lunes, 4 de abril de 2016

Pequeñas cosas

Como diría Serrat "Uno se cree que las mató el tiempo y la ausencia" pero ya sabemos también que "su tren vendió boleto de ida y vuelta".


Hoy me he encontrado una de esas pequeñas cosas al acudir a una reunión en la sede de un cliente.


No me he puesto a buscar el modelo y tampoco es que quiera saberlo porque, para nosotros, fue siempre "el manos libres".
Estuvo un tiempo en mi casa pero, después de muchos "cállate Pepe, que no me entero" por parte de mi abuela al yayi, mi mamá comprendió que el manos libres iba a ser de mucha más utilidad a mis abuelos en su casa del pueblo.
El manos libres pasó entonces a ocupar un lugar privilegiado en un mueble que estaba en la cabecera del sofá. Menuda maravilla, como diría mi yayi "si no lo veo no lo creo, almacenes San Mateo".  A lo que añadía "gracias a Imeca".
Mi yayi fue el inventor de los memes, lo afirmo rotundamente. Tenía un montón, algunos los había oído en anuncios antiguos, otros los reutilizaba y les daba forma porque también era muy creativo.
Ya no había que pelearse por el auricular. El "cállate Pepe, que no me entero" siguió aplicando porque ahora hablaban a la par. Era divertidísimo. Les llamaba todos los días al volver de la universidad, para  charlar y vacilar un rato con ellos. Menudo par. Qué cracks los dos. Qué suerte haberlos tenido.
Y dices tú de privacidad, en aquellos tiempos tampoco hacía falta NSA, como cada uno hablaba desde su punta del sofá, toda la calle estaba al tanto de lo nuestros asuntos familiares y más en verano. El manos libres sí que era un wearable.



viernes, 1 de abril de 2016

El tratamiento de datos personales en Civil War

Pongamos  que Iron Man y el Capitán América son europeos, más concretamente españoles. Nitro la lía en algún pueblo de la serranía de Cuenca, digamos Valdemoro. Tampoco es que la líe parda porque estaba en un descampado y no hay necesidad de matar a nadie para esta simulación, pero lo suficiente para que comience la pelea entre el Capi e Iron Man ¿seguridad o privacidad?

Como en España no tenemos gobierno, la iniciativa de recabar las identidades de los superhéroes la coordina de manera particular Iron Man que constituye una asociación llamada "Levanta el traje y regístrate". Mientras que el Capitán América por su parte crea una asociación llamada "Levanta el dedo y tápate" cuya finalidad es la concienciación de los superhéroes para que mantengan su identidad secreta.

Como la asociación del Capi no requiere recogida de datos personales, voy a centrarme para mi análisis en la asociación constituida por Iron Man que tampoco es que tenga sede física para que acudan, simplemente ha creado un sitio web con un formulario de entrada de datos para que el superhéroe se registre facilitando los siguientes datos:



De entrada el protocolo de transferencia de datos es http y no https. 

Mal Iron Man, mal. Una buena práctica hubiera sido que los datos solicitados en el formulario se transfirieran por protocolo seguro a la  base de datos de tu servidor.

Además, una vez completado el formulario, lo único que existe es un botón de "enviar", ninguna política de privacidad o similar que facilite a los titulares de los datos información sobre las finalidades de tratamiento, a qué fichero van a incorporarse sus datos, si existirán cesiones a terceros y los derechos de acceso, rectificación, cancelación y oposición que tienen los superhéroes. Así que otra vez, mal, Iron Man, mal. Te estás pasando los derechos de información y consentimiento de los titulares de los datos por el botón del traje.

Por otro lado, después de consultar el registro de ficheros de la Agencia, la asociación no tiene ningún fichero notificado. Así que, de nuevo mal.

Dejo para otro día cómo tiene montado el servidor la asociación, dónde se almacenan los datos y a quiénes los van a comunicar. Pero ya os adelanto que igual colabora con Shield o similar en Estados Unidos y los transfiere para allá...

lunes, 6 de enero de 2014

El hechizo multiplicador y los objetos mágicos

Hay muchos tipos de magia y de hechizos. También hay distintos modos de invocarlos. Son cuestiones que van a depender mucho del mago o de la necesidad o no de utilizar un instrumento para canalizar la magia. Instrumentos del tipo varita (Harry Potter), bastón (Harry Dresden) o báculo (Gandalf).
En el caso de Gandalf ha surgido un conflicto en casa acerca de si necesita o no báculo para utilizar magia.
Harry Dresden, por ejemplo, utiliza el bastón para que la magia no se le desmadre.
Después de revisar la obra original de Harry Potter de J.K Rolling y los tipos de hechizos que se invocan, no he encontrado ningún hechizo multiplicador. Existe un hechizo duplicador, el hechizo “Geminio” aunque tiene truco porque los objetos duplicados no tienen las propiedades mágicas de los objetos originales.
Sí que he encontrado un hechizo multiplicador en un fanfic de Harry Potter. No se profundiza mucho en el hechizo multiplicador pero tampoco se menciona nada acerca de que los duplicados pierdan las características del original.(Confieso que no lo he leído este fanfic así que no sé cómo va a poder salir Harry indemne contra tres señores oscuros). Personalmente me siento más cómoda con la utilización de objetos mágicos que generando yo la magia directamente. Algunos podréis tildarme de muggle pero la realidad es que me gusta mucho más el rollo que lleva Drizzt Do´Urden. Donde estén unas buenas cimitarras mágicas y una pantera negra que se quiten los báculos.
El caso, que me disperso, es que lo del hechizo multiplicador tenía una lógica cuando me he puesto a buscarlo. Ahora, con treinta pestañas abiertas en el navegador, sobre hechizos y objetos mágicos, he olvidado cuál era el punto de todo esto.
Pero da igual. Voy a aprovechar para hacer una prueba empírica y demostrar mi punto de vista con el tema de los objetos mágicos.
Allá voy, poneos las gafas protectoras:
Estoy utilizando un objeto mágico en este blog y en este post. El objeto mágico se llama “licencia” y en este caso es de tipo Creative Commons con efecto multiplicador.
Zas!!!!
Preparo mi objeto licencia del tipo “Creative Commons” y otorgo unas “propiedades” a mis textos:
Propiedad “by” – la magia debe garantizar que, si alguien utiliza los contenidos de mi blog tenga que decir que yo soy la autora de dichos contenidos e indicar qué cambios ha realizado sobre dichos contenidos.
Propiedad “share alike” – la magia debe garantizar que si se reutilizan los contenidos de mi blog, por ejemplo transformándolos o mezclándolos con otros contenidos de quien los reutiliza, deben distribuirse siempre con las mismas propiedades mágicas. Es decir, con una licencia Creative Commons con las mismas “propiedades” que la que utilizo yo.
Prueba demostrada. Tenemos un objeto mágico que permite la multiplicación y transmite las propiedades mágicas cuando se reutiliza el objeto. ¿Mola o no mola?
 Si no mola, siempre podéis utiliza el hechizo anticopias. Allá vosotros :)

jueves, 17 de octubre de 2013

Las cookies o el poder mutante de Kitty Pride

Kitty Pride es una mutante que se unió a los X-Men. Aunque hay versiones alternativas en la Era de Apocalipisis, personalmente conocí bien a  Kitty Pride en el volumen de Atonishing X-Men de Joss Whedon (altamente recomendable, como todo lo que hace este muchacho).
La capacidad de esta mutante es la intangibilidad. Cuando entra en fase puede atravesar materia sólida mediante la alteración de la vibración de sus átomos. En principio, el poder de Kitty Pride le permite combinarse con la materia sin interactuar con ella, de tal manera, que tanto ella como el objeto, quedan de la misma forma que estaban cuando dejan de combinarse.
Sin embargo, el adamantium la deja bastante tocada y la combinación no es tan aséptica como con el resto de materiales. Por eso el poder de Kitty Pride me recuerda a las cookies. Porque, cuando navegamos por algunos sitios web, ciertos archivos se nos instalan en el dispositivo (ordenador, móvil, tablet) y algunos de ellos son inocuos y otros pueden estar captando información de nuestros hábitos de navegación.
Por esa razón, porque algunas cookies no son “inocuas” y recaban datos personales, se introdujo una modificación en el artículo 22.2 de la Ley de Comercio Electrónico y la sociedad de la información (Ley 34/2002), regulando el uso de cookies (por tanto, la aplicación de la obligaciones sobre cookies afecta a los prestadores de servicios de la sociedad de la información que define la Ley), cuestión que, por cierto, hay a quien le ha dado por llamarle “Ley de cookies”. Lo que viene a decir la ley al introducir la modificación de las cookies, es similar a lo de la cura de los mutantes, que uno no tiene razón para estar en contra, en principio, siempre y cuando, se haga por voluntad propia y con el consentimiento del mutante.
Con las cookies es igual, se pueden instalar sí, pero primero hay que informar al usuario que accede a la web para qué finalidad se van a recabar datos con las cookies que se instalan en su equipo.
Hay menos tipos de cookies que poderes mutantes, con todo y con eso, también hay muchos tipos de cookies. Según la entidad que las gestione, según el tiempo que estén activas, según su finalidad.

 No todas las cookies susceptibles de instalarse en el dispositivo del usuario requieren que se solicite el consentimiento. El Grupo 29 excluye el siguiente tipo de cookies del consentimiento:

  • cookies de entrada de usuario (por ejemplo, las utilizadas para rastrear acciones del usuario al rellenar formularios en línea que tienen varias páginas o por ejemplo, cesta de la compra para el seguimiento de artículos seleccionados por el usuario)
  • cookies de autenticación o identificación de usuario (de sesión)
  • cookies de seguridad del usuario (por ejemplo, las utilizadas para detectar intentos erróneos y retirados de conexión a un sitio web)
  • cookies de sesión de reproductor multimedia
  • cookies de sesión para equilibrar la carga
  • cookies de personalización de la interfaz de usuario
  • cookies de complemento plugin para intercambiar contenidos sociales

Si las cookies que se instalan en el sitio web están exentas, basta con informar del tipo de cookies en una página que podemos llamar “Política de cookies”. Ahora bien, si las cookies que instala el sitio web no están entre el grupo de exentas entonces, sí, se debe informar al usuario de las cookies que se van a instalar, finalidades del tratamiento de los datos de dicho usuario y, el usuario debe dar su consentimiento para la instalación de las cookies. Además se le tiene que informar de cómo retirar su consentimiento y cómo eliminar las cookies instaladas de su navegador. También para este caso vale un documento que llamemos “política de cookies“.
Existen varias opciones para informar al usuario. Puede ser a través de pop-ups, a través de cabeceras o pies visibles en el Sitio web, o páginas de bienvenida. Cualquiera de estos métodos debe tener un elemento común, y es que la instalación de las cookies debe ser siempre posterior al consentimiento del usuario.
De poco sirve un aviso del tipo “si sigues navegando entendemos que das tu consentimiento para instalar las cookies” si el site instala las cookies según el usuario resuelve la URL cargando la página. Eso no es consentimiento previo. Eso es dar por hecho que el usuario va a dar su consentimiento. Así que, no vale.
Hay diversos plugins, ya sea en WordPress, Drupal, Joomla (cada CMS tendrá distintos) que permiten introducir estas cabeceras en los Sites. Sería cuestión de probar para ver cuál afea menos el sitio.

miércoles, 26 de junio de 2013

Las tres pruebas para ser un gran pirata

Si eres una víctima de los 80 has jugado al Monkey Island y sabes que, para convertirse en un gran pirata, hay que superar tres pruebas. El arte del robo, el dominio de la espada y la búsqueda de tesoros.
Si te has enfrentado alguna vez a la implantación de la normativa de protección de datos en tu empresa ya sabes qué es lo de pasar las tres pruebas para convertirse en pirata. Lo que no quieres es a tipos como Guybrush tratando de ser piratas a tu costa. Y, llega un punto, en que tú no eres como los tres grandes piratas y, cuando te viene alguien así, diciendo “quiero ser pirata”, lo que te pide el cuerpo es evitar que lo consiga. Porque, además, el ídolo que quiere robar, es el tuyo.
Lo primero que querrá hacer es robarte tu idolo de múltiples brazos. Es decir, tratará de poner en entredicho la integridad de los datos de carácter personal contenidos en los ficheros de los que es titular tu empresa. Es tu misión garantizar que dichos datos se almacenan con unas medidas técnicas adecuadas para garantizar que no se pierden, no se alteran y, sobre todo, que Guybrush no las roba.
En segundo lugar, tienes que evitar que gane al Sword Master. Así que, aún cuando consiga entrenarse y conseguir destreza suficiente con la espada, tu misión es evitar que llegue siquiera a la casa del Sword Master (en el metaverso hay un spin-off donde el juego es así). La ubicación de la casa del Sword Master es el secreto mejor guardado. Garantizando la confidencialidad de la ubicación de la casa evitarás que la gane porque no podrá ni enfrentarse a ella. Igual que garantizando la confidencialidad de los datos contenidos en los ficheros, evitarás que tenga acceso a los mismos quien no deba.
En tercer y último lugar, la búsqueda del tesoro. No te interesa que Guybrush encuentre el tesoro de Mêlée Island pero tampoco quieres fastidiar a tus camaradas, grandes piratas todos ellos, que se han ganado el derecho desde hace años a buscar y encontrar el tesoro. A ver si te vas a poner tan terco en evitar que Guybrush encuentre el tesoro, que perjudicas la disponibilidad del tesoro a tus camaradas. Tienes que encontrar un equilibrio. Igual que tienes que encontrar un equilibrio para que, todos los trabajadores de tu empresa, tengan acceso a aquellos datos de carácter personal que necesitan para llevar a cabo las funciones propias de su puesto de trabajo.

Una vez implantas unas medidas técnicas de seguridad, encontrando un equilibrio adecuado entre la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal, eres un gran pirata y te has ganado tu grog. A tu salud!!

martes, 2 de abril de 2013

Qué pasa detrás de El Muro

En Canción de Hielo y Fuego, (“la novela río más espectacular jamás escrita”), uno de los elementos más característicos es El Muro.
El Muro es una enorme muralla que está en el Norte, más allá de Invernalia y que separa a la civilización de Los Otros. Para evitar spoilers no voy a explicar quiénes son Los Otros ni por qué creo que soy muy benévola llamando, a los de este lado del muro, “civilización”.
En cualquier caso, a nuestros efectos, es suficiente saber que El Muro es una muralla de contención entre seres chungos que están más allá y los seres, no tan chungos que están al otro lado.
Uno podría pensar que está protegido por esta fría pared. Por usar la analogía, es lo que podría pensar yo cuando recaban mis datos de carácter personal y me siento muy informada. Me están explicando la finalidad de tratamiento de mis datos, me piden mi consentimiento y, además, me garantizan que los van a tratar con las máximas garantías de seguridad técnicas y organizativas.
Oye, perfecto, me dices que los vas a custodiar con garantías de seguridad. Aquí está El Muro ¿lo veis?
Básicamente es lo mismo que te diría un habitante de Invernalia si le citas a Los Otros. Te diría “chist que El Muro, nos protege de Los Otros, me han dicho claramente que está ahí para protegernos y me han garantizado que así es”.
Y yo digo, vale, pero ojo, que has mandado a la Guardia de la Noche a cuidarlo. Y en la Guardia de la Noche hay de todo. Tienes gente muy concienciada con la seguridad de El Muro como Jon Nieve, todo un paladín (un poco inocentón, eso sí, pero paladín) que protege la seguridad de los que están a este lado de la fría muralla. Pero también tienes gente complicada en El Muro eh, para los que la seguridad no es precisamente la mayor de sus prioridades. Que, madre mía, lo que puede terminar allí.
Aquí pasa igual, detrás de El Muro hay de todo. Organizaciones que, efectivamente, están concienciadas con la seguridad de los datos personales que recaban. Que una vez que me piden mis datos personales los custodian en ficheros debidamente protegidos con garantías técnicas, y organizaciones que te dicen que lo hacen pero, en realidad, a la que te descuides se les han colado en el fichero Los Otros, los dragones, los jinetes de Dothraki y, hasta un elfo doméstico, si te descuidas.
Por eso, una correcta implantación de la normativa de protección de datos maneja dos aspectos o ámbitos, uno puramente legal y otro técnico (y organizativo).

 En el ámbito legal, entre otras muchas cosas y a modo de ejemplo, quien recaba los datos (generalmente una empresa u organización del tipo que sea) facilita la información sobre la finalidad de tratamiento y solicita el consentimiento a las personas cuyos datos recaba y les explica si va a comunicar esos datos a terceros, por ejemplo.
En el ámbito técnico, una vez que tiene los datos en sus ficheros esa empresa, debe garantizar que se custodian de manera adecuada. Y aquí hay muchos riesgos porque, puede haber unos responsables de sistemas muy competentes en esa empresa, pero luego esos responsables de sistemas puede que tengan que lidiar con usuarios (trabajadores) que están poco o nada concienciados con la seguridad de la información y, en este caso concreto, con la seguridad de los datos personales. Ya sea por puro desconocimiento, por falsa sensación de seguridad o porque consideran que no es su guerra.
Por eso una implantación de protección de datos debe ir siempre acompañada de un buen proceso de formación de esos trabajadores que, al final, son los que van a tratar los datos de carácter personal y deben custodiarlos de manera adecuada. El eslabón más débil de la Guardia de la Noche es siempre el trabajador en último término.

 Eso dando por hecho que la seguridad está debidamente implantada por la empresa de base. Porque, como decía, muchas veces la empresa u organización te dice que tiene El Muro pero luego ni siquiera tiene Guardia de la Noche para custodiar El Muro.

lunes, 21 de enero de 2013

Expectativa razonable de intimidad aplicada a mutantes

Siempre he tenido claro que nuestra sociedad no está legalmente preparada para mutantes, zombis, vampiros o criaturas de ninguna clase. Es un asunto que me quita el sueño porque, si en algún momento se desatara una tormenta rara que me dotara de poderes especiales como a los de Misfits no quiero que esas capacidades pudieran causarme indefensión jurídica de algún tipo.
Por ejemplo, estaba leyendo ahora mismo acerca de la doctrina del Tribunal Constitucional sobre la expectativa razonable de intimidad. Es una Sentencia del Tribunal Constitucional en la que pondera el conflicto entre la libertad de información y el derecho fundamental a la intimidad y a la propia imagen de la persona a la que se graba.
Resumiendo mucho, a partir de unas imágenes captadas, con cámara oculta, por una productora de televisión para investigar y tratar el tema de falsos profesionales que actúan en el mundo de la salud, se filmó a una persona, en su propia consulta, captando su imagen y su voz mientras atendía a la periodista gancho, que hacía de paciente, por parte de la productora. La persona filmada entendió que se vulneraba su derecho a la intimidad y a la propia imagen y comenzó su pelea en los tribunales. Finalmente el Tribunal Constitucional le da la razón y viene a formular la doctrina sobre la expectativa razonable de intimidad. En esencia, en un caso así, en su propia consulta privada, una persona debe esperar una expectativa razonable de no ser escuchado y observado por terceras personas y, por tanto, existe una vulneración tanto de su derecho a la intimidad, como de su derecho a la propia imagen por el hecho de grabar y difundir su imagen y su voz en un programa de televisión. Me parece un argumento razonable aunque me caigan mal los magufos y pseudocientíficos, es razonable que deba existir un equilibrio entre la libertad de información y el derecho fundamental a la intimidad. Si se trataba de demostrar su falta de competencia profesional, pueden existir otros modos.
En cualquier caso, no es es el motivo de mi reflexión. A mí lo que me ha dejado preocupada, a partir de la lectura de la Sentencia, es cómo encajaría el profesor Xavier o la propia Jean Grey con la doctrina sobre la expectativa razonable de intimidad porque son telépatas y leen mentes. Y acabo de leer en la wikipedia que Xavier puede leer mentes en un radio de 400 kilómetros. ¿Cómo le podríamos exigir una expectativa razonable de la intimidad a un lector de mentes? ¿Como Magneto?
- Charles deja de leerme la mente.
- No lo he hecho.