MONITORIZACIÓN DE CORREOS: ¿POTESTAD DEL EMPRESARIO O VULNERACIÓN DE PRIVACIDAD DEL TRABAJADOR?

Posted by admin on febrero 22, 2011 None comments

A primeros de febrero fuimos sorprendidos con la siguiente noticia: “La Justicia avala que el empresario acceda a los emails de un trabajador”. El caso concreto era el de un trabajador de una empresa que enviaba por correo electrónico información confidencial de la empresa, en un grave caso de competencia desleal hacia la misma.

Como se sabe, la Jurisprudencia en este sentido ha venido decantándose por la determinación de que los accesos del empresario a los ordenadores de los trabajadores no deben ser arbitrarios ni desproporcionados. Deben existir razones fundadas, indicios o sospechas determinantes de conductas desleales o inapropiadas por parte de los trabajadores. Además de lo anterior, el empresario no debe poder verificar sus sospechas de una manera menos intrusiva.

Ahora bien, el hecho de haber informado a los trabajadores de una política de privacidad en la empresa, de usos adecuados de los sistemas de información u otros recursos facilitados por el empresario para la ejecución de las tareas laborales (internet, correo electrónico, teléfono fijo y móvil, o incluso fotocopiadora) y de la posibilidad de monitorización de las sesiones del trabajador, minimizan los riesgos de impacto en la privacidad del trabajador, en tanto en cuanto éste ha sido informado y ha aceptado esa potestad de vigilancia reconocida por el Estatuto de los Trabajadores.

Hay quien incluso obliga a aceptar una ventana emergente en todos y cada uno de los arranques de sesión por parte de los trabajadores, en donde se les informa por ejemplo, de lo siguiente: “El trabajador acepta que la empresa, en cumplimiento del artículo 20.3 del Estatuto de los Trabajadores, adopte las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, que entre otras podrán ser la monitorización de sus equipos y sus conexiones a las redes de telecomunicaciones.”

Todas estas precauciones se han venido tomando en los últimos tiempos como consecuencia de que, con el avance de las nuevas tecnologías, los medios puestos a disposición del trabajador podía darle unas alas tan extensas como para que ocurrieran hechos, tan dispares como tan reales, como los siguientes: pasar horas ocupando ancho de banda de la empresa en la  descarga de contenidos que podrían atentar contra la propiedad intelectual, por no mentar la comisión de delitos de otro tipo, e incluso al contrario, la comunicación de información confidencial de la empresa al exterior, fuera quien fuera el destinatario.

De hecho, y desde un punto de vista más práctico, estas situaciones no solo suponen una pérdida de tiempo laboral abismal, sino también la ocupación de recursos de la empresa, con la consiguiente disminución de rentabilidad en todos los sentidos, amén de los posibles hechos delictivos comentados.

Pues bien, la sentencia de la Audiencia Provincial de Madrid viene a dar un giro a todo esto, precisamente porque se ha entendido que el hecho es sumamente grave en tanto en cuanto afecta a una acto de competencia desleal del trabajador contra la empresa y que el acceso a su ordenador, al que considera un elemento con el que se ejecuta la prestación de trabajo, era una acción necesaria para poder probar el delito cometido por el trabajo. Todo ello, aún a pesar de que la empresa no había establecido previamente políticas de privacidad alguna.

Evidentemente, no todos los casos son así y en cualquier caso, el debate está abierto. Evidentemente las posturas están encontradas y, como en todo, la posición de cada uno determinará el contenido de los argumentos, ya sean a favor del trabajador o del empresario.

Para la resolución definitiva de este caso, habrá que esperar a lo que establezca el Tribunal Supremo.

Y mientras tanto, desde aquí animamos a que las empresas informen a  sus trabajadores de los usos adecuados de los recursos de la empresa, en beneficio de ambos, a través de las correspondientes Políticas de Privacidad o Políticas de Seguridad adecuadas.

LA MEMORIA DE GOOGLE, ANTE LA AUDIENCIA NACIONAL

Posted by admin on enero 31, 2011 None comments

¿Quién no ha sentido curiosidad en alguna ocasión de poner su propio nombre en Google? ¿O estando con amigos, escribir en el buscador el nombre de todos, para ver quién sale más o menos veces?

Y si esa libertad de buscarnos en Internet la lleva a cabo un tercero… ¿sería lo mismo? ¿Y si se trata de nuestro potencial jefe de RRHH, que tras una entrevista laboral decide buscarnos a través del buscador para tratar de verificar que no escondemos ningún recoveco extraño en nuestras vidas?

Parece que todo ello carece de importancia en el caso de que no haya realmente importante que encontrar…

En algún caso, podríamos hallar los datos de una persona que perdió el título de la carrera y debió publicar en el BOE la petición del duplicado, o los datos de una persona que ha escrito una Carta al Director en un medio digital, un perfil en una red social, o comentarios de un blog. Son casos reales.

Pero también lo son otros, no tan simples: la resolución de un despido procedente por un Juzgado de lo Social, una condena por robo o una sanción económica a una persona por orinar en la calle.

Como se ve, estos casos ya no son tan livianos, y podrían dañar y mucho la personalidad de alguien en un situación como la planteada al principio, por ejemplo, la búsqueda de empleo.

Es precisamente en el último de los casos cuando el sujeto afectado se dirigió a la Agencia Española de Protección de Datos, cansado de luchar con Google para conseguir la eliminación de sus datos y de que fuera posible encontrar un hecho acontecido algunos años atrás en Internet, por cualquiera (alumnos, compañeros, amigos) que colocaran su nombre y apellidos en la Red.

Para la AEPD esta solicitud no era novedosa pues anteriormente habían resuelto un caso similar, si bien esta vez el organismo de defensa de la protección de datos contestó que no era posible la eliminación de información de boletines oficiales ya que hay leyes que exigen de su publicación.

Nuestro sujeto afectado decidió dar un giro al planteamiento anterior y proponer su solicitud como un derecho de cancelación a Google, dado que sus motores de búsqueda son los que no paran de aportar la información que le afectaba. La respuesta de Google había sido que aunque borrara la información de sus bases de datos, dado que la información seguiría constando en webs de otros servidores, sus motores la volverían a indexar semanas después.

Pues bien, aunque esto sucedió hace un par de años, y en estos días hemos podido leer en prensa digital una noticia sobre la comparecencia de Google ante la jurisdicción española, por un pleito contra la AEPD.

La Agencia le reclama a la filial española del buscador la cancelación de los datos personales de cinco ciudadanos que habían reclamado a Google el borrado de sus datos en Internet, que anteriormente habían sido publicados en prensa, medios de comunicación o boletines oficiales.

Ha sido la primera vista de este tipo en Europa y desde luego ha tenido gran trascendencia, no sólo por lo novedoso del tema, sino también por la defensa alegada por Google para eludir las posibles sanciones por el incumplimiento de la LOPD y su normativa de desarrollo.

Por un lado, el buscador ha alegado que la jurisdicción española no es competente para enjuiciar esta causa, siendo el motivo en el que funda su alegato el hecho de que el responsable del tratamiento de los datos personales es la compañía americana Google, Inc. sita en Estados Unidos.

Y su segundo argumento es continuar indicando que no son responsables del borrado de la información ya que el buscador se limita a indexar información que recoge de otros prestadores de servicios de Internet, es decir, de todas y cada una de las páginas que están en la red.

No creemos que Google se vaya a salir con la suya con ese intento de evadirse de la aplicación de la ley española, ya que precisamente la LOPD en su ámbito de aplicación establece que la ley se aplicará cuando “Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito”. El Abogado del Estado se ha encargado de recordarle a Google que utiliza cookies, entre otros medios, que le hace responsable del tratamiento.

Respecto de la defensa argumentada de que el buscador se limita a indexar información de los miles de servidores desde la que se capta, y por tanto de hacer recaer la responsabilidad de borrar la información en casa PSSI (prestador de servicios de la sociedad de la información que sube la información), desde nuestro punto de vista no deja de ser cierto que si la información no se borra de la fuente, por mucho que Google borre esa información (cabe la duda de si Google podría hacer algo como un “click” y desactivar la información que se le solicitara) al volver a meter los conceptos en el buscador, dado que no se ha borrado de la fuente, podría volver a salir.

No obstante, entendemos que es una tarea conjunta, es decir, en los casos en los que competa y la ley no determine otra cosa diferente, la fuente podrá borrar la información, pero Google también tendría que borrar sus históricos (su famosa “caché”) para que la eliminación de tal información quede completamente desaparecida.

Hasta la resolución definitiva, esperamos expectantes.

Redes Sociales. PRIVACIDAD vs DISPONIBILIDAD.

Posted by admin on enero 11, 2011 None comments

Por aquí llevan semanas pidiéndome que de mi opinión sobre redes sociales, y la primera excusa que di cuando me lo pidieron fue decir que no soy usuaria, y que tenía que documentarme un poco…. No es totalmente cierto, la verdad sea dicha. Fui usuaria de una red social durante un par de años, tuve perfil propio, tenía algunos amigos, aunque en realidad lo utilizaba poco ya no hacía uso de ninguna funcionalidad tipo muro, etc. Tenía mi foto de perfil  y aunque en una ocasión subí fotos de una boda, las retiré casi inmediatamente, ya que no me inspiraba mucha confianza.

Ese es mi mayor problema con las redes sociales, la falta de confianza en que información muy personal de mi misma pueda ser realmente protegida y no acabe en las Antípodas ya que amigos de los amigos de mis amigos puedan utilizar una foto (mía, de mis amigos, de mis sobrinas, de los hijos de mis amigos) que alguien haya etiquetado previamente y pueda por tanto compartir.

Por eso, un día cualquiera de hace aproximadamente un año decidí darme de baja en la red social. Y la verdad es que me costó: primero, me costó encontrar dónde gestionar esa baja y después me sorprendió la poca efectividad de la baja, ya que se me decía que si en cualquier momento me volvía a logar con mi usuario y contraseña, tendría activado de nuevo el acceso.

Pues bien, para escribir este Blog he decidido probar si aquello que me “proponían” era cierto y para mi sorpresa y alegría a la vez, he introducido el correo electrónico y la contraseña y efectivamente un año después vuelvo a tener el perfil activado en cuestión de unos pocos segundos.

Y digo alegría porque esto me permite tener otro argumento más para escribir sobre la falta de garantías de privacidad en las redes sociales y así no achantarme ante los que me dicen que soy excesivamente proteccionista en este tema.

A su favor, tengo que decir que se me ha solicitado una nueva configuración de mi privacidad, quitando la posibilidad de que amigos de mis amigos puedan acceder a determinada información, lo que no evita que no se puedan ver imágenes que hayan sido etiquetadas por mis amigos.

Este es una de los grandes riesgos de las redes sociales, es decir, la gran cantidad de información que se maneja, el gigantesco entramado de relaciones e interacciones que se pueden llegar a dar y la asunción plena por parte de los usuarios de la existencia de estas circunstancias, por tanto quien acepta sabe a lo que está expuesto, aunque mis dudas tengo a veces de que en realidad se sea consciente de toda la información que se puede manejar y lo lejos que puede llegar.

Y a la vez todo lo de antes también se convierte en una de las grandes contradicciones de las redes sociales ya que la disponibilidad de la información, las miles de interacciones, la puesta a disposición de contactos, etc, es el gran logro de muchos para el día a día de Internet.

Lo cierto es que hoy en día si no estás en una red social de las que están tan en boca, parece que no eres nadie, que no estás en este mundo y muchas veces yo me pregunto si todos los que están (estáis) en redes sociales son (sois) verdaderamente conscientes de lo cercanos que sois a todo el mundo en realidad.

Y en cualquier caso, lo que nunca podré controlar será lo que terceros puedan hacer accesible por sí mismos, y que me afecte a mí, salvo si pido amablemente que no se suban fotos u otros con mi imagen y me hacen caso, claro está. El problema es que no todo el mundo me hará caso siempre.

Por otro lado, si se tiene en cuenta que no para todas las redes sociales rige la normativa española a efectos de responsabilidad, la inseguridad jurídica se antoja más grande de lo que en un principio podríamos imaginar, a pesar de los intentos de las redes sociales no españolas por adaptarse a nuestra norma, por ejemplo, exigiendo el registro de mayores de 14 años y no de 13, como anteriormente solicitaban.

Como ya sabemos, la protección de datos personales que rige en España es proteccionista y garantista donde las haya, y en ocasiones, excesiva, aunque este es tema para otro Blog.

El gran problema que tienen las redes sociales en este país es que se enfrentan a nuestra normativa de protección de datos y provocan situaciones que, a priori, tienen una complicada solución.

Funcionalidades que permiten el intercambio de información (poniendo el ejemplo de Facebook, como las del Muro, FB Connect o Facebook Apps) se enfrentan a grandes contradicciones como dilucidar si existe tratamiento de datos y por tanto responsables de ficheros, cesión de datos informada y/o consentidas o incluso prestaciones de servicios que implicarían transferencia internacional de datos, con lo que todo esto conlleva a efectos de cumplimiento normativo.

Si además tenemos en cuenta que la cancelación de los datos de los usuarios no se respeta, es decir, mi perfil nunca llega a ser borrado, simplemente es bloqueado a efectos internos pero puede permanecer para futuros cambios de opinión, el cumplimiento de la normativa de protección de datos es completamente eludido por los responsables de estos ficheros que tantos y tantos datos personales manejan, de todo tipo de perfiles de usuarios (y pienso sobre todo en menores de edad).

Lo que está claro es que las redes sociales son el ejemplo más claro de los avances de Internet en nuestra sociedad, de que la era de la libertad de la información ha dado paso a la necesidad de imponer algo de seguridad ya que una red social puede convertirse en un instrumento claro para alcanzar cierto libertinaje.

Eso sí, aún estando de baja, tengo que confesar que ahora aprovecho las redes sociales de otros para curiosear un poco… espero que de esto no se entere nadie, por favor!

Carta a SS.MM. los Reyes Magos: más protección para nuestros datos.

Posted by admin on diciembre 18, 2010 None comments

Con esto de que se acercan las Navidades y que los más pequeños han escrito ya sus cartas a los Reyes Magos, la Comisión Europea no quiere ser menos y ya ha hecho pública su petición para 2011: se deben  reforzar las normas de protección de datos en la Unión Europea y para el año que viene se ha propuesto tener lista una nueva estrategia para garantizar el derecho a la protección de datos.

La cuestión estriba en que hoy en día podemos estar enviando flores por Internet, haciendo una transferencia bancaria, o dándonos de alta en una red social, lo que lleva implícito expresamente que tengamos que aportar toda una serie de datos personales con la única certeza de que los mismo viajan “libremente” por Internet, pero sin ninguna seguridad de quien los recibe, cómo se tratan, si se comunican o no posteriormente, o qué uso o medidas de seguridad se les va a aplicar a esos datos aportados.

El debate sobre el hecho de que el uso de las nuevas tecnologías permite un gran tráfico de datos personales que a veces se nos puede ir de las manos, es ciertamente antiguo y como las autoridades europeas quieren promover un uso seguro de esas nuevas tecnologías a la vez que garantizar la confianza de los usuarios (no hay uno sin la otra y viceversa), ha decidido dar un impulso a través de nuevas normas reguladoras.

Como se sabe, el derecho a la protección de datos personales está expresamente reconocido en el artículo 8 de la Carta de Derechos Fundamentales de la UE y en el Tratado de Lisboa. El  marco normativo actual se basa en la Directiva de protección de datos 95/46/CE, completada por ejemplo con la Directiva sobre la privacidad y las comunicaciones electrónicas, así como por otras normas específicas para la protección de los datos personales en la cooperación policial y judicial en materia penal (Decisión marco 2008/977/JAI). Durante 2009 y 2010, los trabajos para modernizar las normas han sido varios, los cuales derivarán en una nueva propuesta legislativa en 2011.

Las nuevas normas reguladoras, al menos de momento, se traducen en una modernización de la Directiva actual para garantizar la intimidad de los consumidores y usuarios que debe ser compatible con la libre circulación de datos por la Unión Europea.

Uno de los temas que se regularán es ese “derecho al olvido” que podemos tener todos cuando naveguemos por Internet y veamos, como ocurre a veces, nuestro nombre y apellidos en una página web en la que se publicó hace tiempo.

Si esta publicación se refiere, por ejemplo, a una donación que se hizo a una ONG en un momento de necesidad, pongamos el terremoto de Haití, parece menos gravoso que una multa publicada por un exceso ce velocidad o incluso una noticia que un medio de comunicación hizo pública sobre una presunta participación en un delito del que posteriormente fuimos absueltos por sentencia firme.

No cabe duda de que Internet tiene memoria y además la Red hace muy patente esa memoria y en ocasiones puede ser perjudicial para el afectado, cuestión que la futura norma buscará depurar a través del derecho a ser olvidados.

La nueva norma, por tanto, reforzará los derechos de las personas a la vez que se garantiza la libre circulación de datos en el territorio de la Unión, además de aminorar los trámites burocráticos para las empresas en su cumplimiento.

Con el fin de tener en cuenta todas las posturas, la Comisión Europea ha abierto periodo de consultas, hasta el 15 de enero de 2011.

Durante este tiempo todos podemos aportar nuestras ideas ya que además es posible registrar nuestra contribución a través del sitio web de la Comisión. Terminado el periodo de consultas, la Comisión presentará propuestas para un nuevo marco legal de protección de datos en 2011, que a continuación deberá ser negociado y adoptado por el Parlamento Europeo y el Consejo.

Desde aquí te animamos a participar, dirigiéndote a http://ec.europa.eu/justice/news/consulting_public/news_consulting_0006_en.htm.

¡Todos contamos!

CDPP, CISA, CISM, Lead Auditor, …, y el resto de certificaciones

Posted by admin on noviembre 28, 2010 None comments

Hace unas semanas asistí a un evento sobre seguridad de la información, y en la última mesa redonda, los nombres de los cuatro ponentes iban precedidos de unas siglas que a priori casi nadie entendía… Cada nombre y apellido llevaba delante la denominación “CDPP”, a lo que el moderador de la mesa explicó que se trataba de la certificación “Certificied Data Privacy Profesional” que acredita al profesional como experto en protección de datos y privacidad. De aquella sesión, saqué algunas conclusiones prioritarias.

Parece que en el momento en el que nos encontramos, está “muy de moda” ser CISA, CISM, LA ISO 27001, CISSP, CIA, y más recientemente CDPP, que es en concreto la que me implica. En general, esas siglas (incomprensibles para el que desconoce el mundillo) tienen detrás algo más que una definición en inglés ya que, tanto a nivel práctico como teórico, define unos conocimientos, así como una experiencia que diferencia al que la posee, que da credibilidad al que la acredita y, en contrapartida, que proporciona garantías a la empresa que contrata los servicios del consultor/auditor responsable de ejecutar los mismos. Esas siglas no sólo son un adorno al nombre y apellidos del profesional, casi es una obligatoriedad si se desea conseguir un buen resultado en el trabajo contratado.

En cuanto a la recién creada CDPP, no en vano, para conseguirla se exige un examen sobre muy diferentes aspectos que van desde los fundamentos de la protección de datos, el marco normativo general y sectorial tanto en España, como a nivel internacional, así como aspectos más técnicos en materia de seguridad, además de poder acreditar, al menos, tres años de experiencia en el sector. Para los profesionales que puedan reunir ciertos requisitos previos (formación específica con postgrado en la materia, experiencia profesional tanto a nivel de consultor, como auditor, como formación de, al menos, seis años, participación con artículos en medios de divulgación) obtener la certificación también resulta un proceso arduo de análisis, revisión y aprobación por un comité examinador.

Por otro lado, hay que aclarar que no existe en nuestro país ninguna obligatoriedad de que quien efectúe una serie de servicios en materia de protección de datos, como consultoría o auditoría, disponga de una formación adecuada y veraz en la materia, ni que se deba acreditar experiencia anterior, a pesar de que esto es precisamente lo que va dotando de cierta garantía y seriedad al servicio. Como consecuencia de lo anterior, no deja de ser infrecuente, y más en los tiempos que corren, que todo tipo de profesionales y no profesionales, lean la normativa y se dispongan a trasladarla sin más garantías que la de la aplicación literal de una norma que tiene sus recovecos, lagunas e interpretaciones profundas.

El propio Reglamento de Desarrollo de la Ley Orgánica de Protección De Datos perdió una oportunidad única de regular la profesión, cuando en su artículo 96, indica que la auditoría bianual (obligatoria para los responsables de ficheros de nivel medio y alto) podrá ser efectuada de forma interna o externa. Si en este punto, el RLOPD hubiera detallado algo más los requisitos exigibles para quienes externamente están habilitados en tal tarea, la seguridad del servicio estaría más que acreditada.

Hasta entonces, los responsables de fichero que quieran asegurarse un cumplimiento íntegro y no literal de la normativa, deberán confiar sus servicios a profesionales lo suficientemente cualificados, que en sus tarjetas de visita puedan (y deban) hacer visibles las siglas que les acrediten, y no otros.

Dicho esto, solo quedar por decir que nosotros somos también CDPP (entre otras!).

Planes de continuidad y la realidad.

Posted by admin on noviembre 13, 2010 None comments

INTECO ha publicado hace un par de semanas una guía sobre cómo implantar un plan de continuidad de negocio en PYMES. Son 80 páginas, muy prácticas, donde se abordan todos los aspectos necesarios para poder implantar  y mantener un PCN que nos de la tranquilidad y seguridad de que nuestra empresa está preparada para hacer frente a incidentes que en un momento dado pueden ser tan sencillos como un pico de tensión que nos estropea equipos y servidores. No hace falta pensar en robos, incendios, terremotos o inundaciones (ni en aviones que se caen).

Que nos ocurra un incidente que afecte a la disponibilidad de nuestros servicios es mucho más fácil de lo que parece. Pensemos en una empresa que vende ropa. Obviamente su activo más valioso es la ropa, y para venderla depende directamente de tener dicha ropa, tener gente que la venda y tener una oficina donde ubicar ropa y gente. ¿Qué pasa si esa empresa pierde los datos de facturación y contabilidad?, obviamente no peligraría la empresa, pero se necesitarían días, o incluso semanas de trabajo, para volver a la normalidad. Con lo sencillo que es hacer copias de seguridad (poco más habría que hacer para tener continuidad de negocio).

Ahora pensemos en un despacho de abogados, una inmobiliaria, una tienda de informática, un pequeño supermercado; en definitiva, cualquier empresa que tenga una infraestructura informática con varios equipos y algún servidor, donde tiene toda la información de clientes y proveedores, estado de sus proyectos/productos/servicios/lo_que_venda. Para esa empresa, un simple pico de tensión un día de tormenta, o la avería del disco duro del servidor puede ser una incidencia que le haga perder en primer lugar muchísima información muy valiosa, en segundo lugar imagen, y en tercer lugar ventas y clientes.

Piense ahora mismo en su propia empresa: ¿qué pasaría si perdiese la información que tiene alojada en sus equipos?. Si además su empresa tiene cierto volumen de equipos y servidores, piense los días que tardará en volver a la normalidad la actividad…en fin, queda bastante claro.

¿Cómo solucionarlo?,  como digo, no hace falta invertir grandes cantidades de dinero, con el simple hecho de embarcarse en un proyecto interno de continuidad de negocio usted podrá dormir tranquilo por las noches, sabiendo que todo está preparado y planificado y que todo aquello necesario para minimizar el impacto del incidente también lo tendrá controlado. Medidas típicas son backups de toda la información, backups de los servidores, planificar la implantación de una nueva infraestructura de los sistemas y algunos formalismos que no vienen al caso pero que son muy útiles.

Cloud Computing y La Protección de Datos

Posted by admin on noviembre 5, 2010 None comments

Recuerdo que la primera vez que oí hablar del “cloud computing” estaba reunida en un cliente con su alta dirección en materia de sistemas de información, y como el tema se trataba de soslayo, lo apunté en la esquina de mi cuaderno y cuando regresé a la oficina, busqué la definición en Internet para saber más sobre el tema. Así es como comencé a familiarizarme con un término que tiene tanta incidencia en la protección de datos de carácter personal, aunque en ese momento yo aún solo podía pensar a grandes rasgos.

En pocas palabras, “cloud computing” es la práctica de “colgar” en Internet una serie de servicios, prestaciones consistentes en alojamiento de aplicaciones, sistemas, archivos, etc en la propia Internet. Lo que hasta ahora se alojaba en servidores ajenos, de las empresas de hosting o de housing que nos proporcionaban sus sistemas y que tenían sus instalaciones fuera de la ubicación del cliente, se ha convertido en un fenómeno cada vez más habitual y que se conoce como la contratación de servicios “en la nube”.

La diferencia es que contratar estos servicios a proveedores externos localizados, suponía cierta seguridad sobre dónde estaban sus oficinas, sus servidores y, por ende, la información alojada y tratada por ese tercero.  En estas circunstancias se pueden firmar contratos que garanticen las obligaciones de las partes, y cumplir así el artículo 12 de la Ley Orgánica de Protección de Datos que requiere que responsable del fichero y encargado del tratamiento regulen sus relaciones en cuanto al acceso a datos personales que se produce para poder hacer efectiva la prestación de servicios.

Y algo más: con la prestación de servicios “local”, se conoce si el prestador está, al menos, en el mismo país que el cliente. A efectos de la normativa de protección de datos, es fundamental tener claro este aspecto, puesto que ello determinará la existencia o no de una transferencia internacional de datos personales, cuya legitimación es bastante complicada a efectos burocráticos, si se realiza fuera de los países admitidos por la Agencia Española de Protección de Datos. Una comunicación de datos a empresas o personas que no estén ubicadas en el territorio de la Unión Europea, Suiza, Argentina, Guernsey, Isla de Man, Jersey, Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos y las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), necesitará que el mismo Director de la Agencia de su aprobación a la transferencia internacional.

Este punto, que ya es complicado efectuar cuando se sabe con certeza si la prestación de servicios o comunicación de datos se efectúa con transferencia internacional, por las formalidades que ha que seguir, se complican en cierta manera cuando el fenómeno del “cloud computing” entra en juego. Preguntas como: ¿dónde está la información?, ¿está siempre en el mismo sitio?, ¿está toda en el mismo sitio?, ¿qué medidas de seguridad deben aplicarse?, ¿qué normativa se ha de aplicar?… no dejan de sucederse y hacen que la aplicación de la LOPD llegue a su máxima expresión, mientras que el día a día será el que nos vaya determinando cómo conjugar las necesidades de la técnica a día de hoy con la obligación de cumplir con las leyes que nos aplican en cada momento.

Audisec Consigue la Triple Certificación en ISO 27001, ISO 20000 y BS 25999

Posted by admin on agosto 26, 2010 None comments

AudiSec, Seguridad de la Información S.L. ha obtenido la certificación en las normas ISO 20000 (gestión de servicios TI) y BS 25999 (gestión de la continuidad de negocio), además de haber pasado con éxito la auditoria de seguimiento de la ISO 27001 (gestión de la seguridad de la información).

Desde Audisec Seguridad de la Información se ha optado por la integración de los tres sistemas en uno, optimizando procesos y costes, haciendo más competitiva a la compañia y creando un producto novedoso del que AudiSec Seguridad de la Información puede presumir.

Con este gran logro, AudiSec Seguridad de la Información S.L. se convierte en la primera empresa española en obtener esta triple certificación, dejando clara muestra de la apuesta que desde dentro de la organización se hace por la innovación y la mejora continua.

En cuanto a la auditoria, realizada por SGS, destacar que se hizo de manera integrada, siendo también innovadores en este aspecto y reduciendo nuevamente los costes y el trabajo interno.

Como factor competitivo para abordar con éxito este ambicioso proyecto se ha contado con la Suite de Herramientas Global, desarrolladas por Audisec Seguridad de la Información S.L.: GlobalSGSI, Global20000 y GlobalContinuity, integradas para poder gestionar el sistema como uno solo.

Gracias a las Herramientas Global se han podido reducir plazos de ejecución y optimizar la implantación de los procesos y medidas de seguridad y continuidad, ya que al contar con un entorno integrado donde realizar el proyecto las tareas han sido mucho más sencillas de realizar y posterormente de aprovechar por parte de todos los usuarios del sistema. Además, al tratarse de herramientas web, la mayoria de los trabajos se han podido ejecutar de forma paralela por todos los componentes del grupo de trabajo, ahorrando más del 60% del tiempo de implantación.

Se incrementan en un 75% las denuncias ante la AEPD

Posted by admin on julio 1, 2010 None comments

Como se demuestra con esta noticia, cada vez va más en serio la protección de datos de carácter personal, es decir, nuestros datos, los datos de las personas.

Muchas veces se cuestiona la utilidad de esta ley, que realmente en ocasiones se queda en papel mojado, pero…¿qué pasaría si hubiese manga ancha para hacer cualquier cosa con nuestros datos?, mejor es no pensarlo…

La fuente de la noticia, vía “Tecnologiapyme

Artículos sobre el Esquema Nacional de Seguridad (ENS)

Posted by admin on junio 24, 2010 None comments

Os dejamos aquí cuatro artículos de Alejandro Delgado, director de proyectos de Audisec,  hablando de forma muy amena sobre el Esqueman Nacional de seguridad.

Dichos artículos han sido publicados en la revista de la fundación DINTEL, un referente del sector.

http://www.revistadintel.es/Revista/Numeros/Numero2/Normas/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero3/Normas/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero5/Seguridad/ENS/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero6/Normas/delgado.pdf

Esperemos que os gusten.

ACTUALIZADO: tenemos un nuevo artículo sobre las medidas de seguridad del ENS, bastante práctico.