Tratamiento y delitos de violación de datos personales en Colombia (I de III).

Vía Chema Alonso me llega un trabajo muy interesante de la puesta al día en el tratamiento de los datos de Carácter Personal en Colombia. Esta iniciativa que desafortunadamente no se lleva a cabo en muchos países, permite una equiparación con el tratamiento legislativo que se sigue en Europa. Este tipo de iniciativas, permitirá un intercambio y tratamiento de datos personales, entre países. Muy importante sobre todo para oganizaciones que tengan sedes en múltiples países, o se encuentren hermandas con empresas de dichos países. El hecho de que lo países se unan a estas iniciativas dan buena cuanta del interés que suscita los datos personales y como no de su importancia. Sin una buena legislación podemos encontrarnos desamparados ante la ley.

El desarrollo que han seguido para llevar a cabo una reglamentación en materia sancionadora no es ni muchos menos simple. No hay que olvidar el tiempo desde que se acuerda a nivel europeo la necesidad de aplicar mecanismos de regulación, y se aplican o el que ha llevado la generación del reglamento de desarrollo de la LOPD. Sin lugar a dudas es un trabajo arduo pero que seguramente habrá sido finalmente gratificante para sus desarrolladores, el ver que finalmente ha salido a la luz.
Felicitar ante todo a Alexander Díaz García, Juez Segundo de Control de Garantías de Rovira Tolima Colombia por el gran trabajo realizado.

El delito de Violación de Datos Personales, pone a tono a Colombia, con la Comunidad Mundial en el Tratamiento de Datos Personales.

Por: Alexander Díaz García

1. Violación de datos personales en Colombia

Con la entrada en vigencia del artículo 269 F, de la Ley 1273 de 2009, llamada también de DELITOS INFORMÁTICOS, de cuyo texto original soy su autor, y que en su trámite legislativo contribuyeron otros estudiosos del derecho informático. Colombia se ha puesto en la vanguardia en el tratamiento de datos personales como lo están la mayoría de las naciones del mundo, especialmente la Comunidad Europea. Es uno de los grandes avances legislativos que tuvo el país este año que está por terminar, especialmente si consideramos que somos de los pocos países que penalizan la violación de datos personales.

En la investigación que realizamos por algo más de diez años, para la redacción de los artículos propuestos en mi proyecto de ley, se dejaron finalmente siete de los diez artículos que originalmente habíamos sugerido, en donde se excluyeron tipos tan importantes como la FALSEDAD INFORMÁTICA, ESPIONAJE INFORMÁTICO y el SPAM, le modificaron el epígrafe a la ESTAFA INFORMÁTICA por TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. Por fortuna no se tocó el que nos motiva la atención de esta nota, LA VIOLACIÓN DE DATOS PERSONALES.

Si bien es cierto que en nuestro país, está vigente desde el 31 de diciembre 2008, la ley estatutaria de Hábeas Data, la 1266, no es menos verdad que esta se refiere casi exclusivamente a la protección del dato financiero, sin extender a una protección efectiva a todos los datos personales; de ahí el porque nos preocupamos en la redacción del artículo 269 F, denominado VIOLACIÓN DE DATOS PERSONALES, estuviese enriquecido con los siguientes verbos rectores:

“El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes”. Como observamos la consumación de violación de datos personales, su adecuación no va a ser muy difícil, logrando la exigencia de otros países en el tema de tratamiento de datos personales, pues la riqueza de los verbos rectores van a permitir que las conductas reprochables, se conjuguen con alguno de ellos, sin olvidar una pena privativa de la libertad drástica y una sanción pecuniaria que afectará los intereses económicos de los delincuentes.

2. El tratamiento de datos personales en el ámbito particular.

La poca cultura que ha tenido Colombia en la historia en el tratamiento de Datos Personales, nos obliga a pensar que será un proceso largo concienciar a los especialistas judiciales, a los operadores de ficheros que almacenen datos personales, al igual que al público en general, sobre cómo debemos tratar nuestros datos personales y darle la relevancia personal y jurídica que le corresponde.

La existencia del artículo 269 F, ha generado y generará muchas (más) implicaciones modificatorias sociales y oficiales; no sólo la consumación ex profeso del delito, sino también para hacer correctivos a costumbres mal sanas que violan los datos personales en el diario vivir de los colombianos. Este artículo frenará o por los menos disuadirá a los delincuentes informáticos a no cometer esta clase de infracciones, Vg. Cuando se publica información sensible en redes sociales, cuando se actualiza una obligación prescrita sin el consentimiento del titular1, en los ficheros de compañías que compra cartera castigada, para mantener ilegal e indefinidamente los registros negativos en las centrales de riesgo. Cuando en los bancos o terceros se apropian de la identidad de una persona sin su consentimiento, para hacerla aparecer como clientes o deudores de grandes sumas de dinero. Estos son algunos de tantos casos que se conocen con la violación de datos personales.

Igual ocurre cuando las entidades públicas ora sus contratistas para cumplir fines de programas del Estado, capturan información sensible sin advertir que la calidad de la información que entregan los ciudadanos a los encuestadores o representantes de éstos, ha de dársele un tratamiento especial por tratarse de datos personales. Hemos observado que en los formularios o dispositivos electrónicos no aparece información pertinente en donde se concluya un tratamiento especial por la calidad, veracidad, confiabilidad, pertinencia y por consiguiente su prohibición a divulgación o a dársele un fin diferente al originalmente argüido por el empadronador.

LOPD y fichero de nóminas

Dentro de los eventos del SIMO que están teniendo lugar durante esta semana, hoy me ha tocado la exposición de tres sesiones HOL relacionadas con la seguridad: Forense, Forefront TMG y LOPD.

Dentro de la acción de LOPD, ha surgido la pregunta de que nivel de seguridad sería de aplicación, para los ficheros de nóminas, teniendo en cuenta que en dichos ficheros pueden mantener información relativas a minusvalía entre otros. Frente a la opinión generalizada de que estos ficheros tienen que ser tratados como datos de nivel alto, aparece en el nuevo Reglamento y como nota aclaratoria de la Agencia de Protección de Datos, que dichos ficheros deben ser considerados a todos los efectos como datos de Nivel Básico, aunque si apareciera otra información adicional al grado de minusvalía podría quedar tipificada como de tipo medio, pero inicialmente no es de aplicación el de tipo alto.


Para todo aquel interesado en aclararse con respecto a este hecho, referencio a continuación, el enlace expuesto por la Agencia donde se trata y detalla dicha exposición: LOPD y nóminas.


Para comentaros inicialmente la información, os adjunto algunos de los datos de referencia que podéis encontrar en dicho informe:

"Respecto a las medidas de seguridad que debe de aplicarse al fichero de nóminas, el artículo 81.6 del Real Decreto 1720/2007 señala que “6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos.”

Por ello, los datos relativos a la minusvalía siguen siendo datos relativos a la salud, lo único que se permite es adoptar medidas de seguridad de nivel básico en cuanto a dicho dato se encuentre afectado o vinculado al cumplimiento de deberes públicos, como sería el supuesto del fichero de nóminas en el que aparezca un porcentaje de minusvalía para calcular el nivel de retención aplicable en nómina, conforme a lo previsto en el artículo 103.1 del Real Decreto Legislativo 3/2004, de 5 de marzo por el que se aprueba el Texto Refundido del Impuesto sobre la Renta de las Personas Físicas. En consecuencia si el dato de minusvalía se tratará para cuestiones que no constituyan el cumplimiento de deberes públicos, sí deberán de adaptarse mediadas de seguridad de nivel alto.

Del mismo modo si el consultante, no tiene ningún empleado con minusvalía, el fichero de nóminas será de nivel básico, siempre y cuando no aparezca ningún otro dato que exija adoptar otro tipo de medidas de seguridad."

Adicionalmente a esta consulta, tenéis otras muy interesantes, como por ejemplo la asignación tributaria a la Iglesia en el IRPF, no consigna valor de creencia religiosa en la LOPD.

Dichos informes pueden ser consultados a través del enlce en la página de la AEPD.

Espero que esta información os haya servido de aclaración para todos los que habéis asistido a la sesión LOPD del Simo y otros que tengan esta inquietud.

Saludos.

Vuelta a las trincheras.

Muy buenas a todos.

Después del parón veraniego, volvemos a la cruenta guerra con la informática. Para que no nos falten medios traemos... nuevas armas y nuevos conocimientos. Durante el mes de septiembre y octubre traeremos alguna sorpresa que ya iremos desvelando, pero para abrir boca, 2 acciones inmediatas a las que podéis acceder.

En primer lugar para los que manejan o conocen ISA Server (para los que no también), supongo que sabréis que tendremos en breve una nueva versión evolucionada del producto: Forefront TMG. Nuevo nombre y cambios interesantes. Para los que queráis acercaros al producto y os de pereza montar un escenario o leer documentación, realizaré junto con Microsoft 4 webcast relacionados con este nuevo producto durante el mes de Septiembre. Los dos primeros tendrán lugar el 14 y 17 de septiembre. El evento como siempre es de foma online, aunque para los que no podáis verlo en directo, se grabará para que podáis acceder posteriormente a él.

Como siempre el registro gratuito se realizara a través de Technet a través de este enlace para el primero sobre configuración y despliege y este enlace para el segundo sobre protección frente a amenazas.

La segunda acción inminente tendrá lugar a partir del 21 de Septiembre en dos cursos del plan de formación de empleo de la Comunidad de Madrid. Estos cursos destinados a personas desempleadas o en busca de mejora de empleo, se realizarán en las instalaciones del Centro de Formación en Tecnologías de la Información y las Comunicaciones - Madrid Sur situado en Getafe en la Avenida Arcas de Aguas S/N. Como se desea que los cursos partan con un nivel mínimo para que puedan cumplirse los objetivos previstos, se realizará una prueba de selección el Miércoles 2 de Septiembre en dicho centro, en dos convocatorias de mañana y tarde. Si queréis más información la tenéis en la propia página del Servicio Regional de Empleo o contactando a través del centro en el número de teléfono 916 83 81 60.

Saludos a todos

Libros de Informática 64.

Bueno después de un tiempo ya han nacido las criaturas. Como supongo que mucho de vosotros ya os habéis enterado, quiero que veáis la visión de uno de los "autores", aunque realmente esto es una labor de muchos, aunque en la portada aparezcan solo unos nombres.

Todo empezo el año pasado en unas fechas como estas. Recuerdo que estábamos hablando Juanito y yo cuando Chema se acercó y nos comentó, oyes chicos se me ha ocurrido una idea, por qué no ...?

Estas frases que en cualquier entorno suenan a problemas y a escabullirse, después de casi 10 años en Informática64, constituyen en la mayor parte de ocasiones una idea nueva, fresca, proyecto interesante y como no trabajo, trabajo y trabajo. La experiencia me dice que no deben ponerse trabas a una idea; matizarlas o argumentarlas si no te convencen, pero siempre tenerlas en cosideración. Cuando una persona como Chema lanza una idea hay que tenerla muy en cuenta, porque además de ser interesante abre una nueva perspectiva, inquietante pero enriquecedora. Pero quizás esa es la magia de una empresa que aporta labor humana y un trabajo constante para hacerse hueco en el difícil y competitivo mundo de la informática.

La idea era escribir dos libros, en los que desde el principio hasta el final tenían que tener marca de Informática64. A nuestro estilo, a nuestra forma de hacer las cosas. Forense yLOPD, eran las ideas; como no, los objetivos estaban claros y las personas "indicadas" preparadas para el pistoletazo de salida. Creemos que hasta altura, experiencia técnica no faltaba aunque el proyecto era muy ambicioso.

Desde mi propia experiencia, tengo que comentar que la labor es bastante compleja a nivel de sacar ideas. Principalmente porque de LOPD se ha escrito y hablado mucho. La idea a plasmar era acercar dos mundos a veces enfrentados: técnico - legal y operar como un catalizador que permita integrar los dos entornos. Adicionalmente la información tendría que llegar también a empresas (en ocasiones Pymes) que en ocasiones desconocen ambos entornos, conjúgalo con el nuevo reglamento y tienes todos los ingredientes en la coctelera. Ahí la cabeza empieza a trabajar y a escupir ideas que se van plasmando en unos textos iniciales, desarrollando un índice que previamente se ha elaborado.

Una de las cuestiones claves en este sentido me las dió mi compañero Manuel: escribe lo que quieras y como quieras, pero básate en un índice para que no quede inconexo. Y la verdad es que sin tener en mente el desarrollo del libro, como lo empiezas y acabes de forma diferente a lo planteado, puede ser caótico, sin sentido y frustrante. las ideas pueden mejorar y las líneas mejorarán el contenido y lo ampliarán, pero ten en cuenta tus objetivos, si no lo que escribar inicialmente quedará raro con lo que escribas al final.

Las páginas iban creándose y con el corrector de Word se iban corrigiendo las faltas de puntuación. Pero desgraciadamente ni yo, ni word, somos Cervantes y detrás mis primeros balbuceos hay un equipo encargado de hacerlo legible, corregirlo mil veces y maquetarlo. Manuel, Alberto y Antonio son los encargados de ello. Como comenté anteriormente esto es labor de equipo aunque el nombre sea uno solo. Luego llego la hora de hacer el prólogo, y la persona elegida no podía ser más óptima. Antonio desde aquí agradecerle la contribución al libro con un prólogo que sintetiza la importacia de la normativa y la filosofía con la que ha sido escrito este libro. Antonio es un doctor en toda regla y no solo en informática, las veces que con las que he podido intercambiar ideas y proyectos me ha enseñado cosas que son todo un lujo de experiencia.

Luego el mago del diseño, Rodol, se ha encargado de realizar una portada a la vez que estaba enfrascado en la realización de arduas tareas en el libro de Juanillo. Hay que tener en cuenta que el equipo de "post-producción" para ambos libros ha sido el mismo y por lo tanto más complicado hacer salir los dos libros conjuntamente. Aunque en lo concerniente al libro de Juanillo, será él mejor que nadie el que pueda expresar su experiencia, os comentaré alguna cosilla. Yo incorporé desde mi experiencia algunos textos que aparecen en el libro y que junto con lo aportado por Chema completan las ideas salidas de la experiencia y brillante cabeza de Juanito. Con Juanillo he compartido durante el tiempo que lleva en Informática64 muchos proyectos codo con codo, llevando conjuntamente algunos de los proyectos forenses en los que ha estado enfrascado Informática64. Su frescura, ideas, experiencia y buen hacer se plasman como no en este libro. La verdad que poder compartir estos proyectos junto con Chema y Juanito son un orgullo y toda una experiencia que a buen seguro se repetirán. Son compañeros de trabajo, pero ante todo amigos y trabajar en este entorno es más fácil y gratifiante.

La labor no ha sido fácil, escribir libros tras la experiencia puedo asegurar que es complicada. El tiempo y dedicación mellan y requieren serenidad de ideas y una mentalidad que te permita continuar en las horas más bajas. Gente a tu lado que te apoya es importante y la meta como objetivo la debes visualizar en cada momento crítico. Cuando las páginas blancas son un muro a superar, cuando te despiertas a las 3 de la madrugada y tienes que bajar corriendo a un portátil que siempre está encendido no sea que por la mañana se haya olvidado la idea en la que habías pensado, para continuar en esa página que se te ha atragantado, cuando esta frase que la escribes, la borras, la reescribes, la borras... y te acuerdas que detrás hay alguien que con otra visión hará legible lo qe intentas plantear...

Bueno después de todo, la criatura ya está aquí, ya salió de la imprenta, ya está disponible. A estas horas alguno ya lo tendréis. A los que lo leáis me gustaría conocer buestra impresión, aunque sean críticas. Todo en esta vida es constructivo y te hace mejorar. Una de mis frase favoritas es "experiencia que no mata te hace más muerte". Y como esta no me ha matado, me ha hecho más...

Bueno pero esta labor en nuestro hacer diario, ya es pasado para el equipo técnico de Informática64, ya hay nuevos proyectos, nuevas ideas, oye chicos porque no ...

Gracias a todos aquellos que hayáis aportado vuestro grano de arena a los libros y a los que los acabéis leyéndolo.

Las técnicas antiforense

Uno de los grandes problemas a los que nos enfrentamos a la hora de realizar el análisis forense, es la detección de aplicaciones antiforense que han podido ser utilizadas para ocultar o eliminar información que pudiera estar en un sistema. El gran inconveniente de detectar este tipo de herramientas en un equipo, es la inquietud de saber que este equipo, portaba información de interés pero que desgraciadamente no podremos tener acceso a ella.

Para el que no conozca este tipo de herramientas, os comentaré que aunque siguiendo mecanismos diferentes, todas tienen persiguen un mismo objetivo, dificultar la trazabilidad en un escenario forense. Podemos diferenciarlas en los siguientes tipos:
- Las enfocadas a la eliminación de la información.
- Las enfocadas a la ofuscación de la información.
- Las enfocadas a generar la incertidumbre en la investigación.

Todas por ellas mismas son ciertamente peculiares, tanto en su uso como en los fines que persiguen. El buen uso (o mal uso según la circunstancia) permiten que un potencial delito pudiera quedar impune. Desgraciadamente la falta de evidencias (objetivo que persiguen este tipo de aplicaciones), limita la posibilidad de enjuiciamiento. La "clara evidencia" del empleo de una herramienta de antiforense, no permite determinar a efectos jurídicos el posible hecho delictivo, debido a la ausencia "clara de evidencias", a lo sumo la existencia de conjeturas. No obstante y afortunadamente no siempre el empleo de estas herramientas es definitivo, puesto que aunque se elimina información relevante, no se hace realmente extensivo a los ficheros de carácter temporal que pudiera estar siendo utilizado por el Sistema Operativo y que puede quedar revelado en un análisis forense.

En análisis forense realizados con la herramienta FTK Access data en un entorno de laboratorio, emulando las posibles acciones en un potencial delito, revelaba el uso de la herramienta Evidence Eliminator, mediante el empleo de las firmas KFF. Esta aplicación está basada en un interface cómodo, que permite realizar varias pasadas de 1 y/o 0 (Wipe) para sobreescribir determinada información que pudiera ser comprometida. Puesto que el tiempo que se tarda en realizar estas operaciones puede ser mpli, se pueden limitar las opciones de eliminación. En esta circunstancias en el análisis en el fichero de paginación, se reveló (puesto que no fué eliminado debido al tiempo que tardaba en realizarse la operción) las acciones realizadas en el equipo y la recuperación de información que pudiera ser transcendental al caso.

La existencia o la detección del uso de herramientas antiforense, debieran incitar a una investigación, con más ahinco si cabe, puesto que denota a través de su uso la posible importancia de las evidencias. El problema al que se enfrenta el investigador, es la desventaja moral con la que parte al saber que en un porcentaje muy alto de las circunstancias, sus esfuerzos no obtendrán ningún fruto.

Dentro de los tipos de herramientas que se han comentado previamente, podríamos citar algunas que identifican claramente el objetivo a perseguir.

- Eliminación de evidencias. Además de la citada evidence eliminator, podríamos incluir en este grupo la suite DBan. Esta herramienta en sí, es un disco de arranque que permite la eliminación segura de un disco. Además del posible uso delictivo que se pueda dar, puede ser también utilizado como mecanismo de destrucción documental o eliminación segura de información crítica. Por ejemplo cuando un equipo de una organización vaya a ser desechado (el formateo del disco, únicamente no es una buena práctica).

- Dentro de los sistemas de ofuscación, herramientas de cifrado como Truecrypt o el empleo de técnicas de esteganografía o malware, permiten que alguien conocedor del hecho pueda acceder a la información dificultando no obstante una posible investigación.

- Las enfocadas a generar la incertidumbre, no tienen como objetivo la eliminación u ocultación de la información. Simplemente confundir con la información existente. Tenemos un ejemplo con el uso de la herramienta TimeStomp. Petenenciente al grupo de herramientas MAFIA (Metasploit Anti-Forensic Investigation Arsenal ) del proyecto Metasploit, persigue alterar la información de tiempos de ficheros. Permite poner fechas inverosímiles, complicando el análisis al conseguir la ruptura de la linea temporal de la investigación.

Este tipo de herrmientas pueden complicar la vida en una investigación enormente. Uno no sabe si es mejor detectar su empleo en un equipo analizado o no. Porque a veces saber que se han empleado, dejan con la miel en lo labios y una rabia contenida de no saber, que se ha podido hacer con ellas.

Las leyes y normas en Europa (I)

En España estamos acostumbrados a oír palabras como Ley Orgánica, Ley ordinaria, Real Decreto, etc. Son parte de nuestro ordenamiento jurídico y de una u otra forma pueden saberse a que están sujetos las diferentes figuras jurídicas. Nuestro ordenamiento Nacional, promueve una idea única en lo que concierne a la aplicación legal de las normas, pero ¿qué pasa con Europa? Tantas naciones y un ordenamiento júridico específico para cada uno de ellas. Cuando de vez en cuando surge en la noticias que tal ley europea conmina a los países a cumplir una norma ¿no entrará en conflicto con las leyes de un país? ¿Qué tiene mayor rango y cual prevalece en caso de "conflicto"?

Esto lo vamos a ir abordando poco a poco. Lo primero conocer los tipos de normas que son aplicadas desde Europa y poco a poco se irán desgranando las ideas para conocer porque temas como el de la LOPD se ha hecho extensivo a toda Europa, aunque su aplicación no ha sido de forma uniforme y con las mismas características.

Las diferentes normativas existentes en Europa son las siguientes:
- Leyes constitucionales: Amplían y modifican la propia Constitución europea.

- Leyes orgánicas: Regulan las actividades propias de los órganos constituyentes de la unión europea. Regula entre otras cosas los cometidos facultados para el órgana, así como su constitución y los integrantes.

- Ley Europea: Norma legislatva de carácter general y aplicable directamente a todos los estados miembros de la Unión Europea. Será de aplicación todas los puntos contenidos en la normativa.

- Ley Marco: Es un acto legislativo que obliga al estado miembro destino de la ley a cumplir una legislación en la forma y medios que las autoridades nacionales competentes estimen oportunas.

- Reglamento: Instrumento jurídico del Consejo y el Parlamento europeo que como norma de aplicación directa tiene carácter de obligado cumplimiento.

- Directiva comunitaria: Es una decisión colectiva mutuamente obligatoria aprobada por los Estados miembros. Obliga a todos o parte de los Estados a cumplir unos objetivos, pero permite elegir la fórmula para su cumplimiento.

- Decisión: Tiene carácter de obligado cumplimiento, aunque vincula a unos destinatarios exclusivamente (no necesariamente el estado miembro como institución única), declarados en la decisión específicamente.

- Recomendación y dictamen: No son de obligado cumplimiento y tiene unicamente valor de declaración de hechos.

¿controlar o espiar el correo electrónico?

Cuando impartimos cursos de seguridad, hay una pregunta que de forma tímida, inicialmente pero que acaba en un debate a veces bastante interesante, suele surgir inevitablemente. Es el efecto correo electrónico de una empresa y el temido ¿control/espionaje? del mismo. En función de quien pregunte y la entonación que de a la misma, se ve claramente su posición con respecto a la misma. Estos son dos de los típicos ejemplos en los cuales algunos de los lectores podrán reflejarse claramente.

- Mira en mi empresa me han pedido abrir el correo electrónico de un usuario ¿podemos hacerlo? ¿no es ilegal? (todo ello de forma habitualmente tímida).

- Mi empresa me quiere abrir el correo, eso no pueden hacerlo ¿no? (de forma enérgica).

La única respuesta que puede darles a ambos es la misma: Sí y no, depende de la empresa y lo estipulado en lo concernierte a su seguridad para con los trabajadores.

Ante la respuesta... momentos de duda, y a continuación... como se come eso.

Bueno la respuesta es bastante compleja puesto que se anteponen dos hechos indiscutibles:

- El derecho a la intimidad individual.
- El derecho de la empresa a ejercer el control para verificar el cumplimiento de obligaciones y deberes laborales.

Aunque ya hablé de este tema en este blog en el artículo la privacidad en el correo electrónico de la empresa, lo retomo nuevamente porque buscando entre el maremágnum de la documentación en la Agencia de Protección de datos, para otra casuistica, he localizado un informe jurídico, que pudiera ser interesante como apoyo legal para muchas organizaciones.

A través de este informe, el gabinete jurídico responde a una consulta planteada sobre procedimientos que deben seguirse en cuanto al uso del correo electrónico de los trabajadores de una empresa con respecto a la LOPD.

La resolución viene a defir más o menos lo que yo comenté en el articulo sobre privacidad en el correo electrónico.

Bueno pues algunos que me habéis hecho la consulta y que os he dado la misma respuesta, tenéis una base jurídica adicional en la que sentar las bases para el control del correo electrónico.

Un saludo

El incremento de las sanciones en las cámaras de videovigilancia

Uno de los mayores incrementos relativos a las denuncias efectuadas a la Agencia de Protección de Datos, lo constituyen las relacionadas con las cámaras de videovigilancia. Concretamente suponen más de un 15% de todas las denuncias efectuadas y tomando como dato significativo el incremento del 633% que aparece en la memoria de la agencia en el ejercicio del 2008. Ocupa de esta forma el tercer lugar entre las categorías sancionables por la LOPD. Este aumento significativo tiene una relación directa con la preocupación sobre la intimidad y la poca seguridad e importancia que en ocasiones se les da a las cámaras.

Desde hace muchos años llevo explicando en los cursos de seguridad las técnicas de hacking google para acceder a dispositivos físicos que a veces por despreocupación y otras por desconocimiento son accesibles fácilmente a través de un navegador web y una conexión a Internet. Pues bien la Agencia quiere anular estas prácticas permisivas por parte de las empresas y atajar "un gran hermano privado" antes de que sea descontralado. Accesos sin claves o bien con valores por defecto, preocupan bastante en la Agencia y quieren cortarlos desde la raíz.

Para cumplimentar este objetivo han generado una serie de guías de videovigilancia y el incremento de las inspecciones de oficio que puede llevar a cabo. De hecho en la primera de ellas han iniciadoya, siete procedimientos sancionadores relacionados con el incumplimiento de la instrucción sobre la videovigilancia.

Recordad además que las comunidades de vecinos también están obligados a este cumplimiento...

Un saludos a todos y poneros al día en lo referido a la videovigilancia que va a pegar muy fuerte este año.

El delito de una muerte virtual.

A veces los límites de la justicia no tiene ninguna frontera y se extrapolan a cualquier circunstancia de la vida. Los límites donde debe operar y la locura, a veces se conjuga con una realidad "virtual". En estas circunstancias el año pasado japón nos dejo la muerte turbulenta de un avatar en el juego Maple Story. Una sólida relación de pareja en el juego, concluyó de una forma inesperada cuando se recibió a través del juego la notificación del divorcio virtual. La mujer del cabreo que se pilló, hackeo la cuenta de su "marido" y destrozó su avatar, así como los contactos que se mantenían en la misma. Las declaraciones de la mujer no tienen desperdicio: "De pronto me quedé divorciada sin preaviso. Eso me molestó mucho", .

Este hecho no dejaría de ser una mera anécdota, si no fuera porque el "supuesto marido" denunció el citado hecho. El resultado final puede suponer bien 5 años de prisión o multa de más de 5000 $, y con muchos visos de prosperar.

A estas alturas alguno estará con las manos en la cabeza y pensando hasta donde vamos a llegar. Pero la denuncia y el resultado del juicio, tienen cierta justificación, basandose en el acceso ilegal al ordenador de la víctima y la manipulación electrónica de los datos. Considerado como hacking directo este hecho está penado en el ordenamiento jurídico japonés. Noticia curiosa, no exenta de polémica, pero tan real como la vida misma.

A un ex-empedernido jugador de Ogame como yo, estas prácticas les resultaban cotidianas a través de las noticias que podían leerse en los foros de este juego, pero nunca hubo constancias de denuncia jurídica. Aunque visto lo visto, es posible que hubieran podido prosperar.

Desde luego ni jugando está ya uno tranquilo.

Saludos

De leyes por Europa.

Es bastante curiosa la poca (o ninguna) conciencia que tenemos de las Leyes Europea y sin embargo lo significativamente que nos acaban afectando. Parece que esto de la Unión Europea nos queda bastante lejos (como referencia el índice de participación en las últimas elecciones) pero luego nos ataca tocando en la línea de flotación. Zas, directiva europea, ley al canto. Y desgraciadamente en circunstancias, por ser más papistas que el papa, sacamos la ley más dura de todos los miembros de la Unión Europea, como ha pasado con la LOPD, tal cual revela un estudio de la Cámara de Comercio.

No es objetivo hoy dar a conocer como funciona la aplicación legal desde la Unión Europea (ya lo haré en post futuros), si no indicaros la dirección donde puede seguirse todos los temas que están siendo tratados y evaluar así en que modo nos acabarán afectando. Se aplica para ello el perfecto axioma de cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar, y en este caso ponte además algo de anestesia en la cara, porque a veces la cuchilla viene sin afilar.

A través de url:

http://eur-lex.europa.eu/

tienes acceso a toda la lesgilación de tipo europeo, incluyendo además de las normas, los tratados, acuerdos, trabajos preparatorios y jurisprudencia. Dentro de la legislación que nos compete al sector IT, la relativa a la aplicación de normativas al sector de la sociedad de la información nos implica consecuentemente.

Un ejemplo de información que podemos encontrar aquí lo tenemos a través del texo sobre las perspectivas futuras de las tecnologías de la información y de las comunicaciones (TIC) o los más recientes dictámenes en e-justicia.

Iremos poco a poco desglosando algunas de las directivas y perspectivas fundamentales que nos afectarán a corto plazo.

Saludos a todos.

La lista Robinson

Muchos, como me pasa a mí, estarán cansados de recibir llamadas telefónicas, ofertando directamente tal artículo, promocionando otro, u ofreciendo gratuitamente algo para enganchar con otra venta. Estas prácticas aunque a veces pesadas, están legalizadas plenamente por la Ley.

Puesto que argumentan como hecho, que nuestros datos han sido recogidos de una fuente pública del cual aunque no son sus poseedores, sirven como fuente de información, legitima tal hecho. Fuentes públicas entre otros pueden ser considerado por ejemplo las páginas blancas u otras BBDD de índole pública y así queda recogido en el Reglamento de Desarrollo de la LOPD.

Con objeto de limitar estas prácticas y en virtud de la defensa de los derechos de los ciudadanos, la AEPD ha hecho extensiva una lista denominada Robinson, para no recibir publicidad dirigida a una dirección de correo electrónico o número de teléfono fijo o móvil, en cualquier modalidad de comunicación. Hasta la fecha esta lista estaba limitada exclusivamente al correo postal, pero ya se ha hecho extensible a los medios citados anteriormente.

Mediante esta lista promovida por la Federación de Comercio Electrónico y Marketing Directo (FECEMD), se genera un tipo de lista de exclusión tal y como establecía el Reglamento de Desarrollo 1720/2007 en su articulado. A través de la lista, los ciudadanos podrán solicitar el no recibir envío de publicidad a través de cualquier mecanismo de comunicación, limitando para ello el canal que podrá o no ser utilizado para tal fin. Tal y como marcaba el Reglamento de Desarrollo, las empresas que deseen hacer una campaña publicitaria, deberán consultar previamente la lista, con objeto de excluir de la misma a las personas que se encontraran en ella.

Solicitar la inclusión en la lista Robinson, puede ser realizado a través de la dirección URL:
http://www.listarobinson.es

A partir de ahora y si te encuentras en la lista, podrás ejercer otro derecho adicional en el caso de que un/a pesado/a te llame a casa.

Saludos a todos

ENFSI y la comisión europea de investigación.

A menudo nos pregutamos, que se cuece por Europa y en que forma nos afecta. Aunque la LOPD es bastante conocida, no lo es tanto el hecho de que su necesidad surge principalmente por una directiva Europea. Son numerosas en este sentido las iniciativas y prerogativas que la Unión Europea conmina a todos sus estados miembros.

Puesto que para muchos los temas relacionados con la UE, son bastante desconocidos, voy a tratar de acercar a través de una serie depost, las iniciativas, organismos y directivas que relacionados con la seguridad de la información pueden afetarnos a los profesionales del sector.

En este primero os invito a conocer el portal de ENFSI (European Network of Forensic Science Institute). Agrupado sobre el mismo, todo lo relacionado con la ciencia forense es expuesto en la plataforma siendo interesante la información que se puede encontrar de forma compartida entre los empleados y sus miembros. El portal como no podía ser de otra forma cuenta con un apartado específico sobre Forense Digital, donde puede encontrarse una guía de buenas prácticas para la aplicación de la ciencia.

También bastante relacionado con la ciencia forense, encontramos la comisión europea de investigación, con especialización en la lucha contra el fraude y la delincuencia. Entre sus trabajos cabe destacar CTOSE (Cyber Tools On-Line Search for Evidence).

Y para finalizar este post sobre la UE, las cosas parece que se pondrán serias en materias relativas a la seguridad y al Cibercrimen. En este sentido el nuevo programa marco de Justicia e Interior, promoverá entre otras cosas programas de intercambios de profesionales de investigación y justicia entre países y la mejora en los sistemas judiciales en lo referente a seguridad entre los países miembros. Esperemos que entre las nuevas normativas aclaren definitivamente lo referente a las evidencias digitales, regulen los procedimientos forenses y formen consecuemente a sus profesionales.

Libro de LOPD Microsoft

Muy buenas a todos.

Ante todo disculpas por haberos abandonado durante mucho tiempo, pero ciertos tipos de trabajo me han tenido bastante ocupado y eso se ha resentido en algunas de la tareas que realizaba, incluido la de escribir este blog.

Bueno pues precisamente el motivo de este post es anunciaros la publicación de un libro de LOPD versado en las nuevas tecnologías de Microsoft y adaptado al nuevo reglamento. En este libro hemos colaborado tanto Chema Alonso, como yo, desarrollando la implementación técnica de las medidas de seguridad sobre las plataformas de Sistema Operativo, Correo electrónico y Sistemas Ofimáticos, así como el desarrollo de los sistemas de seguridad de Microsoft y la evolución en los nuevos sistemas.

Espero que os guste y lo más importante el enlace para la descarga de este libro gratuito que lo tenéis en formato PDF y XPS, en la página de Technet a través de información destacada.

Libro LOPD tecnologías Microsoft v2.

Un saludo y espero poder retomar con asiduidad el postear en el blog.