Loomio
Sun 10 Feb 2019

Protección de datos, novedades

FOM
Francisco O M Public Seen by 181

Seguimos atentos la legislación y buenas prácticas en esto que nos atañe mucho.

FOM

Francisco O M Sun 10 Feb 2019

https://maresmadrid.es/evento/todo-lo-que-tienes-que-saber-sobre-el-nuevo-reglamento-general-de-proteccion-de-datos-2/

Acudo al evento, martes seis pasado. Sala de moqueta rosa y tumbonas para nosotros, público. Pocos y cómodos. La ponente Carmen Crespo sin duda sabe de esto. PPS con catorce puntos o pasos.

Novedades en la reciente legislación europea general, LOPD 3.2018. Yo tenía una base de datos registrada en la AEPD. Esto ya no es necesario, tenerla declarada allí. También llama la atención el nuevo concepto de «responsabilidad proactiva»: en el caso de una inspección o requerimiento no sólo hay que demostrar las buenas prácticas y custodia de tus datos, sino demostrarlo. Algo parecido a la inversión de la carga de la prueba, no es que consista en demostrar mi inocencia pero eso me pareció. Demostrar, sí, que somos cuidadosos con todo el hardware [ pinchos, portátiles, ¡cuidado con perderlos!] y software donde haya bases de datos. Debemos tener un registro de actividades y tratamiento.

Antes había tres grados de cuidado: básico, medio y alto. Ahora todos son iguales, aunque contempla los muy sensibles [ menores, salud, religión, orientación afectiva] Menciono que antes la AEPD pedía proteger cualesquiera datos que combinados pudieran revelar la identidad completa de una persona. Novedad: ahora se protege todo, combinable o no.

Otro concepto novedoso: Privacy by design or default. Que la intimidad esté ya diseñada en los códigos informáticos.

Importante: que pidamos sólo los datos necesarios, y no más. Algo propio nuestro: datos sensibles de salud. Se me ocurre ante las personas que anuncian servicios de reiki, masajes, descontracturación, donde podrían inferirse situaciones acerca de lesiones, salud. Ojo con esto.

Pregunta mía: cuando un usuario marca una casilla de “acepto” ¿eso nos vale tanto como una hoja de papel firmada con estilográfica ante notario? Respuesta: sí. Pero si queremos eliminar del todo suspicacias, denuncias incómodas, se puede hacer esto:

―Marca la casilla acepto y eso produce la emisión de un correo electrónico desde nuestro banco hacia esa persona, que nos acaba de dar también sus señas @@

―Al llegarle ese mensaje dice que «Has aceptado nuestras condiciones» y le pedimos que nos lo conteste o reenvíe.

―Al final, poseemos dos documentos, el asentimiento inicial y el cruce de mensajes, con sus respectivas fechas. De modo que a la persona suspicaz y denunciante le va a costar más negar la existencia de su aceptación de condiciones.

Importantísimo, nuestros servidores y lugares donde guardamos los datos. Ojo con la legislación usamericana. Mejor en servidores europeos. Cuiado con el Drive de Google. Hay que hacer con ellos un contrato de encargo de tratamiento.

También importante: los terceros. ¿Quién más tiene acceso a nuestros ficheros? También somos culpables si un informático gestor con acceso nos sale, digamos, poco bueno. Hay que hacer con ellos otro contrato de encargo de tratamiento.

Tríada inevitable al pie de cada página:

Aviso legal | Política de cookies | Privacidad.

Depurar esto bien. ¡Cuidado con Google analytics que recopila cookies!

Que tengamos hecho un análisis de riesgo. Hay un software que lo hace, Analiza. También importante la seudonimización de datos. Ejemplo:

Carpeta A // Carpeta B

Francisco OM hace 0003& // 0003& consiste en reparar objetos.

Si nos roban una carpeta conocen un dato pero no saben del otro.

https://ayudaleyprotecciondatos.es/2017/11/28/analisis-riesgos-proteccion-datos/

Pregunta mía. En nuestros bancos del tiempo llegan a verse las horas [ =riqueza propia ] ajenas. Vale. Esto no es demasiado grave. Yo trabajo con bancos del tiempo, bancos del tiempo en cárceles y además otras monedas sociales.

Anécdotas que se narran. Las dos empleadas de una tienda de ropa despedidas por robar género, pero que fueron grabadas por cámaras no del todo evidentes. Ribetes y ecos.

https://www.libertaddigital.com/espana/2016-03-18/el-constitucional-avala-la-instalacion-de-camaras-para-vigilar-a-los-empleados-1276570197/

http://www.expansion.com/juridico/actualidad-tendencias/2016/03/15/56e866aeca474192218b459b.html
Ya de pie, despidiéndonos. Casos raros que recordamos. La ópera de Versalles: un palco con rejillas para que no se vea desde el público quién hay dentro. Para no tener que hacer saludo oficial al noble o digno visitante extranjero que lo ocupe, para no decidir el pedigrí o estatus comparativo de su protocolo, se le oculta y ya está.

Otra anécdota: la espeluznante intimidad de los datos que ofrece la sección de sucesos de «abecé» en su prolija hemeroteca. Visitad los sucesos por ahí por los años cincuenta o sesenta, quedaréis horrorizadas.

http://hemeroteca.abc.es/nav/Navigate.exe/hemeroteca/madrid/abc/1957/03/01/030.html

Mis disculpas si todo esto lo sabíais ya, yo aquí reinventando la rueda. En unos días reedito o añado. Gracias por vuestra atención.


Añadido. Lo que se proyectó. Merece la pena dedicar atención tranquila. Mínima duda, preguntadme, que lo vi explicado. Gracias.

MN

Maria Nikolopoulou Sat 23 Feb 2019

Muy interesante Francisco, hay cosas que no sabia y merecen tenerlas en cuenta. ¿Te animarías a hacer una quía de buenas prácticas (corta y esquemática) relacionada con el tema?

FOM

Francisco O M Wed 27 Feb 2019

Se me ocurren cuatro cosas, María

Una. ―En nuestras páginas poner claro abajo el trío: aviso legal, política de privacidad [ yo prefiero intimidad, pero bueno, ¡phalse friend! ] y política de cookies, y sus textos redactados con familiaridad, sin lo engolado abstruso típico. Estilo llano para decir: mira, tenemos tus datos para esto, sólo para esto, los gestiona Pepita, los tiene guardados de tal modo, puedes decirle a Pepita que los bla bla bla

Dos.― Hacer como yo hace meses. Reservas un día cinco horas, te vas a un sitio agradable, apagas toda clase de teléfonos, meriendas algo rico y te empantanas en LEER atentamente la legislación. Es infumable, sí, una prosa abyecta, pero HAY que hacerlo. Yo me rodeé de comodidades. Prejuzgaba un mal rato, pero luego lo disfruté, creedme. Buen recuerdo guardo, tanto que me actualizo con gusto.

Tres.― Que tengamos claro quién tiene acceso a nuestras bases de datos protegidas y que mejor que no estén en Google Drive. Si están en un dispositivo nuestro [ pincho USB, portátil ] cuidarlo mucho y conocer su ubicación. Si están en nube servidora tener claro bajo qué legislación. Si algún gestor dimite o se marcha saber que no se lleva datos.

Cuatro, la más fácil.― Que nuestras socias perciban desde su primer contacto con nosotros que van a estar en trato discreto. Que lo parezca y además lo sea, Carmen insistió mucho en la proactividad: que parezca que vamos por delante en todo lo referente a custodia. Que lo parezca y además lo sea.

Bufete Rosales y el texto legal además:

https://www.bufeterosales.es/ojo-al-dato-todas-las-claves-sobre-el-reglamento-europeo-de-proteccion-de-datos/


[ Añadidos...
Me sigo documentando sobre ese base gigante en Utah de la Ene Ese A para guardar todo lo que se va encontrando. Lo cuentan bien Cullen Hoback y James Bamford, tiempo 1:01:10 aquí:

https://www.youtube.com/watch?v=5992zvskJz4
Hora y cuarto de vuestro tiempo que no tenéis.

https://goo.gl/maps/jU8V6pED1uH2

https://jose-barroso.es/la-mujer-del-cesar-ademas-de-serlo-el-origen-de-una-frase-mitica
¡Gracias! ]

FOM

Francisco O M Sat 23 Feb 2019

Gracias.