jueves, 17 de octubre de 2013

Las cookies o el poder mutante de Kitty Pride

Kitty Pride es una mutante que se unió a los X-Men. Aunque hay versiones alternativas en la Era de Apocalipisis, personalmente conocí bien a  Kitty Pride en el volumen de Atonishing X-Men de Joss Whedon (altamente recomendable, como todo lo que hace este muchacho).
La capacidad de esta mutante es la intangibilidad. Cuando entra en fase puede atravesar materia sólida mediante la alteración de la vibración de sus átomos. En principio, el poder de Kitty Pride le permite combinarse con la materia sin interactuar con ella, de tal manera, que tanto ella como el objeto, quedan de la misma forma que estaban cuando dejan de combinarse.
Sin embargo, el adamantium la deja bastante tocada y la combinación no es tan aséptica como con el resto de materiales. Por eso el poder de Kitty Pride me recuerda a las cookies. Porque, cuando navegamos por algunos sitios web, ciertos archivos se nos instalan en el dispositivo (ordenador, móvil, tablet) y algunos de ellos son inocuos y otros pueden estar captando información de nuestros hábitos de navegación.
Por esa razón, porque algunas cookies no son “inocuas” y recaban datos personales, se introdujo una modificación en el artículo 22.2 de la Ley de Comercio Electrónico y la sociedad de la información (Ley 34/2002), regulando el uso de cookies (por tanto, la aplicación de la obligaciones sobre cookies afecta a los prestadores de servicios de la sociedad de la información que define la Ley), cuestión que, por cierto, hay a quien le ha dado por llamarle “Ley de cookies”. Lo que viene a decir la ley al introducir la modificación de las cookies, es similar a lo de la cura de los mutantes, que uno no tiene razón para estar en contra, en principio, siempre y cuando, se haga por voluntad propia y con el consentimiento del mutante.
Con las cookies es igual, se pueden instalar sí, pero primero hay que informar al usuario que accede a la web para qué finalidad se van a recabar datos con las cookies que se instalan en su equipo.
Hay menos tipos de cookies que poderes mutantes, con todo y con eso, también hay muchos tipos de cookies. Según la entidad que las gestione, según el tiempo que estén activas, según su finalidad.

 No todas las cookies susceptibles de instalarse en el dispositivo del usuario requieren que se solicite el consentimiento. El Grupo 29 excluye el siguiente tipo de cookies del consentimiento:

  • cookies de entrada de usuario (por ejemplo, las utilizadas para rastrear acciones del usuario al rellenar formularios en línea que tienen varias páginas o por ejemplo, cesta de la compra para el seguimiento de artículos seleccionados por el usuario)
  • cookies de autenticación o identificación de usuario (de sesión)
  • cookies de seguridad del usuario (por ejemplo, las utilizadas para detectar intentos erróneos y retirados de conexión a un sitio web)
  • cookies de sesión de reproductor multimedia
  • cookies de sesión para equilibrar la carga
  • cookies de personalización de la interfaz de usuario
  • cookies de complemento plugin para intercambiar contenidos sociales

Si las cookies que se instalan en el sitio web están exentas, basta con informar del tipo de cookies en una página que podemos llamar “Política de cookies”. Ahora bien, si las cookies que instala el sitio web no están entre el grupo de exentas entonces, sí, se debe informar al usuario de las cookies que se van a instalar, finalidades del tratamiento de los datos de dicho usuario y, el usuario debe dar su consentimiento para la instalación de las cookies. Además se le tiene que informar de cómo retirar su consentimiento y cómo eliminar las cookies instaladas de su navegador. También para este caso vale un documento que llamemos “política de cookies“.
Existen varias opciones para informar al usuario. Puede ser a través de pop-ups, a través de cabeceras o pies visibles en el Sitio web, o páginas de bienvenida. Cualquiera de estos métodos debe tener un elemento común, y es que la instalación de las cookies debe ser siempre posterior al consentimiento del usuario.
De poco sirve un aviso del tipo “si sigues navegando entendemos que das tu consentimiento para instalar las cookies” si el site instala las cookies según el usuario resuelve la URL cargando la página. Eso no es consentimiento previo. Eso es dar por hecho que el usuario va a dar su consentimiento. Así que, no vale.
Hay diversos plugins, ya sea en WordPress, Drupal, Joomla (cada CMS tendrá distintos) que permiten introducir estas cabeceras en los Sites. Sería cuestión de probar para ver cuál afea menos el sitio.

miércoles, 26 de junio de 2013

Las tres pruebas para ser un gran pirata

Si eres una víctima de los 80 has jugado al Monkey Island y sabes que, para convertirse en un gran pirata, hay que superar tres pruebas. El arte del robo, el dominio de la espada y la búsqueda de tesoros.
Si te has enfrentado alguna vez a la implantación de la normativa de protección de datos en tu empresa ya sabes qué es lo de pasar las tres pruebas para convertirse en pirata. Lo que no quieres es a tipos como Guybrush tratando de ser piratas a tu costa. Y, llega un punto, en que tú no eres como los tres grandes piratas y, cuando te viene alguien así, diciendo “quiero ser pirata”, lo que te pide el cuerpo es evitar que lo consiga. Porque, además, el ídolo que quiere robar, es el tuyo.
Lo primero que querrá hacer es robarte tu idolo de múltiples brazos. Es decir, tratará de poner en entredicho la integridad de los datos de carácter personal contenidos en los ficheros de los que es titular tu empresa. Es tu misión garantizar que dichos datos se almacenan con unas medidas técnicas adecuadas para garantizar que no se pierden, no se alteran y, sobre todo, que Guybrush no las roba.
En segundo lugar, tienes que evitar que gane al Sword Master. Así que, aún cuando consiga entrenarse y conseguir destreza suficiente con la espada, tu misión es evitar que llegue siquiera a la casa del Sword Master (en el metaverso hay un spin-off donde el juego es así). La ubicación de la casa del Sword Master es el secreto mejor guardado. Garantizando la confidencialidad de la ubicación de la casa evitarás que la gane porque no podrá ni enfrentarse a ella. Igual que garantizando la confidencialidad de los datos contenidos en los ficheros, evitarás que tenga acceso a los mismos quien no deba.
En tercer y último lugar, la búsqueda del tesoro. No te interesa que Guybrush encuentre el tesoro de Mêlée Island pero tampoco quieres fastidiar a tus camaradas, grandes piratas todos ellos, que se han ganado el derecho desde hace años a buscar y encontrar el tesoro. A ver si te vas a poner tan terco en evitar que Guybrush encuentre el tesoro, que perjudicas la disponibilidad del tesoro a tus camaradas. Tienes que encontrar un equilibrio. Igual que tienes que encontrar un equilibrio para que, todos los trabajadores de tu empresa, tengan acceso a aquellos datos de carácter personal que necesitan para llevar a cabo las funciones propias de su puesto de trabajo.

Una vez implantas unas medidas técnicas de seguridad, encontrando un equilibrio adecuado entre la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal, eres un gran pirata y te has ganado tu grog. A tu salud!!

martes, 2 de abril de 2013

Qué pasa detrás de El Muro

En Canción de Hielo y Fuego, (“la novela río más espectacular jamás escrita”), uno de los elementos más característicos es El Muro.
El Muro es una enorme muralla que está en el Norte, más allá de Invernalia y que separa a la civilización de Los Otros. Para evitar spoilers no voy a explicar quiénes son Los Otros ni por qué creo que soy muy benévola llamando, a los de este lado del muro, “civilización”.
En cualquier caso, a nuestros efectos, es suficiente saber que El Muro es una muralla de contención entre seres chungos que están más allá y los seres, no tan chungos que están al otro lado.
Uno podría pensar que está protegido por esta fría pared. Por usar la analogía, es lo que podría pensar yo cuando recaban mis datos de carácter personal y me siento muy informada. Me están explicando la finalidad de tratamiento de mis datos, me piden mi consentimiento y, además, me garantizan que los van a tratar con las máximas garantías de seguridad técnicas y organizativas.
Oye, perfecto, me dices que los vas a custodiar con garantías de seguridad. Aquí está El Muro ¿lo veis?
Básicamente es lo mismo que te diría un habitante de Invernalia si le citas a Los Otros. Te diría “chist que El Muro, nos protege de Los Otros, me han dicho claramente que está ahí para protegernos y me han garantizado que así es”.
Y yo digo, vale, pero ojo, que has mandado a la Guardia de la Noche a cuidarlo. Y en la Guardia de la Noche hay de todo. Tienes gente muy concienciada con la seguridad de El Muro como Jon Nieve, todo un paladín (un poco inocentón, eso sí, pero paladín) que protege la seguridad de los que están a este lado de la fría muralla. Pero también tienes gente complicada en El Muro eh, para los que la seguridad no es precisamente la mayor de sus prioridades. Que, madre mía, lo que puede terminar allí.
Aquí pasa igual, detrás de El Muro hay de todo. Organizaciones que, efectivamente, están concienciadas con la seguridad de los datos personales que recaban. Que una vez que me piden mis datos personales los custodian en ficheros debidamente protegidos con garantías técnicas, y organizaciones que te dicen que lo hacen pero, en realidad, a la que te descuides se les han colado en el fichero Los Otros, los dragones, los jinetes de Dothraki y, hasta un elfo doméstico, si te descuidas.
Por eso, una correcta implantación de la normativa de protección de datos maneja dos aspectos o ámbitos, uno puramente legal y otro técnico (y organizativo).

 En el ámbito legal, entre otras muchas cosas y a modo de ejemplo, quien recaba los datos (generalmente una empresa u organización del tipo que sea) facilita la información sobre la finalidad de tratamiento y solicita el consentimiento a las personas cuyos datos recaba y les explica si va a comunicar esos datos a terceros, por ejemplo.
En el ámbito técnico, una vez que tiene los datos en sus ficheros esa empresa, debe garantizar que se custodian de manera adecuada. Y aquí hay muchos riesgos porque, puede haber unos responsables de sistemas muy competentes en esa empresa, pero luego esos responsables de sistemas puede que tengan que lidiar con usuarios (trabajadores) que están poco o nada concienciados con la seguridad de la información y, en este caso concreto, con la seguridad de los datos personales. Ya sea por puro desconocimiento, por falsa sensación de seguridad o porque consideran que no es su guerra.
Por eso una implantación de protección de datos debe ir siempre acompañada de un buen proceso de formación de esos trabajadores que, al final, son los que van a tratar los datos de carácter personal y deben custodiarlos de manera adecuada. El eslabón más débil de la Guardia de la Noche es siempre el trabajador en último término.

 Eso dando por hecho que la seguridad está debidamente implantada por la empresa de base. Porque, como decía, muchas veces la empresa u organización te dice que tiene El Muro pero luego ni siquiera tiene Guardia de la Noche para custodiar El Muro.

lunes, 21 de enero de 2013

Expectativa razonable de intimidad aplicada a mutantes

Siempre he tenido claro que nuestra sociedad no está legalmente preparada para mutantes, zombis, vampiros o criaturas de ninguna clase. Es un asunto que me quita el sueño porque, si en algún momento se desatara una tormenta rara que me dotara de poderes especiales como a los de Misfits no quiero que esas capacidades pudieran causarme indefensión jurídica de algún tipo.
Por ejemplo, estaba leyendo ahora mismo acerca de la doctrina del Tribunal Constitucional sobre la expectativa razonable de intimidad. Es una Sentencia del Tribunal Constitucional en la que pondera el conflicto entre la libertad de información y el derecho fundamental a la intimidad y a la propia imagen de la persona a la que se graba.
Resumiendo mucho, a partir de unas imágenes captadas, con cámara oculta, por una productora de televisión para investigar y tratar el tema de falsos profesionales que actúan en el mundo de la salud, se filmó a una persona, en su propia consulta, captando su imagen y su voz mientras atendía a la periodista gancho, que hacía de paciente, por parte de la productora. La persona filmada entendió que se vulneraba su derecho a la intimidad y a la propia imagen y comenzó su pelea en los tribunales. Finalmente el Tribunal Constitucional le da la razón y viene a formular la doctrina sobre la expectativa razonable de intimidad. En esencia, en un caso así, en su propia consulta privada, una persona debe esperar una expectativa razonable de no ser escuchado y observado por terceras personas y, por tanto, existe una vulneración tanto de su derecho a la intimidad, como de su derecho a la propia imagen por el hecho de grabar y difundir su imagen y su voz en un programa de televisión. Me parece un argumento razonable aunque me caigan mal los magufos y pseudocientíficos, es razonable que deba existir un equilibrio entre la libertad de información y el derecho fundamental a la intimidad. Si se trataba de demostrar su falta de competencia profesional, pueden existir otros modos.
En cualquier caso, no es es el motivo de mi reflexión. A mí lo que me ha dejado preocupada, a partir de la lectura de la Sentencia, es cómo encajaría el profesor Xavier o la propia Jean Grey con la doctrina sobre la expectativa razonable de intimidad porque son telépatas y leen mentes. Y acabo de leer en la wikipedia que Xavier puede leer mentes en un radio de 400 kilómetros. ¿Cómo le podríamos exigir una expectativa razonable de la intimidad a un lector de mentes? ¿Como Magneto?
- Charles deja de leerme la mente.
- No lo he hecho.