Archivo para: Noviembre, 2007

A veces pasa

Nov 21 2007 Publicado por Felix Haro en Protección de datos, Seguridad

Reino UnidoEl Ministro de Economía de UK ha pedido disculpas ante el Parlamento por la pérdida de los datos de 25 millones de beneficiarios de ayudas a familias con hijos menores de 16 años. El responsable del Departamento de Hacienda y Aduanas ha dimitido.

En un principio culparon a un funcionario de bajo rango, que según un portavoz del Ministerio, jamás debiera haber hecho el envío. Para eso existe un grupo de personas que se ocupan de hacer los envíos de datos a otros departamentos, y que conocen y aplican los procedimientos establecidos. Este hombre no utilizó el sistema apropiado (con seguimiento) para hacer el envío de los datos copiados en dos CDs a través de la empresa TNT, y se desconoce el paradero del paquete. Tardó tres semanas en comunicar la pérdida a sus superiores, porque pensaba que simplemente se había retrasado.

Gordon Brown ha pedido también perdón, y ha anunciado una revisión general de todos los procedimientos para proteger la información, y que se dará potestad a la autoridad de protección de datos (Information Comissioner) para que pueda auditar a los organismos públicos sin aviso previo.

El organismo receptor de los CDs, NAO (National Audit Office), se apresuró a declarar había solicitado datos para un seguimiento independiente, pero que nunca había pedido que se incluyeran direcciones, información de las cuentas bancarias o detalles de los padres.

Esto es de traca, como diría mi vecina “Mariajo” mientras se pelea con su nueva aplicación. Los datos de casi la mitad de la población británica por ahí dando vueltas. No quiero ni pensar en esos procedimientos que dicen los ingleses que se ha saltado el funcionario. Si un funcionario “de bajo rango” puede copiar en dos CDs semejante cantidad de datos, no estará muy bien dibujado el sistema.

El jefe ha dimitido. Pero es que a este individuo alguien le habrá dado la orden de copiar semejante cantidad de datos en dos CDs, y enviarlos. Y si no, muy simple: a ver, funcionario, ¿por qué tocas eso?¿entra dentro de tus competencias?¿eres tú el que tiene que hacerlo?… ah, ¿no? ¡Pues no lo toques!

Si le hubieran dado un papelito o una notificación con sus OBLIGACIONES respecto de cómo tratar los datos, y se las hubiera leído, no la habría pifiado. Si hubiera calibrado la responsabilidad que se tiene al manejar “eso” y las consecuencias que tiene el hacerlo mal, se hubiera estado quietecito. Seguro.

He escrito obligaciones con mayúscula porque me gusta la palabreja. Es preciosa. Sin embargo, tengo una colección de afirmaciones de terceros muy variopinta, archivada en una carpeta que llamo “barbaridades LOPD”:

- cómo les vamos a dar a los trabajadores un documento donde pone obligaciones… es violento;

- es que es un término muy militar;

- esto es burocratizar mucho, pero bueno, si es por cubrir expediente y sirve para cumplir la ley…

Pues señores, entre otras cosas es para poner todos los medios posibles para que no ocurran asuntillos de este tipo. Que es muy, muy triste, y no es tan complicado. Luego, cuando pasa, todos huyen de la peste de otra palabra que también adoro, la RESPONSABILIDAD. Nadie quiere saber nada.

Hay que aplicarse el cuento. Ya comenté el año pasado que hay que tener más que ojo con los contratos que se firman con las empresas de paquetería, incluyendo todos los requisitos que menciona el artículo 12 LOPD; realizar los envíos con “tracking”, haciendo constar qué se envía, un emisor y destinatario concretos (personas, sí, con su nombrecito y apellidos, que es que parece que todo el mundo huye de las responsabilidades como de la peste). Y no sólo eso, sino molestarse en comprobar de vez en cuando que eso que hemos escrito en el papel se cumple de verdad. Si no, papel mojado.

Para finalizar: ¿cuántas empresas de paquetería se interesan por cumplir con lo dispuesto en el artículo 12 LOPD?; ¿cuántas empresas que utilizan los servicios de éstas les exigen este cumplimiento? Porque no tenemos que perder de vista que el transporte de un soporte físico que contiene datos de carácter personal es un tratamiento de datos a todos los efectos. Por mi experiencia, ni la quinta parte, ni de unas, ni de otras. Qué lástima.

2 respuestas

La autoridad de protección de datos de UK investiga a Facebook

Nov 20 2007 Publicado por Felix Haro en Empresas, Internet, Protección de datos

FacebookFacebook tiene sus primeros problemas con la autoridad de protección de datos del Reino Unido (Information Commissioner’s Office). Un televidente de Channel4 News, Alan Burlinson, intentó borrar su cuenta, pero se encontró que era imposible. Le estaba permitido desactivarla, pero esta permanece por tiempo indefinido en los servidores de la empresa.

¿Cómo puede comprobarse esto? Pues desactivando la cuenta, y solicitando reingresar más tarde con el mismo usuario y password. Todos los datos volverán a estar accesibles. Si quieres que desaparezcan, tienes que borrarlos todos uno a uno (¡!).

Channel 4 se puso en contacto con Facebook para pedir una explicación, a lo que les contestaron que cumplen con la “Data Protection Act” porque “informan al usuario como ésta requiere sobre qué información se recaba, y se le da control sobre qué información quiere compartir y con quién”. También preguntó a la autoridad de protección de datos, que se comprometió a investigar el caso, e hizo la siguiente declaración:

Mucha gente escribe contenidos en webs de redes sociales sin pensar en las huellas electrónicas que dejan detrás. Es importante que las personas tengan en cuenta esto cuando colocan información on-line. Sin embargo, también es importante que los websites asuman sus responsabilidades. En particular, deberían asegurar que la información personal no se conserva más tiempo del necesario, especialmente cuando la persona titular ya no utiliza esa web.

Estamos hablando del derecho de cancelación del usuario. Me resulta absurdo que el responsable responda que cumple con esta cancelación porque el usuario tiene control sobre los datos que va anotando en su perfil particular, mientras que el pobrecito ha de ir borrándolos uno a uno, dejando vacío su mini-site para que en la web no quede rastro de él. En nuestro ordenamiento bastaría con solicitar la cancelación para que el responsable del fichero tenga que cancelar todos los datos, como ordena el artículo 16 LOPD.

4 respuestas

Facebook y sus anuncios

Nov 19 2007 Publicado por Felix Haro en Empresas, Internet, Protección de datos

FacebookLlevo unos meses prestando especial atención al desarrollo de las llamadas redes sociales (Neurona, Facebook, Xing, LinkedIn…). Resulta muy interesante su modelo de negocio, que está relacionado de modo irremediable con la privacidad. Ya hemos hablado otras veces de lo rentable que es para cualquier empresa disponer de los cientos de miles de perfiles de usuarios registrados, o cuanto menos, poder llegar a ellos tras una buena segmentación. En estos casos,  el mismo usuario  colabora  más aún, puesto que no  se reduce a realizar búsquedas, sino que él mismo  participa de un modo consciente elaborando su propia página personal.

Primero fueron los grandes buscadores. Ahora es el turno de estas redes sociales. Están jugando con que los usuarios valoran más lo que reciben de ellas que su propia privacidad, y aprovechan para incrementar sus beneficios vendiendo una publicidad muy bien dirigida. Un mejor público objetivo es imposible de conseguir.

De nada sirven las llamadas al orden. Recordemos el casi reciente “affaire” Google – UE, donde el G29 preguntó al gigante sobre sus prácticas, y éste le salió por peteneras explicando lo que le dio la gana. La UE no se ha pronunciado desde entonces. También tenemos en España las reuniones de la AEPD con los responsables de privacidad de los grandes buscadores… ¿qué sucederá? Absolutamente nada, todavía esperamos resultados. No harán caso de las peticiones que se les hicieron, y seguirán riéndose de la normativa europea y española.

El día 6 de noviembre, Facebook anunció en su blog una nueva solución publicitaria, los llamados “anuncios sociales” (Facebook Ads). Tienen algo de peculiar que entenderemos con un ejemplo: si compro un billete de avión para ir a Mallorca, mis contactos verán que lo he hecho, junto con un anuncio de la compañía aérea a la que se lo he comprado. Se trata de intentar llevar el “boca a boca” a la web, puesto que siempre es mejor que nos recomiende un amigo cualquier producto.

La idea es muy buena desde el punto de vista del marketing, pero tiene un inconveniente. Facebook no ha pedido permiso a sus usuarios para hacerlo. Que alguien comente a sus amigos que le gusta un producto en particular no significa que esté autorizando a incluir su perfil en un anuncio de la empresa que lo fabrica.

En el aviso legal (privacy) que puede leerse en su página inicial, dice lo siguiente:

We do not provide contact information to third party marketers without your permission. We share your information with third parties only in limited circumstances where we believe such sharing is 1) reasonably necessary to offer the service, 2) legally required or, 3) permitted by you

No damos información de contacto a terceros anunciantes sin tu permiso. Compartimos tu información con terceras partes sólo en limitadas circunstancias donde creemos que tal acto es 1) razonablemente necesario para ofrecer el servicio, 2) legalmente requerida o, 3) permitida por tí

Impresionante. Eso de “creer que es razonablemente necesario para ofrecer el servicio” es lo mejor de todo. Acto seguido pone bastantes ejemplos, pero en ninguno de ellos se hace alusión alguna a los nuevos Facebook Ads.

No tardará en caerles la primera demanda por esto. Tiempo al tiempo con los “yankees”.

Una respuesta

Posts anteriores »