Una alemana, una española y un crédito sospechoso

Hola de nuevo, lopder@s!

En este post, a petición de mi querido Raúl Gámez, voy a comentar, hasta el día de hoy, la Resolución más curiosa que he visto en la web de la AEPD, Esta vez no termina con un multazo, por lo que no esperéis que alguno sufra en sus bolsillos la embestida de la AEPD; lo interesante del caso es cómo empieza y cómo se desarrolla; esta vez el final quizás deje con un cierto sabor agridulce (y no precisamente por la ausencia de multa). Como siempre, la Resolución la dejo aquí (y te invito a leerla encarecidamente). Vamos a ello:

Era un 20 de enero de 2016 cuando se recibe en la AEPD una carta un poco diferente. El matasellos dice que viene de Alemania, de un lejano lugar llamado Hamburgo y el remitente, impronunciable para un hispano-hablante, resulta ser aquella prima a la que conocíamos apenas de oídas: la Agencia de Protección de Datos de Hamburgo. "Vaya marrón, a ver qué quiere esta ahora", debió pensar la AEPD. Al abrir la carta, resulta que no es una felicitación tardía de Navidad: es todo un escrito en el que nuestra prima hamburguesa desarrolla lo que parece una especie de informe bastante currado sobre las actividades de una empresa con matriz en Alemania pero tentáculos en diferentes lugares europeos, entre otros, España. La prima harmburguesa nos envía una carta para decirnos que algo le huele a chamusquina en Alemania y parece que, cierta parte de ese olorcillo a quemado, viene de más abajo de los Pirineos: nos pide ayuda para identificar el foco y nos abre el camino para ir con la manguera.

Puntos clave de lo que le huele a chamusquina a la prima teutona:

- Tenemos un grupo empresarial, que se dedica a esto de los créditos rápidos, la mar de majo y cuya matriz está en Alemania pero tiene una filial en nuestra patria querida, que actúa un poco a su rollo pero interacciona fuerte con la matriz. 

- Recopilación de Datos que hacen las filiales (también, por supuesto, la española). 

El textual de lo que dice la prima teutona es revelador: "Para preparar la aprobación del crédito, las empresas filiales de XXXXXX  recopilan un amplio abanico de datos de carácter personal que se inmiscuyen de lleno en la intimidad de sus clientes". Y ojo que la cosa se pone fea: aparte de la información que da el solicitante para obtener su crédito, este conglomerado recopila información del pobre solicitante obtenida gracias al rastro que va dejando en lo que navega por webs asociadas al conglomerado presunto. La prima teutona sospecha que esta recopilación de datos a mansalva da como fruto la elaboración de un perfil muy amplio del solicitante. Es más, para completar bien el perfil, el conglomerado tira también del Facebook del pobre solicitante (eso sí, tras tener su ok voluntario, cosa también un poco cuestionable a juicio de la prima harburguesita, ya que ofrece compensaciones si el solicitante dice aquello de "sí quiero"). Por si esto fuera poco, el solicitante tiene que dar la contraseña de sus cuentas bancarias en internet para que el conglomerado presunto verifique que sus cuentas han tenido movimientos "sexis" en los 60 días anteriores a la solicitud del préstamo. Y todo esto se hace a cambio de que te presten una pequeña cantidad de dinero; no quiero ni pensar lo que pedirían si les pides un pastizal.

- Consentimiento no otorgado libremente. 

Ojo al textual de la carta de la prima teutona: "(...)...los clientes que deciden pedir dinero prestado a KREDITECH se sienten fuertemente obligados a hacerlo, ya que no tienen acceso al mercado de capitales normal y a los créditos a tipos de interés normales. Obviamente, necesitan con urgencia un dinero que ningún banco comercial les prestaría"(...). 

Es decir: aquí se cuestiona algo de lo que ya he hablado en alguna ocasión por aquí: la cuestionable libertad a la hora de consentir el tratamiento de algunos de nuestros datos. Hay que tener en cuenta dos cosas: 

1) la necesidad urgente de conseguir una cantidad de dinero y 

2) el interés que se paga si el conglomerado presunto te lo presta: 3.752%.

La prima alemana hace hincapié en ambas cosas, y nos informa de que eso en su casa se llama usura y que está prohibido, para más inri.

- Retención indefinida, lo que se traduce en que: "o pides que te borre o ahí te quedas" (y cuando digo "borre" quiero decir "me anonimizas").

Tras este informe, la AEPD se levanta de la siesta y se pone a currar (me encanta tirar de tópicos...XD). Se va a la web de la filial española y revisa un poco lo que ve: desde los textos legales hasta si tiene declarados ficheros y de qué tipo, se pasa por la sede para que le expliquen como hacen las cosas y a pedir y pedir documentación (que si contratos de encargo de tratamiento, por ej. del Call Center que tienen en Rumanía, que si el envío de publi se hace bien... ), lo que se dice: un cisco. Además de esto, la AEPD accede a los sistemas de información de la filial y se encuentra con que se registran datos del solicitante como estos (y me remito a los más llamativos, que hay más): 

• Localización actual (longitud, latitud), 
• Dirección de trabajo, 
• facebookData, 
• balance de pagos del cliente (pagos adelantados, pagos pendientes... en relación al préstamo pedido al conglomerado presunto, sospechamos),  
• IP de conexión y el agente de usuario (navegador), 
• Datos externos (identificador del dispositivo), 

Como curiosidad, os cuento dos cosas más: los datos recorren más países que Willy Fog y el conglomerado presunto dispone de un procedimiento de bloqueo (una de mis eternas peleas) tan majo como este:

- Datos de solicitudes no finalizadas: se bloquean siete días después de suinicio y se borran en 180 si no han sido completadas.

- Datos de solicitudes finalizadas y no concedidas: se bloquean a los 30 días y se borran a los tres años.

- Datos de créditos concedidos: se bloquean 30 días tras el pago del préstamo y se borran diez años después.

Además de todo esto, la AEPD recurre a Infojobs para informarse sobre el conglomerado presunto (no, no es coña) y se encuentra con esto (literal): 

<<El grupo XXXXXXX usa big data y complejos algoritmos de aprendizaje automático.

Basado en 20.000 puntos de datos, su tecnología propietaria permite a sus servicios financieros el adquirir, identificar, valorar, pagar y aumentar sus clientes en segundos.

Los procedimientos automatizados combinados con algoritmos de auto-aprendizaje aseguran una rápida y adecuada atención al cliente mientras se minimizan el costo y espacio para el error humano. >>

Vale, o sea que la AEPD recurre a Infojobs para hacer su trabajo. Pues qué campechano todo. ¿no?

Tras todo este berenjenal, nos encontramos con los fundamentos jurídicos (que no voy a reproducir para no aburrir al personal) y con las conclusiones de nuestra AEPD, que os resumo:

1) "(...)... no hay indicios de los que se desprenda que LA FILIAL no actúe diligentemente, ya que cuenta en todo momento con el consentimiento de sus clientes, tanto en la toma de datos personales, como para las cesiones y transferencias internacionales de sus datos, o bien para el acceso de ficheros de terceros, señalando además que su clientes en todo momento podrán ejercitar sus derechos ARCO...(...)"

2) "(...)...no estamos ante un supuesto donde se tomen datos únicamente para evaluar determinados aspectos de su personalidad, ya que existe además la finalidad de formalizar una relación contractual, es decir un préstamo.Además el ciudadano siempre podrá impugnar el tratamiento de sus datos ante los órganos administrativos y judiciales competentes....(...)"

3) Y ojo con lo siguiente: Si os acordáis, al principio del post comenté que había algo que le olía a chamusquina a la prima teutona, y al empezar a analizar la Resolución, os he destacado en rojo y negrita lo siguiente: eso en su casa se llama usura y que está prohibido. Exacto, mis queridos amigos: parece que todo esto se ha montado porque la prima hamburguesa cree que el conglomerado presunto realiza sus actividades rozando lo ilegal, acorde con la normativa alemana. Es decir: que aparte del tratamiento de datos cuestionable, la finalidad del mismo es prestar un servicio con tintes de usura, insisto, según la normativa alemana que menciona nuestra prima teutona. Claro, la AEPD que es muy perspicaz, deja claro en la Resolución que...

 " (..) ...la Agencia Española de Protección de Datos, no es competente para dirimir cuestiones civiles, tales como si los tipos de interés son o no acordes a derecho según las prácticas bancarias españolas, pues su competencia se limita a determinar si se han cumplido los requisitos legales y reglamentarios establecidos para el tratamiento de los datos, pero sin realizar indagaciones propias de la esfera civil...(...)"

Chimpún.

Cosas que, personalmente, me llaman la atención y me hacen pensar en lo divino y lo humano:

1) Me gusta la colaboración entre Agencias de Protección de Datos: los datos personales "vuelan" y es imprescindible que se tiendan la mano y colaboren. Punto para la prima alemana y para nuestra AEPD por darse la mano y bailarse unas sevillanas en lo que se toman unas pintas.

2) Me da cierta envidia la actuación de la prima teutona en lo que parece una cierta defensa de sus ciudadanos e, incluso, de los ciudadanos españoles. Ya sé que la función de la AEPD no es verificar si se practica usura o canto gregoriano a grito pelao a las 4 de la mañana por el centro de Madrid; pero también es verdad que al final los datos se usan para algo y, aparte de verificar que el tratamiento es acorde a la normativa de protección de datos, echo de menos una cierta prevención en que la finalidad es correcta (e insisto, no sólo a nivel protección de datos). 

Y lo tengo que decir: me parece excesivo que para pagar un préstamo se te invite a dejar fisgar en tus perfiles de RRSS. Uno en sus RRSS no está sólo, y además, que no entiendo y no veo sostenible lo que tiene que ver el tocino con la velocidad: que yo pague religiosamente mi deuda no tiene que ver con que le de a "Me gusta" a las fotos de la playa del vecino (¿o es que eso denota que voy a dejar de pagar porque tengo mono de playa?). Ya, ya lo sé: Big data, algoritmos o lo que queráis, pero no, no me parece admisible.

3) La AEPD tira de Infojobs para investigar. Lo flipo: entre los que buscan curro y las investigaciones de la AEPD, el Señor Infojobs debe estar más contento que unas pascuas con sus visitas. 

Y hasta aquí llega el post de hoy; espero que os haya gustado, queridos frikis de la protección de datos!

El taparrabos no le queda bien a nadie:que no se ponga de moda la Ley de la Selva

Hola de nuevo, lopder@s.

Este post no va a ser jurídico: va a ser "reflexivo". Por casualidad me he encontrado con una noticia que me ha motivado para quitarme la bendita pereza del verano y ponerme delante del netbook a escribir.  La noticia la podéis ver aquí: http://tuoitrenews.vn/society/36591/tracking-devices-sold-used-openly-in-vietnam-despite-privacy-concerns .

Si te da pereza leer en inglés o, incluso, darle al traductor, te voy a contar de qué va: en Vietnam se están vendiendo a mansalva dispositivos de seguimiento que rastrean la ubicación de otras personas sin que éstas se enteren. Por lo que dice la propia noticia, el chismito tiene una buena demanda de esposas que lo utilizan para saber dónde andan sus mariditos. Unos reporteros hicieron un pedido de estos dispositivos y el pack no tardó en llegar: a los 3 días recibieron su paquete, lo pusieron en marcha y enseguida recibieron un link a un sitio chino que muestra la ubicación deseada. Sí: a un sitio chino. Por si fuera poco, el inventito este tan majo también funciona como grabadora; es decir: no sólo accedes a la ubicación del pobre espiado sin que se entere, es que encima puedes grabar y enterarte de lo que pasa a su alrededor.

Analicemos la situación:

1) Le ponemos una especie de chip a una persona sin su consentimiento (incluso con él o hasta con su aprobación, la cosa me parece más que cuestionable).

2) Nos enteramos de lo que pasa a su alrededor (que puede ser cualquier cosa: desde que nos enteremos de la fórmula de la Coca Cola hasta que conozcamos con pelos y señales la opinión de un ajeno sobre alguien).

Dejando aparte las cuestiones legales que plantea esto (que no son pocas), vamos a pensar en las cuestiones éticas que se nos plantean: La primera palabra que se me viene a la cabeza es "confianza". Es una palabra que se está perdiendo, como los nombres clásicos tipo Agapito o Angustias. El problema no es que se pierda la palabra en sí, si no que se pierde el concepto. Y que se pierda el concepto es una tragedia; creo que cualquiera estará de acuerdo en esto conmigo. La confianza puede ser algo muy frágil y complicado de conseguir, casi como el último Horrocrux de Harry Potter. La confianza no se gana de un día para otro, hay que combinar paciencia, un poco de fe y mucho, mucho trabajo. La curiosidad humana es tan natural como el sol, pero nuestra condición humana hace que tengamos herramientas para ser racionales y controlar esa curiosidad. Esas herramientas son los valores. Los valores hacen que no le sises el juguete a tu compi en la guardería cuando empiezas a abrirte al mundo y a lo que significa compartir espacios, bienes y momentos. Los valores hacen que aparezca Pepito Grillo cuando tus instintos más básicos aparecen, y los sepas controlarlos. En definitiva: los valores hacen que abandonemos la Ley de la Selva. Cuando leo estas noticias, me siento como si estuviera en medio de la jungla, necesitando estar permanentemente alerta para no ser agredida. Antes las agresiones te venían de forma que las veías venir, ahora las agresiones son silenciosas: cualquiera puede atacar cosas tan importantes como nuestra libertad, nuestra intimidad y nuestra privacidad sin que nos enteremos. Hemos pasado de un poder incontrolado ostentado por lo que eran pseudo-Gobiernos, dictadores terribles o déspotas monarcas a que asumamos con naturalidad que empresas privadas sepan nuestros movimientos o lean nuestros emails. Ahora parece que damos un paso más: tu vecino, tu jefe, tu padre, tu novio o el panadero pueden instalarte unos ojos y unas orejas sin que te enteres. 

Por cierto, casualmente también, leo con especial interés la entrevista publicada hoy en un famoso periódico digital al Juez Calatayud. Es imposible no haber oído hablar de este gran Juez, y debo confesar que le profeso una gran admiración, y más tras haber acudido a escucharle en algunas de sus ponencias. Me gusta la gente que habla claro, que no se anda con florituras, y el Juez Calatayud está en esa lista de personas que no usan eufemismos. Por esto, me causa simpatía además de la admiración que os comentaba. Poniendo esto por delante, tengo que ser sincera conmigo misma y confesar que hay cosas con la entrevista en las que no estoy de acuerdo, o al menos no del todo. El titular de la entrevista es: "Hay que violar la intimidad de nuestros hijos" y, si te paras a leer la entrevista, efectivamente, es lo que pone. Yo no creo que sea un buen mensaje inicial, aunque entiendo que, dado el contexto de la entrevista (Juez que habla desde la perspectiva de los casos que ha visto, la mayoría durísimos), entiendo que hay que leer esta frase dentro de situaciones pseudo-extremas. Yo no creo que haya que violar la intimidad de nadie de inicio y por las buenas; tiendo a pensar que para llegar a eso hay que haber explorado otras vías, e, incluso, podría hasta auto-rebatirme esta frase. Tampoco creo que esto signifique que tengas que ponerte el disfraz de amigo de tu hijo y soltar el lastre de ser padre; de hecho, esto me constó algún conflicto familiar propio con mis padres cuando, siendo adolescente, les explicaba que yo no podría contarles todo lo que pasaba por mi mente precisamente por eso, porque eran mis padres. Pero es que tampoco les contaba todo a mis amigos; creo que prácticamente todos gestionábamos la información casi calcando el método de Google Plus y sus círculos: filtrando qué y a quién llegaba la info. Considero que este ejercicio de autofiltro me sirvió para tomar consciencia de la importancia de mi privacidad y también considero que el complicado ejercicio de trabajar la confianza evita problemas futuros (no sólo legales, claro). La confianza me la enseñaron como valor en mi casa, pero el trabajo para mantenerla es autónomo al principio (y sabemos lo complicado que es, en general, ser autónomo) y después es una tarea en equipo. Y esto no es un sistema a desarrollar en espiral: es en cascada, dado que no se puede ir hacia atrás y poner parches en diferido a las necesidades y problemas que van surgiendo (esto es un guiño a los técnicos). En definitiva: si hemos aprendido que los problemas no se arreglan a guantazos, podremos entender que tampoco se arreglan invadiendo fundo ajeno. Neguémonos a entrar de nuevo en la Selva, que a nadie le queda bien el taparrabos, con toda sinceridad. :-P 

Y hasta aquí llega el post de hoy; espero que os haya gustado. ¡Hasta la próxima!

El DNI bajo la piel: El Informe 0292/2010 de la AEPD sobre Microchips.

¡Hola de nuevo!

Antes de empezar el post quiero agradeceros el apoyo y los votos que recibí con la nominación del blog para los premios de Internet que se celebraron hace unos días. Aunque esta vez no pudo ser, tengo que reconocer que estoy muy muy agradecida por todas y cada una de las muestras de cariño que recibí, tanto en clicks como en tweets o mensajes. Sé que es una frase hecha pero quiero que sepáis que, para mí, que un blog que habla de privacidad y protección de datos sin corsés técnicos llegue a ser finalista de unos premios de ese calibre ya es más que una hazaña. Muchas gracias por todo lo que he recibido en estos días y enhorabuena a los premiados; la gala fue muy entretenida y considero un lujo haber podido "colarme". ;-)

Y ahora, al lío. 

Una semana más, traigo a este humilde blog un Informe de la AEPD que me parece de los más futuristas. Los que hayáis pasado alguna vez por aquí, conocéis ya de sobra mi más que evidente interés por todo lo que toque la relación entre biometría y privacidad, así que no os sorprenderá que elija este informe para seguir con esa interesante senda. El informe que he elegido es del año 2010, y lo tenéis en este link. Vamos a ver qué nos dice:

Corría el año 2010 cuando se le plantea una especial consulta a la AEPD relacionada con la "comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información

médica". Es decir: tenemos a un sujeto que quiere vender o usar una serie de aparatitos que, insertados en la piel de una persona, llevaran dentro determinada información del portador, como su tarjeta de crédito, su localización o información médica. El tema es que los microchips no servirían sólo como "maleta" de la información que contienen, sino que además, servirían como "soporte" para que un tercero pudiera leerlos. Como veis, todo un jardín florido primaveral. ¿No es llamativo lo del número de tarjeta de crédito?

La AEPD parte de la base de que tenemos delante un estupendo tratamiento de datos y que, por ello, dicho tratamiento deberá ampararse en alguna de las causas de legitimación que contiene la propia LOPD y, dentro de ellas, la AEPD ve que las más probables de encajar en esto de los microchips serían:

- El consentimiento del interesado.

- La existencia a su vez de una relación jurídica entre el interesado y el responsable; pero esta última parece que la considera un poco remota. 

Además, tal y como estaba reflejado en la consulta, la intención parece ser tratar datos de salud también, por lo que las causas de legitimación quedan limitadas también, al hilo de lo dispuesto en el art. 7.3 de la LOPD.

Visto todo esto, la AEPD se decanta además por el uso de la fórmula del consentimiento para amparar el tratamiento de datos que implicaría la lectura del microchip por un tercero. Es decir, tenemos dos situaciones que, en principio, deberían "encajarse" con el consentimiento del portador del microchip:

1) La propia implantación del microchip.

2) La lectura de los datos que contiene el microchip. 

Y, encima, para rizar más el rizo, los tratamientos realizados sobre datos de salud exigen un consentimiento especial: el expreso. 

No pasa por alto el informe de la AEPD el hecho de que el microchip esté pensado para tratar también datos de localización del portador (parece ser que en la consulta se indicó que esta idea tenía como fin la localización de enfermos de Alzheimer). Contando con que en este supuesto reflejado la base que habíamos cogido (el consentimiento) se antoja más complicada, la AEPD indica que además sería necesario cifrar la información del microchip o de la señal que emita. 

Recopilamos de nuevo: 

Doble Consentimiento (expreso si se tratan datos de salud y doble porque por una parte tenemos la propia implantación y por otro la lectura) 

+  

Medidas para evitar que terceros "no consentidos" accedan a la información del chismito. 

Esto me recuerda a un post que escribí hace tiempo sobre la información que envían algunos dispositivos son que nos demos cuenta. Si te quieres emparanoiar un poco, pincha aquí y podrás leerlo. ;-) 

Pues bien, si no teníamos pocos problemas, la AEPD recuerda que la implantación del microchip podría meterse en otro jardín más: el del derecho a la dignidad de la persona y a su integridad física. Tremendo combo, señores.

En definitiva, y para no extenderme más, me quedo con esta reflexión que hace la AEPD y que me parece la guinda del pastel: 

"En consecuencia, para que fuera conforme a derecho la actuación planteada debería analizarse caso por caso la necesidad de que la misma se llevase   a  cabo  en  relación  con   la  finalidad  perseguida, siendo  además necesario,   incluso   en   ese   caso,   el   consentimiento   del   interesado   y   la implantación   de   medidas   de   seguridad   que   impidiesen   el   acceso   a la información contenida en el chip por terceros distintos de aquéllos respecto de los que se ha otorgado el consentimiento".

Y hasta aquí llega el post de hoy; que tengáis una feliz y florida semana. 

¡Hasta la próxima, queridos amig@s!

El curioso caso del Responsable Irresponsable

¡Hola de nuevo!

Hay una cosa que siempre le repito incesantemente al #iurisobri cuando viene a casa y saca la pila de juguetes que tiene preparados para sus estancias aquí: "mira bien dónde guardas tus juguetes y revisa que, en el lugar en el que los dejes, los puedas encontrar  en perfecto estado para que puedas seguir jugando con ellos". Obviamente, cuando le digo esto al pequeño #iurisobri no es porque yo tenga pensado vender o romper ninguno de sus juguetes cuando él no está; lo que pretendo con esto es que entienda que las cosas hay que conservarlas bien (entre otras cosas, porque cuestan dinero que no sale de los árboles, como dice mi madre) y para inculcarle un cierto grado de responsabilidad con sus cosas. Esto que parece obvio, cuando somos mayores no siempre lo tenemos presente, y sobre todo cuando hablamos de datos personales. Tendemos a "independizarnos" de los consejos y órdenes de nuestros padres cuando entramos en la edad del pavo y, a veces, arrastramos esa rebeldía hasta bien mayorcitos, aunque en ese caso, más que por rebeldía, suele ser por comodidad o dejadez. 

Ejemplos de esto nos encontramos cuando dejamos papeles con datos personales (facturas a clientes, contratos, hojas de encargo, currículums...) en sitios no adecuados (en la enmarañada mesa de la oficina o en algún almacén mugriento: no pongas esa cara, seguro que conoces algún caso de algún amigo o conocido que lo haga) o cuando contratamos un hosting o nos "subimos a la nube" sin mirar apenas las condiciones. 

Ahora que estamos todos locos por ser punteros en el uso de apps y en tener la web más bonita, es bueno recordar que la comodidad no puede ser sinónimo de dejadez o irresponsabilidad.

Siempre digo que creo que en la LOPD se usó el concepto de "Responsable" con una intención muy clara: incidir en la especial responsabilidad que conlleva cualquier tratamiento de datos personales. Yo lo veo una jugada maestra que pasa desapercibida para la mayoría de nosotros: tenemos la responsabilidad de ser responsables (valga la redundancia) si queremos tratar datos personales, y no hay más. Como esto de ser responsables lo vamos aprendiendo con el tiempo y no suele ser fácil, el legislador nos dio unos pequeños puntos para ir entrando en vereda, y lo llamó "Reglamento de la LOPD". Ya sabemos que nadie nace sabiendo, y menos en aquello que llaman "madurar". A estas alturas de la película y a pesar de tener una guía obligatoria para llegar a ser un buen Responsable, seguimos muchas veces olvidándonos de la guía, lo que implica, además de que estamos fuera de la Ley, que nos exponemos a riesgos innecesarios que pueden dar al traste con nuestra idea de negocio. Pero es que además, creo que la elección del legislador de la palabra "Responsable" va en otro sentido también: en ser responsable de asumir las consecuencias de no ser responsable (valga la redundancia, de nuevo). Si no somos lo suficientemente responsables para cuidar nuestras cosas (o las cosas de otros que custodiamos), vendrá la segunda parte de la responsabilidad, que será pagar la multa. 

Cuando nos olvidamos de ser Responsables (con la doble vertiente que he señalado), pasan cosas como que bajamos una aplicación para gestionar la webcam que hemos colocado en nuestro negocio sin darnos cuenta de que los servidores están, por ejemplo, en medio de la sabana africana, y estamos enviando imágenes de terceros a un terreno desconocido sin tomar ninguna medida para proteger a los pobres que salgan en las imágenes o a nosotros mismos. Y estamos dejando de ser responsables (según la primera vertiente), pero, a la vez, estamos ganando puntos para ser responsables (según la segunda vertiente). Es como si el #iurisobri deja sus juguetes en el portal y luego se pregunta que por qué han desaparecido, solo que en el caso del Responsable Irresponsable, su omisión está afectando a la privacidad de otros y, si esas imágenes que ha "malguardado" aparecen en la red de redes, podría enfrentarse a problemas más serios. 

Para terminar el post, te lanzo una pregunta: ¿crees que eres Responsable de primera vertiente o crees que estás ganando puntos para ser Responsable de segunda vertiente?

Que pases una estupenda semana y muchísimas gracias por pasar por este rincón de la red de redes. ;-)

¡Hasta la pŕoxima!

Ni Mamá, ni Papá: Di "Hola Mundo"

¡Hola de nuevo!

El post de esta semana sigue la senda que he tomado desde hace algún tiempo: la Privacidad de los menores. Parece que cada vez estamos más concienciados de su importancia, de las indeseables consecuencias que puede tener una gestión "imprudente" de la misma, y nos damos cuenta poco a poco de que este tipo de actuaciones las podemos hacer cualquiera de nosotros, la mayoría de veces, de forma involuntaria, eso sí. Es hora ya de que entendamos que realmente no es una cuestión sólo de papis y mamis; la infancia debe ser objeto prioritario de protección para tíos, primos, profesores, el kioskero, el florista o para el vecino del quinto; al menos en mi opinión. Aunque no soy especialmente niñera, tengo claro que la infancia debe tener Pole Position en las prioridades de toda Sociedad. Y sobre esta base, lanzo una reflexión al aire: 

Europa... ¿qué narices haces dejando que seres humanos agonicen en tus fronteras? Es imposible permanecer impasible viendo las imágenes de l@s que se juegan su vida para huir de la maldad, del infierno de las armas y de la crueldad, y que, al llegar a la Europa de los sueños, se encuentran con un muro infranqueable de incomprensión. Esta no es la Europa que nos vendieron; nunca nos dijeron que las fronteras iban a caer para el dinero y los datos personales, pero no para las personas. Tampoco imaginé una Europa tan egoísta, tan clasista y tan desmemoriada. 

Tras este alegato pro-personas que no he podido evitar (ni he querido, no voy a mentir a estas alturas) , voy a intentar retomar el post. Me ha llamado la atención esta noticia:  UC Baby shuts down ultrasound video service due to lack of security y he pensado que sería un tema interesante para escribir sobre él. Voy a resumir un poco la situación para que os hagáis una idea, pero lo voy a hacer a la manera #iurisfriking para hacerlo un poco ameno ;-). 

"Jacinta y Agripino (el de la infografía de la doble vida que podéis ver aquí), van a tener un bebé. Están tan contentos que deciden ir a una clínica que les ofrece hacer un vídeo en 3D de su pequeñín dentro de la tripa de Jacinta. El servicio incluye un vídeo molón para verle la carita antes de que nazca y la posibilidad de compartir las primeras imágenes del bebé en movimiento con amigos y familiares. Ambos creen que es una gran idea "presentar" al peque antes de que nazca y están tan entusiasmados que deciden hacerlo. A los pocos días de la cita en la clínica, les avisan de que el vídeo está listo y pueden acceder a él introduciendo en la web de la empresa un ID que les han proporcionado más un correo electrónico y una contraseña. 

El problema llega cuando a los pocos días se enteran de que no son los únicos que pueden conocer a su bebé ya que el vídeo está a la vista del mundo entero por una incidencia de seguridad en la web de la clínica y, para más inri, resulta que, además del vídeo, se pueden ver también otros datos, como el nombre de la familia, ciudad o pueblo y la hora y el día que se realizó el vídeo. Por lo que parece, la clínica no tomó las precauciones debidas para proteger sus servidores y lleva funcionando desde el año 2005, sin que se hayan preocupado por mantener y actualizar las medidas de seguridad casi desde entonces". 

Toda una "negligencia", ¿no creéis?

Pues esto es lo que sucede cuando nos quedamos obsoletos en temas de privacidad y seguridad; cuando nos aferramos al Windows 95 y nos despreocupamos por estar al día en estos temas. Es como llevar un bikini en pleno invierno. Porque la obsolescencia no afecta sólo a las máquinas, también nos afecta a nosotros: es como algún que otro cabestro que a estas alturas de la peli se empeña en no llevar puesto el cinturón de seguridad en el coche. Oiga, que no es sólo ya por su propia seguridad, es que si tampoco le pone el cinturón al niño está poniendo en riesgo otra vida más por su indefendible cabezonería. 

Os planteo unas cuestiones sobre la noticia: 

1) ¿La imprudencia ha sido sólo de la clínica, de los padres o de ambas partes?

2) ¿Qué peligros y consecuencias pueden derivarse de este tipo de sucesos? ¿Qué implicaciones veis tanto para el pequeñín como para los propios padres?

3) Acorde a la Normativa Española... ¿las imágenes del pequeñín se podrían proteger con la LOPD en la mano?

A ver qué es lo que pensáis; me interesan mucho vuestros puntos de vista. Podéis compartir vuestras respuestas en mi perfil de twitter . 

Y hasta aquí llega el post de hoy; muchas gracias por pasar por este rinconcito de la Red y que tengáis un estupendo fin de semana.

 

PDT: Por cierto, Feliz San Patricio a todos los irlandeses de corazón como yo. #IrishFriki 
;-)

¡I love Ireland!

Crear una app o tener un hijo, esa es la cuestión.

¡Hola de nuevo!

Este post es un post de preguntas, no de respuestas. Si has entrado aquí pensando que te voy a dar respuestas contundentes, has entrado en el sitio equivocado, no quiero engañarte, pero te invito a seguir leyendo porque igual descubres que las preguntas que vas a encontrar son necesarias para saber si te conviene meterte en el berenjenal de hacer una app o si no estás preparado para ello. El post pretendo que sea una pequeña ayuda para las empresas o autónomos que deseen crear una app móvil para su negocio. Voy a intentar comprimir en esta entrada algunos datos interesantes y cuestiones a plantearte si te has propuesto o estás pensando en poner en marcha una app que le dé vidilla a tu idea de negocio, ya que me parece un tema que tiene su importancia, tanto económicamente como en términos de privacidad. El por qué del título del post lo verás al final de la entrada, no seas impaciente. ;-)

La idea de hacer una entrada con este tema ha surgido porque de vez en cuando me gusta echar un ojo a las apps más descargadas y la verdad es de mis "investigaciones amateurs" he sacado esta conclusión: "En general nos importa tres narices lo que una app haga con nuestros datos, pero cada vez hay más excepciones". 

Me diréis: "pero Iuris... ¿cómo haces una afirmación así?" Y yo os respondo con toda la amabilidad que me caracteriza: "Entrad a la App Store, iros a las apps gratis más descargadas y respondedme a tres cuestiones: 1) ¿Cuántas tienen una política de privacidad? 2) ¿Cuántas explican claramente en esa política de privacidad los datos que recopilan y el uso que hacen de ellos? y 3) ¿Cuántos os paráis a leer esa política de privacidad y valoráis objetivamente si merece la pena descargarla?". No hay más preguntas, Señoría.

A pesar de que seguramente la respuesta a las 3 preguntas no sea de mi agrado de momento, sé que cada vez hay más empresas que se preocupan por hacer las cosas bien y mostrar honestidad en sus proyectos, y en parte esto se debe a una creciente conciencia de la importancia de la privacidad de los usuarios, que la hay, y espero que siga por ese camino, por lo que espero que este post me reconcilie con el mundo y pueda ser útil a aquellos que quieran hacer las cosas medianamente bien. Voy a dar unas pinceladas muy muy básicas sobre cosas a plantearse a la hora de hacer una app; por favor, no quiero que nadie se piense que con esto "ya está todo hecho": cada app es un mundo y es necesario asesorarse por profesionales SIEMPRE. 

Al igual que para ser padres o madres nos planteamos una serie de cuestiones (¿tengo los medios para mantener a un churumbel? ¿estoy preparado para asumir las responsabilidades que conlleva? ¿qué tipo de educación le voy a dar? y un sinfín de etc),  para ser "padres de una app" también hay cuestiones que pararse a pensar seriamente, y eso es lo que voy a intentar haceros ver en este post.

Voy a usar como referencia este documento del ICO Inglés (Information Commissioner's Office), que es de 2013, por cierto.  Para los que no sepan lo que es, lo voy a resumir claramente en una frase: es el primo inglés de nuestra AEPD. Siempre recomiendo tener esta web a mano, ya que publican mucho material de interés en términos de privacidad y protección de datos. 

Vayamos al meollo..

¿Quién quiero que descargue y use esa app y qué datos quiero obtener de mi público objetivo? 

No es asunto baladí, ya que el desarrollo de la aplicación y las medidas a tomar variarán en función de mi público objetivo. No es lo mismo crear un juego para niños que una app para gestionar el ciclo menstrual de una mujer y tampoco es lo mismo crear una app para mi tienda que crear apps para comercializarlas y/o dar soporte posterior, lo que implica que mi posición en relación con la app pueda variar (¿seré Responsable o seré Encargado de Tratamiento?). Por ejemplo, a la hora de invitar a publicitarse en nuestra app (como comentaba ayer por twitter al hilo de una conversación con mi querida Laura) no es buena idea que en el juego para niños que estamos creando salte publicidad sobre un lubricante sexual. Al igual que se ha creado un horario infantil en la TV, en el mundo TIC deberíamos ponernos de acuerdo para tomar algunas medidas al respecto, ¿no creéis? 

En relación a los datos que quiero recabar con mi app (habrá que plantearse también si estos van a entrar en la categoría de "datos personales" o no), voy a poner otro ejemplo claro: Si mi app quiere mostrar publicidad de las ofertas para comprar fresas que hay cerca del usuario de mi aplicación, es muy posible que los datos de localización del dispositivo sean "mi pequeño tesoro", pero si lo que va a hacer mi app es mostrar frases de motivación para que el usuario empiece el día con buen humor, no creo que la localización sea muy necesaria. Empecemos planteándonos estas cuestiones porque de ellas dependerá y mucho el desarrollo y mantenimiento de nuestra aplicación. Una frase que me ha gustado mucho de la guía del ICO es la siguiente: "If you are unsure about whether the data you're dealing with is personal, it will likely be simpler to treat it as personal data from the start" lo que viene siendo un "ponte en lo peor, Manolo, y da por hecho que tratas datos personales desde el minuto 0". 

¿Cómo voy a gestionar los datos que obtengo de la app?

Puestos a crear, por ejemplo, una app para mi tienda y asumir el rol de Responsable, aquí el mundo es muy amplio: desde dónde los voy a ubicar físicamente y qué medidas voy a tomar para mantenerlos seguros (cuidado con las transferencias internacionales) hasta ¿voy a externalizar el mantenimiento de mi app? o ¿a quién le voy a ceder los datos que origine y trate mi app? pasando por ¿cómo gestiono los consentimientos de los usuarios? ¿cómo les informo de todo lo que exige la normativa, incluidos los Derechos ARCO?. 

Por ejemplo, en relación a este último asunto, es muy importante adaptar el lenguaje a mi público objetivo y tener un sitio accesible en el que expliquemos todo lo que vamos a hacer con los datos. Y esto debes hacerlo antes de darle bombo y platillo a tu app. Lo más sencillo y habitual es habilitar un trocito de tu web para ello (y por favor, sé cuidadoso con cumplir la normativa también en tu web: avisos legales, cookies, cláusulas...)  y poner enlace directo desde el sitio de descarga de tu app. Y no lo dejes para la posteridad: si haces cambios en la app acuérdate de avisarlo al usuario, y no sólo en la web, en la propia app es importante tener algún mecanismo que avise al usuario de los cambios producidos. Y en relación al consentimiento ten clara una cosa: "es revocable" y no siempre la descarga de una app implica que el usuario acepte cualquier cosa: adapta tu app para gestionar los tipos de consentimiento que requieras, no te bases en el demodé "ACEPTO TODO". Ofrecer un lugar en tu app para que el usuario gestione la configuración de la misma de forma sencilla y darle opciones para que tome decisiones es un buen método, no puede ser cuestión de un "acepto todo o nada". Haz de tu gestión de la privacidad tu seña de identidad, el usuario cada vez da más importancia a estos temas, tal y como decía antes. y es un elemento diferenciador que puede hacer que un usuario "te compre" o se vaya a la competencia.

Para terminar el post os voy a dar unos datos para que entendáis la importancia económica del mundo de las apps:

- Se calcula que más de 1 millón y medio de puestos de trabajo en Europa están  relacionados con el desarrollo de aplicaciones.

- Los usuarios de smartphones pasamos más de un 89% del tiempo que usamos el móvil trasteando con apps.

En este link te dejo información sobre estos datos para que te hagas una idea del pastizal que mueve el mundo de las apps.

Consejos finales: 

Si le has dado muchas vueltas y te has planteado todo lo anterior y, a pesar de todo, te has decidido a hacerte papi de una app, me quedan dos cosas por decirte:

- Conoce tu app: analiza y verifica su funcionamiento, los permisos, la información que das al usuario, su funcionalidad, su mantenimiento y su usabilidad, las implicaciones legales que conlleva y todos los asuntos colaterales. Crear una app es casi como tener un hijo: es muy bonito pero asumes responsabilidades y obligaciones y eres responsable de llevarle por el buen camino. Y si va por mal camino, te tocará "pagar la gracia".

- Confía en profesionales, no tires del "yo controlo" que ya sabemos cómo acaba. 

Y hasta aquí llega el post de hoy, espero que lo encuentres interesante y gracias por pasarte por este rinconcito de la red de redes.

¡Hasta la próxima!

Privacidad es nombre de mujer: Homenaje al 8 de Marzo.

Hola de nuevo!

El post de esta semana quiero unirlo a la celebración, el próximo 8 de marzo, del Día Internacional de la Mujer. A estas alturas de la película, muchas sabréis ya el motivo de que se conmemore esta fecha. El fin de este post es hacer una pequeña reflexión sobre la relación del concepto de "privacidad" con las mujeres. El título del post ya es una declaración de intenciones, creo yo. Obviamente no soy ninguna estudiosa del tema, así que no esperéis un post experto en temas de género, eso quiero dejarlo claro. Voy a intentar expresar mi punto de vista de los nexos que unen a los dos conceptos. Vamos a ver qué sale.

El mayor exponente de la privacidad que hemos tenido hasta la llegada de las TIC era la casa de cualquiera de nosotras. Todas hemos crecido entendiendo que el hogar era una zona de especial status, algo parecido a lo que decía aquel famoso anuncio de la tienda más famosa de muebles: eso de "la república independiente de mi casa". Lo que sucedía de puertas para dentro de una casa era lo más privado que podía haber; salir a la calle era asumir que, durante el rato que estábamos fuera, ese halo de "especial status" quedaba tras la puerta. Y tras la puerta, junto a este "halo", estaba generalmente la mujer. La mujer era la encargada de "custodiar" ese lugar, como una especie de "guardiana de la privacidad", papel asignado automáticamente al nacer. Bajo este "papel" se criaron nuestras abuelas y nuestras madres, asumiendo esa asignación como algo inherente a su condición de mujer. Y de este papel hemos heredado como una especie de obligación especial de cuidar nuestra intimidad, que a veces implica hacernos primeras culpables de determinadas consecuencias, de lo que hablaré más adelante. La vida pública era un espacio vedado para las mujeres; con las consecuencias que eso conllevaba. Tardamos demasiado en reventar esa puerta y salir, de hecho aún hay muchas mujeres que siguen tras esa puerta, tristemente. Y no sólo hemos conseguido "cruzar" la puerta, sino que además, poco a poco hemos conseguido que la Sociedad la cruce en sentido contrario: para atravesarla y desprender conductas aberrantes como el maltrato de la noción de privacidad. El maltrato se ha visto siempre como algo "privado", un asunto en el que nadie podía inmiscuirse porque era un "asunto privado" de la pareja. Incluso produciéndose fuera del hogar, tenía un extraño "status" de privacidad incomprensible. Nos ha costado mucho, muchísimo desterrar esta idea; de hecho, el precio a pagar ha sido (y sigue siendo, cosa que es indignante) INSOPORTABLE. 

Tras reventar la puerta, conseguimos ir haciéndonos con espacios públicos; luchando por tener nuestra autonomía. Después llegaron las TIC y con ellas, algunas conductas indeseables que nos afectan especialmente. Estoy pensando en prácticas absolutamente detestables como la divulgación de fotos íntimas o el uso de dispositivos de control, o directamente, control sin dispositivo. Cuando pienso en el móvil y todo lo que llevamos dentro de él, pienso en mi habitación. Mi habitación es como un territorio vedado y de siempre ha sido como mi "burbujita". Incluso acceder a un móvil ajeno puede implicar una invasión de privacidad similar a la de que un intruso entrara en una habitación y se pusiera a rebuscar entre las cosas de alguien. 

Estas prácticas detestables suelen tener peores repercusiones para las mujeres, y seguramente (recuerdo que no soy ninguna experta), estas peores repercusiones descansan sobre planteamientos machistas, y aquí traigo a colación la "herencia recibida" de nuestro "papel" de guardianas, que es una especie de culpabilidad previa. Por ejemplo, una foto de una mujer realizada practicando "sexting" tiene repercusiones sociales mucho más complicadas para ella. Se saca algo que, en principio, se considera "privado" a la luz pública, y se hace sin el consentimiento de la principal afectada. Todos recordamos el caso del vídeo de la famosa concejala, que pareció agitar las conciencias públicas. Porque, afortunadamente, parece que poco a poco entendemos que una persona no pierde su legitimidad para decidir por realizar determinadas conductas. Es como si pensáramos que, el hecho de dar nuestro número de teléfono al vecino para que, ya que nos vamos de vacaciones, nos avise si se inunda la casa, implicase que aceptamos expresamente que nuestro número de teléfono acabe en manos de todo quisqui, incluso del vecino que vive a 80 portales de nuestra vivienda. La finalidad es clara: te doy mi número de teléfono para que me avises si pasa esto, no para que lo repartas como si fueran flyers. Pues en una situación en la que una mujer comparte una foto íntima con su pareja es como si esto no valiera. A mí me parece algo "paralelo" en cierto modo: en "x" contexto y con "x"finalidad te estoy "dando este dato" y todo lo que hagas fuera de esa finalidad no está consentido, te pongas como te pongas. Cuán importante es la finalidad, ¿verdad?. Suele salir a menudo a pasear en este blog.

No quiero cerrar el post sin hacer un alegato a favor de nuestra autonomía como mujeres, de nuestra independencia y de nuestro derecho a nuestra privacidad. Y que todo esto lo hagamos en todos los ámbitos, obviamente, incluyendo la vida en pareja. Demos una nueva patada a la puerta formándonos en el uso de la tecnología, y exigiendo respeto tanto a nuestra vida online como a la vida offline. Fomentemos un uso sano y respetuoso SIEMPRE.

Y hasta aquí llega el post de hoy, escrito con todo el respeto y con la intención de hacer un pequeño homenaje a todas esas mujeres que sufren, que luchan y que han peleado por reivindicar la igualdad. Y también quiero hacer otra dedicatoria muy especial: a mi padre. Este post se lo quiero dedicar también a él, por haber sido el primer feminista que conocí. Un hombre que fue, es y será todo un referente en mi vida. Gracias por tanto, papá.

No hay que olvidar que los derechos no han sido regalos de nadie, ha costado mucho conseguirlos, y es deber de tod@s luchar cada día por protegerlos. ;-)

¡Feliz semana a todas!