viernes, 1 de abril de 2016

El tratamiento de datos personales en Civil War

Pongamos  que Iron Man y el Capitán América son europeos, más concretamente españoles. Nitro la lía en algún pueblo de la serranía de Cuenca, digamos Valdemoro. Tampoco es que la líe parda porque estaba en un descampado y no hay necesidad de matar a nadie para esta simulación, pero lo suficiente para que comience la pelea entre el Capi e Iron Man ¿seguridad o privacidad?

Como en España no tenemos gobierno, la iniciativa de recabar las identidades de los superhéroes la coordina de manera particular Iron Man que constituye una asociación llamada "Levanta el traje y regístrate". Mientras que el Capitán América por su parte crea una asociación llamada "Levanta el dedo y tápate" cuya finalidad es la concienciación de los superhéroes para que mantengan su identidad secreta.

Como la asociación del Capi no requiere recogida de datos personales, voy a centrarme para mi análisis en la asociación constituida por Iron Man que tampoco es que tenga sede física para que acudan, simplemente ha creado un sitio web con un formulario de entrada de datos para que el superhéroe se registre facilitando los siguientes datos:



De entrada el protocolo de transferencia de datos es http y no https. 

Mal Iron Man, mal. Una buena práctica hubiera sido que los datos solicitados en el formulario se transfirieran por protocolo seguro a la  base de datos de tu servidor.

Además, una vez completado el formulario, lo único que existe es un botón de "enviar", ninguna política de privacidad o similar que facilite a los titulares de los datos información sobre las finalidades de tratamiento, a qué fichero van a incorporarse sus datos, si existirán cesiones a terceros y los derechos de acceso, rectificación, cancelación y oposición que tienen los superhéroes. Así que otra vez, mal, Iron Man, mal. Te estás pasando los derechos de información y consentimiento de los titulares de los datos por el botón del traje.

Por otro lado, después de consultar el registro de ficheros de la Agencia, la asociación no tiene ningún fichero notificado. Así que, de nuevo mal.

Dejo para otro día cómo tiene montado el servidor la asociación, dónde se almacenan los datos y a quiénes los van a comunicar. Pero ya os adelanto que igual colabora con Shield o similar en Estados Unidos y los transfiere para allá...

No hay comentarios:

Publicar un comentario