Sobre la fe y la privacidad… (I PARTE)

Publicado el 28 de abril de 2012 por Luis. 10 comentarios
Miniatura noticia

Como mis últimas “yoquesécuántas” entradas, tengo que empezar ésta pidiendo disculpas por la falta de consideración que muestro hacia mis lectores  por el poco tiempo que puedo dedicar a alimentar este blog… (¿Siguen ahí? ¿Verdad? Uffff ¡qué susto!) Lo siento pero no doy abasto…

Me quito el sombrero y dejo patente mi más profunda admiración hacia todos aquellos que mantienen los suyos con entradas diarias o casi (incluso hasta a los que lo hacen semanalmente) y además trabajan y son padres de familia y maridos ejemplares. Debo ser mucho más desorganizado, porque el día a día no me deja dar más de mí… ya no prometo nada, pero intentaré sacar “algo más de tiempo” para compartir mis reflexiones con Ustedes…

Hace unos días, mi buen amigo Francisco Javier Sempere, escribió en su blog una entrada sobre el ejercicio de derechos ARCO en “saraos lopedianos” (término utilizado por algunos datoadictos para referirnos a aquellos eventos a los que solemos asistir con temáticas relacionadas con normativa, tendencias y demás “paradigmas” de la privacidad o de la seguridad de la información…) y su lectura me ha hecho decidirme a escribir esta entrada que tenía en mi libreta de temas pendientes para compartir con Ustedes desde hace tiempo (sí, aunque no lo crean, esa libreta existe…). Esta entrada, podría haber sido perfectamente un comentario a la de Javier, pero seré sincero, me apetecía más desarrollarla aquí. Espero no me lo tengas en cuenta, amigo Javier.

Hoy les hablaré sobre la fe… o mejor  dicho, sobre la falta de ella, porque a veces, me da la sensación de que esto de la privacidad, en el fondo, en el fondo, no nos lo creemos ni en Dataland… Me explicaré.

Javier nos hablaba en su entrada de los datos que proporcionamos al inscribirnos en los “saraos”… y yo voy a hablar sobre cómo se organizan (y no precisamente “por aficionados”) algunos de estos saraos, esta vez “solo” en relación a esos datos que recaban, y, de la más reciente a la más antigua, les voy a contar tres experiencias vividas en mis propias carnes que me hacen reflexionar sobre el tema central de esta entrada.

La normativa sobre privacidad impone que en todo tratamiento de datos se respete el principio de la seguridad de los mismos, por el cual se impone al responsable de tal tratamiento la adopción de medidas técnicas y organizativas necesarias para garantizar que los datos tratados no se vean alterados, se pierdan o se produzcan tratamientos o accesos a los mismos no autorizados y ello en función de la tecnología disponible, de un oportuno análisis de riesgos y de la naturaleza de los propios datos.

Hace un mes aproximadamente, asistí a un encuentro de Jóvenes Expertos e Investigadores en Tecnologías de la Información y de la Comunicación organizado por la Facultad de Derecho de una Universidad de bastante prestigio y larga trayectoria en formación de juristas (y de “empresistas”, por lo que me toca…) en una provincia limítrofe a Dataland (si, ya sé que no tenía motivo para asistir, porque ni soy joven, ni experto, ni investigador, pero me interesaba conocer lo que allí se cocía). Allí, entre otros temas, se desarrollaban ponencias sobre privacidad y protección de datos -y repito, era un foro para “expertos” organizado por expertos…

Estaba organizado en dos jornadas de día completo y al finalizar dicho encuentro, a los que hubiéramos asistido, nos darían un diploma, por lo que la organización quería controlar perfectamente quien asistía y quién “hacía peyas”.

Bien, la mañana de la jornada inaugural, el control de asistencia se realizó mediante el habitual “check de bienvenida”: unos amables secretarios disponían de la lista de inscritos, y cuando llegabas, tras identificarte -y con ello, dejabas constancia de tu presencia-, te entregaban la oportuna acreditación y material del encuentro. Hasta aquí todo correcto, nada que objetar.

Pero en la sesión de esa misma tarde y en las dos de la jornada del día siguiente, decidieron realizar ese control de presencia pero de una forma “distinta”… ¿Y cómo? Pues a la antigua usanza: haciendo circular entre los asistentes de mano en mano varias hojas de firmas (sí, sí, como lo leen, papel en un encuentro de expertos en TIC´s en pleno siglo XXI… ya lo sé…) con el nombre, apellidos y número de dni de todos los inscritos, en las cuales, te buscabas, y teniendo por tanto un acceso inconsentido a los datos de cada uno de los inscritos, plasmabas junto a los tuyos tu firma manuscrita. Desde luego me da la impresión de que esto supone una cesión inconsentida en toda regla y ésta cesión se produce precisamente porque la organización no implementó medidas ni técnicas ni organizativas para evitarla habida cuenta del estado de la tecnología (no era tan difícil digo yo), la naturaleza de los datos (nombre, apellidos, dni) y el oportuno análisis de riesgos (los datos de cien personas de mano en mano de cien personas sin control alguno).

Vamos, que si no fuera todo lo cumplidor de la legalidad que siempre pretendo ser, me hubiera podido hacer sin excesiva dificultad con el DNI de cualquier asistente, y a partir de ese momento, consultar su saldo de puntos del carné de conducir, comprobar las facturas que les debiera alguna administración local u otras muchas “cositas” que la -no siempre tan segura como debiera- “e-cosa” nos permite hacer.

NOTA DEL AUTOR: considero de justicia dejar claro que este término de la “e-cosa” me lo apropié de Renato Aquilino en una clase que en su día me dio sobre el E.N.S. en un curso de Gesconsultor y que me gusta mucho porque lo considero más que descriptivo para referirse a la administración electrónica).

Por tanto concluyo ¿es que la organización de este encuentro de expertos no se dio cuenta de que este sistema vulneraba este principio de la seguridad de los datos? ¿Hubiera sido tan complejo aplicar el mismo sistema que en la sesión inicial en el cual solo el personal de la organización tenía acceso a los datos de los asistentes y los usaba para la finalidad para la que habían sido recabados –gestión y organización del evento?

Y ahora, estarán esperando que pase “a despellejar” el siguiente de los casos que les anunciaba al principio… y conste que esa era mi intención pero viendo que me alargo, acabo de decidir convertir mi entrada en una miniserie –muy de moda últimamente en algunos de “mis blogs favoritos”. Eso sí, solo será de dos entregas, por lo que si lo leído hoy les ha picado la curiosidad, estén atentos a su canal de feed, en el cual espero de todo corazón tengan incluida a mi humilde y descuidada bitácora….

Muy buenos días…

 

Imagen: brentdanley

10 comentarios

  1. Ad Edictum dice:

    Don Luis:

    El primer caso práctico de su serie no me parece tan grave, la verdad. Quizás sobraba incluir el número de DNI, pero pasar un listado con el nombre de los asistentes para que firmen, máxime cuando son 100, creo que no causa graves perjuicios al derecho fundamental a la protección de datos de los alumnos.

    Es decir, estaban todos Ustedes compartiendo aula, y no sé, me parece exagerado intentar ocultar el nombre y el apellido en esas circunstancias…

    Me pasa lo contrario que a Usted, que es un Datamaniaco concienado y exigente. Yo, en cambio, debo de ser como esos albañiles que se suben al andamio sin arnés porque han perdido el respeto a las alturas.

    No obstante, me surgen varias preguntas que dejo aquí para abrir debate sobre su post:

    – ¿Había cláusula lopedé en la hoja?
    – ¿Se puede pasar lista en voz alta en unas clases o en unas jornadas?
    – ¿Cuál sería el método más adecuado para verificar la asistencia sin incumplir la LOPD?

    Saludos cordiales, a la espera de la siguiente entrega….

    Ad Edictum

    • Luis dice:

      Como siempre, un placer que se deje caer por estos lares…

      No habrá leído Usted en mi intención que mi crítica se base en la “gravedad del incumplimiento”… Ya sabe usted que yo no podría permanecer impasible ante un incumplimiento grave sin cursar la oportuna denuncia ante la Autoridad competente (es broma)…

      Más bien mi intención era resaltar el “detalle” de que en un evento en el que se trata sobre la importancia de la privacidad y del respeto a ese derecho, que le guste más o menos a Usted, nuestra Constitución establece como fundamental, no se tenga en cuenta hasta el más mínimo detalle en un entorno como el que cito en mi entrada (si no en cualquier entorno, por supuesto), pero obviamente es mi opinión personal.

      En relación a las preguntas que me plantea, le diré que no, que las hojas que pasaron a la firma no contenían cláusula de información -o yo no la ví-, y que si la hubieran incluido, el resultado en relación al cumplimiento del artículo 9 de la Ley sobre la adopción de medidas de seguridad hubiera sido el mismo: yo, en ningún caso, tendría porque haber podido acceder al dato DNI de ninguno de los demás asistentes sin su consentimiento, y a mí, desde luego, nadie me lo pidió…

      ¿Que si se puede pasar lista en voz alta en una clase? Pues sí, creo que la Agencia así lo considera al igual que publicar las notas obtenidas, por ejemplo, en un entorno web, pero ojo, porque creo que pone mucha atención a que los datos comunicados no sean excesivos (el dni en voz alta para el control de presencia en un clase desde luego en mi opinión resultaría excesivo para la finalidad de control de presencia que se persigue con tal acción) y que el entorno en el que se produzca dicho acceso a datos, sea cerrado, y en este punto, no sé si se consideraría de igual forma una clase que un evento de estas caracterísiticas…

      Y por último, en cuanto a su tercera pregunta, creo que dejo bien claro que si la organización hubiera seguido en las segunda, tercera y cuarta sesiones el mismo método que empleó en la inaugural, hubiera logrado su finalidad sin que ningún asistente hubiera accedido a datos a los que no tenía porque acceder…

      Me alegro de que espere la siguiente entrega, y le anuncio en primicia que ya casi no queda nada 😉

      Muy buenas noches.

  2. Don Luis, esta lista me recuerda a otra mucho más bonita con la que cuentan muchas empresas con control de acceso a sus instalaciones: te pasan una hoja para que pongas tu nombre y DNI, entre otras cosas, y así puedas ver quién más ha entrado en la empresa antes que tú. Esto mola especialmente cuando a lo que vas es a presentar una oferta de servicios, y ves a tus competidores 🙂
    En fin, aprovechando que el Pisuerga pasa por Valladolid, y sólo por discutir, ¿no crees que el incumplimiento es del deber de secreto, y no de las medidas de seriedad?

    • Luis dice:

      Hola David.

      Antes de contestar a tu pregunta en el comentario, trataré de aclarar el título de mi entrada, ya que como me has indicado en Twitter, no acabas de entender qué pinta la fe en todo esto… Me explicaré pues: La Real Academia de la lengua, define la fe, en su quinta acepción, como “Creencia que se da a algo por la autoridad de quien lo dice o por la fama pública“.

      Pues bien, cuando me encuentro este tipo de cosas en estos entornos “lopedianos”, acabo concluyendo que no nos queda más remedio que creernos esto de la privacidad por “la autoridad” de quien lo dice, no porque ni siquiera el que lo dice se lo crea… A eso me refería en mi título… Espero te quede más claro tanto a tí, como al resto de lectores que hayan tenido las mismas dudas… Gracias por plantearlas.

      En cuanto a si lo que se incumple es el deber de secreto y no el principio de seguridad, pues la verdad es que no, no lo creo, aunque evidentemente podría interpretarse en esa clave, incluso en ambas: no se respetó el principio de seguridad y se quebró el deber de secreto…

      Entiendo que la organización perseguía una finalidad con el tratamiento efectuado: comprobar la asistencia o no asistencia de los inscritos. Y para ello, “diseñó” su procedimiento en el cual, obviamente, resultaba preciso tratar datos.

      En este “diseño de procedimiento” (pasar unas hojas de firma entre los asistentes) podría perfectamente, sin haber incrementado para nada sus costes y “de acuerdo al estado de la tecnología, de la naturaleza de los datos, y los riesgos existentes” haber optado porque, por ejemplo, como contesté al primer comentario y en el propio post (y de hecho hicieron en la primera sesión) el que verificara quien asistía y quien no, fuera personal de la organización y no los propios asistentes…

      Con ello, habrían impedido que se hubiera producido el acceso inconsentido de terceros a datos… es decir, habrían adoptado una medida organizativa que hubiera contribuido a la seguridad del tratamiento… Medida que no adoptaron y es por ello por lo que yo lo que veo, claramente, es la quiebra de este principio de la seguridad de los datos.

      Otra cosa es que la organización hubiera decidido realizar el control de asistencia por este medio que indico (por ejemplo) y que la persona encargada de realizar dicho control hubiera decidido, por su cuenta y riesgo, en vez realizar el check en el modo indicado, colgar la lista en la puerta para que según fueras entrando, te fueras buscando y firmando o hacerla circular en el modo que se hizo… entonces si que vería claro que se quebrado el deber de secreto, en este caso, por parte del encargado de tal tarea…

      Pero cuando el propio responsable de la organización recuerda desde el estrado que no nos olvidemos de firmar en la hoja de control de asistencia, me da la sensación de que estamos claramente ante un fallo de diseño de medidas (repito, organizativas en este caso), ya que el procedimiento se realiza tal y como se diseñó (sin seguridad alguna)… ¿no crees?

      Esa es mi opinión, pero en cualquier caso, enormes gracias por tu lectura y por supuesto, por tu comentario…

      Muy buenos días…

      • El problema es que tu razonamiento lleva a dejar sin contenido el deber de secreto (y alguna que otra obligación más), porque todo puede reconducirse al incumplimiento de medidas de seguridad. En este caso estoy de acuerdo con la Agencia, lo cual no es muy habitual ;), porque este tipo de actuaciones las sanciona por incumplimiento del articulo 10.
        Un saludo.

        • Luis dice:

          Vale David… no me dejas otra que escribir “otro tratado”… Luego os quejaréis Sempere y tú en Twitter 😉

          Mi razonamiento -en tu opinión- deja sin contenido el deber de secreto, y yo podría argumentar que el tuyo (y al parecer el de la Agencia) dejaría sin contenido el de seguridad de los datos, ya que desde luego, lo que finalmente se produce en este caso, es una revelación a terceros de datos sin consentimiento del afectado… Ambas conductas (la de faltar al deber de secreto y la de falta de adopción de medidas de seguridad) se considerarían dentro del régimen sancionador establecido por la LOPD como infracciones graves (art. 44.3 d) y 44.3 h), respectivamente, y por tanto, a ambos tipos serían -hipotéticamente- constitutivos de sanción grave, por lo que tampoco podríamos acudir al argumento que esgrime acertadamente en su comentario María Loza…

          Ahora bien, dentro del poco tiempo que tengo hoy por la mañana, he de reconocer que tu comentario ha despertado mi curiosidad y he acudido al buscador de la AGPD para ver si encontraba algún procedimiento sancionador en el que se hubiera producido una revelación de datos a terceros (por supuesto sin consentimiento de los afectados) por falta de adopción de medidas de seguridad, y sí, creo que sería equiparable a cuando un hospital, por no implementar esas medias técnicas u organizativas, acaba tirando expedientes o historias clínicas al contenedor de la basura, y en ese caso (ver, por ejemplo PS/00698/2010) la Agencia no sanciona la quiebra del deber de secreto, sino la falta de adopción de medidas, entiendo yo que porque “de aquellos barros, vienen estos lodos“… ¿no te parece?

          Así lo argumenta la Agencia en el procedimiento citado (la negrita, al pongo yo):

          No obstante, nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia que la comisión de una implica necesariamente la comisión de la otra. Esto es, si un documento interno que contiene información sobre datos personales sale del ámbito de la entidad responsable de su confidencialidad, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto.
          Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora que señala que “en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”, procede subsumir ambas infracciones en una. Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h) de la LOPD y también un incumplimiento del deber de guardar secreto referido a datos especialmente protegidos, calificado como grave en el artículo 44.3.d) de la misma norma, procede imputar únicamente la infracción del artículo 9 de la LOPD.

          Muy buenos días…

  3. Maria Loza dice:

    Hola!!! Esto es el típico ejemplo de ‘en casa del herrero ..’.
    Desde luego, como comenta Ad Edictum, no es ‘especialmente grave’, pero si estamos en un evento relativo a la privacidad, deberían cuidarse todos los aspectos.
    Creo, como David, que se incumple art 10 y art 9, pero se impondría la sancion más grave.
    A mí lo que màs me llama la atencion es que en ‘saraos’ importantes a los que acuden personal de la AEPD, agencias autonomicas .., no haya cláusula informativa en el formulario de inscripcion por ej, y todos debatiendo sobre el derecho al olvido, cloud computing..cuando las cosas básicas no se cumplen. Lo que decía, en casa del herrero..
    Saludos dominicales

    • Luis dice:

      Gracias Dª María… Como le decía a David, entiendo que de haber adoptado las oportunas medidas organizativas, no se hubiera incumplido el deber de secreto… por tanto con independencia de cual fuera la hipotética sanción que correspondiera imponer para mí el primer incumplimiento (y el que origina cualquier otro) se refiere a falta de medidas organizativas… A ver si va a ser bueno esto del Privacy by design del que se habla en la propuesta de nuevo reglamento…

      En relación a lo que comentas sobre los “saros” (con lo cual no puedo estar más de acuerdo) espera a la segunda entrega (mañana verá la luz 😉

      Muy buen domingo!

Comentar





 
Se informa a los usuarios del portal que con el envío de un comentario, están aceptando de forma implícita la política de privacidad del sitio la cual declaran haber leído y aceptado. No obstante lo anterior, en cumplimiento del artículo 5 de la LOPD, se informa a los usuarios que al pulsar “enviar comentario”, aceptan que el titular del sitio incluya sus datos en un fichero de datos de carácter personal, debidamente inscrito en el RGPD de la AEPD, cuya única finalidad es la gestión y moderación de dichos comentarios y sus posibles respuestas, así como la medición de estadísticas referentes a las visitas de la web. Dichos datos comprenderán los incluidos en el formulario que el usuario rellena así como la dirección IP desde la que accede al sitio. Si no se facilitasen dichos datos por parte del usuario, el titular no podría administrar el comentario, por lo que dicho comentario no podría ser publicado. Así mismo se informa al usuario que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición de acuerdo con el procedimiento incluido en la política de privacidad