Nota del editor: La mayoría de entradas del Blog se van revisando permanentemente, según el principio de la mejora continua. En cada artículo, si procede, se indica la fecha de la última actualización.
Para aquellos que no pudieron asistir a la ponencia sobre Big Data "en directo" y para los que sí que lo hicieron pero quieren refrescar ahora el tema expuesto, es que he preparado éste resumen detallado intercalando el texto escrito en el "PowerPoint". Muchas gracias a todos por las diferentes muestras de agrado que he recibido por la temática de la ponencia, en un momento que los escándalos del programa de espionaje PRISM, basado en Big Data, de la NSA está perjudicando tanto a dicho servicio. Yo soy del parecer que Big Data, bajo el control del gobierno de las empresas y organizaciones y velando por el cumplimiento legal y la privacidad, puede aportar un bien a las mismas y, por extensión, a toda la sociedad.
El objetivo de la ponencia es ayudar a entender un poco más Big Data y, a partir de ese conocimiento, poder gobernarlo y gestionarlo para obtener valor.
Formalización del modelo CLOUD de entrega de servicios y sus implicaciones organizativas en Gobierno y Gestión de TI. Dedica especial atención al marco jurídico de protección de datos de carácter personal y a las cláusulas contractuales que regirán el ciclo de vida del contrato de servicios asociado.
PONENCIA "CLOUD COMPUTING: REGULANDO EL DESORDEN" (PowerPoint con audio)
Ponencia organizada por itSMF España y presentada para España y Latinoamérica dentro de la jornada virtual de excelencia itSMF "gestión del servicio en entornos Cloud". Habla de Gobierno y Gestión de TI así como de regulación y cumplimiento legal.
EVENTO HOTEL PALACE DE BARCELONA SOBRE LOPD
PowerPoint de la ponencia didáctica presentada en Barcelona sobre "Protección de datos personales en la empresa (LOPD)", para que sirva de recordatorio a los asistentes al acto.
(Incluye resumen de 15' en video).
Desarrollo de la ponencia presentada en el Panel de Expertos del VII Congreso Nacional VISION12, de itSMF España en Madrid.Bajo el título "CLOUD COMPUTING: Regulando el desorden".
Se estudia desde una posición imparcial el derecho al olvido que cobra sentido en un mundo interconectado globalmente a través de Internet. En síntesis lo que se debate es la posibilidad otorgada a todo sujeto para "volver a empezar" sin que el conocimiento digitalizado de circunstancias negativas de su pasado, carentes de relevancia social, le persigan toda su vida de forma ineludible. Dicho de otra manera, es otra forma de libertad personal.
Breve reflexión, siempre desde mi personalísima opinión, sobre el enfoque que debe darse a la privacidad en un mundo cada vez más digitalizado.
Es superfluo, en nuestros días, seguir abordando y preservando la privacidad con métodos del pasado. En un entorno digital que evoluciona con gran rapidez deben gestionarse los principales riesgos que inciden sobre los datos personales sin acudir a fáciles, pero inefectivas, generalizaciones de mínimos. Debe hacerse para cada proyecto concreto, de los muchos que una organización ha iniciado o iniciará, desde su origen y siempre que se produzcan cambios relevantes en ellos.Nos serviremos de un CONSIDERACIONES TEÓRICO-PRÁCTICAS SOBRE EL PROCESO DE ELABORAR UN PIA
PIA o, como prefiere llamarle la AEPD (Agencia Española de Protección de Datos), de una EIPD (Evaluación de Impacto en la Protección de datos).
Traducción "no oficial" delDictamen CNS-24/2013 de la APDCAT ( Autoritat Catalana de Protecció de Dades ) en relación con la consulta de un Colegio de Abogados, referente al uso de las aplicaciones "Whatsapp©" y "Spotbros©" en el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.
Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMSForum Spain.
Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesionalequipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas... aunados por un interés común en la protección de datos.
Este documento tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.
Considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle los aspectos a regular en esta normativa, el análisis en profundidad de sus consecuencias y las propuestas concretas para su actuar, conforme disponen los citados borradores.
Análisis de la propuesta de nueva regulación (en concreto del borrador publicado el 25 de enero de 2012 por la Comisión Europea), de modo que permita conocer en detalle los aspectos regulados en esta normativa, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.
La PbD (Privacy by Design) o "privacidad desde el diseño" es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.
En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como "Directiva de retención de datos" y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos.
Estudio sobre la situación actual de adecuación a la LOPD de las empresas españolas, a partir de datos contrastados. Se analizan los elementos que aportan convicción para decidirse por el cumplimiento, y se incide en el más desconocido de ellos: Las posibles sanciones tipificadas en el CP (Código Penal).
¿Ciertos datos alfanuméricos pueden considerarse "datos identificativos personales" por si solos (disociados del nombre), o bien necesitan estar acompañados del nombre y apellidos de la persona física, para que se considerendatos personales según la LOPD?
Análisis de la nueva figura del delegado de protección de datos (DPO), que aparece en el borrador del nuevo reglamento del parlamento europeo.
¿Tiene sentido hablar de adecuar a la LOPD española, una empresa inscrita y que desarrolla sus actividades en Andorra? ¿Hablaremos de cesiones o de transferencias internacionales de datos, si intercambia datos de carácter personal con España?
El grupo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014, el documento "Declaración del G29 sobre el papel de un enfoque basado en el riesgo en los marcos legales de protección de datos" que puede consultarse íntegro (en inglés) en el apartado de bibliografía. Viene a decir que los principios fundamentales, que protegen los derechos de los interesados, deben permanecer inalterables con independencia de cuál sea la evaluación y tratamiento posterior del riesgo por parte del responsable. Por su interés presento esta traducción "no oficial" adaptada al estilo y formato del blog.
El marketing de los años venideros intentará "enamorar" al consumidor ofreciéndole un contenido de interés que sea relevante a su realidad concreta y lo vincule a la marca. Para ello, la tecnología, como el Big Data, y la explosión de los medios digitales y sociales serán sus mejores aliados. Pero, al mismo tiempo, también crecerá la preocupación de los consumidores por su privacidad, por lo que las marcas tendrán que saber conciliar los beneficios de la evolución tecnológica con preservar los derechos y las libertades individuales.
Los Códigos Tipo, nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos, a empresas de sectores específicos que traten datos de naturaleza personal.
La DRaaS (Recuperación de Desastres en el CLOUD) es un componente de un DRP (Plan de Recuperación de Desastres) que implica el mantenimiento de copias de los datos empresariales en un entorno de almacenamiento en el CLOUD, como medida de seguridad.
Realizar buenos backups sigue siendo una tarea compleja en la que interviene la definición de la política, el estudio y la elección de la(s) herramienta(s) y su implementación.
Cuando se llevan al Cloud, para ser tratados allí, datos personales especialmente protegidos es cuando deben contemplarse más que nunca, si caben, los aspectosjurídicos y las medidas de seguridad exigibles acordes con el nivel de sensibilidad de esos datos. La mayoría de las veces el análisis de la situación, en este tipo de entornos externalizados, no resulta sencillo.
El artículo analiza de manera panorámica todo aquel conjunto de elementos fundamentales a tener en consideración a la hora del diseño de un contrato de externalización de servicios en modalidad de Cloud Computing.
El CLOUD COMPUTING representa un cambio respecto al modelo tradicional de entrega de servicios de TI. Una parte importante del éxito de la migración hacia él, es la formalización del contrato o contratos (prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.
Por su indudable interés público y actualidad, presentamos una traducción "no oficial" del Dictamen CNS-57/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) en relación con la consulta de un Colegio de Abogados, sobre los riesgos que conlleva el uso de "Google Drive©", "Microsoft Skydrive©" y "Dropbox©" en el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.
Cada vez con mayor frecuencia las empresas y organizaciones simultanean diferentes NSG (Normas de Sistemas de Gestión). Para facilitar la integración de todas ellas es que se ha creado el Anexo SL.
Muchos piensan que las auditorías internas, realizadas por personal de la propia empresa, son únicamente un paso previo para preparar las auditorías de certificación o recertificación que marca el cumplimiento de la norma. No es así.
Las pymes que no dispongan hasta la fecha de un SGSI (Sistema de Gestión de la Seguridad de la Información), pueden contemplar la posibilidad de empezar con la gestión de las medidas de seguridad y procedimientos que establece el RLOPD y una vez estabilizado dicho sistema, ir abarcando mayor alcance dentro de la empresa, hasta conseguir un completo SGSI.
IMPLANTACIÓN DE UN SGSI ADOPTANDO LA ISO 27001
Se presentan todos los pasos seguidos por un CSP (Cloud Services Provider) para implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la Norma ISO 27001, coexistiendo con los demás procesos ITIL de Gestión de TI.
El neologismo
oversharing es la encarnación léxica de un concepto con el que todos estamos familiarizados: la divulgación de una cantidad excesiva de información personal, información que convencionalmente sólo sería manifestada a, o conocida por, los más cercanos a nosotros.
La tecnología actual, especialmente las redes sociales y los sistemas de mensajería instantánea, llevan el concepto de oversharing a un nivel completamente nuevo que podemos llegar a calificar de síndrome o trastorno conductual.
Los riesgos aumentan cuando lo que compartimos son datos personales de menores, como pueden ser los propioshijos.
La doctrina no se ha pronunciado sobre la posible responsabilidad civil de los administradores de las plataformas de redes sociales, en caso de que se utilicen como medio para la comisión de lesiones a los derechos fundamentales de las personas, ni tampoco hay jurisprudencia al respecto. Una vez hecha esta precisión se desarrollan las posibles concurrencias de responsabilidad de estos sujetos cuando, usando como instrumento estas redes sociales, los usuarios vulneran entre otros el derecho al honor, a la intimidad y a la propia imagende terceros.
RETOS LEGALES EN RELACIÓN A LOS MEDIOS DE COMUNICACIÓN Y LAS HERRAMIENTAS 2.0
Entrevista a Estrella Gutiérrez sobre los riesgos relacionados con la implementación por parte de los medios de comunicación y dirigidas a su audiencia, de aplicaciones de colaboración y gestión de contenidos basadas en Internet y empleando conceptos de web 2.0.
Aunque en el presente artículo nos centraremos en la incidencia de la figura del community manager en materia de protección de datos, su tarea de gestión de contenidos incide claramente sobre cuestiones jurídicas relativas a la protección de datos de los usuarios que interactúan, a la propiedad intelectual e industrial, al honor, a la imagen, a la intimidad, a la privacidad, a los derechos de los menores de edad, a la seguridad de la información, al comercio electrónico, entre otras.
10 ERRORES DE LA ADMINISTRACIÓN PÚBLICA EN LAS REDES SOCIALES
Tanto hacia dentro como hacia fuera, la Administración Pública mira las redes con resquemor, tachándolas de frívolas, inseguras y criticonas. En torno a ese planteamiento equivocado se pueden observar 10 errores muy característicos, que en la realidad dejan a la Administración fuera de las redes sociales.
Con muy poco tiempo de vida, el fenómeno 'Informer' ha hecho saltar las alarmas en los institutos y las universidades del país, donde se ha extendido como la pólvora entre los estudiantes. La comunidad educativa lo tiene claro: hay que controlarlo antes de que se escape de las manos. Me refiero a los FENOMENO INFORMER ¿QUIÉN PUEDE RESPONDER LEGALMENTE?
'informers', esas páginas en Facebook ® en las que los usuarios sacan a la luz rumores, cotilleos y secretos de los demás. La guinda del pastel es que todo lo que uno quiere ventilar se publicará de forma anónima. O al menos, así se cree.
Análisis del difícil equilibrio entre "sociabilidad" y "privacidad" en las Redes Sociales.
Existen varios aspectos que influyen en el proceso de innovación en las organizaciones. Uno de ellos es el estilo de liderazgo y gestión. En relación a las TIC, una empresa puede simplemente incorporar las nuevas tecnologías digitales al negocio como fuente de eficiencia o, al contrario, apostar por la adaptación del negocio a las nuevas posibilidades que han traído las nuevas tecnologías. A este último estilo de liderazgo le llamaremos e-Liderazgo.
Con frecuencia olvidamos que la innovación, como genuino diferenciador competitivo que es, puede y debe gestionarse de manera sistemática, con procesos de generación de ideas bien estructurados, sólidas dinámicas de colaboración en equipos multidisciplinares de trabajo, indeclinable apoyo directivo, buena integración a las prácticas y procesos de la empresa, y fiel observancia a los valores y principios, que conforman la cultura corporativa.
El fenómeno conocido como la IoT (Internet de las Cosas) representa la interconectividad total entre personas y dispositivos. No dudamos que puede aportar grandes beneficios a la sociedad pero también, como ocurre con cualquier tendencia innovadora de la que no se dispone de la suficiente experiencia,entraña nuevos riesgos, especialmente relacionados con la privacidad, que deberán irse mitigando mediante la regulación, la transparencia y el autocontrol.
Lo analizaremos desde un punto de vista funcional que permita entender las implicaciones sociales, éticas y legales, ya queconsideramos que centrarse simplemente en los aspectos tecnológicos no aportaría valor a los objetivos del estudio.
Cada vez más los negocios, la economía y otros campos, hacen que sus decisiones se basen en datos y análisis, y menos en la experiencia o la intuición.Esa es la misión del
Big Data. Sin olvidar las implicaciones en materia de protección de datos.
Proponemos el enfoque multidisciplinario como única forma de abordar con éxito, en un mundo cada vez más complejo,adecuaciones en materia de protección de datos.
En unas declaraciones Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de la Comisión Europea, considera que la EU y el mundo en general necesitan: Un Cloud Computing fuerte y de confianza; Una cultura de Open Data (Datos Abiertos por parte de las AA.PP.); Y compromiso compartido con la ciberseguridad. En base a dicho hilo conductor es que vertebraré este artículo, incidiendo principalmente en aspectos de seguridad de la información y privacidad.
Agradezco a Neelie Kroes (Vicepresidenta de la Comisión Europea), a través de su oficina de prensa, el consentimiento expreso al Blog "Aspectos Profesionales" para que publique, y traduzca del inglés al español, su intervención en el IAPP Europe Data Protection Congress/Brussels el 11 de diciembre de 2013 titulada "Data isn't a four-letter Word". Me interesé por la ponencia debido a su temática, al coincidir con la línea editorial de éste Blog, que busca un equilibrio satisfactorio entre privacidad e innovación.
Como sea que en inglés la palabra "D*A*T*A" tiene cuatro letras y en español "D*A*T*O*S" tiene cinco, me he visto en la "necesidad" de cambiarle el título a la traducción, manteniendo el espíritu del documento original.
La Declaración nace como reflexión y exposición de la situación actual, en materia de protección de datos en Iberoamérica, y las líneas programáticas por las que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas en Internet, en el ámbito del fenómeno creciente del Big Data.
La cooperación internacional, no sólo desde Iberoamérica, sino con otros Estados y la propia Unión Europea debe ser un pilar clave en la función legislativa y las acciones de los organismos encargados de supervisar el cumplimiento de la ley.
La Declaración de Lima, hacia la unificación de criterios sobre protección de datos en Iberoamérica, ha sido elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, presentada en la ciudad de Lima (Perú), el 12 de abril de 2013, por el coautor de la misma y Catedrático José Reynaldo López Viera, en el transcurso de las Jornadas de Derecho Constitucional.
DECLARACIÓN DE SANTIAGO: HACIA UNA UNIFICACIÓNDE CRITERIOS SOBRE SEGURIDAD Y PROTECCIÓN DE DATOS EN INTERNET
La Declaración de Santiago, hacia una unificación de criterios sobre seguridad y protección de datos en Internet, elaborada desde la iniciativa delObservatorio Iberoamericano de Protección de Datos, fue presentada en la ciudad de Santiago (Chile), el 12 de septiembre de 2013, por Pedro Huichalaf Roa, en el transcurso de la Seminario de Datos personales, organizado en la Facultad de Derecho de la Universidad de Chile, en colaboración con la ONG META.
El Derecho debe adaptarse a los avances tecnológicos de nuestra sociedad. Fenómenos como la globalización y el entorno online provocan que los criterios y límites territoriales que antes conocíamos, desaparezcan. Esta situación cobra especial relevancia cuando aunamos Internet con actividad delictiva.
Basándonos en esta realidad social es que hemos decidido presentar este estudio como una introducción a este tipo de delitos.
La ingeniería social ha aumentado su popularidad en los últimos años. Aprovecha las debilidades de los mecanismos universales que poseemos las personas para entendernos con otros seres humanos. El ciberdelincuente, con este proceder, obtiene información de las víctimas la cual le permitirá cometer un delito telemático. Veremos que la mejor defensa es preservar nuestra esfera de privacidad.
Los riesgos y los requerimientos actuales de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en la organización. También, en un entorno globalizado y cada vez más competitivo, las normas de libre adscripción y marcos de mejores prácticas aportan valor a la empresa pero obligan a la entidad a implantar programas de cumplimiento para acreditar el debido control sobre todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y los Modelos integrados de Gobernance, Risk & Compliance (GRC).
La reciente Sentencia 2844/2014, de 16 de junio, de la Sala Segunda de lo Penal del Tribunal Supremo, entra a matizar la licitud de las pruebas obtenidas mediante el control del correo electrónico corporativo al amparo del artículo 20.3 de la LET, cuando nos encontramos ante la jurisdicción penal. Recordemos que para la jurisdicción social, la Sentencia de la Sala 1ª del Tribunal Constitucional, de 7 de julio de 2013, había considerado previamente la admisión de esa tipología de pruebas de forma más permisiva.
Lo novedoso es queconsidera queel requerimiento previo a una posible intervención del correo corporativo por parte de la empresa que esla promulgación de una política empresarial sobre el uso del correo electrónico puede sustituirse por un artículo en el Convenio Colectivo que obliga a empresa y trabajador.
La figura del whistleblower se ha convertido en una pieza fundamental de los programas de Compliance o cumplimiento regulatorio en la empresa. No obstante, debe buscarse en su implementación, para cada caso concreto, el equilibrio entre el bien jurídico que se protege con la materialización del canal de denuncias (la propia administración de justicia, al delatarse ilícitos, y el preservar el honor de la persona jurídica) y el riesgo que comporta para los derechos fundamentales de los intervinientes (Derecho a la intimidad del delator, y derecho al honor y la intimidad del delatado, además del derecho a la protección de los datos personales de ambos).