confianza no se gana de un día para otro, hay que combinar paciencia, un poco de fe y mucho, mucho trabajo. La curiosidad humana es tan natural como el sol, pero nuestra condición humana hace que tengamos herramientas para ser racionales y controlar esa curiosidad. Esas herramientas son los valores. Los valores hacen que no le sises el juguete a tu compi en la guardería cuando empiezas a abrirte al mundo y a lo que significa compartir espacios, bienes y momentos. Los valores hacen que aparezca Pepito Grillo cuando tus instintos más básicos aparecen, y los sepas controlarlos. En definitiva: los valores hacen que abandonemos la Ley de la Selva. Cuando leo estas noticias, me siento como si estuviera en medio de la jungla, necesitando estar permanentemente alerta para no ser agredida. Antes las agresiones te venían de forma que las veías venir, ahora las agresiones son silenciosas: cualquiera puede atacar cosas tan importantes como nuestra libertad, nuestra intimidad y nuestra privacidad sin que nos enteremos. Hemos pasado de un poder incontrolado ostentado por lo que eran pseudo-Gobiernos, dictadores terribles o déspotas monarcas a que asumamos con naturalidad que empresas privadas sepan nuestros movimientos o lean nuestros emails. Ahora parece que damos un paso más: tu vecino, tu jefe, tu padre, tu novio o el panadero pueden instalarte unos ojos y unas orejas sin que te enteres. 

Por cierto, casualmente también, leo con especial interés la entrevista publicada hoy en un famoso periódico digital al Juez Calatayud. Es imposible no haber oído hablar de este gran Juez, y debo confesar que le profeso una gran admiración, y más tras haber acudido a escucharle en algunas de sus ponencias. Me gusta la gente que habla claro, que no se anda con florituras, y el Juez Calatayud está en esa lista de personas que no usan eufemismos. Por esto, me causa simpatía además de la admiración que os comentaba. Poniendo esto por delante, tengo que ser sincera conmigo misma y confesar que hay cosas con la entrevista en las que no estoy de acuerdo, o al menos no del todo. El titular de la entrevista es: "Hay que violar la intimidad de nuestros hijos" y, si te paras a leer la entrevista, efectivamente, es lo que pone. Yo no creo que sea un buen mensaje inicial, aunque entiendo que, dado el contexto de la entrevista (Juez que habla desde la perspectiva de los casos que ha visto, la mayoría durísimos), entiendo que hay que leer esta frase dentro de situaciones pseudo-extremas. Yo no creo que haya que violar la intimidad de nadie de inicio y por las buenas; tiendo a pensar que para llegar a eso hay que haber explorado otras vías, e, incluso, podría hasta auto-rebatirme esta frase. Tampoco creo que esto signifique que tengas que ponerte el disfraz de amigo de tu hijo y soltar el lastre de ser padre; de hecho, esto me constó algún conflicto familiar propio con mis padres cuando, siendo adolescente, les explicaba que yo no podría contarles todo lo que pasaba por mi mente precisamente por eso, porque eran mis padres. Pero es que tampoco les contaba todo a mis amigos; creo que prácticamente todos gestionábamos la información casi calcando el método de Google Plus y sus círculos: filtrando qué y a quién llegaba la info. Considero que este ejercicio de autofiltro me sirvió para tomar consciencia de la importancia de mi privacidad y también considero que el complicado ejercicio de trabajar la confianza evita problemas futuros (no sólo legales, claro). La confianza me la enseñaron como valor en mi casa, pero el trabajo para mantenerla es autónomo al principio (y sabemos lo complicado que es, en general, ser autónomo) y después es una tarea en equipo. Y esto no es un sistema a desarrollar en espiral: es en cascada, dado que no se puede ir hacia atrás y poner parches en diferido a las necesidades y problemas que van surgiendo (esto es un guiño a los técnicos). En definitiva: si hemos aprendido que los problemas no se arreglan a guantazos, podremos entender que tampoco se arreglan invadiendo fundo ajeno. Neguémonos a entrar de nuevo en la Selva, que a nadie le queda bien el taparrabos, con toda sinceridad. :-P 

Y hasta aquí llega el post de hoy; espero que os haya gustado. ¡Hasta la próxima!

5 Situaciones Anti-LOPD a desterrar (basado en hechos reales)

¡Hola de nuevo!

En  este post voy a contar casos reales con los que me he encontrado en los últimos tiempos y que son la máxima expresión del desconocimiento general que hay en torno a la materia de protección de datos. Desconocimiento y cierto desinterés, que todo hay que decirlo. Siempre insisto en la necesidad de concienciar a la persona antes que entrar en vereda con el trabajador y con su jefe; la formación en materia de protección de datos (bajo mi opinión), debe partir desde el más básico de los puntos: tus datos como persona física. Es por eso por lo que, para tener unos mínimos conocimientos de protección de datos y privacidad no debe requerirse más que el hecho de "ser". Si eres una persona y tienes un nombre, ya puedes (y debes) conocer algunas pautas de la materia que te permitirán protegerte en un mundo hiperconectado como el que se avecina.

Y ahora, tras esta reflexión, voy a enumerar las situaciones más anti-LOPD que me he encontrado en los últimos tiempos, con el fin de que si lo lees, te acuerdes de este post y sepas que algo no va bien...

1) Aquel mítico "Acepto la LOPD".

Me lo encontré en una web y la verdad es que estuve un buen rato analizando la frase. Obviamente, la idea era que mis datos fueran procesados para obtener un servicio y al que elaboró el formulario no se le ocurrió otra cosa que irse al grano. Querido amigo: no acepto la LOPD, cuando pulso (la LOPD viene aceptada "de fábrica"), lo que aceptaré (en su caso), serán las condiciones que me tienes que explicar en la cláusula que deberías poner.

2) Esa app de videovigilancia que envía las imágenes a Marte y las conserva hasta que vuelva a pasar el Cometa Halley.

Afloran las aplicaciones sencillas y gratis para que hagas de tu casa o tu negocio un auténtico plató de TV. Está de lujo instalar un sistema de videovigilancia con dos clicks y que no te cuente un duro, pero tienes que ver más allá de eso. Si la app va a grabar tu casa, en principio, la LOPD no aplicaría, pero yo no dejaría de plantearme quién va a tener acceso a esas imágenes y durante cuánto tiempo. Instalar una app y no preocuparse por esto es muy temerario, no son pocos los casos en los que en tres clicks se puede acceder a los servidores que guardan esas imágenes y ser espectador de una especie de Gran Hermano no autorizado. Y claro, rizando el rizo, imagínate que encima es un caco (de esos que quieres ahuyentar con las cámaras): ¡le estás dando el trabajo hecho! Le facilitas horarios en los que está la casa libre, lugares donde escondes los dineros, información personal tuya y de tu familia o los que te visiten (desde el del Gas hasta tu grupo de amigos o aquella tía del pueblo que viene una vez al año a engancharte los mofletes) ... ¿No te parecen motivos suficientes como para darle un par de vueltas al asunto?

En el caso de que la app la quieras para tener "segura" tu empresa, aparte de lo que acabo de comentarte, te metes en un jardín con la LOPD y sus medidas de seguridad como poco (amén de las más que probables transferencias internacionales), además de normativa laboral, así como base. Si fuera tú, le pondría velas a San Pancracio para que no tengas que usar las imágenes y acabes con una multaza en bonito primer plano.

3) La app gratis para gestionar los RRHH de la empresa o los clientes y que me permite mandar newsletters a mansalva.

Íntimamente relacionado con el caso anterior. Te encuentras con una maravillosa app que te permite gestionar los CV's que te llegan, crear expedientes de posibles fichajes o controlar los movimientos del personal de tu empresa (altas, bajas, permisos....), todo es idílico hasta que ves que los datos que subes los mandan a Plutón y que, por mucho que tengas toda la buena intención de eliminar de vez en cuando, la información sigue ahí, como un ente. Y para rematar la faena, el gestor/creador de la app los está vendiendo a terceros con pocos escrúpulos o bien, ha puesto una contraseña tan complicada como 1234 y que le roben los datos es tan esperable como que amanezca mañana ¡Vaya berenjenal! Aparte de las transferencias de datos que comentábamos antes y de la vulneración de principios básicos de la LOPD, estamos obviando las medidas de seguridad de la normativa y faltando el respeto a los titulares de esos datos (aunque tengamos suerte de que no lleguen a enterarse jamás), que son los que hacen que nuestro negocio funcione. Perdemos credibilidad, confianza y, al final, perderemos dinero. Como se ha dicho mil veces: Los datos personales son un activo (o si no...¿por qué crees que ha pagado Microsoft el pastizal por Linkedin?).

Para poner la guinda al pastel, resulta que la maravillosa app es capaz de enviar tropecientos mil emails contando lo maravillosos que somos, pero ninguno de esos tropecientos emails llevan incluidos las premisas básicas de la normativa, ni hay posibilidad de cuadrar las bajas que nos piden los receptores. Pues bien, que sepas que por cada email que envías desde Plutón es una papeleta que compras para que la AEPD te traiga el premio gordo.

Por cierto, aplicable a este punto y al anterior: Si te da como garantía de tomarse en serio la protección de datos el enterrado Safe Harbour, al igual que si alguien se va a por el pan y vuelve sin haberse comido un trocito...NO ES DE FIAR (ni uno ni otro).

4) Déjame tu DNI que lo fotocopio y me firmas el papel (en el que está fotocopiado tu DNI) para eso de la LOPD.

A día de hoy, no he encontrado nada en la LOPD que exija que nadie fotocopie tu DNI (a excepción del ejercicio de derechos ARCO) ni, mucho menos, que le tengas que firmar la fotocopia, así por las buenas. Me remito al punto 1) : ¿y mi formulario? ¿para qué quieres saber los nombres de mis padres? ¿y mi cláusula LOPD?. Por no hablar de los peligros de que alguien tenga por las buenas ese documento oficial (¿y si se le ocurre ponerse a afiliarme a cualquier partido o contratar algún tipo de servicio con alguna empresa que se tome la LOPD como el que fotocopia mi DNI?). La manía de pedir el DNI jamás la he entendido, si os soy sincera. Leí hace poco en un periódico una carta de una lectora que se quejaba precisamente de esto: de la cantidad de gente que tiene el DNI de cualquiera de nosotros. Parece que nos hemos acostumbrado a usar el DNI como comodín para todo y, a la vez, nos dicen que cuidado con a quien damos los datos personales. ¿No es un poco contradictorio todo esto?

5) Aceptar el "Te lo hacemos gratis con la Tripartita".

Me llaman a la ofi y lo cojo y, para mi sorpresa... ME OFRECEN LOPD A COSTE 0. Me pilló de buenas y le dejé que me hablara de lo sencillo que es, que no me iba a costar nada y que ellos se encargaban de TODO (entendiendo como TODO la declaración de ficheros, exclusivamente). Tras escuchar pacientemente al pobre comercial, cuando terminó y me preguntó que qué me parecía, le expliqué con toda la amabilidad que me salió que no estaba interesada en que me estafaran. Ante el incómodo silencio. le expliqué por qué estaban ofreciendo NADA y por qué lo sabía. El pobre comercial aguantó el chaparrón como pudo (intenté ser lo más amable posible, al fin y al cabo, el que menos culpa tiene es él) y la cosa no fue a mayores, pero oye, yo me quedé tan agusto.

Como veis, las situaciones anti-LOPD abundan que da gusto, incluso los que nos dedicamos a esto nos encontramos con este tipo de situaciones a diario. Si os digo la verdad, suelo intentar quitarme el "uniforme LOPD" cuando no trabajo, por dos motivos: 1) por tomar aire fresco y no vivir en una caja y 2) para poder ponerme en la situación del que no tiene ni idea de esta temática y poder detectar los errores que pueden cometer las empresas a las que asesoro. 

Y hasta aquí llega el post de hoy; os deseo una muy feliz semana y mucha suerte (y paciencia) a mis queridos unedianos, que, acabados los exámenes, empiezan la larga cuenta atrás para conocer sus notas.

¡Hasta la próxima!

Orgullo y Lopdprejuicio: Homenaje LOPD a Jane Austen

¡Hola de nuevo!

El post de esta semana  creo que es de los más rarunos que voy a publicar, ya lo aviso. Antes de nada quiero avisarte: si no has leído el libro, visto las pelis o mil series que han hecho sobre la novela, no sigas leyendo: te voy a revelar los mejungues de la novela y no es plan. Si sigues, que sea bajo tu responsabilidad, ¿eh?, que yo te he avisado con toda mi buena intención.

Al lío: Mientras preparo mis exámenes de inglés, se me ha ido un poco la pinza y se me ha ocurrido, así, por las buenas, hacer un ejercicio que me ayude a recordar parte de la materia de mis exámenes. Este año me ha tocado leer Pride and Prejudice en inglés y, pese a que esto me hará que algun@s me miren con reticencias, debo reconocer que el libro se me ha hecho pesado e infumable. Hala, ya lo he soltado. Así que voy a descargar mi frustración literaria vengándome en forma de post, y qué mejor manera que unirlo con la LOPD, que es mi fiel compañera. Voy a intentar unir cada personaje de la novela con un concepto de la LOPD; así, sin casi pensarlo, de forma espontánea. Siempre me han gustado las reglas nemotécnicas y creo que este friki-post puedo usarlo como "método de aprendizaje casero".

Quiero dedicarle este post a dos twitteras encantadoras tanto online como offline: @mejugenia y @elenaperezgomez . Las dos pobres pacientes, han contrarrestrado mis ataques al libro como auténticas heroínas, y es inevitable acordarme de ellas al escribir estas líneas. Con todo el cariño... ¡va por vosotras, soletes!

Vamos a ver qué sale.

- Señor Bennet: Aunque en un principio podría pensar en él como Responsable del Fichero, lo he desechado casi inmediatamente por dos motivos:

1) Connotación machista obvia y 

2) No parece, por su carácter, que tenga capacidad alguna de decisión. 

Es por ello que he elegido otro concepto para el Señor Bennet que va más con su carácter: para mí  es un Código Tipo. El motivo por el que he elegido este concepto para definirlo es el siguiente: El Señor Bennet es un cacho de pan y los Códigos Tipo nacen de las buenas intenciones. El Señor Bennet no es un padre estricto, como lo es la LOPD y, al menos con Lizzy, muestra ternura, entendimiento y buena voluntad para respetar sus decisiones. Por eso pensar en él como un Código Tipo me parece una buena idea: va más allá de las funciones que le son inherentes como padre y eso siempre es de agradecer, oye.

- Señora Bennet: Lo tengo claro:es la Comunicación de datos no autorizada. Cotilla, quejica, con cierta incontinencia verbal.. Para mí encaja perfectamente en lo que NO SE DEBE HACER.

- Jane Bennet: Para mí Jane es el Deber De Secreto personificado: tímida, callada, sufridora en silencio. Se enamora de Bingley y aguanta carros y carretas de su cuñadita, pero ella permanece impasible, esperando que las cosas se arreglen para bien o para mal. Al final la jugada le sale tan bien que acaba casándose (a la chita callando), con el apuesto Mr. Bingley.

- Elizabeth (Lizzy) Bennet: A Lizzy la veo muy rollo el Principio de Calidad de los Datos. El motivo principal es porque la veo muy lícita y leal, con buen fondo y en permanente actualización de la información que maneja, lo que le sirve para darse cuenta de sus propios errores. Lizzy evoluciona en la novela de tal forma que la vemos incrementar la utilidad de la información que maneja: desde las primeras impresiones que tiene de Mr. Darcy hasta la forma de encajar la decepción con Mr. Wickham. Por todo esto, creo que el Principio de Calidad de los Datos es el que más le pega.

- Mary Bennet: Para mí Mary representaría los Datos Especialmente Protegidos: un "bicho raro" y, en teoría, cerrado para eventos sociales. Es por eso que le pega aquello del consentimiento expreso, diferente de sus hermanas y de la propia Sociedad en la que le ha tocado vivir.

- Catherine (Kitty) Bennet: A Kitty la veo muy Apercibimiento de la LOPD . Kitty vive a la sombra de su hermana Lydia igual que lo hace el Apercibimiento de la Multa, en el ámbito LOPD. Es por eso que para mí es una gran desconocida en la novela, así que creo que representar algo tan desconocido como el Apercibimiento, le va al pelo.

- Lydia Bennet: Lydia es la pequeña de la familia, espontánea y despreocupada. Igual que una Transferencia Internacional de Datos. La veo muy similar a esta figura porque, aunque hace un poco lo que le da gana, sin pensar, se acaba "transfiriendo" a un país no seguro, y su familia es la que tiene que tomar medidas para arreglar el entuerto, aunque al final es de justos decir que es Mr. Darcey el que acaba prestando las garantías para el movimiento.

- Fiztwilliam Darcy:El galán de la novela no podría ser otra cosa que el Principio de la Seguridad de los Datos. Representa, en un principio, la arrogancia, pero quizás viene de serie en relación a las responsabilidades que tiene que asumir como chico rico, de buena familia y con la obligación de gestionar en un futuro el legado de alta alcurnia. Al final se arrejunta con Lizzy, lo cual hace de ellos una combinación casi perfecta: Seguridad + Calidad.

- Charles Bingley:Bingley para mí es el Titular de los Datos, ya que, al menos bajo mi punto de vista: no se entera de nada. A lo único a lo que presta atención es a Jane, pero vive ajeno, el pobre mío, a las maldades de su hermana y a las pillerías de su propio mejor amigo, Mr. Darcy. Es por eso por lo que le veo muy titular de los datos: nos ponen la hoja, firmamos, y ya no nos interesa nada más.

- Caroline Bingley: Para mí sería un Fichero inscrito en el Registro General. La explicación es muy clara: "mucho aparentar, pero luego...ñeñeñe". Caroline es clasista, muy de fijarse en la imagen y no dar importancia a lo que hay dentro, así que yo la veo muy Fichero Inscrito, es decir: la imagen de que nos preocupa la LOPD aunque luego tengamos el alma más negra que el tizón.

- William Collins: Debo reconocer que le tengo especial tirria a este personaje, así que le reservo el honor de representar al Censo Promocional. No tiene contenido, es un pelota que solo busca contentar a unos pocos (especialmente a Lady Catherine) y encima es un peñasco con Lizzy cuando le pide matrimonio. Así que, hala majo, para tí el insulso Censo Promocional.

 

- Charlotte Lucas: La mejor amiga de Lizzy representa la practicidad pura y dura: decide asegurarse un futuro (aunque sea insulso) y pasa del amor para casarse con un ser como Mr. Collins, que representa para ella la estabilidad. Es por eso por lo que creo que es El Procedimiento de Disociación: sólo se queda con lo útil, dejando fuera las florituras y peligros. Más pŕactico, imposible.

- George Wickham: Obviamente, es el País de Destino de la transferencia de la que hablábamos antes, que parece que es seguro pero que realmente no lo es. Podría hacer un símil maligno relacionado con un país muy famoso al que van todos los datos y que parece la panacea, pero resulta que acaba saliendo rana y, al igual que Lizzy pierde la confianza en él, cierto continente se replantea sus querimientos. Que cada uno saque sus conclusiones, que sois gente inteligente ;-)

Y hasta aquí llega el post de hoy. Espero que os haya resultado entretenido a vosotr@s y que a mí... ¡me sirva para aprobar mis exámenes! ;-)

Que paséis una feliz semana, lopder@s majetes.

 

El DNI bajo la piel: El Informe 0292/2010 de la AEPD sobre Microchips.

¡Hola de nuevo!

Antes de empezar el post quiero agradeceros el apoyo y los votos que recibí con la nominación del blog para los premios de Internet que se celebraron hace unos días. Aunque esta vez no pudo ser, tengo que reconocer que estoy muy muy agradecida por todas y cada una de las muestras de cariño que recibí, tanto en clicks como en tweets o mensajes. Sé que es una frase hecha pero quiero que sepáis que, para mí, que un blog que habla de privacidad y protección de datos sin corsés técnicos llegue a ser finalista de unos premios de ese calibre ya es más que una hazaña. Muchas gracias por todo lo que he recibido en estos días y enhorabuena a los premiados; la gala fue muy entretenida y considero un lujo haber podido "colarme". ;-)

Y ahora, al lío. 

Una semana más, traigo a este humilde blog un Informe de la AEPD que me parece de los más futuristas. Los que hayáis pasado alguna vez por aquí, conocéis ya de sobra mi más que evidente interés por todo lo que toque la relación entre biometría y privacidad, así que no os sorprenderá que elija este informe para seguir con esa interesante senda. El informe que he elegido es del año 2010, y lo tenéis en este link. Vamos a ver qué nos dice:

Corría el año 2010 cuando se le plantea una especial consulta a la AEPD relacionada con la "comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información

médica". Es decir: tenemos a un sujeto que quiere vender o usar una serie de aparatitos que, insertados en la piel de una persona, llevaran dentro determinada información del portador, como su tarjeta de crédito, su localización o información médica. El tema es que los microchips no servirían sólo como "maleta" de la información que contienen, sino que además, servirían como "soporte" para que un tercero pudiera leerlos. Como veis, todo un jardín florido primaveral. ¿No es llamativo lo del número de tarjeta de crédito?

La AEPD parte de la base de que tenemos delante un estupendo tratamiento de datos y que, por ello, dicho tratamiento deberá ampararse en alguna de las causas de legitimación que contiene la propia LOPD y, dentro de ellas, la AEPD ve que las más probables de encajar en esto de los microchips serían:

- El consentimiento del interesado.

- La existencia a su vez de una relación jurídica entre el interesado y el responsable; pero esta última parece que la considera un poco remota. 

Además, tal y como estaba reflejado en la consulta, la intención parece ser tratar datos de salud también, por lo que las causas de legitimación quedan limitadas también, al hilo de lo dispuesto en el art. 7.3 de la LOPD.

Visto todo esto, la AEPD se decanta además por el uso de la fórmula del consentimiento para amparar el tratamiento de datos que implicaría la lectura del microchip por un tercero. Es decir, tenemos dos situaciones que, en principio, deberían "encajarse" con el consentimiento del portador del microchip:

1) La propia implantación del microchip.

2) La lectura de los datos que contiene el microchip. 

Y, encima, para rizar más el rizo, los tratamientos realizados sobre datos de salud exigen un consentimiento especial: el expreso. 

No pasa por alto el informe de la AEPD el hecho de que el microchip esté pensado para tratar también datos de localización del portador (parece ser que en la consulta se indicó que esta idea tenía como fin la localización de enfermos de Alzheimer). Contando con que en este supuesto reflejado la base que habíamos cogido (el consentimiento) se antoja más complicada, la AEPD indica que además sería necesario cifrar la información del microchip o de la señal que emita. 

Recopilamos de nuevo: 

Doble Consentimiento (expreso si se tratan datos de salud y doble porque por una parte tenemos la propia implantación y por otro la lectura) 

+  

Medidas para evitar que terceros "no consentidos" accedan a la información del chismito. 

Esto me recuerda a un post que escribí hace tiempo sobre la información que envían algunos dispositivos son que nos demos cuenta. Si te quieres emparanoiar un poco, pincha aquí y podrás leerlo. ;-) 

Pues bien, si no teníamos pocos problemas, la AEPD recuerda que la implantación del microchip podría meterse en otro jardín más: el del derecho a la dignidad de la persona y a su integridad física. Tremendo combo, señores.

En definitiva, y para no extenderme más, me quedo con esta reflexión que hace la AEPD y que me parece la guinda del pastel: 

"En consecuencia, para que fuera conforme a derecho la actuación planteada debería analizarse caso por caso la necesidad de que la misma se llevase   a  cabo  en  relación  con   la  finalidad  perseguida, siendo  además necesario,   incluso   en   ese   caso,   el   consentimiento   del   interesado   y   la implantación   de   medidas   de   seguridad   que   impidiesen   el   acceso   a la información contenida en el chip por terceros distintos de aquéllos respecto de los que se ha otorgado el consentimiento".

Y hasta aquí llega el post de hoy; que tengáis una feliz y florida semana. 

¡Hasta la próxima, queridos amig@s!