El Perfilado de usuarios y la privacidad

Download PDF

El Modelado de Usuarios o Perfilado de usuarios es un proceso mediante el cual una máquina, entendiendo por una máquina a un ordenador o a un software, adquiere un conocimiento sobre el usuario o persona que la maneja, de forma que el servicio o funcionalidad que le aporta es de una personalización mucho mayor y se adaptada a su comportamiento, gustos, intereses, etc.

Esta adquisición de conocimiento sobre el usuario pasa por guardar datos sobre el mismo y trabajar con estos mismos datos para definir un perfil de comportamiento, gusto o intencionalidad asociada a él, que le  permite entender a la máquina cuales son los intereses de esa persona y predecir así, en cierta medida, su comportamiento. En las páginas web, por ejemplo, la información se suele obtener por medio de las Cookies, que son mini programas que guardan registros sobre la actividad de los usuarios en la misma página web desde la que se descargan y en algunos casos por toda la red. Ejemplos de algunos datos que son de interés para el perfilado de usuarios podrían ser las páginas que el usuario ha visitado antes de llegar a la nuestra, las que visita después de salir de la nuestra, su historial de navegación del que se puede obtener cuales son las páginas más visitadas, en caso de ser una página en la que se venden productos, cuales son los productos que ha comprado, cuales ha añadido a la lista de deseados, etc.

Con toda esta información, la máquina es capaz de definir un perfil de actuación. puesto que sabemos de dónde viene (páginas visitadas antes que la nuestra), a donde va (las que visita al salir), que compra, que tiene pensado comprar y todo lo contrario, que no compra, que no le interesa. Empresas como Amazon emplean esta información para hacer sugerencias sobre productos a los usuarios, pero no solo Amazon, agencias de viaje, de renting, localizadores de hostales u hoteles también emplean este tipo de tecnologías puesto que en última instancia lo que se consigue es ofrecer productos personalizados a los usuarios de manera automática, sin necesidad de que estos realicen cuestionarios o se le pregunte directamente.

Con estas tecnologías se ha conseguido aumentar la productividad de este tipo de negocios de una forma exponencial, pero esto tiene un coste, la privacidad. Este último año (2018) ha entrado en vigor la nueva ley de protección de datos la RGPD, pero han pasado muchos años antes de su llegada, tiempo en el que la información de los usuarios se obtenía en muchos casos sin su consentimiento, lo que hoy en día es un delito que ayer ni se contemplaba. El nivel de intromisión en muchos casos ha sido enorme, no solo empleando la información obtenida para personalizar un servicio, si no vendiendo esa misma información a terceros, con lo que se crea un mercado de información sobre los usuarios muy valioso para las empresas, mercado del que los usuarios no obtienen ningún tipo de beneficio, con lo que en cierta o total medida se les, o mejor dicho, se nos ha estado robando.

Según la forma de analizar la información obtenida, existen varios patrones de modelos de usuario, aunque generalmente se emplea una combinación de los mismos para definir los perfiles.

 

  • Modelo de Usuarios Estático: Son el tipo más básico. Una vez los datos principales han sido recopilados, normalmente no cambian, son estáticos. Los cambios en las preferencias de los usuarios no son registrados, y no se aplican algoritmos de aprendizaje para alterar el modelo.
  • Modelo de Usuarios Dinámico: Los modelos de usuario dinámicos permiten una representación de los usuarios más actualizada. Cambios en sus intereses, su proceso de aprendizaje o sus interacciones con el sistema son registrados y ejercen influencia sobre los modelos del usuario. Los modelos pueden además ser actualizados y tienen en cuenta las necesidades y objetivos del usuario al que siguen.
  • Modelo de Usuarios basados en estereotipos: Están basados en estadísticas demográficas. Los usuarios son clasificados en diferentes estereotipos o tópicos basados a su vez en la información recopilada, entonces el sistema se adapta a este estereotipo. Por lo tanto, la aplicación puede adaptarse al usuario aunque no haya datos sobre un área concreta. Esto es así, porque los estudios demográficos han mostrado que otros usuarios englobados en el mismo estereotipo poseen características semejantes. Como consecuencia, los modelos basados en estereotipos se centran principalmente en estadísticas y no toman en cuenta los atributos personales que podrían no encajar en el estereotipo. Sin embargo, permiten hacer predicciones sobre un usuario aunque haya poca información del mismo.
  • Modelos de Usuario altamente adaptativos: Intentan representar a un usuario particular y por lo tanto, permitir una gran adaptación del sistema. A diferencia de los modelos basados en estereotipos, no se basan en estadísticas demográficas, sino que intentan encontrar una solución específica para cada usuario. A pesar de que los usuarios pueden obtener un gran beneficio de estos sistemas, este tipo de modelos requieren recopilar una gran cantidad de información primero.

 

A modo de conclusión, insistir en la idea de que aunque ciertamente este tipo de software consigue un aumento de la productividad de las páginas en las que se emplea y que permiten obtener un modelo de negocio mucho más personalizado y adaptado a cada uno de los usuarios, tiene un lado peligroso y es la violación de la privacidad. Privacidad que a día de hoy está mucho más segura gracias a la nueva ley de protección de datos, pero que aún con ella no se garantiza la seguridad de nuestra privacidad en la red en el 100% de los casos.

Espero que este post haya servido para acercaros a un realidad y un modelo de software que yo personalmente encuentro muy interesante y al mismo tiempo alertar de una realidad que es la de la violación de la privacidad en la red, que es un tema del que se va a hablar mucho en los próximos años.

Hasta la próxima!

 

Bibliografía

 

¿Datos e información son lo mismo?

Download PDF

Tratando el temario de los sistemas de información algunas de las primeras dudas que nos pueden surgir serían: ¿Cuál es la diferencia exacta entre dato e información?¿Existe realmente una diferencia o es cuestión de terminología? En caso de existir una diferencia ¿Donde empieza una y termina la otra?

En este post trataré de responder a todas estas preguntas que aunque a primera vista son muy simples de responder, tienen una especial relevancia de cara a ás tarde transformar esta información en conocimiento.

Vamos a empezar por lo más sencillo, las definiciones, ¿Qué es un Dato? Un dato no es otra cosa que una representación simbólica de alguna situación o suceso, sin ningún sentido semántico, describiendo un hecho concreto. O lo que es lo mismo, sin transmitir mensaje ninguno, un ejemplo de dato podría ser una letra o un hecho.

¿Qué es entonces una información? La información se define como un conjunto de datos los cuales son adecuadamente procesados, para que de esta manera, puedan proveer un mensaje que contribuya a la toma de decisiones a la hora de resolver un problema o afrontar una situación cualquiera en la que se requiera de la toma de decisiones de cualquier tipo.

Si un individuo posee mucha información sobre un tema podemos decir que ha adquirido un conocimiento sobre ese ámbito. Llegados a este punto nos enfrentamos a un nuevo término el conocimiento. El conocimiento es el conjunto de hechos e información adquiridos por una persona a través de experiencias, la educación recibida y/o la compresión teórica o práctica de un asunto referente a la realidad.

El conocimiento es lo más valioso para las empresas en esta cadena de datos-información-conocimiento, hasta el punto de que numerosos pensadores a lo largo de la historia han tratado este tema, más concretamente formas de adquirir, transmitir y mantener el conocimiento, a este proceso se le denomina Gestión del conocimiento.

A continuación hablaremos de algunos autores y sus aportaciones sobre la gestión del conocimiento.

 

Michael Polanyi

Fue un erudito húngaro que trabajó en numerosas disciplinas como la economía, la filosofía o la fisicoquímica. Fue el primero en separar entre diferentes tipos de conocimiento, más concretamente creó dos categorías:

  • Conocimiento Tácito: Hace referencia a ese conocimiento que es difícil de expresar y de transmitir, suelen ser acciones que realizamos de forma mecánica sin darnos cuenta o que tenemos tan interiorizadas que es difícil transmitirlas. Un ejemplo sería la intuición de un profesional en su campo.
  • Conocimiento Explícito: Conocimiento fácil de transmitir y de expresar, hace referencia al cómo hacer, un ejemplo de este tipo de conocimiento sería la forma más óptima de arreglar un motor o buscar una avería en un motor, explicado por un mecánico profesional.

 

Ikujiro Nonaka y Hirotaka Takeuchi

Autores japoneses que desarrollaron el tema de la creación de conocimiento, así como los conceptos introducidos por Polanyi, el conocimiento Tácito y Explícito. Su proceso de creación de conocimiento es descrito como la interacción del conocimiento tácito y explícito dentro de un marco organizacional y temporal, lo que quiere decir que se entiende dentro de un contexto jerarquizado o esquematizado que responde a un orden y que además es dependiente del tiempo.

Ambos autores hacen una distinción entre el concepto de creación de conocimiento entre occidente, el cual está asociado a un concepto de desarrollo dentro de un marco de trabajo estático orientado a objetivos, y Japón, donde la propuesta que ellos plantean está definida por técnicas dinámicas. Estas técnicas están orientadas a desarrollar todo lo que para ambos autores tiene sentido en conocimiento desde tres prismas diferentes, el epistemológico, el ontológico y el tiempo. La forma en la que la creación del crecimiento se desarrolla o evoluciona, recibe el nombre de Espiral del Conocimiento, ya que según ambos autores se desarrolla de forma cíclica y dinámica. El incremento de conocimiento se lleva a cabo a través de cuatro procesos la socialización, la exteriorización, la interiorización y la combinación.

1- Tácito-Tácito (Socialización): Procesos “Brainstorming” o lluvia de ideas.

2- Explícito-Explícito (Combinación): Conversaciones telefónicas, reuniones, correos, etc…

3- Tácito-Explícito (Exteriorización): Convertir conocimiento tácito en explícito, es el proceso esencial en la creación de conocimiento.

4- Explícito-Tácito (Interiorización): Modelos mentales compartidos o prácticas de trabajo.

 

Thomas Davenport

Uno de los autores más influyentes en el desarrollo de la gestión del conocimiento. Se centró en una visión práctica de la gestión del conocimiento, que se puede destacar en su obra más célebre, “Working Knowledge”, obra que escribió junto con Laurence Prusak. En esta obra se destaca la relevancia que supone la diferencia entre datos, información y conocimiento, mostrando cómo se produce el paso de datos a información y de información a conocimiento, mediante un mecanismo que aporta valor a las diferentes partes y hace que se desarrollen.

También tiene en cuenta el impacto de las corrientes económicas en la gestión del conocimiento, como pueden ser la globalización, la convergencia de productos y servicios o el cambio organizacional. La obra de Davenport está influenciada en gran medida por Drucker, dando gran importancia al papel que juegan las personas en contraposición con la enorme relevancia que algunos conceden al papel de la tecnología. Este hecho no hace que Davenport reste importancia a la tecnología, ya que lo entiende como un factor esencial e indispensable, si no que más bien define ambos aspectos de forma que se complementen.

El enfoque empresarial de Davenport, viene respaldado por experiencias concretas sobre gestión del conocimiento en grandes empresas como Chrysler, Coca Cola o British Petroleum.

 

Espero que haya sido de ayuda y hasta la próxima!

 

Bibliografía

https://es.wikipedia.org/wiki/Gesti%C3%B3n_del_conocimiento

http://culturacion.com/cual-es-la-diferencia-entre-dato-e-informacion/

https://www.recursohumano.cl/single-post/2016/04/20/Gesti%C3%B3n-del-conocimiento-Thomas-Davenport-y-Laurence-Prusak

http://gestiondelconocimientoelectivaiv.blogspot.com/2013/05/gestion-del-conocimiento-4-autores-y.html

https://www.teamlabs.es/es/blog-teamlabs/la-espiral-del-conocimiento-una-clave-de-las-empresas-innovadoras

https://es.wikipedia.org/wiki/Dato

https://es.wikipedia.org/wiki/Información

La privacidad de los datos en el futuro

Download PDF

En este último post hablaremos de la perspectiva de futuro de la privacidad de
los datos. Con la llegada dela RGPD y el cambio a esta desde la LOPD. Las
empresas han tenido un periodo de dos años desde el2016 para adaptarse a la
nueva ley, pues bien, se estima que casi el 70% de las empresas españolas no
cumple con la nueva ley a día de hoy. [1]
Este dato es especialmente llamativo puesto que la antigua ley de protección
de datos española, la antigua LOPD, era una de las más restrictivas de europa,
si no la más restrictiva, con lo cual el cambio a la RGPD debería haber sido
más sencillo.

Esto nos hace plantearnos:
¿Cómo está el resto de Europa si en España el 70% no cumple?
Pues bien, se estima que en Europa un 85% de las empresas no cumple con la
RGPD [2], esta cifra es alarmante puesto que hace ya meses que superamos el
plazo permitido para adaptarse a la misma. Esto no solo quiere decir que no se
cumple con la normativa actual y que se arriesgan a sanciones, tal y como
hemos visto en los post anteriores, que podrían ser millonarias. Es más grave
puesto que implica que la mayoría de empresas que trabajan en la Unión
Europea o con datos de ciudadanos europeos no cumplen con los estándares
de seguridad, esto es, no garantizan la privacidad de los datos.
Pensando entonces en el futuro, me vino la duda: ¿Queda por venir
próximamente alguna otra ley o normativa que fortalezca la seguridad y
privacidad de los datos?
La respuesta es sí, en un tiempo aún por determinar se espera que se integre
un nuevo reglamento conocido como ePrivacy[3].
¿En que consiste ePrivacy?
El 10 de enero del pasado año 2017 se propuso en el parlamento europeo un
nuevo reglamento sobre la privacidad y las comunicaciones electrónicas, con el
objetivo de actualizar las normas actuales para adaptarlas en consonancia con
las nuevas tecnologías y la RGPD.
Lo más relevante de este nuevo reglamento es que en el caso de ser
aprobado, obligará a las empresas a ofrecer sus servicios de comunicaciones a
los usuarios independientemente de si aceptan o no que se recopilen sus
datos. Esto afecta directamente por ejemplo a muchos sitios web que requieren
de que para emplear sus servicios aceptes las cookies que la propia página
ofrece al acceder a ella.
Esta novedad viene descrita en el artículo 1 punto no 2:
“El presente Reglamento garantiza la libre circulación de datos de comunicaciones electrónicas y servicios de comunicaciones electrónicas en la Unión, que no será posible restringir ni prohibir por motivos relacionados con el respeto de la vida privada y las comunicaciones de las personas físicas y jurídicas y la protección de las personas físicas en lo que respecta al tratamiento de datos personales.”
Otro tema muy interesante que se propone, es el hecho de que dejen de
aparecer en los sitios web los avisos de aceptación o no de términos y
condiciones de las políticas de cookies. El plan del nuevo reglamento es que
los propios navegadores sean los que se encarguen, mediante una
configuración de privacidad previa, de gestionar que datos pueden filtrar a los
sitios web y cuáles no. Esta medida implica hacer directamente responsables a
los navegadores de la privacidad de los usuarios, obligándoles así a implicarse
directamente en la seguridad de sus datos personales mucho más de lo que
actualmente les corresponde hacer por ley.
Además, se comenta que los navegadores deberán venir ya de serie con
diferentes configuraciones de privacidad, que permitan a los usuarios finales
elegir para que desean que se traten sus datos y de que forma.
Por otro lado, en el reglamento también se introducen conceptos nuevos como
el de integrar metadatos en las comunicaciones electrónicas, de forma que los
sitios web puedan percibir si los usuarios reciben correctamente su contenido,
incluido el spam o publicidad que aparece sin recibir consentimiento o
comprobar si los usuarios están usando programas como el AdBlock para
bloquear ciertas ventanas emergentes y demás contenido multimedia. [4]
Como podemos observar, aunque la mayoría de las empresas no cumplen
actualmente con la normativa establecida para con la privacidad de los datos,
existen propuestas de ley que se integrarán en un futuro próximo, que junto con
la RGPD ya vigente ayudan a que los datos de los usuarios de todas las
empresas europeas estén más protegidos y gocen de una mayor seguridad y
privacidad.

[Read more…]

La privacidad de los datos y la auditoría

Download PDF

En este post se hablará de la auditoria respecto a la privacidad de los datos y más
concretamente respecto de la RGPD.
La visión de la RGPD sobre la auditoría va muy ligada a la labor del DPD (delegado de
protección de datos) y al análisis de riesgos e impacto, ambos temas han sido tratados en
post anteriores. A pesar de dejar claras las líneas generales, no se determina claramente
cuál es la función del DPD sobre la auditoría, si no que más bien se recomienda establecer
una figura como el DPD, en caso de no haber DPD, que lleve acabo las funciones del mismo
y que además supervise el análisis de riesgos. Si se establece que, aunque la labor del DPD
este relacionada con procesos de supervisión ligados a temas de auditoría, en algunos
casos, no es la labor del DPD realizar la auditoría.
Pero antes de meternos en materia vamos a empezar por el principio, ¿Qué es la auditoría?
¿Que es auditar?
La auditoría es un proceso sistemático, independiente y documentado mediante el cual se
busca obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el grado
en que se cumplen unos criterios previamente establecidos. Estos criterios se basan en
estándares, leyes o normativas que aquello que auditamos o aquello a lo que sometemos al
proceso de auditoría debe cumplir.
La finalidad de la auditoría puede ser completamente definida, buscando un objetivo muy
concreto, o referirse a más de un objetivo, siendo más general. Lo habitual es querer conocer
las debilidades e incumplimientos, puede hacerse también como garantía de que una entidad
está cumpliendo con los requisitos establecidos o con lo que se haya comprometido a
cumplir y así disminuir riesgos. También se puede dar el caso de que lo exijan sus clientes, o
que sin una exigencia específica la entidad quiera tener un informe que, en caso de ser
favorable, constituya una ventaja comercial.
Según el objetivo podemos basarnos en diferentes fuentes de información para llevar a cabo
la auditoría, en el caso de la protección de datos se sugiere la ISO 27001, que se basa en la
protección de la información y en los propios datos de carácter personal. Ambas normativas
se consideran complementarias (RGPD e ISO 27001). [1]
La profundidad mínima será la que permita alcanzar evidencias para sustentar los informes
requeridos, puede ser suficiente mediante entrevistas, análisis y muestreos, pero en
ocasiones se requiere verificar los perfiles de todos los usuarios, el seguimiento de todas las
incidencias, investigar hechos anteriores, etc.
Hay cuatro artículos concretos de la RGPD en los que se hace referencia a la auditoría:

  • Artículo 28, Encargado del tratamiento: punto 3 en el apartado h): “Pondrá a
    disposición del responsable toda la información necesaria para demostrar el
    cumplimiento de las obligaciones establecidas en el presente artículo, así como para
    permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del
    responsable o de otro auditor autorizado por dicho responsable”. [2]
  • Artículo 39, Funciones del delegado de protección de datos (DTD): entre ellas:
    “supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”. [3]
  • Artículo 47, Normas corporativas vinculantes: entre ellas: “los mecanismos establecidos dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta para garantizar la verificación del cumplimiento de las normas corporativas vinculantes. Dichos mecanismos incluirán auditorías de protección de datos y métodos para garantizar acciones correctivas para proteger los derechos del interesado”. [4]
  • Artículo 58, Poderes: referido a los de “cada autoridad de control”, definido entre los poderes de investigación: “llevar a cabo investigaciones en forma de auditorías de protección de datos, que en el caso de las autoridades de control en España puede que establezcan como inspecciones, que con frecuencia asociamos con posibles sanciones”. [5]

Además, es importante hablar de diferentes tipos de auditoría que podemos realizar o la que
las entidades se pueden someter en este ámbito.

  • Auditoría interna: Control interno que realiza la empresa para supervisar
    determinados procesos o evaluar el funcionamiento de la misma.
  • Auditoría externa: Una empresa externa es la encargada de realizar la auditoría a la
    entidad.
  • Auditoría de seguridad: se basa en la verificación del análisis de riesgos que haya
    llevado acabo la entidad, y la valoración de las amenazas existentes y controles
    implantados, para determinar la vulnerabilidad y la gestión del impacto que estas
    vulnerabilidades puedan tener.
  • Auditoría de cumplimiento: suele abarcar muchos aspectos jurídicos, es la parte
    más técnica, se refiere a la verificación del correcto cumplimiento de las normativas y
    leyes.

Espero que este post haya sido de ayuda de cara a introducirnos en el ámbito de la auditoría
en el campo de la privacidad y protección de los datos, especialmente en lo referente a la
RGPD.

[Read more…]

La privacidad de los datos y los riesgos

Download PDF

En el post anterior vimos que cambios ha supuesto la nueva ley de privacidad y protección
de los datos, la RGPD a las empresas europeas. Que obligaciones tienen y que intencionalidad tiene la nueva ley.
En este post nos centraremos en los riesgo que atañen a la privacidad de los datos y
analizaremos diferentes formas de enfrentarnos a los mismos, mostrando una breve
introducción a la herramienta FACILITA.

Un riesgo es toda aquella posibilidad de que se produzca un contratiempo o una desgracia,
que alguien o algo sufra algún tipo de perjuicio o daño. En cuanto a la privacidad, el riesgo
que a todos se nos viene a la cabeza es el de la filtración de información sensible, clasificada
o confidencial. Por tanto, ¿si queremos evitar que estos riesgos se cumplan que debemos
hacer? Una de las formas más comunes y eficaces de combatir los riesgos es mediante el
proceso conocido como Gestión de riesgos.

La gestión de riesgos son el conjunto de actividades y/o tareas que permiten controlar la
incertidumbre relativa a una amenaza mediante una secuencia de actividades que incluyen la
identificación y evaluación del riesgo, así como, las medidas para su reducción o mitigación.[1]
Esta gestión de riesgos implica por lo tanto la identificación de los riesgos, la evaluación o
categorización de los mismos y por último la elaboración de planes de acción para mitigar los
mismos.

La gestión de riesgos se divide generalmente en 3 fases principales:

1. Identificación de Amenazas
2. Evaluación de los riesgos
3. Tratar los riesgos

Todas estas fases están sometidas a una monitorización continua, de esta forma de trata de
conseguir que por el camino no se cometan errores que puedan repercutir gravemente más
tarde.

Fase 1: Identificar Amenazas y Riesgos
El riesgo viene dado por la exposición a amenazas, por tanto, desde la perspectiva de la
privacidad, es fundamental comprender qué es una amenaza y cómo se pueden identificar
escenarios de riesgo para los datos personales a partir de la misma.

Una amenaza implica cualquier factor de riesgo con potencial para provocar daños o
perjuicios. En el caso de la privacidad de los datos, las amenazas son principalmente de tres
tipos:

  • Acceso ilegítimo a los datos: Relacionado con la confidencialidad, son los casos en
    los que personas acceden a datos a los cuales no deberían poder acceder, sobre los
    que no tienen permisos.
  • Modificación No autorizada de los datos: Relacionada con la integridad, cuando los
    datos con los que se trabaja tienen riesgo o han sido dañados o corrompidos, esto es modificaciones sobre los datos sobre las que no se tiene conocimiento o no han sido solicitadas o aprobadas.
  • Eliminación de los datos: Relacionado con la disponibilidad, estamos ante aquellos casos en los que se pierden o desaparecen datos.

Otra forma diferente de definir un riesgo sería verlo como una posibilidad de que se cumpla
una amenaza y por lo tanto esta trajese consigo consecuencias negativas. El nivel de riesgo
se mide en función de la probabilidad de que se cumpla y del impacto que este tendría en
caso de cumplirse. Lo que nos lleva a la segunda fase.

Fase 2: Evaluar los riesgos

Evaluar un riesgo implica considerar todos los posibles escenarios en los cuales el riesgo se
haría efectivo. La evaluación de riesgos es el mecanismo mediante el cual se valora el
impacto de la exposición a la amenaza, junto a la probabilidad de que esta se cumpla.

El impacto, por su parte, se determina en base a los posibles daños que se pueden producir
si la amenaza se vuelve realidad, por ejemplo, un impacto sería despreciable o leve si no
tuviera consecuencias sobre los usuarios (teniendo en cuenta que lo que estamos valorando
es la privacidad) o, por el contrario, un impacto sería significativo o grave si el daño
ocasionado sobre los derechos y libertades del usuario fuese crítico. Según la probabilidad y
el impacto, asociados a las amenazas, es posible determinar el nivel de riesgo. Los riesgos
se suelen categorizar en función de escalas que midan estos impactos y la probabilidad de
que sucedan, ejemplos de estas categorías podrían ser Alto, Medio, Bajo o Grave, Común y Leve.

Fase 3: Tratar los riesgos

Con ello llegamos a la última fase del proceso de gestión de riesgos. En esta fase se
elaboran metodologías y mecanismos que permitan reducir la probabilidad y/o el impacto de
los riesgos en caso de llegar a producirse, de forma que el valor asociado a el riesgo en
cuestión pueda reducirse.
Básicamente sería elaborar un plan de acción en el cual apoyarnos para no caer en estos
riesgos o en caso de que se produzcan tener mecanismos que reduzcan el impacto de los
mismos.

Para terminar, toca hablar de la herramienta FACILITA. FACILITA es una herramienta que ha
creado la Agencia Española de Protección de Datos (AEPD) para ayudar a las empresas a
realizar el tratamiento de datos personales, con un riesgo asociado bajo, de forma
sistemática. Agilizando así todo el proceso y haciendo así más sencillo el cumplimiento para
con la RGPD.

Su uso es muy sencillo, se basa en en tan solo tres pantallas con preguntas muy concretas
que permite a aquel que la utiliza determinar su situación en cuanto al tratamiento de datos.
En función de las respuestas que se den a las preguntas propuestas obtendremos uno de
dos posibles resultados: Si se adapta a los requisitos exigidos para utilizar FACILITA o si se
debe realizar un análisis de riesgo más concienzudo. En caso de que la herramienta pueda
usarse, el resultado del empleo de la misma será la obtención de diversos documentos adaptados a la empresa o cliente concretos, cláusulas contractuales, clausulas informativas, registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas.

[Read more…]

La privacidad de los datos en la empresa

Download PDF

El 25 de mayo de este año, 2018, se terminó el plazo de adaptación que se había dado para
que las empresas y entidades de la EU se adaptasen a la nueva ley de protección de datos, la
RGPD. A partir de este día el cumplimiento de la RGPD empezó a ser obligatorio, pudiendo ser
sancionadas aquellas personas u organizaciones que no cumplan con sus normativas. Por lo
tanto, la pregunta es simple, ¿Cuáles son los principales cambios que se deben implantar en las
empresas para cumplir con la RGPD? Pues bien, a lo largo de este post hablaremos de los
principales cambios que ha traído consigo la RGPD, como afecta a las empresas y que
sanciones puede traer el incumplimiento de estas normativas.
Lo primero que debemos saber es quienes están obligados a cumplir con la RGPD, pues bien,
tal y como establece la ley, la RGPD es de obligado cumplimiento para todas las entidades
europeas, autónomos y administraciones públicas. Pero además también están sujetos a esta
ley todas las personas y entidades que presten sus servicios desde fuera de la UE a usuarios de
la UE o que reciban datos desde la UE, para prestar un servicio fuera.
La RGPD, está basada en el principio de responsabilidad proactiva. Esto significa que además
de exigir un debido cumplimiento de todas sus cláusulas es necesario poder demostrar que se
cumplen estas cláusulas. Esto implica que las personas y entidades que responden ante la
RGPD están obligados a aplicar las medidas necesarias para garantizar la seguridad y
privacidad de los datos (cumplir con la RGPD) y además poder demostrar que estas medidas se
están aplicando, funcionan correctamente y son efectivas.
Otro concepto especialmente relevante que trae la RGPD es el enfoque de riesgo. El enfoque
de riesgo no es otra cosa que tener en cuenta que las medidas que se apliquen por parte de las
empresas. Para garantizar la seguridad de los datos, deben tener en cuenta la naturaleza, el
ámbito del contexto y los fines de tratamiento, así como el riesgo y los derechos y libertades
de las personas. En resumen, que datos se manejan, para qué, cómo se tratan y recogen estos
datos y el riesgo que implica trabajar con esta información.
La RGPD además de tratar de unificar todas las políticas de protección de datos en una para
toda la UE, como comentábamos en el post anterior, trata de instaurar una filosofía de buenas
prácticas y protección de los datos de los usuarios, entendiendo siempre a los usuarios como la
parte más débil en todos los procesos, centrándose por tanto siempre en su protección. Por
ello la RGPD establece que también la concepción, por parte de una empresa o sujeto, de un
servicio ya debe tenerse en cuenta la RGPD, por tanto, la privacidad de las personas debe estar
garantizada.

Esto nos lleva a dos principios que se integran en la ley:

  • Principio de minimización: Los datos personales que se recojan deben de ser los
    mínimos necesarios para prestar el servicio. Además, los datos requeridos deben de
    estar en consonancia con el servicio que se presta, tener coherencia.
  • Principio de No compartición: No se podrán compartir datos de usuarios o clientes a
    terceros a menos que se reciba un consentimiento expreso de los mismos. En este
    punto es necesario destacar que la respuesta que se reciba del usuario de cara a su
    consentimiento debe de ser positiva y que garantice que el usuario comprende
    perfectamente lo que está aceptando.

Es también obligatorio llevar un registro de todo tratamiento que se haga con los datos.
Además, cuando se manejen datos que se cataloguen como alto riesgo, se deberán recoger
cuales son estos riesgos y además prever medidas que minimicen el impacto de los mismos.
Este análisis de riegos no es de obligado cumplimiento para todas las empresas, solo están
obligadas aquellas empresas que manejen datos sensibles de una cantidad relevante de
personas o aquellas que trabajen con especialmente sensible de una o más personas. Es
también obligado para estos casos en los que se requiera el análisis de riesgos, contar con un
Delegado de Protección de Datos o DPD que puede ser interno de la propia empresa o
subcontratado de terceros. De este delegado se debe conocer el nombre y los apellidos.
En caso de que pase lo peor, por ejemplo, una brecha de seguridad la RGPD obliga a las
empresas a notificar de la intrusión con un plazo máximo de 72 horas. Está notificación deberá
ser dirigida a la Agencia Española de Protección de Datos, en el caso de nuestro país, al
organismo pertinente en el caso de que la empresa pertenezca a otro país de la UE o sea de
fuera de la UE. En el caso de que los datos perdidos o comprometidos sean sensibles es
necesario, además de notificar al organismo pertinente, a las personas afectadas por dicha
brecha de seguridad.
La RGPD no obliga, pero si invita a las empresas a certificarse, de cara a demostrar que se
cumplen con las normativas de la misma. Por otro lado, la certificación es una forma de
mostrar una intención activa de cumplir con la protección de los datos y la privacidad de los
usuarios.
Al contratar a una empresa o entidad, se debe llevar un registro de actividades. A esto se le
conoce como el deber de información, esto es, revisar el clausulado que se emplea en todas
las comunicaciones: correos electrónicos, cartas, albaranes, facturas y fichas de clientes entre
otras.
Por último, debemos conocer las sanciones a las que empresas y todas las entidades o sujetos
pueden enfrentarse en caso de infracción. Con respecto a la LOPD han crecido enormemente.
Las sanciones vigentes en la RGPD pueden alcanzar en su máximo, en la categoría de leve, los
10.000.000€ o un 2% del volumen global de negocio y en infracciones graves hasta
20.000.000€ o un 4% del volumen global de negocio. Mientras que en la LOPD eran de 40.000€
y 600.000€ en infracciones leves y graves o muy graves, respectivamente.

[Read more…]

Perspectiva internacional de la privacidad de los datos

Download PDF

Según la RAE la privacidad es: “ámbito de la vida privada que se tiene derecho a proteger de
cualquier intromisión” [1]. Hoy en día esta intromisión en cuanto a nuestros datos personales
se da constantemente en Internet. La sociedad moderna se ha acostumbrado a que se les
pidan o incluso se les exija aceptar protocolos y herramientas que captan y usan este tipo de
información o directamente que a los usuarios se les pida compartir información de carácter
privado para poder hacer uso de servicios de distintas índoles en la red.

En muchos casos esta información que se comparte con entidades concretas, es usada por
terceros a través de las mismas. Esto implica un riesgo real de cara a nuestra privacidad, ya
no solo por el hecho de que se esté empleando la información personal de miles de usuarios
para fines comerciales por parte de terceros, si no que surgen otras dudas inmediatas como
podrían ser: ¿Dónde se guarda esta información? ¿Durante cuánto tiempo? ¿Quién tiene
acceso a ella? ¿Es seguro el sitio en el que se almacenan estos datos? Todo esto nos hace
plantearnos, ¿no hay ninguna ley o decreto en el que se contemple este tipo de intromisiones
en nuestros datos personales? La respuesta es sí, el derecho a la privacidad es un derecho
recogido en la Declaración Universal de los Derechos Humanos. [2]

En esta serie de post sobre la privacidad, se analizarán las vulneraciones, protocolos y
medidas de protección que amparan a los ciudadanos de las diferentes naciones, poniendo
el foco en las medidas empleadas en el ámbito de la privacidad de los datos y la RGPD.

Conceptos Básicos y Relacionados

Política de privacidad: Documento que explica como una organización maneja cualquier
información de sus clientes, proveedores o empleados que haya reunido en sus operaciones.[3]

Derechos Digitales: Comprende el conjunto de permisos que una persona posee para
realizar acciones legítimas con un ordenador, red de comunicaciones o cualquier tipo de
dispositivos electrónicos. [4]

Aviso de privacidad: Documento generado por la persona física o moral responsable de la
recopilación y tratamiento adecuado de datos personales, debe ser puesto a disposición del
titular de los datos. [5]

Cookies: Pequeña herramienta o programa que es enviada desde un sitio web al navegador
de un usuario y que se emplea para registrar la actividad del mismo en ese o en otros sitios
web, recogiendo muchas veces información de carácter personal del usuario.

Política de Cookies: Documento donde se establece la forma en la que se emplean los datos
recogidos por las cookies que un sitio web instala en un navegador, así mismo también se
recoge que tipos de Cookies se instalan, su propósito y su durabilidad en el navegador, entre
otros.

Protección de datos: Disciplina jurídica que se encarga de velar por la intimidad y la
privacidad de los datos de las personas ante riesgos como la recopilación y el uso
indiscriminado de los datos de carácter personal por parte de entidades ajenas a la persona.

Por último, vamos a pasar a hablar brevemente de cómo funciona la ley en cuanto a las
políticas establecidas de protección de datos y privacidad centrándonos en España, la Unión
Europea y Estados Unidos.

España

En España hasta mayo de este mismo año estaba en vigor la LOPD o Ley Orgánica de
Protección de Datos, esta ley velaba por la seguridad de los datos de carácter personal de
las personas tanto en la red como fuera de ella. Pero la ley no era común a la que se
aplicaba en el resto de la Unión Europea, que, aunque tenía una intencionalidad semejante
difería en algunos ámbitos (la LOPD de la EU era menos restrictiva). Además, en España
existe la AEPD o Agencia Española de Protección de Datos, que se encarga del debido
cumplimiento de las leyes sobre actividades que implican el tratamiento o la obtención de
datos personales de las personas. [6]
A partir de mayo de este año, como se ha mencionado anteriormente, la LOPD se ha
cambiado por la nueva ley de protección de datos que es la RGPD, de la que se hablará a
continuación.

Unión Europea

Como comentábamos antes existía una necesidad de equiparar todas las leyes vigentes en
el ámbito de la protección de datos a nivel europeo. Para responder a esta necesidad surge
la RGPD [7] o Reglamento General de Protección de Datos, este decreto ley obliga a todas
las instituciones de los países de la Unión Europea a garantizar unos estándares de
protección, seguridad, tratamiento y obtención de los datos de los clientes, usuarios o
proveedores de dichas empresas o entidades. La RGPD ha entrado en vigor en mayo de
2018 y ha supuesto un cambio bastante grande en la mayoría de empresas europeas que se
han visto en la necesidad de cambiar y adaptar sus políticas y mecanismos de forma que
cumplan con la vigente ley.

Estados Unidos

En estados unidos existen otras leyes de protección de datos [8] que no son la RGPD, estas
leyes son:

  • HIPPA: Ley de Transferibilidad y Responsabilidad del Seguro Sanitario, promulgada
    en 1996 crea protecciones para la información relativa a la salud individual.
  • FACTA: Ley Federal de Transacciones Crediticias Justas y Exactas, diseñada para
    proteger la información de crédito de los consumidores y los riesgos asociados con el
    robo de datos.
  • COPPA: Ley de Protección de la Privacidad de Menores de los Estados Unidos, fue
    integrada en 1998 como un medio para proteger la privacidad de los niños menores de
    13 años. En particular la ley se centra en los sitios web que están dirigidas a menores
    o que poseen el conocimiento de que sus sitios web es visitado por menores.

 

[Read more…]

Que es el Blockchain?

Download PDF

Hace unos días salió en clase el tema del Blockchain o Cadenas de datos. Cuando Pablo preguntó a la clase que es lo que era, nadie levantó la mano, un suceso bastante común en la clase de informática, así que repitió la pregunta pero de forma opuesta: ¿Quien no sabe lo que es el Blockchain? esta vez solo levante yo la mano, así que me tocó a mí buscar para la siguiente clase lo que era, de cara a explicarselo a los demás para que así lo conociésemos todos.
Dicho esto, he de decir que no tenía ni idea de lo que era entonces y tampoco tengo una idea demasiado avanzada de lo que es ahora mismo, pero voy a tratar de transmitir lo que he encontrado sobre ello para que si algún otro año, algún alumno tiene la misma duda y le da por buscar entre los posts hasta encontrar este, le pueda valer para hacerse una idea.

La mayoría de artículos que he leído sobre el tema, definen el Blockchain como una estructura de datos en la que la información que está contenida en la misma se agrupa en conjuntos o bloques. Estos bloques están anidados y cada uno de ellos tiene información relativa al anterior, digamos que poseen metadatos con información relativa a los otros bloques. De esta forma se crea una unión entre los diferentes bloques, a las cuales se les aplican técnicas de cifrado o criptográficas haciendo que solo se pueda acceder a la información contenida en un bloque concreto (editarla o descartarla) a través a todos los demás bloques anteriores anidados a él. Esto es, que para poder acceder a un bloque concreto con una información concreta, necesitamos las claves o pasar la seguridad de todos los anteriores en orden.

La seguridad o técnicas criptográficas de las que hablaba antes son por lo que he podido leer funciones hash. Una función hash es una algoritmo que recibiendo una cadena de datos, genera un código o un valor finito que representa a todos esos datos recibidos. La gracia de esto, por lo que he entendido, es que ese código o nueva cadena no se puede descifrar sin los datos originales y esto hace bastante seguro a nuestro Blockchain por qué cada bloque lleva un cifrado y todos los bloques son diferentes.

Pero con toda esta parrafada aún no queda claro para qué vale realmente el Blockchain, que es lo que interesa. Pues bien, lo que genera el Blockchain en sí mismo es una base de datos pública no relacional que funciona en entornos distribuidos y puede garantizar la integridad de los datos. Aplicando esto a un caso real, la banca por ejemplo, lo que nos permite el Blockchain es hacer transacciones bancarias sin necesidad de intermediarios, lo que actualmente son los bancos.
Esto es, si la persona A le quiere enviar 10.000€ a la persona B, lo normal es que lo haga a través de una entidad bancaria. Esta entidad actúa como intermediario de esa transacción, centralizando todo el proceso del movimiento del dinero de la cuenta de A hasta la de B. Por lo que todas las transacciones que deseen hacer A y B tienen que pasar por fuerza por esa entidad bancaria, lo que implica que están sujetas a sus condiciones y a sus restricciones. Pero este proceso no ha requerido un traspaso de billetes físicos, lo que en realidad ha sucedido es que un software informático ha modificado una cifra en la cuenta de A, restando la cantidad y la ha añadido a la de B.

Lo que permite el Blockchain es saltarse todos estos intermediarios y permitir el cambio de información de forma “autónoma”, por lo que el banco no sería requerido para realizar estas transacciones.
Para terminar es importante deciros que esto es lo que yo he entendido del Blockchain y está explicado de forma bastante poco detallada, es un resumen vamos.

El Blockchain en algún momento será un tecnología puntera que romperá probablemente con muchas de las formas de hacer las cosas a las que estamos acostumbrados, por lo que tendrá muchas aplicaciones, no solo la que yo he comentado.

Espero que os haya sido de ayuda y hasta la próxima!

Bibliografía:

[1] https://es.wikipedia.org/wiki/Cadena_de_bloques
[2]https://www.criptonoticias.com/informacion/que-es-tecnologia-contabilidad-distribuida-blockchain/
[3]https://www.xataka.com/especiales/que-es-blockchain-la-explicacion-definitiva-para-la-tecnologia-mas-de-moda
[4] https://es.wikipedia.org/wiki/Funci%C3%B3n_hash_criptogr%C3%A1fica
[5] https://latam.kaspersky.com/blog/que-es-un-hash-y-como-funciona/2806/