El Palo Parlante, tu coche contestante y la que nos espera.

Holi Holiiii.

Me apetece ponerme muy friki esta vez, lo siento, pero ni quiero, ni puedo evitarlo. Estaba haciendo unas cositas y me he encontrado con un documento del WG del artículo 29 que ha llamado poderosamente mi atención, cosa que, si visitas este pobre blog, suele pasar (tengo algún que otro post comentando documentos de este Grupete de coleguis XDDD). Vamos al lío, que me lío...

Documento: Dictamen 03/2017 sobre el tratamiento de los datos personales en el contexto de los sistemas de transporte inteligentes (STI) cooperativos. Como siempre, os lo linkeo si pulsáis aquí. 

• ¿De qué va el cirio este? 

Pues muy sencillo: de coches/camiones/motos/sidecars...en definitiva: "Vehículos" que hablan con: señales, palos misteriosos... Qué pasote,¿no? Y...¿cuál es la finalidad de estas charlas? Pues, según el propio documento: "lograr mejores predicciones sobre las situaciones del tráfico y mejorar la prevención de accidentes". Sí amig@s, el asunto se pone serio: Los coches hablan; ya no sólo se conducen solos...¡ES QUE ENCIMA HABLAN CON PALOS DEL CAMINO! 

Tranquilos, piltrafillas, de momento los casos que dice el documento que se han identificado están relacionados en su mayoría con funcionalidades informativas (como advertencias de obras, condiciones meteorológicas, etc.). Iba a decir que no os preocupárais en España, ya que obras ya pocas y no somos país de condiciones meteorológicas especiales, pero...mejor me callo tras los últimos acontecimientos. 

Bueno, pues el tema es que se nos empiezan a plantear situaciones un poco complicadas, porque se juntan aspectos éticos (en los últimos tiempos, prácticamente todo kiski se ha planteado casos extremos rollo "y si el coche autónomo tiene que elegir entre atropellar al profe de tributario que no sabe decir "coxis" o al misterioso y desconocido M. Rajoy... ¿qué hace?") y transmisiones de datos que nos son desconocidas al común de los mortales. 

• ¿Qué tiene que ver esto con la Protección de Datos, Iuris?

Pues muy sencillo: que ese coche pertenece a una persona, que dentro del coche también van personas y que el coche, al igual que el vecino del quinto, habla de esas personas. Y esto es así aunque se seudonimicen los datos, que es el caso que se trata aquí. 

Aclaración: La seudonimización viene recogida en el RGPD de la siguiente forma: "tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable". Para que entiendas esta parrafada, te hablo en cristiano: Ese apodo tan amoroso que usa tu amorsito para llamarte y que solo conocéis vosotros, rollo: "Currupipi". Es imposible saber que Currupipi eres tú a no ser que nos den alguna pista, como que tu amorsito se llama "x". A grosso modo, esa es la idea (a lo cutre, lo sé, no dejes de leer el post por esta memez).

Tal y como comentaba, los datos seudonimizados caen bajo la aplicación de la normativa de protección de datos, y por eso el WG mete baza aquí; . si los datos fueran anónimos, el WG pasaría del tema porque no caería dentro de la aplicación del RGPD. 

 

 

• Entonces... ¿qué pasa aquí?

 Pues que el WG no tenía otra cosa que hacer y se ha puesto a analizar todo esto: el coche que habla, el palo que le responde y la fundamentación a nivel jurídico que puede "soportar" esto tan raruno (sí: para tratar datos, hace falta tener un "soporte jurídico", y los tenemos en el RGPD, concretamente en su artículo 6. No quiero pararme en esto para no aburrir al personal; simplemente, os dejo una pinceladita del documento para general rayada: "la capacidad de identificación de los datos de localización es bien conocida: bastan unos pocos puntos espaciales para singularizar a una persona en una población con un elevado grado de precisión, teniendo en cuenta los patrones más habituales de movilidad de las personas". 

Para que me entiendas: identificarte a ti con los datos de localización que manda tu coche al palo parlante, es MUUUUY SENCILLITO. E imagínate lo que se puede sacar de ahí si mereces ir a comiseriden por saltarte una línea continua... (información que caería dentro de las llamadas "categorías especiales de datos" que recoge el art.11 RGPD, y que tienen un régimen de tratamiento un poco diferente).

 Así, el WG da un toquecito para que se mejoren algunos aspectos que inciden en la privacidad de la gente o creando problemas cuando buscábamos soluciones. Por ejemplo:

 

- Los STI cooperativos, por su propia naturaleza, desvelarán información que no estábamos acostumbrados a revelar: por dónde conducimos y de qué modo.  Para algunos, esto es horroroso, especialmente para esos Fernandos Alonsos de Pacotilla: Tu seguro estará encantado de conocer que vas como un fitipaldi: clavadita que te va a caer.

 

- Posibilidad de predicciones inexactas sobre las condiciones del entorno (por ejemplo, creando un atasco en lugar de reducir la carga de tráfico) o  por una interpretación no neutral de los datos del entorno (por ejemplo, induciendo a los usuarios a visitar zonas específicas debido a los intereses económicos de uno de los particulares). Cuanto menos, esto es curioso. 

Y aporta algunas ideas para mejorar estas cosas QUE YA ESTÁN AQUÍ Y AMENAZAN CON QUEDARSE.

 

Como el propósito del post era hablar de palos parlantes y coches, lo dejo aquí; pero os invito a que le echéis un ojo al tema, porque es de lo más curioso. 

Hasta lueguen!!!

 

 

Sí, Quiero (ser tu Encargado de Tratamiento). Pues firma aquí, ricura.

¡Hola hola!

Retomo el blog con un tema que últimamente me está dando no pocos quebraderos de cabeza: las complicadas relaciones con los encargados de tratamiento. Por si pasas por aquí por primera vez y esto te suena a chino, te voy a presentar al Encargado de Tratamiento tal y como lo hace la LOPD:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Para aclarar el tema, el Encargado de Tratamiento es el que "trastea" con los datos siempre bajo las órdenes e instrucciones del que verdaderamente decide lo que hacer con ellos, que no es otro que el Responsable (y aquí te dejo otro post de la menda para que veas por dónde van los tiros). Bien, en definitiva (y acorde con lo que hemos visto): el Encargado es "el mandao". Ejemplos de Encargados de Tratamiento hay a punta pala: desde el hosting de tu web hasta la agencia de publi a la que le has encargado un concurso o la asesoría que te lleva todo lo de laboral. La LOPD no sólo te dice quién es el Encargado de Tratamiento, también te dice que tienes que establecer unas reglas para que "el mandao" tenga claro que sólo puede trastear los datos siguiendo tus instrucciones y que no los va a usar para otra cosa que no sea lo que tú le traslades en esas reglas. Además, esas reglas incluirán las medidas de seguridad que debe implantar sobre esos datos y podrá preverse el destino de los datos cuando el Encargado termine su trabajo sobre ellos. Esto lo tienes en el art. 12 de la LOPD, el cual dice también que estas reglas deberán estar  en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Y aquí mi primer briconsejo: Por escrito SIEMPRE. La LOPD dice CONTRATO, NO DICE "condiciones de uso de una web"; ojocuidao que el matiz es canela fina.

Hasta aquí todo claro: Si hay Encargado, debe haber contrato. Y esa es la regla general. Otra cosa es que luego la cosa se complica porque nos encanta una app que ofrece una empresa en USA o en la Conchinchina (y que, por supuesto, tiene los servidores que la soportan o allí o en Groenlandia) y se nos olvida. Y para los problemas de memoria, además de las pasas, este link de la propia AEPD es imprescindible: 

https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php 

Descifrando...

1) ¿Encargado de tratamiento? CONTRATO

2) ¿Los negocios con nuestro Encargado de Tratamiento suponen una transferencia internacional? Resumiendo, las opciones son dos:

         a) CONTRATO (si el país de destino de los datos tiene nivel adecuado de protección, cosa que no decido yo).

          b) CLÁUSULAS TIPO + AUTORIZACIÓN DE LA DIRECTORA DE LA AEPD (para lo cual hay que seguir un procedimiento muy clarito que tenéis perfectamente explicado en el link que os he pegado de la AEPD). 

Y ojo, ojazo: LOS DOCUMENTOS ES PREFERIBLE QUE VAYAN EN CASTELLANO. Cualquier cosa de estas que firmes en inglés, arameo o esperanto te va a poner obstaculillos para defenderte, según lo que me han dicho varios operadores de la AEPD. Me insisten en que son conscientes de que muchas empresas están guardando como oro en paño sus documentos en inglés y eso no es un escudo antiproblemas. Como consejo: mejor tenerlo en castellano, que es un idioma muy majo.

(Las reglas corporativas vinculantes las dejo fuera del post porque me centro en las relaciones básicas con los Encargados de Tratamiento).

Todo esto que es tan fácil y mecánico en la práctica se vuelve casi una pesadilla, sobre todo cuando hablamos de un Encargado de Tratamiento "lejano", ya que es muy raro el que se presta a colaborar y a seguir el procedimiento de firmar básicamente lo que es un contrato. 

Las excusas más típicas son: 

- Yo tengo mis medidas de seguridad bien puestas en mi web. FAIL (vuelve a leer arriba: CONTRATO). 

Me da igual lo que tengas puesto en la web ya que a eso no me puedo agarrar si la lías con los datos que te confío. ¿Qué parte de "contrato" no entiendes?

- Yo estoy en Privacy Shield. FAIL (vuelve a leer arriba: CONTRATO). 

Te pego EL LITERAL de lo que dice la AEPD: "Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD". 

- No voy a ir yo a cambiarle las reglas a una empresaca como XXX. FAIL

No es que vayas a cambiarle las reglas, es que necesitas garantías de que se va a portar bien. ¿O es que dejarías a tu pequeño y tierno gatito al cuidado de Jack El Destripador? Además que es que inviertes en tranquilidad, porque a la primera puerta que va a llamar la AEPD si hay problemas es a la tuya. No creo que de buen rollo tu Encargado piratilla vaya a sacar su espada para defenderte. 

Llegados hasta aquí, y sin ánimo de asustar al personal, te voy a pegar lo que dice el art. 20.2 del Reglamento de la LOPD para que veas que esto es sólo la puntita del Iceberg:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

Es decir: a lo que ya nos ha quedado claro (el contrato) le unimos otro lío más (la obligación de velar porque el Encargado reúna las garantías de que cumple lo dispuesto en el Reglamento).  ¿Y esto cómo se hace? Pues cada maestrillo tiene su librillo, por lo que no me siento capaz de darte una respuesta rotunda. Lo que sí te puedo decir es que mirar si tiene ficheros declarados en la AEPD NO ES SUFICIENTE (que además, si no hay cambios a la vista, tendrás que cambiar de truquillo en año y pico, por cierto).

Consejos finales:

- Sé selectivo y escrupuloso con tus Encargados de Tratamiento.

- Ponte pelmazo para firmar contrato EN CASTELLANO. Si te encuentras con un "no", lo deseable sería no establecer relaciones con ese proveedor. 

- Una vez firmado el contrato, disfruta de tu amor con tu Encargado pero pídele que de vez en cuando te haga saber que él también te quiere en forma de pruebas de que se sigue portando bien (es decir, que te acredite que va cumpliendo lo que le pediste).

Y hasta aquí el post de hoy. Espero que te haya parecido interesante y que pases una estupenda semana.

Pdt: Por cierto, ya que publico hoy esto quiero recordarte que este sábado es un buen momento para seguir reivindicando una Justicia SIN TASAS, CON MEDIOS E INDEPENDIENTE. Te pego el link con más info y te animo encarecidamente a que te apuntes: la lucha sigue porque los motivos no han dejado de existir. Si estás por allí...¡no te olvides de saludarme!

#RETOBLOG: Harry Potter y sus hechizos para cumplir la LOPD.

Dicen las malas lenguas que para cumplir con la normativa de protección de datos necesitas ser más espabilado que Harry Potter en busca de los Horrocruxes. La diferencia es que Harry los encontró, se enfrentó al malo y ganó (así contado por encima) y en esto de la protección de datos, los Horrocrouxes son...cómo decirlo...INTERMINABLES. Por eso, para que puedas enfrentarte a cada peligro, te voy a dar un manual imprescindible: una lista de hechizos Harry-Potteros para que puedas entender un poco de qué va la LOPD y defenderte cuando EL QUE NO DEBE SER NOMBRADO venga a por nosotros. 

Vamos a ello...

Hechizo Calvorio - Deja calvo al recibidor del hechizo durante varios minutos.

Este es el que va a usar la AEPD como te coja desprevenido: vas a acabar desplumado. Y es seria la cosa; las multas por incumplir la LOPD van desde 900 euros a 600.000 euros. Eso sí, al igual que las multas, los efectos del hechizo también son graduables: dependiendo de cómo te pille el tema puedes quedarte tipo bola de billar o look Anasagasti, por lo que te aconsejo que vayas cuidando tu melena (y tu gestión de los datos personales) para que, en caso de que te lancen este hechizo, tengas recursos para defenderte. 

Priori Incantatem - Hace que puedas ver el último hechizo conjurado por la varita.

Mucho ojo con este también: como no tengas una contraseña lo suficientemente fuerte, este hechizo puede ser tu ruina. Con él, el Mortífago puede entrar en el corazón de tu empresa y acceder a todo lo que guardas en tus dispositivos/varitas, por lo que haz el favor de utilizar contraseñas robustas y aléjate del 1234 o el 0000 que no traen más que penurias.

Hechizo Fermaportus - Cierra o sella una puerta mágicamente.

Este es el que debes usar para cancelar los datos. Con él, los datos quedarán perfectamente bloqueados, a excepción de que Administraciones públicas, Jueces o Tribunales, te los pidan para la atención de las posibles responsabilidades nacidas del tratamiento que hayas realizado sobre ellos. Eso sí, este hechizo funciona sólo durante el plazo de prescripción de dichas responsabilidades, por lo que, pasado ese tiempo, deberás usar el siguiente que te pongo.

Reducto - Hace que el objeto, al que se apunta, se rompa o destruya.

Efectivamente, este hechizo es el que debes usar para suprimir los datos tras el período de bloqueo. Con él, no quedará ni rastro de los datos, por lo que sé muy cauteloso y cuidadoso de usarlo sólo cuando debas y asegúrate de que has ensayado muy bien el hechizo para que no haya forma humana (ni mágica) de que pueda accederse a los datos que has destruido.

Cistem Aperio - Crea fuertes sacudidas en un objeto hasta hacer que se abra o rompa.

Este hechizo es otro con bastante probabilidad de que lo usen contra ti los horribles Mortífagos, por lo que debes estar preparado. Protege tus datos personales y los sistemas que los contienen para que seas inmune a este hechizo; te voy a dar varios conjuros para que puedas protegerte bien:

Cave Inimicum - Hechizo de protección, avisa cuando llegan los enemigos.

Ferma -  Cierra objetos cerrables, como ventanas, libros o cajones.

Mago precavido vale por dos; tener mecanismos de prevención de ataques nos hará ser más fuertes y menos vulnerables a los ataques de los malos. Nuestros datos estarán más seguros y podremos responder a los ataques que nos lancen (incluso preverlos con antelación para minimizar sus efectos). 

Geminio - Duplica objetos, aunque los objetos duplicados no tienen las propiedades mágicas que los originales.

Este es la pera limonera de los hechizos, ya que es tu particular inversión en tranquilidad: tener una copia de seguridad de los datos personales es una garantía de seguridad adicional a los hechizos que acabamos de ver. Así que venga, a practicar con la varita (como poco, una vez a la semana).

Partis Temporus - Crea temporalmente una barrera mágica de protección

Ideal cuando sacas soportes con datos de la empresa, algo que es muy común: una carpeta con documentación, el portátil, la tablet... Antes de salir de las instalaciones, dale al Partis Temporus para proteger todo lo que quieras sacar, que nunca se sabe cuando van a aparecer los Mortífagos. 

Y hasta aquí llega la clase de iniciación del curso en Hogwarts; espero que a final del mismo os salgan los conjuros a la primera y paséis el examen de la asignaturas de Hechizos LOPD con toda facilidad. Eso sí, antes de irte... ¡tendrás que saber a qué escuela vas! Tira para el salón que Dumbledore está de los nervios. ;-)

Feliz inicio de cole y...¡BIENVENIDOS A HOGWARTS!

Primer acercamiento al Compliance: ¿Messi vestido de faralaes?

Hola de nuevo, lopederos. ;-)

En este post no voy a hablar de LOPD ni de privacidad ni de tecnología, o, al menos, no lo voy a hacer como acostumbro. En el post de hoy voy a acercarme "con la puntita" a un tema que últimamente está en boca de todo el mundo: El Compliance. La verdad es que el tema ha picado un poco mi curiosidad y a ratos perdidos voy leyendo algún articulo o post para ir familiarizándome. En uno de esos ratos perdidos, he tenido la oportunidad de ir a un par de eventos en los que se ha abordado el tema desde puntos de vista algo diferentes pero en los que, curiosamente, he encontrado algo en común: la desconfianza en el sistema y el tan humano "miedo a lo desconocido".

El Compliance como Pesadilla

Cuando hablo de desconfianza, lo hago pensando en el hecho de que a día de hoy no son pocos los que creen que esto del Compliance no trae una garantía medianamente solvente como para pensar que va a ayudar a disminuir o minimizar los riesgos no económicos a los que puede enfrentarse una Compañía (si no hay un resultado claro, concreto y tangible  de algo, nos solemos inclinar por el "no sirve de nada" ) y cuando hablo de "miedo a lo desconocido" me refiero a que no percibo que haya un entendimiento claro de lo que implica este "nuevo" concepto y de las obligaciones que conlleva.

Qué pasará, qué misterio habrá, puede ser mi gran Compliance

Os voy a resumir las ideas en global que he sacado del evento al que he ido hoy, que era un desayuno-charla celebrado entre expertos y representantes de pymes, a efectos de compartir con vosotros la experiencia y las inquietudes que he percibido. Allá vamos.

Lo primero que se ha puesto encima de la mesa es el pack básico de problemática al que nos enfrentamos hablando de Compliance:

1) Complejidad normativa.

2) Necesidad de renovación constante de conocimientos y posterior aplicación.

3) Problema de comprensión del propio concepto dado su origen anglosajón.

El punto 1) y el 2) van unidos y de la mano: ¿qué parte de toda la normativa hay que meter dentro del concepto de "Compliance"? ¿cómo me aseguro de mantenerme al día en todos y cada uno de los campos que engloba? y, por último: ¿cómo aplico efectivamente esas actualizaciones?

La respuesta a las 3 es medianamente sencilla: buscar un especialista. El problema, según los ponentes, es que a día de hoy no hay un especialista que acumule el conocimiento de todas las ramas necesarias (creo que no deben tener twitter, porque a mí algun@ se me ocurre, al menos según su propio testimonio) y, por ello, es casi obligatorio contar con un buen equipo multidisciplinar que nos haga de "escudo protector" y cubra todos los huecos. Esto, obviamente, implica desembolsar un dinero que, en este contexto de crisis, se hace muy cuesta arriba para las pymes, en palabras de los asistentes al evento. 

Otros aspectos que se pusieron sobre la mesa, abordados por el catedrático Adán Nieto, fueron que la idea del programa de Compliance debe basarse en un convencimiento claro de hacerlo (es decir: no vale gastarse un pastizal para tener los documentos sin abrir), y en involucrar, con este convencimiento, a todo el equipo de la empresa. Partiendo de esta base, la entidad puede obtener muchos beneficios que van desde la tan buscada "buena imagen de la empresa" hasta el hecho de que, en un futuro no muy lejano, este tipo de programas se acabarán convirtiendo en un requisito imprescindible para poder optar a contratos con AAPP o para que algún inversor quiera confiarnos su dinero. Por ello, se fijaron 3 pautas:

a) Contar con el convencimiento y la implicación que comentaba antes.

b) Realizar un análisis de riesgos (que, por lo que dijo el ponente, viene contemplado en el Código Penal) en el que establezcamos las infracciones potenciales que podemos cometer, los mecanismos de control para evitar que se produzcan y la evaluación objetiva del riesgo.

c) Concretar normas internas y procedimientos  que reflejen y eviten lo que hemos detectado con el análisis de riesgos.

Me ha parecido muy interesante el punto b), ya que se abordaron algunas de las especificidades que "acechan" según el tipo de pyme que seas (por ej. si te dedicas a asesoría fiscal, tendrás un mayor riesgo con el tema del blanqueo de capitales mientras que si eres una fábrica, los riesgos medioambientales ocuparán un lugar clave en los riesgos que puedas correr con tu actividad cotidiana). 

Por último, se comentaron algunos datos interesantes sobre la esencia del Compliance; en palabras de los ponentes, la idea de todo esto ronda en una especie de "delegación" de algunas de las funciones de la Administración, tal y como se hizo con la recaudación del IVA en su momento. Es un poco: "como no llego a comprobar todo lo que haces, te traslado la obligación de que me demuestres que lo estás haciendo tú mismo". Me pareció genial la metáfora que usaron: "no sirve una foto, lo que necesitamos es el vídeo", que se traduce en lo que decía antes: no vale con un dossier inmenso que acabe cogiendo polvo en una estantería, necesitamos que haya acción. (Esto suelo repetirlo diariamente a mis clientes con el Documento de Seguridad, por cierto). Muy gracioso me pareció cuando dijeron que igual necesitábamos una Lola Flores (es decir, un caso mediático) para ayudar a que esto cale y nos pongamos al día con estos asuntillos. Uno de los ponentes dijo que igual el caso Messi podría hacer esta función, pero a mí la imagen de Messi vestido de faralaes qué queréis que os diga: ME DA PAVOR.

Lionel Messi Flores 

Y hasta aquí llega este pequeño acercamiento al Compliance; espero que os haya resultado interesante.

¡Que paséis un finde memorable y muchas gracias por pasar por aquí!