domingo, 18 de febrero de 2018

Recordatorio de las películas de las últimas semanas

Pequeño recopilatorio de las películas vistas en las últimas semanas

Le tout nouveau testament (El nuevo nuevo testamento)

Una comedia, tirando a comedia negra, en la que dios vive en Bruselas y es un ser horrible en todos los sentidos, incluido con su propia familia. Tiene un trasfondo  humano que da para varios análisis filosóficos. Me ha gustado mucho. A los amigos que la vieron anoche conmigo no tanto. Además una amiga me explicó la historia del libro de "El cantar de los cantares" que desconocía. Película recomendación de Ana en las sobremesas de la oficina.



Colossal

Una chica que bebe mucho alcohol y a la que su novio echa de casa por esa razón, vuelve a su pueblo y descubre que tiene una conexión con un bicho enorme que aparece en Seúl. No me llegó demasiado. Trata de decir muchas cosas y todas interesantes, desde los traumas infantiles hasta el maltrato, a través de una historia de ciencia ficción muy original y me faltó algo. Igual simplemente estaba cansada el viernes. Merece la pena en cualquier caso.



Arrival

Unas naves alienígenas llegan a la tierra y hay que averiguar qué quieren. Los militares piden ayuda a una lingüista (una espectacular Amy Adams) para intentar comunicarse con ellos. Me ha parecido una película preciosa. Brutal. La mejor ciencia ficción que podría no ser ni ciencia ficción que he visto en los últimos años. Aún me quedo con la duda de si hubiera llegado a la misma conclusión de manera tan rápida si no la hubiera visto con una mente tan ágil y preclara como la de Rober, que soltó su conclusión antes siquiera de que mis mecanismos neuronales hubieran empezado a hacer engranaje.



The Congress (El Congreso)

Estrené la plataforma Filmin para  probarla y ver esta película. Ambas cosas han sido un buen plan. Robin Wright interpreta a una actriz llamada Robin Wright que, en sus tiempos de máximo apogeo llegó a interpretar "La Princesa Prometida". Su agente Harvey Keitel le recrimina no haber hecho buenas elecciones después de aquella época y la recomienda que acepte un contrato para que unos estudios hagan una copia digital de ella y la utilicen en las películas que quieran sin contar con ella. Está basada en un libro de Stanislaw Lem. Hablando de filosofía, aquí hay muchas tazas. Y un poquito de Matrix también :) Me ha gustado mucho. Película recomendada por el compañero Píxel en las sobremesas de la oficina.



X+Y

Un adolescente con autismo que es una máquina en matemáticas y se apunta a las olimpiadas de matemáticas donde empieza a interactuar con chavales que también son portentos. Y también la relación con su madre y su profesor particular que padece esclerosis múltiple. No sé si es porque la vimos después de "El nuevo nuevo testamento" y me afectó el efecto contraste, pero me pareció floja. Me dio la sensación de que apuntaba a algo más potente el principio y mitad de la película pero, al final, me supo a comedia/drama romántico flojo. Actualización (18:51): me dice uno de los amigos con quien  vi la peli que está basada en alguien llamado Daniel Lightwing. Y que en la web de las olimpiadas matemáticas se pueden descargar los problemas http://imo-official.org/

domingo, 28 de enero de 2018

El mindfulness y el capitalismo

Desde hace bastante tiempo vengo pensando acerca del problema que supone el capitalismo como concepto llevado a un extremo absoluto de antisolidaridad. Y este artículo que acabo de leer de Anita Botwin viene a ahondar en este mismo tema.

Me vuelve esta reflexión de manera recurrente, incluso cuando la Cámara de comercio me manda publicidad sobre "Mindfulness" para controlar el estrés laboral". Seguro que el mindfulness puede estar muy bien y tendrá sus beneficios. Estoy segura de que todo método que suponga evitar la multitarea, estar centrado en lo que haces sin desefoncarte en mil distracciones y ser consciente de lo que haces sin poner el piloto automático, es un beneficio mental. No me cabe duda. Cualquiera que sea el nombre que se le ponga.  Pero que no me lo vendan como remedio para el estrés laboral. Para eso está la conciliación laboral y personal, los horarios sanos y no explotados y los salarios dignos.

El concepto del minfulness que me venden es, en realidad,  una alternativa para evitar los ansiolíticos como los que menciona la autora del artículo, pero que deriva de una misma causa y conclusión: el capitalismo. El "esto es lo que hay", el "al menos cobras los mil euros". El "esto es lo que toca". Y es un problema aberrante del capitalismo. Estoy totalmente de acuerdo, lo que es necesario es la solidaridad, la idea de que somos un colectivo en el que las necesidades de uno, son las necesidades de todos. Un mundo, con recursos limitados, del que todos formamos parte y en el que el "quítate tú, que me pongo yo" debería estar fuera de lugar. Algo que le llevo escuchando a mi mamá desde que tengo uso de razón. Ella lo resumía así: "globalización para todos".

sábado, 20 de enero de 2018

El viaje del héroe en la gestión de riesgos


El concepto de "El viaje del héroe" fue definido por Joseph Campbell a quien le dio por estudiar mucha mitología durante toda su vida y descubrió un patrón, una serie de principios, que gobiernan la narración de las historias e incluso la conducta de la vida. Según Christopher Vogler en su libro "El viaje del escritor", basado en los estudios de Campbell sobre El Viaje del Héroe:
"resulta difícil eludir la sensación de que, en efecto, el viaje del héroe existe en alguna parte, existe de algún modo como una realidad eterna...".
La cuestión con este Viaje del Héroe, con esta estructura eterna, es que cualquier historia, cualquiera, tiene un hilo narrativo basado en una serie de etapas que son las que marco en negrita en el siguiente párrafo:


Los héroes se nos presentan en el mundo ordinario, donde reciben la llamada a la aventura. Y aunque inicialmente se muestra reticentes y rechazan la llamada, sin embargo, un mentor, los anima a cruzar el primer umbral. Ahí encontrarán pruebas, aliados y enemigos. Para posteriormente aproximarse a la caverna más profunda, atravesando un segundo umbral, donde empezará su odisea o calvario. Y se apoderarán de su recompensa para ser perseguidos en el camino de regreso al mundo ordinario. Al cruzar el tercer umbral, experimentarán una resurrección, vivencia que les transforma, y retornarán con el elixir, una bendición o un tesoro del que se beneficiará el mundo ordinario.

Para verlo en ejemplo práctico, si tomamos La Guerra de las Galaxias (Episodio IV) nos encontramos a nuestro héroe, Luke Skywalker, en el mundo ordinario siendo un granjero en un planeta perdido de la mano de dios. Y recibe la llamada a la aventura a través de un mensaje de la princesa Leia oculto en R2-D2. Pero rechaza la llamada porque debe quedarse ayudando a sus tíos en la granja. Y entonces aparece el mentor que es Obi  Wan para darle a Luke la espada láser que perteneció a su padre. Y finalmente atraviesa el primer umbral, empujado por la muerte de sus tíos, cuando los soldados del imperio queman su granja. En la cantina conoce a enemigos y a aliados que le acompañarán en el viaje, como Han Solo. Y a partir de la cantina comienzan las pruebas de Luke para ser un Jedi. El héroe se aproxima a la caverna más profunda, en este caso Luke y sus aliados se ven en la Estrella de la Muerte donde van a tener que rescatar a la princesa Leia. Y entonces sucede la odisea o calvario, ese duro momento cuando Luke, Leia y demás compañeros se encuentran atrapados en el triturador y no sabemos si saldrán vivos de ahí y tampoco si Luke morirá ahogado al ser atrapado por el monstruo en el agua. Una vez que el héroe sobrevive al calvario puede hacerse con la recompensa, en este caso, los planos de la Estrella de la Muerte, que pueden permitir encontrar el punto flaco de la nave para reventarla. Y ya, casi al final de nuestra historia en la que - como diría gritando una abuela vecina mía cuando la llaman a cenar ("espera hija que está ya en la cumbre la película") - nos situamos en el camino de regreso, cuando a Luke y Leia les toca huir de un Darth Vader muy cabreado que les persigue. Y de ahí a la batalla final que, tras ser ganada por el héroe, experimenta la resurrección. Para poder retornar con el elixir que es su aportación para restablecer el equilibrio en la galaxia. Cualquier novela, película, cómic, historia, tiene una estructura similar. No tiene que ser en orden secuencial, no tiene que ser una etapa detrás de otra, algunas pueden darse en paralelo. Algunas pueden ser tan breves o sutiles que parece que no están. Pero desde que integré en mi estructura mental que cualquier historia tiene estas etapas, soy capaz de vez el hilo secuencial en cualquier historia. Incluso en una Tesis Doctoral sobre "Modelos de elementos finitos explícitos para explosiones en estructuras reticuladas de hormigón armado con aplicaciones al estudio del colapso en edificios". En esta tesis está el camino del héroe. En más de un sentido. Y hoy me ha vuelto a pasar. Me hallaba esta tarde empollando la metodología de gestión de riesgos de privacidad publicada por el CNIL y de repente me he dado cuenta "¡es el viaje del héroe!".  Yo lo veo claro:
Resulta que un riesgo es un hipotético escenario que describe el modo en que las fuentes de riesgo pueden explotar una o varias vulnerabilidades en los activos de apoyo que contienen los datos personales. Y eso en un contexto de amenazas  que permite que ocurra un evento temido sobre datos personales, lo cual genera impactos en la privacidad de los datos de las personas físicas. Ahí están las etapas del viaje del héroe:
  • Tenemos a nuestro héroe: el dato de carácter personal
  • Que está en su mundo ordinario: bajo el control de su titular que no divulga el dato a cualquiera.
  • Y es llamado a la aventura: por ejemplo, una empresa desarrolladora y propietaria de una aplicación informática que le puede decir al titular del dato si tiene gases. (podría llegar a pasar. ¿Por qué no?)
  • Pero rechaza la aventura: el dato que no se siente seguro en manos de un tercero, siendo además información sensible como el de flatulencias de su titular.
  • Y aparece el mentor: el clausulado de información y consentimiento de la aplicación es muy largo, tiene muchas palabras legales. Sí. Parece serio y dice que velan por la seguridad. Y de esta manera el dato cruza el primer umbral y decide ponerse en manos de la empresa
  • Y así conoce a los aliados, los activos de apoyo en los que va a quedar bien almacenado que, en este caso, es el servidor de la empresa. Y conoce a los enemigos: las vulnerabilidades que pueden explotar los activos de apoyo a través de un parche desactualizado del sistema operativo que permite un inyección de código malicioso.
  • Y nuestro héroe se aproxima a la caverna más profunda cuando es ubicado, por error, en una base de datos a la que tiene acceso todo el personal de la empresa. Y justo en ese momento, aparece una fuente de riesgo, un trabajador muy cabreado con la empresa que ha discutido con su superior y quiere irse a la competencia. Y se da cuenta de que tiene acceso a esos datos compartidos con él por error y se empieza a fraguar en su cabeza la idea que puede venderlos si los extrae de la base de datos. Y ahí llegamos a la odisea o calvario de nuestro héroe, cuando se produce un evento temido que es el acceso ilegítimo al dato personal, es decir, el acceso ilegítimo a nuestro héroe por parte del trabajador cabreado.
  • Y entonces, en una revisión periódica programada por la empresa para los casos en que se producen cambios significativos en los sistemas de información, justo en el camino de regreso de nuestro héroe, cuando el trabajador cabreado se dispone ya a secuestrarle al día siguiente, la persona responsable de seguridad se da cuenta de que los permisos de la base de datos están mal otorgados y establece una medida de control, lo cual evita que se produzca un impacto en la organización con el robo del dato: nuestro héroe. Quien sobrevive a su secuestro por parte del trabajador cabreado. Y así nuestro héroe se hace con la recompensa que es el haber sobrevivido a un contexto de amenazas que hubieran provocado un serio impacto en nuestro héroe que hubiera percibido una clara invasión en su sensación de privacidad.  Y todo gracias a una revisión periódica programada.
  • Y así, tras librarse por los pelos de ver expuesta su privacidad, nuestro héroe experimenta la resurrección y vuelve con el elixir que es sentirse seguro en manos de la empresa propietaria de la aplicación y la gestión del riesgo residual.
Es El Viaje del Héroe. Yo lo veo claro

lunes, 8 de enero de 2018

Metodologías para gestión de riesgos en materia de protección de datos en trajes de super héroes


Esta es una versión alternativa de un post menos friki que he publicado hoy en Linkedin. Lo que añado aquí en azul son las aclaraciones fundamentales para que se entienda en el contexto de este blog :)
La aplicación del RGPD y el concepto de la privacidad por defecto y desde el diseño nos va a meter de lleno en la aplicación de metodologías de análisis de riesgo que nos pillará de nuevas a aquellos que venimos aplicando desde hace tiempo normas estándares de seguridad que vienen de la línea de las 27K.
Cuando Cisco tiene que hacer un traje para The Flash sabiendo que va a enfrentarse a metahumanos que tienen poderes desconocidos, por defecto y desde el diseño, introduce toda una serie de funcionalidades al traje para evitar riesgos que pueda sufrir The Flash al enfrentarse a los malos. Para ello ha aplicado una análisis de posibles maldades que le pueden hacer los malos.

¿Qué es un análisis de riesgos? Es un proceso sistemático que nos permite identificar los riesgos a los que está expuesta, por ejemplo, una organización. En definitiva, en líneas generales, un análisis de riesgo implica:

  • Definir un alcance, es decir, el ámbito sobre el cual se va a llevar a cabo el análisis de riesgos.
  • Identificar los activos que quedan incluidos dentro de dicho alcance.
  • Identificar las amenazas que afectan a dichos activos.
  • Identificar vulnerabilidades
  • Identificar salvaguardas
  • Evaluar el riesgo
  • Tratar el riesgo.
El INCIBE publicó un post en el que resumía éstos pasos aplicados al ámbito de la seguridad de la información que pueden servir como punto de partida para tener un contexto de ejemplo. Puede consultarse aquí.
Por ejemplo, si el alcance del análisis es "tipos de malos a los que puede enfrentarse Ironman teniendo en cuenta las capacidades de su traje". El activo incluido en el alcance es: el propio Tony Stark, es decir, su supervivencia a la hora de enfrentarse a un villano. 
Las amenazas posibles: ataque por visión láser; ataque por lanzamiento de meteorito; ataque por objeto contundente. 
Las vulnerabilidades posibles pueden ser: resaca por ingesta de alcohol de Tony Stark, Tony Stark está descentrado porque Pepper Post no le entiende; Tony Stark tiene un mal día porque le han pinchado las ruedas del coche. 
Las salvaguardas posibles pueden ser: Jarvis tiene todos los parches de seguridad actualizados; Jarvis tiene a punto el piloto automático; Jarvis tiene los mapas del GPS actualizados; Jarvis se encarga de mandar flores a Pepper. 
A la hora de evaluar el riesgo ya contamos con los elementos anteriores para poder evaluar la probabilidad y el impacto, por ejemplo:
  • La amenaza de que Iron Man sea atacado con un objeto contundente se materializa 3 veces al mes.
  • El impacto, es decir, el daño derivado de la materialización de la amenaza implica un gasto en reparaciones del traje de Iron Man que tiene consecuencias leves porque Tony Stark es multimillonario.
  • Calculamos el riesgo con las variables de la probalidad y el impacto.
Y a partir de ahí tratamos el riesgo que implica, por ejemplo, añadir funcionalidades nuevas al traje de Iron Man para que el objeto contundente no destroce el traje.

Si nos llevamos el análisis de riesgos al ámbito de la protección de datos el alcance aplica a la identificación de riesgos, en las operaciones de tratamiento de datos personales que se van a llevar a cabo por parte de una organización. ¿Fácil no? :D

¿Qué es un análisis de evaluación de impacto en materia de protección de datos?
Está precisamente relacionado con la realización de un análisis de riesgos. La Agencia Española de Protección publicó en el año 2014 una “Guía para la evaluación de impacto en la protección de datos personales” en la que establece: "Y entre las herramientas más útiles para avanzar en la privacidad desde el diseño se encuentran las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos, más conocidas como PIAs, por sus siglas en inglés (Privacy Impact Assessments), que se han desarrollado fundamentalmente en países anglosajones, donde ya existen metodologías consolidadas para su realización. Una PIA o una Evaluación de Impacto en la Protección de los Datos Personales (EIPD) es, en esencia, un ejercicio de análisis de los riesgos que un determinado sistema de información, producto o servicio puede entrañar para el derecho fundamental a la protección de datos de los afectados y, tras ese análisis, afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos."
Por ejemplo, si detectamos que el riesgos de que Jean Grey siga siendo un miembro de la patrulla X es muy peligroso porque es muy posible que se le vaya la pinza y, por tanto, implica un alto riesgo para el resto de sus compañeros, tendríamos que hacer un análisis de evaluación de impacto para establecer qué medidas de seguridad son necesarias para que Jean Grey pueda seguir siendo parte del grupo, o bien, determinar que no puede seguir siendo miembro de la Patrulla X

Lo que también añade la Guía de la Agencia es que: "no es ni puede ser el objetivo de esta Guía el proporcionar criterios ni metodologías para definir cuantitativamente los niveles de riesgo de cada una de las situaciones descritas y de cualesquiera otras que pudieran aparecer como fuentes de riesgo para la privacidad al realizar una EIPD. Estas valoraciones han de ser llevadas a cabo en función del producto o servicio de que se trate, de las circunstancias de tratamiento de los datos, de los destinatarios de los mismos, de las tecnologías utilizadas, etc."
Esto quiere decir que Cisco no puede saber de entrada todas las contramedidas que puede poner en el traje de The Flash. Sólo cuando sabe a qué metahumano va a enfrentarse puede poner las medidas en el traje.

¡Andá! ¿Y entonces? ¿Se puede entender que las actuales medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos y las clasificación en niveles de medidas de seguridad básico, medio y alto es una metodología de análisis de riesgos aplicable para la protección de datos de carácter personal? ¡No! las medidas del RDLOPD no son una metodología. Lo que viene al recoger el RDLOPD es la enumeración de medidas, pero no especifica el enfoque basado en el riesgo que está recogido en el RGPD. Esta pregunta se la han hecho también directamente a la Agencia Española de Protección de Datos en la 9ª sesión anual abierta. Ante la pregunta: ¿Puede considerarse el Título VIII del RLOPD como metodología de análisis de riesgo? La respuesta de la Agencia fue: "Si lo que se plantea es si la división en tres niveles de seguridad efectuada por el artículo 81 del RLOPD es suficiente para valorar el riesgo la respuesta debe ser negativa. Este “enfoque” únicamente atiende a la tipología del responsable o de los datos tratados, pero no atiende a los riegos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD Luego, efectivamente, las medidas del RDLOPD no son una metodología de análisis de riesgo para analizar el impacto en materia de privacidad.
Es decir, que aunque Cisco tenga una imaginación desbordante en la que pueda imaginarse todas los posibles metahumanos a los que va a enfretarse The Flash, no puede saber a qué riesgos concretos se va a enfrentar hasta que aparece el malo de turno en el capítulo para poder meterle los juguetes al traje.

La Agencia de Protección de Datos, en la guía comentada menciona algunas metodologías cuya aplicación puede ser posible: "Por su relevancia y adaptación al caso específico de la privacidad, se puede hacer mención a la publicación Methodology for Privacy Risk Management de la Commission Nationale de l’Informatique et des Libertés (CNIL); a MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información), he- rramienta creada por el Consejo Superior de Administración Electrónica para asistir a los distintos organismos públicos en este ámbito pero que es perfectamente utilizable también por el sector privado; Risk IT (ISACA) o ISO 27005" En principio, según uno de los post relacionados con el análisis de riesgos publicados por la Agencia Española de Protección de datos: "En este sentido, la Agencia está ultimando una Guía de análisis de riesgo que se publicará en breve junto a un catálogo de cumplimiento normativo.” En cualquier caso, la herramienta Pilar basada en la metodología Magerit ya incluye un módulo específico para el RGPD desde el pasado 12 de diciembre. Y quien sí se ha puesto mucho las pilas desde hace muchos años para facilitar el análisis de riesgos y ahora aplicado a la privacidad es el CNIL, el equivalente a la Agencia de Protección de Datos en Francia. En este caso la metodología de análisis de riesgos está basada en EBIOS. Además han liberado una aplicación bajo licencia GPL 3 (mola mucho el CNIL ;)) para la elaboración de análisis de evaluación de impacto por si tenéis curiosidad.

lunes, 1 de enero de 2018

Pequeñas cosas


Como diría Serrat "Uno se cree que las mató el tiempo y la ausencia" pero ya sabemos también que "su tren vendió boleto de ida y vuelta".
Me topé hace unos meses con una de esas pequeñas cosas al acudir a una reunión en la sede de un cliente. Un teléfono fijo.

No busqué  el modelo y tampoco es que quiera saberlo. Para nosotros fue siempre "el manos libres".
Estuvo un tiempo en mi casa. Pero después de muchos "cállate Pepe, que no me entero" lanzados por mi abuela a yayi, mi mamá pensó que "el manos libres" iba a ser de mucha más utilidad a mis abuelos en su casa del pueblo.
El "manos libres" pasó entonces a ocupar un lugar privilegiado en un mueble que estaba en la cabecera del sofá. "Menuda maravilla", como diría mi yayi "si no lo veo no lo creo, almacenes San Mateo".  A lo que añadía "gracias a Imeca".
Mi yayi fue el inventor de los memes. Lo afirmo rotundamente. Tenía un montón, algunos los había oído en anuncios antiguos, otros los reutilizaba y les daba forma porque también era muy creativo.
Ya no había que pelearse por el auricular. El "cállate Pepe, que no me entero" siguió aplicando porque ahora hablaban a la par. Era divertidísimo. Les llamaba todos los días al volver de la universidad, para  charlar y vacilar un rato con ellos. Menudo par. Qué cracks los dos. Qué suerte haberlos disfrutado y quererlos.
Y respecto a la privacidad. Ellos no necesitaban que la NSA filtrara sus llamadas. Como cada uno hablaba desde su punta del sofá, toda la calle estaba al tanto de lo nuestros asuntos familiares y más en verano con la ventana abierta. "El manos libres" sí que era un wearable.

lunes, 6 de enero de 2014

El hechizo multiplicador y los objetos mágicos

Hay muchos tipos de magia y de hechizos. También hay distintos modos de invocarlos. Son cuestiones que van a depender mucho del mago o de la necesidad o no de utilizar un instrumento para canalizar la magia. Instrumentos del tipo varita (Harry Potter), bastón (Harry Dresden) o báculo (Gandalf).

En el caso de Gandalf ha surgido un conflicto en casa acerca de si necesita o no báculo para utilizar magia.

Harry Dresden, por ejemplo, utiliza el bastón para que la magia no se le desmadre. Después de revisar la obra original de Harry Potter de J.K Rolling y los tipos de hechizos que se invocan, no he encontrado ningún hechizo multiplicador. Existe un hechizo duplicador, el hechizo “Geminio” aunque tiene truco porque los objetos duplicados no tienen las propiedades mágicas de los objetos originales.

Sí que he encontrado un hechizo multiplicador en un fanfic de Harry Potter. No se profundiza mucho en el hechizo multiplicador pero tampoco se menciona nada acerca de que los duplicados pierdan las características del original.(Confieso que no lo he leído este fanfic así que no sé cómo va a poder salir Harry indemne contra tres señores oscuros). Personalmente me siento más cómoda con la utilización de objetos mágicos que generando yo la magia directamente. Algunos podréis tildarme de muggle pero la realidad es que me gusta mucho más el rollo que lleva Drizzt Do´Urden. Donde estén unas buenas cimitarras mágicas y una pantera negra que se quiten los báculos. El caso, que me disperso, es que lo del hechizo multiplicador tenía una lógica cuando me he puesto a buscarlo. Ahora, con treinta pestañas abiertas en el navegador, sobre hechizos y objetos mágicos, he olvidado cuál era el punto de todo esto.

Pero da igual. Voy a aprovechar para hacer una prueba empírica y demostrar mi punto de vista con el tema de los objetos mágicos.

Allá voy, poneos las gafas protectoras:
Estoy utilizando un objeto mágico en este blog y en este post. El objeto mágico se llama “licencia” y en este caso es de tipo Creative Commons con efecto multiplicador.
Zas!!!!
Preparo mi objeto licencia del tipo “Creative Commons” y otorgo unas “propiedades” a mis textos: Propiedad “by” – la magia debe garantizar que, si alguien utiliza los contenidos de mi blog tenga que decir que yo soy la autora de dichos contenidos e indicar qué cambios ha realizado sobre dichos contenidos.
Propiedad “share alike” – la magia debe garantizar que si se reutilizan los contenidos de mi blog, por ejemplo transformándolos o mezclándolos con otros contenidos de quien los reutiliza, deben distribuirse siempre con las mismas propiedades mágicas. Es decir, con una licencia Creative Commons con las mismas “propiedades” que la que utilizo yo.
Prueba demostrada. Tenemos un objeto mágico que permite la multiplicación y transmite las propiedades mágicas cuando se reutiliza el objeto. ¿Mola o no mola? Si no mola, siempre podéis utiliza el hechizo anticopias. Allá vosotros :)

jueves, 17 de octubre de 2013

Las cookies o el poder mutante de Kitty Pride

Kitty Pride es una mutante que se unió a los X-Men. Aunque hay versiones alternativas en la Era de Apocalipisis, yo conocí bien a  Kitty Pride en el volumen de Atonishing X-Men de Joss Whedon (altamente recomendable, como todo lo que hace este muchacho). La capacidad de esta mutante es la intangibilidad. Cuando entra en fase puede atravesar materia sólida mediante la alteración de la vibración de sus átomos. En principio, el poder de Kitty Pride le permite combinarse con la materia sin interactuar con ella, de tal manera, que tanto ella como el objeto, quedan de la misma forma que estaban cuando dejan de combinarse.

Sin embargo, el adamantium la deja bastante tocada y la combinación no es tan aséptica como con el resto de materiales. Por eso el poder de Kitty Pride me recuerda a las cookies. Porque, cuando navegamos por algunos sitios web, ciertos archivos se nos instalan en el dispositivo (ordenador, móvil, tablet) y algunos de ellos son inocuos y otros pueden estar captando información de nuestros hábitos de navegación.

Por esa razón, porque algunas cookies no son “inocuas” y recaban datos personales, se introdujo una modificación en el artículo 22.2 de la Ley de Comercio Electrónico y la sociedad de la información (Ley 34/2002), regulando el uso de cookies (por tanto, la aplicación de la obligaciones sobre cookies afecta a los prestadores de servicios de la sociedad de la información que define la Ley), cuestión que, por cierto, hay a quien le ha dado por llamarle “Ley de cookies”. Lo que viene a decir la ley al introducir la modificación de las cookies, es similar a lo de la cura de los mutantes, que uno no tiene razón para estar en contra, en principio, siempre y cuando, se haga por voluntad propia y con el consentimiento del mutante.

Con las cookies es igual, se pueden instalar sí, pero primero hay que informar al usuario que accede a la web para qué finalidad se van a recabar datos con las cookies que se instalan en su equipo.

Hay menos tipos de cookies que poderes mutantes, con todo y con eso, también hay muchos tipos de cookies. Según la entidad que las gestione, según el tiempo que estén activas, según su finalidad.

No todas las cookies susceptibles de instalarse en el dispositivo del usuario requieren que se solicite el consentimiento. El Grupo 29 excluye el siguiente tipo de cookies del consentimiento:
  • cookies de entrada de usuario (por ejemplo, las utilizadas para rastrear acciones del usuario al rellenar formularios en línea que tienen varias páginas o por ejemplo, cesta de la compra para el seguimiento de artículos seleccionados por el usuario)
  • cookies de autenticación o identificación de usuario (de sesión)
  • cookies de seguridad del usuario (por ejemplo, las utilizadas para detectar intentos erróneos y retirados de conexión a un sitio web)
  • cookies de sesión de reproductor multimedia
  • cookies de sesión para equilibrar la carga
  • cookies de personalización de la interfaz de usuario
  • cookies de complemento plugin para intercambiar contenidos sociales
Si las cookies que se instalan en el sitio web están exentas, basta con informar del tipo de cookies en una página que podemos llamar “Política de cookies”. Ahora bien, si las cookies que instala el sitio web no están entre el grupo de exentas entonces, sí, se debe informar al usuario de las cookies que se van a instalar, finalidades del tratamiento de los datos de dicho usuario y, el usuario debe dar su consentimiento para la instalación de las cookies. Además se le tiene que informar de cómo retirar su consentimiento y cómo eliminar las cookies instaladas de su navegador. También para este caso vale un documento que llamemos “política de cookies“.

Existen varias opciones para informar al usuario. Puede ser a través de pop-ups, a través de cabeceras o pies visibles en el Sitio web, o páginas de bienvenida. Cualquiera de estos métodos debe tener un elemento común, y es que la instalación de las cookies debe ser siempre posterior al consentimiento del usuario.

De poco sirve un aviso del tipo “si sigues navegando entendemos que das tu consentimiento para instalar las cookies” si el site instala las cookies según el usuario resuelve la URL cargando la página. Eso no es consentimiento previo. Eso es dar por hecho que el usuario va a dar su consentimiento. Así que, no vale.

Hay diversos plugins, ya sea en WordPress, Drupal, Joomla (cada CMS tendrá distintos) que permiten introducir estas cabeceras en los Sites. Sería cuestión de probar para ver cuál afea menos el sitio.