A PROPOSITO DEL “SPAM”

Uno de los servicios más utilizados en internet es el del Correo electrónico o email, y es que casi todos los usuarios de internet disponen, al menos, de una cuenta de correo. Sin embargo no siempre hace un uso responsable de este servicio, tal como pone de manifiesto Ciudadano Digital, donde, además,  cada usuario de una cuenta de correo recibe al día varios correos que no ha solicitado o que no se ajustan a sus necesidades, lo que es debido, en muchos casos, a una mala utilización del servicio por parte de alguno de los usuarios que tiene conocimiento de nuestra cuenta de correo, especialmente porque no se ha preservado debidamente la privacidad de nuestros datos y más concretamente nuestra dirección de correo electrónico. Otro de los aspectos a tener en cuenta respecto de Internet es que se trata de una red abierta, por lo que se ha de tener especial cuidado con la privacidad de los datos que se intercambian en ella, fundamentalmente de los personales y especialmente con aquellos relativos al correo electrónico, o transmitidos a través de éste. Y aunque las legislaciones española y europea, como más adelante se verá, respaldan la privacidad de las comunicaciones electrónicas, el comportamiento de cada usuario en la red puede y debe evitar que los datos de carácter personal caigan en manos inadecuadas, especialmente aquellos trasmitidos a través del correo electrónico.

Los términos correo basura y mensaje basura hacen referencia a los mensajes no solicitados, no deseados o con remitente no conocido (correo anónimo), habitualmente de tipo publicitario, generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o varias maneras al receptor, tal como se señala en Wikipedia. La acción de enviar dichos mensajes se denomina “Spamming”. La palabra equivalente en inglés, “Spam”, proviene de la época de la segunda guerra mundial, cuando los familiares de los soldados en guerra les enviaban comida enlatada; entre estas comidas enlatadas se encontraba una carne enlatada llamada “Spam”, que en los Estados Unidos era y sigue siendo muy común. Este término comenzó a usarse en la informática décadas más tarde al popularizarse, gracias a un sketch de 1970 del grupo de comediantes británicos Monty Python, en su serie de televisión Monty Python’s Flying Circus, en el que se incluía “Spam” en todos los platos. Aunque se puede hacer “Spam” por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico.

Tal como señala la Agencia Española de protección de datos, el envío de mensajes comerciales sin el consentimiento previo está prohibido por la legislación española, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Información (a consecuencia de la transposición de la Directiva 31/2000/CE) como por la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos. El bajo coste de los envíos vía Internet (mediante el correo electrónico) o mediante telefonía móvil (SMS y MMS), su posible anonimato, la velocidad con que llega a los destinatarios y las posibilidades en el volumen de las transmisiones, han permitido que esta práctica se realice de forma abusiva e indiscriminada. La Ley de Servicios de la Sociedad de la Información, en su artículo 21.1 prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, si bien esta prohibición encuentra la excepción en el segundo párrafo del artículo, que autoriza el envío cuando exista una relación contractual previa y se refiera a productos similares. De este modo, el envío de comunicaciones comerciales no solicitadas puede constituir una infracción leve o grave de la LSSI. Además de suponer una infracción a la Ley de Servicios de la Sociedad de la Información, la práctica del “Spam” puede significar una vulneración del derecho a la intimidad y el incumplimiento de la legislación sobre protección de datos, ya que hay que tener en cuenta que la dirección de correo electrónico puede ser considerada como dato de carácter personal.  La Directiva sobre Privacidad en las Telecomunicaciones de 12 de julio de 2002 (Directiva 58/2002/CE) actualmente transpuesta en la Ley 32/2003 General de Telecomunicaciones que modifica varios artículos de la Ley 34/2002 introdujo en el conjunto de la Unión Europea el principio de “opt in”, es decir, el consentimiento previo de la persona para el envío de correo electrónico con fines comerciales. De este modo, cualquier envío con fines de publicidad queda supeditado a la prestación del consentimiento, salvo que exista una relación contractual previa y el sujeto no manifieste su voluntad en contra.

Virulist señala que para que la lucha contra el “Spam” sea efectiva, es necesario darle una definición exacta. La mayoría de la gente cree que el “Spam” es el correo no solicitado. Sin embargo, esta definición no es del todo correcta y confunde ciertos tipos de correspondencia de negocios legítima con el verdadero “Spam”. Efectivamente el “Spam” hace referencia al correo no solicitado de carácter anónimo y masivo. Esta es la descripción que se está usando hoy en los E.E.U.U. y Europa como el fundamento para la creación de una legislación “antiSpam”. Pero debe examinarse más en profundidad cada componente de la definición:

a). Anónimo: el “Spam” real es enviado con direcciones de remitentes falsas o pertenecientes a otras personas para ocultar la identidad del verdadero remitente.

b). Envíos masivos: el “Spam” real se envía en cantidades masivas. Los “Spammers” hacen dinero con el pequeño porcentaje de destinatarios que responden. Por eso, para ser efectivo, los envíos iniciales tienen que ser de gran volumen.

c). No solicitado: las listas de correos, noticias y otros materiales de publicidad que los usuarios han optado por recibir, pueden parecer similares al “Spam”, pero son en realidad correspondencia legítima. En otras palabras, un mismo mensaje de correo puede ser clasificado como “Spam” o como correspondencia legítima dependiendo de si el usuario ha escogido recibirlo o no.

En este contexto se afirma en Gits, que  no hay un límite inferior definido por debajo del cual se pueda decir que un conjunto de mensajes duplicativos no son “Spam”, así cualquier mensaje de ese conjunto que sea no solicitado por los que lo recibieron, es calificado como “Spam”. Cuando se recibe un correo electrónico de remitentes que no se conocen y con contenidos que son ofertas comerciales o no nos interesan en absoluto, se está recibiendo “Spam”. Desde el punto de vista del usuario, el “Spam” conlleva:

a). Pérdida de tiempo. Atendiendo a información que no es de interés o utilidad para el usuario y que tiene que eliminar.

b). El “Spam” puede hacer perder información valiosa. De manera que algunos correos válidos son clasificados como “Spam” por algunos filtros, lo que hace que se pierda información útil e incluso vital.

Para Internet el correo basura, correo no solicitado o “Spam” es de uno de los grandes problemas que afronta actualmente Internet, según algunas estadísticas es el 80% de todo el correo electrónico que circula por la Red. Este tipo de correo tiene un gran impacto, tanto económico como social, el económico se produce tanto por el tiempo que se pierde examinándolo, como por los recursos de hardware y software necesarios para manejarlo (ancho de banda, servidores de correo más potentes, software de filtrado, etc.), costes que deben ser soportados por las organizaciones en forma de inversiones y horas de trabajo de sus empleados, por este motivo es de vital importancia que los programadores web sepan cómo publicar una dirección de correo electrónico o un buzón de correo en la web. Y en el caso de los proveedores de acceso a Internet, estos acabarán repercutiendo ese gasto en el precio de sus servicios. El impacto social se produce en forma de desconfianza de los usuarios hacia las tecnologías de la información, lo que acaba redundando en la implantación y uso diario del correo electrónico. La existencia de un volumen tan grande de correo basura circulando por Internet se debe esencialmente a que se trata de un negocio. La gran mayoría del “Spam” que se recibe son o campañas de publicidad, engaños, estafas o publicidad de productos de baja calidad, y aunque la tasa de respuesta es ínfima (menos de 15 por millón) debido a su bajísimo coste es suficiente para producir beneficios.

También debe tenerse en cuenta, que los “Spammers” usan programas y tecnologías especiales para generar y transmitir los millones de mensajes de “Spam” que son enviados cada día. Y esto requiere, tal como viene indicando Virulist, muy significadas inversiones de tiempo y dinero, concretándose la actividad que es llevada a cabo por los “Spammers”, en  los siguientes pasos:

a). Recolectar y verificar las direcciones de los destinatarios, clasificarlas en grupos de impacto

b). Crear plataformas de envíos masivos (servidores/ordenadores individuales)

c). Escribir programas de envíos masivos

d). Llevar a cabo campañas de marketing de sus servicios

e). Redactar textos para campañas específicas

f). Enviar “Spam”

Cada paso del proceso se realiza independientemente de los demás. Para evitar la producción de “Spam”, tal como señala el diario ABC, es recomendable y conveniente observar las siguientes pautas:

a). Para evitar que el «“Spam”» llegue a la bandeja de entrada de la cuenta de nuestro mail, es necesario hacer, en primer lugar, con dos cuentas de correo diferentes. Los expertos aconsejan tener una pública, de uso más extendido, y otra secreta desde la que se escriba únicamente a personas conocidas.

b). En segundo lugar, hay que usar diferentes credenciales y contraseñas. Esto ayudará a evitar problemas ante una brecha de seguridad o una infección en el correo.

c). Los expertos aconsejan también no mencionar nunca la cuenta de correo privada en internet ni usarla para registrarse en ningún sitio web.

d). Lo mejor es también desconfiar siempre de los emails con remitentes desconocidos o asuntos extraños.

e). Y, sobre todo, utilizar soluciones de seguridad que contengan filtros “antiSpam” avanzados, así se evitará que el correo basura llegue a la bandeja de entrada.

La Agencia Española de Protección ha elaborado un decálogo mediante el que asesora a los usuarios con relación a la lucha contra el “Spam”, donde además de los anteriores consejos, se recomiendan otra serie de pautas a seguir. Entre otras cabe indicar en este sentido, las siguientes:

a). Elegir una dirección de correo poco identificable. Para crear una dirección de correo electrónico y reducir el envío de “Spam”, sería conveniente no introducir campos que sean potencialmente identificables por el “Spammer”.

b). No publicar la dirección de correo. No se debe anunciar la dirección de correo en buscadores, directorios de contactos, foros o páginas Web. Cuando envíe correos en los que aparezcan muchas direcciones, envíelas usando con copia oculta. Si es necesario facilitar la dirección de correo en alguna Web, debe escribirse ‘at’ o ‘arroba’ en lugar de @. Asimismo, si se reenvía un correo, deben eliminarse las direcciones de los anteriores destinatarios.

c). Hay que leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación. Si se va a suscribir a un servicio on line o a contratar un producto, hay que revisar la política de privacidad. No debe dudarse en ejercer los derechos de acceso y cancelación sobre sus datos ante estas empresas.

d). es necesario sensibilizar a los niños sobre la utilización del correo y la mensajería instantánea. Los niños son objetivos ideales para promocionar información sobre la composición y las prácticas de consumo del hogar. Además, los correos que pueden tener contenidos no aptos para los niños.

e). No es conveniente contestar al “Spam”. Es conveniente desactivar la opción que envía un acuse de recibo al remitente de los mensajes leídos del sistema de correo electrónico. Si un “Spammer” recibe dicho acuse sabrá que la dirección está activa, y lo más probable es que le envíe más “Spam”.

f). No pinchar sobre los anuncios de los correos basura. Entrando en las páginas Web de los “Spammers” se puede demostrar que una cuenta de correo está activa, con lo que puede convertirse en un objetivo para nuevos envíos.

g). Mantener al día el sistema. Es necesario utilizar programas antivirus y actualizaciones y parches que corrigen los problemas detectados en los programas de su equipo. Además, es muy recomendable la instalación de cortafuegos para monitorizar lo que ocurre en el ordenador.

Por todo ello se debe tomar conciencia de que la práctica del “Spam” puede significar una vulneración del derecho a la intimidad y el incumplimiento de la legislación sobre protección de datos, máxime si se tiene en consideración que  la dirección de correo electrónico es considerada como un dato de carácter personal; además, el envío de comunicaciones masivas no solicitadas puede ir de la mano con estrategias cibercriminales encaminadas a la obtención de información, así como a la producción de toda clase de engaños y fraudes de naturaleza informática, recomendándose como primera medida profiláctica, el hecho de que cada usuario sea responsable de sus propios datos de carácter personal, prestando una especial atención al hecho de proporcionar los mismos a terceros, bien sea utilizando plataformas informáticas o a través de medios físicos; y al mismo tiempo, procediendo al examen de la letra pequeña de un sinfín de contratos de servicios de toda clase de aplicaciones para dispositivos móviles y no móviles.

 

Share

LOS JUGUETES CONECTADOS O INTERNET DE LOS JUGUETES

Existe una clara tendencia a que nuestras vidas estén cada vez más digitalizadas; y no iba a ser menos el ámbito de los juguetes. El sistema de comunicarnos ha cambiado y también la forma en que los niños juegan. Este hecho ha generado la proliferación de lo que se conoce ya como “Connected Toys” o “Juguetes conectados”.

Desde osos de peluche hasta la misma Barbie, los expertos en seguridad advierten de los fallos de seguridad de algunos juguetes que exponen datos personales de miles de menores. En este sentido, debe tenerse presente que los elementos conectados a Internet en nuestro entorno son cada vez más numerosos. Con la irrupción de las nuevas tecnologías en este sector, cada vez son más los juguetes que ofrecen una conexión a Internet para poder desarrollar otra forma de jugar, y, en definitiva, representan otra nueva generación de juguetes. Sin embargo, cabe destacar que, al igual que cualquier otro dispositivo conectado a la red, estos artilugios también corren el peligro de poder ser hackeados o manipulados.

Ello no es sino otra manifestación de que la industria se adapta a los tiempos y está introduciendo novedades directamente relacionadas con el mundo digital. Pueden apuntarse al menos dos líneas de evolución bastante claras: la imitación de los modelos de inteligencia artificial, y al mismo tiempo, la proliferación del juego y la socialización en red.

Pero ello no debe servir de óbice o justificación para que el diseño con colores llamativos o la preinstalación de juegos pensados para la franja de edad correspondiente sirva para olvidar que se trata de dispositivos conectables, y sobre los que hay que adoptar las medidas de seguridad que correspondan

Ricard Martínez apunta que para cualquier observador mínimamente informado, es absolutamente obvio que “Internet de las Cosas”, y en particular los “wearables” (los llamados “tecno accesorios”), invadirán la próxima generación de juguetes. Este fenómeno resulta inevitable, e incluso se asume por la sociedad como algo natural. La cuestión es si, por el contrario, debemos evaluar sus riesgos. Para una aproximación al fenómeno, hay que partir de una premisa: ni cabe prohibir internet ni los fenómenos que la acompañan. Por ello, resulta fundamental poner las cosas en su sitio y operar desde criterios razonables. En primer lugar y a fuerza de decir una obviedad, hay que señalar que cuando una empresa fabrica y vende un juguete digital lo hace con el fin legítimo y nada desdeñable de ganar dinero. Pero, en última instancia, lo que no debe olvidarse es que cuando una empresa vende un juguete que se conecta a internet, lo que lleva a cabo es  facilitar un entorno de interacción en red vinculado a un juego o producto, y lo que en definitiva proporciona es sobre todo una experiencia de usuario cuyo fin último no es otro que fidelizar clientes y vender

En este sentido, y a título de ejemplo, debe traerse a colación de nuevo el fenómeno generado por la indicada muñeca Barbie, la cual tiene la posibilidad de estar conectada de manera permanente  a la red vía Wifi, lo que le permite acceder a esa importante base de datos que es Internet, y además presenta como característica fundamental: el hecho de que la misma puede mantener una conversación, y además contestar a cualquier pregunta que se le formule, con una cierta lógica.

Su tecnología permite no sólo que diga las cuatro frases habituales que venían programadas en este tipo de juguetes, sino que esté preparada para responder realmente a lo que los niños pueden tener intención de preguntar, siendo posible, consecuentemente, que mantenga conversaciones reales.

En Puro Marketing se afirma que todo ello apunta al hecho de que los juguetes están volviendo cada vez más inteligentes, y al mismo tiempo, se están incorporando cada vez más y más elementos propios de la revolución generada por “Internet de las Cosas”, lo que implica no sólo que todos los dispositivos estén conectados a la red, sino también que actúen con nosotros. Ello supone, en definitiva, que sean los propios consumidores quienes se vayan acostumbrado al toque de inteligencia que parece impregnar todos los objetos, y que esperan que los mismos respondan a esas necesidades y situaciones.

Por ello, ante la creciente demanda de estos nuevos “Juguetes Conectados”, surgen ciertas dudas sobre sus riesgos, y otros factores, entre los que se puede destacar las dudas que plantean sobre la calidad educativa de cada uno de ellos, y todo ello, lleva a reflexionar sobre  este nuevo fenómeno cultural y social que se encuentra representado por los indicados “Smart Toys” o “Connected Toys” para valorar sus  virtudes, pero también los evidentes problemas que en la actualidad presentan.

Debe partirse de que la nueva técnica conocida como “Internet de las Cosas” alcanza a nuestros objetos cotidianos, y los juguetes no son una excepción a ello. En el futuro, se podrán utilizar incluso para lograr la identificación, vigilancia, monitorización, localización y seguimiento para reclutar, u obtener acceso a redes o credenciales de usuario, según recoge The Guardian recogiendo la opinión de una agencia estatal de inteligencia. Todo ello esta avocado al llamado “Internet de las Cosas”, el cual consiste básicamente en el fenómeno caracterizado porque millones de dispositivos tengan la posibilidad y se conecten de manera efectiva a Internet, y al mimos tiempo, se comuniquen libremente entre ellos. Este fenómeno además tiene la virtualidad de prometer grandes beneficios a los usuarios.

Pero como toda tecnología (y más si ésta es capaz de manejar cantidades ingentes de datos e información), es susceptible de ser usada como un medio para conseguir precisamente eso, información. Y este es el drama de “Internet de las Cosas”, en el que cada vez existen  más aparatos conectados a internet, sin que por el contrario se proceda a cumplir las mínimas normas de seguridad, lo que provoca que el dispositivo pueda ser asaltado desde la red y manipulado para robar datos, o para que haga lo que quiera hacer con el dicho atacante.

En otro orden de cosas, el hecho de regalar un juguete conectado a un menor puede conllevar en sí mismo la producción de ciertos riesgos, porque los datos personales de los niños pueden estar expuestos a multitud de vicisitudes, entre otras, la posibilidad de ser sustraídos por piratas informáticos. En este sentido, en la web hijos digitales.es, se afirma que en un principio fueron las tablets, las cuales fueron diseñadas especialmente para niños y las consolas de videojuegos las que se conectaban con Internet para ofrecer servicios como descargas, juegos online en grupo, chats, etc., pero hoy esta conexión alcanza a muchos más tipos de juguetes, como muñecas, peluches, vehículos, drones o pequeños robots, etc. Además, esto no ha hecho más que empezar, en un futuro muy próximo habrá muchos elementos de uso infantil conectados, como despertadores, lámparas, pulseras, ropa y casi cualquier cosa que podamos imaginar. Todos estos gadgets transmiten datos a través de Internet, y por tanto, son vulnerables a los piratas informáticos. Además, algunos de ellos disponen de elementos mucho más peligrosos desde el punto de vista de la privacidad, como pueden ser las cámaras y micrófonos. Un atacante podría, si el sistema no está lo suficientemente protegido, llegar a conectar con estos dispositivos para hacerse con su control, como ya ha ocurrido en otras ocasiones, por ejemplo, con las cámaras de video vigilancia de niños.

García Villacañas ha señalado que en estos momentos es necesaria una labor de concienciación hacia estos peligros, ya que no existe un software de protección para este tipo de dispositivos, puesto que son muy nuevos y en el mercado no hay un volumen suficiente de demanda como para que se justifique el desarrollo de unas medidas de seguridad específicas, y consecuentemente con ello, constituye un hecho cierto el que la mayoría de los padres no saben a ciencia cierta que deben tomar las mismas medidas de prevención como lo harían con un ordenador, por lo que es necesario que poco a poco exista una mayor concienciación sobre los peligros que representan esta nueva generación de juguetes.

Consecuentemente con ello, el Círculo Europeo de Seguridad y Sistemas de Información, que agrupa a los expertos en la lucha contra la ciber criminalidad, ha pedido de forma explícita a los usuarios que antes de proceder a comprar estos “Smart Toys”, procedan a leer bien las condiciones de uso de dichos productos, a los efectos de que conozcan adecuadamente sus características y funcionalidades, y puedan evaluar si los mismos son adecuados para los menores que los van a utilizar.

Sobre esta cuestión es importante tener en cuenta, que son los propios padres quienes tienen que preocuparse por los aspectos relacionados con la conectividad de los objetos, del mismo modo que vigilan que sus niños no se puedan atragantar con partes o piezas de un determinado juguete. Por ello, debe ponderarse que la responsabilidad no sólo compete al oferente. También al adquirente, a ese padre o madre que, cegado por las modas o por la insistencia machacona y repetitiva de su hijo o hija, acaba comprando un objeto de estas características de manera irreflexiva.

Ricard Martínez señala, con mucho acierto, que por otra parte, es esencial informarse, buscar esa información. Así, se hace necesario tener respuesta a una serie de cuestiones, tales como las siguientes: ¿Exactamente qué hace el juguete en cuestión? ¿Cómo y para qué van a tratar los datos de su hijo o hija? ¿Tal vez el uso de la máquina conlleva adicionalmente algún tipo de condicionante comercial? ¿Es posible que esa publicidad no admisible en televisión llegue de la mano de la interacción niño-juguete-internet? ¿Han pedido su consentimiento para obtener datos o registrar al menor? ¿Han verificado que el menor tiene la edad que dice tener y que es usted quién dice ser y puede autorizar? ¿Qué garantías de seguridad ofrecen? ¿Han previsto un régimen de responsabilidad o un seguro? ¿Cómo le avisarán si se generase cualquier incidente o situación de riesgo?

Es evidente qué debe hacer un padre si no obtiene respuestas a estas cuestiones, pero debe tenerse presente que su responsabilidad no acaba aquí. Los juguetes tradicionalmente quedan en manos de un niño o niña, que interactúa con otras personas de su edad, con un control parental superficial. Esta actitud es inviable con un juguete conectado. Los padres, tengan o no conocimientos tecnológicos, deben adquirir una cierta cultura de internet y además, navegar con los hijos. Para ello no hay ni deben existir excusas, ya que ello viene con el temario del examen para ser padre. Y, además, deben verificarse las condiciones del juego respecto de la madurez concreta de su destinatario y sopesar los riesgos existentes. Las limitaciones de edad son por y para algo, y deben tener sus lógicas consecuencias.

Y cabe cuestionarse tal lo hace Víctor Martínez, que dado que somos conscientes de que estas vulnerabilidades y hackeos van a seguir existiendo, si  ¿merece la pena, en aras de la “experiencia de usuario”, comprometer los datos personales de nuestros hijos, datos de los que no somos dueños, sino guardianes, ya que los únicos titulares y propietarios de los mismos son, precisamente, nuestros propios hijos?

Para mantener a los niños seguros, y que sus juguetes no supongan un peligro, Kaspersky Lab ofrece cuatro consejos a los padres:

a). Ajustar el nivel de exposición a Internet y a los dispositivos con conectividad para proteger a los pequeños. Para ello es necesario llevar a cabo una pequeña investigación previa para saber a qué se exponen en la red.

b). No usar datos reales. Las páginas web que piden datos personales para registrarlos, los almacenan para intentar vender productos o servicios o para comerciar con ellos con otros proveedores.

c). Las fotos importan. Nadie debe tener acceso a las fotos de un niño salvo que los padres lo permitan. Su protección es esencial.

d). Los dispositivos son inteligentes pero no seguros. El Internet de las Cosas está cada vez más presente y hoy en día podemos encontrar desde neveras a monitores de bebés conectados a Internet. Sin embargo, los fabricantes no suelen tener la seguridad entre sus prioridades. A la hora de elegir estos artículos, es un factor a tener en cuenta.

Por todo ello, cuando se trata de la lucha contra el ciber crimen, las principales herramientas que nunca pueden faltar vienen constituidas fundamentalmente por la aplicación del sentido común y, además, por el hecho de contar con una buena solución de seguridad, que representa siempre el mejor y más sólido aliado para garantizar la integridad de los datos. Cuanto menos se comparta en Internet, menos información habrá sobre una persona concreta y determinada en la red, y por tanto, menor será el riesgo de que se usen los datos y la información obtenida sobre dicha persona.

La tendencia de los “Smart Toys”, o del “Internet de los juguetes” constituyen una conclusión predecible y esperable, y en  los próximos tiempos representará una cuestión emergente que va alcanzar un gran desarrollo, especialmente, si se tiene en cuenta que los niños de hoy en día son completos nativos digitales, que esperan soluciones de este tipo en todas partes, y por ello, se sienten especialmente atraídos por juguetes de estas características, los cuales tampoco pueden constituir una excepción al resto de objetos sobre los cuales los niños entran en contacto.

Hoy por hoy, debe considerarse que  los juguetes conectados no son una apuesta tan simple como parece. Como todo objeto conectado a la red, como antes se indicó, y ahora debe reiterarse no debe perderse de vista que los juguetes están empezando a ser sensibles y vulnerables a los hackeos, y otros hechos análogos, y por ello tendrán que ser protegidos frente a las acciones de los cibercriminales, especialmente teniendo en cuenta la especial necesidad de tutela que hay que dispensar a los menores frente a las acciones de dichos cibercriminales.

Finalmente, debe tenerse en cuenta que uno de los  problemas con lo que hay que contar, hace referencia a que ante el constante crecimiento en la venta de estos juguetes las compañías fabricantes de los mismos se apresuran en sacar nuevos modelos de juguetes, sin que al mismo tiempo se tenga muy en cuenta, y se preste una especial atención, a factores como la seguridad y la vulnerabilidad de los mismos ante posibles ataques, lo que los convierte en factores de especial riesgo, máxime si se tiene en cuenta la especial sensibilidad con la que hay que proteger a sus destinatarios: los niños.

Consecuentemente con todo ello puede afirmarse que nos encaminamos hacia la era de los juguetes inteligentes, pero ¿a qué precio?, y ¿cuáles son las consecuencias futuras de todo ello? Estas cuestiones en la actualidad constituyen serias incógnitas, que no tienen una fácil y asequible respuesta.

 

Share

EL SEXTING, UN FENOMENO DE NUESTRO TIEMPO

Mucho antes de que nuestra sociedad empezara a utilizar los mensajes cortos de texto (SMS) como una nueva forma de comunicación, las conversaciones y los gestos eran herramientas básicas para el coqueteo entre hombres y mujeres. Hoy en día, muchos adolescentes y jóvenes adultos han encontrado una manera más sensual de expresar interés hacia otra persona. Esta nueva forma de coqueteo se llama “sexting”, que es el envío de fotos, videos y mensajes eróticos a través de SMS. El sexting consiste en la difusión o publicación de contenidos (principalmente fotografías o vídeos) de tipo sexual, producidos por el propio remitente, utilizando para ello el teléfono móvil u otro dispositivo tecnológico. El sexting también es considerado por muchas personas como una forma divertida de mantener una relación de pareja activa sexualmente. Sin embargo, aquellas personas que practican sexting deben ser muy cuidadosas con lo que envían porque siempre existe la posibilidad de que el contenido sexual del mensaje sea visto por personas que estén fuera de la relación sentimental. Según el INCIBE, los chavales que envían sexting lo hacen porque alguien se lo pide o por diversión, pero también para impresionar a alguien o para sentirse bien (autoafirmación). Sexting es una palabra tomada del inglés que une “Sex” (sexo) y “Texting” (envío de mensajes de texto vía SMS desde teléfonos móviles). Aunque el sentido original se limitase al envío de textos, el desarrollo de los teléfonos móviles ha llevado a que actualmente este término se aplique al envío, especialmente a través del teléfono móvil, de fotografías y vídeos con contenido de cierto nivel sexual, tomadas o grabados por el protagonista de los mismos.

Yahoo Seguridad señala que en la actualidad, todo se puede copiar, enviar, publicar y ser visto por audiencias muy numerosas. No existe la posibilidad de controlar las imágenes. Gracias a la tecnología, todos pueden conocer la intimidad más profunda de un menor. Y en manos de adolescentes, al publicarse fotografías reveladoras, el sujeto casi siempre se convierte en objeto de ridículo e insultos. Además, enviar imágenes sexuales a menores de edad va en contra de la ley. Según las investigaciones, la conducta de los adolescentes está cambiando:

a). Ya que muchos adolescentes varones han enviado fotografías de ellos desnudos o semidesnudos.

b). Por qué algunos adolescentes admiten que la tecnología los hace más atrevidos y agresivos.

c). Del mismo modo, según dicen algunos, el intercambio de material sexy hace que sea más probable tener citas o juntarse con otras personas.

d). Y porque intercambiar material sexy genera la expectativa de conseguir una cita o algo más

Relacionado con el sexting se encuentra el llamado sex-casting. Con este término se identifica la grabación de contenidos sexuales a través de la webcam y difusión de los mismos por e-mail, redes sociales o cualquier canal que permitan las nuevas tecnologías. En la definición de sexting, y en la determinación de qué es y qué no es una práctica considerada como tal, se plantean los siguientes aspectos:

a). Voluntariedad inicial. Por norma general estos contenidos son generados por los protagonistas de los mismos o con su consentimiento. No es necesaria coacción ni en muchos casos sugestión, ya que son contenidos que alguien crea normalmente como regalo para su pareja o como una herramienta de flirteo. Es decir, generalmente el propio protagonista es el productor de los contenidos y el responsable del primer paso en su difusión.

b). Dispositivos tecnológicos. Para la existencia y difusión del sexting, es necesaria la utilización de dispositivos tecnológicos, que al facilitar su envío a otras personas también hacen incontrolables su uso y redifusión a partir de ese momento. De especial importancia son los teléfonos móviles, que permiten a los menores grabar contenidos en cualquier lugar en el que encuentren la intimidad necesaria. Tampoco hay que olvidar la posibilidad de grabar imágenes de contenido sexual con otro tipo de dispositivos diferentes del teléfono móvil. Destacaría en este sentido la utilización de la webcam. Frente a la intimidad que el adolescente puede encontrar fácilmente en la utilización del teléfono móvil, en el caso de la grabación a través de la webcam juega un papel muy importante la ubicación del ordenador en la casa. Si el equipo se encuentra en una zona común del hogar, y no en el dormitorio del menor, la sensación de privacidad del menor se reduce y por tanto puede suponer un cierto freno a la grabación de contenidos sex

c). Lo sexual frente a lo atrevido. En la consideración de una situación de sexting, el protagonista de las imágenes posa en situación erótica o sexual. Quedarían fuera del ámbito del sexting, por tanto, las fotografías que simplemente resultan atrevidas o sugerentes, pero no tienen un contenido sexual explícito. Sin embargo, es cierto que la línea que separa la carga erótica o sexual de un contenido puede resultar, en ocasiones, difusa.

d). La importancia de la edad. El sexting no es un fenómeno exclusivo de los chavales. También los adultos difunden fotografías propias de carácter sexual tomadas con el teléfono móvil. De hecho, datos de Estados Unidos revelan que la incidencia del sexting entre los adultos es superior a la detectada entre los propios menores: un 31% de las personas de 18 a 29 años han recibido sexts (imágenes con contenido sexual procedentes de una persona conocida), y un 17% en la franja de edad de 30 a 499. Sin embargo, en el caso de los menores concurren una serie de circunstancias, que se analizarán en el siguiente epígrafe, que exigen un tratamiento especial desde el punto de vista jurídico. Por ello esta guía se enfoca específicamente al sexting practicado por menores de edad.

Tal como pone de manifiesto Teknautas, según la encuesta anual Relaciones y tecnología realizada por la firma de seguridad McAfee, un 50% de los mayores de 18 años utiliza su móvil para enviar o recibir mensajes, fotos o vídeos de contenido sexual a alguno de sus contactos, y muchos de ellos almacenan en su teléfono esos contenidos que han enviado o recibido y que consideran “de riesgo”. No es sorprendente comprobar que los adultos jóvenes lo hacen más: si nos detenemos en las franjas de edad, el porcentaje aumenta hasta el 70% entre los 18 y los 24 años. Respecto a las diferencias por sexo, ellos practican más sexting que ellas: un 61% de los encuestados reconocía intercambiar este tipo de mensajes, frente a un 48% de las encuestadas. El problema es que muchos no protegen estos archivos debidamente ni siquiera en sus propios teléfonos. Según esa misma encuesta, el 69% de los participantes asegura su móvil con una clave, pero un porcentaje sorprendentemente alto a estas alturas, el 38%, comparte esas contraseñas con otras personas (sobre todo su pareja) y el 42% todavía utiliza la misma clave en distintos dispositivos. Ambas cosas aumentan la probabilidad de que la seguridad de un teléfono sea sorteada, con el consiguiente riesgo para los archivos que contenga. Curiosamente, también hay diferencia entre hombres y mujeres a la hora de proteger el móvil con contraseñas. Un 74% de ellos lo hacen, frente al 65% de las encuestadas. Además, los participantes masculinos parecen más interesados en los nuevos métodos biométricos de seguridad: dos tercios de los preguntados aseguran que pagarían más por un móvil que incluyese sistemas como el reconocimiento de huella dactilar, reconocimiento facial o de voz, etc. La encuesta dedica una atención especial a un tipo de relaciones que si ya son problemáticas de por sí, cuando el sexting se mete por medio pueden suponer un auténtico dolor de cabeza: las que tenemos con nuestros ex. Cuando el amor se acaba, ¿qué hacemos con todo eso que mandamos en un momento de euforia y confianza ciega? Según este estudio, casi todos (el 96% de los encuestados) confiamos en nuestra pareja lo suficiente para enviarle mensajes íntimos y fotografías de contenido sexual mientras la relación perdura, pero después solo un tercio ha pedido a una expareja que los borre o devuelva. Además, como decíamos antes, un 38% de los interrogados reconoce que ha compartido con su pareja alguna vez sus contraseñas para el móvil, aunque hasta un 73% tiene la precaución de cambiarlas tras la ruptura. Muchos aseguran haber utilizado esas contraseñas para rebuscar en el teléfono del otro mensajes y fotografías recibidas, y uno de cada cinco reconoce que entra en el perfil de su pareja en Facebook al menos una vez al mes.

Para INCIBE el sexting como fenómeno existe, es una realidad constatable que, además, no es exclusiva de los menores de edad. Personas famosas también lo han hecho y se trata de un fenómeno tan global como la propia Red. ¿Es una moda, es un accidente, es una consecuencia de los tiempos que vivimos? ¿Por qué lo hacen?  La respuesta no es fácil ya que es una práctica reciente sobre el que no hay grandes estudios por lo que nos queda la especulación guiada por la observación. Y especulando… pueden confluir una o varios de estos factores:

a) Creen que una imagen en un terminal móvil está segura y no son capaces de proyectar, de imaginar, las variadas formas en que esa imagen puede salir del dispositivo. Un robo, un error, una broma, un extravío… o la voluntad de su propietario.

b) Confían plenamente en la discreción, sino el amor eterno profesado, por parte del destinatario del envío. Carecen de experiencia vital suficiente que les invite a pensar en que las cosas, en la vida, cambian por muy diversos factores.

c) Sienten cierta presión de grupo que les lleva a ganar notoriedad y aceptación en este contexto, el digital, tan importante para ellos. Este factor, añadido a la plenitud hormonal, puede generar combinaciones poco recomendables.

d) Las influencias y modelos sociales distan del recato. La exhibición de relaciones sexuales o desnudos por personas no profesionales, comunes, abundan en la Red. Si pueden ver a cualquier persona anónima en su intimidad a través de la Red, no parece tan grave que uno aparezca de esta guisa. El “desnudeo” es algo común, hasta cierto punto normalizado.

e) Desconocen las consecuencias que para su vida puede llegar a tener el hecho de que esa imagen comprometida sea de dominio público.

f) La natural falta de percepción del riesgo que acompaña a la adolescencia y el espíritu transgresor desencadenan ciertos desafíos. En algunos casos resulta simplemente divertido, en otros, sirve para coquetear o dar otro contenido a una relación.

Como colofón a todo ello, debe traerse a colación lo manifestado en la web Pantallas Amigas, en la que se proporciona una serie de consejos muy útiles dirigidos tanto a jóvenes como adultos, ante el fenómeno del sexting. Estos consejos que, sin duda alguna debemos tener en cuenta, son los siguientes:

a). Piénsatelo antes de enviar. Lo que publicas online o sale de tu propio móvil se convierte en irrecuperable, escapa para siempre de tu control y puede llegar a cualquiera en cualquier momento. Lo que ahora quieres mostrar de ti, mañana puede que no te guste. A quien se lo envías hoy, quizás mañana no sea tu amigo. Además cada vez hay más webs que se dedican a recopilar y difundir estas imágenes: tu desnudo podría acabar en uno de ellos.

b). Desnudez y minoría de edad, delito de pornografía infantil. La pornografía infantil es un delito cuando se crea, se posee o se distribuye. Se considera pornografía infantil la protagonizada por quien no ha cumplido los 18 años. Si te llegan este tipo de imágenes, bórralas de inmediato. Si crees que su difusión está dañando a alguien, ponlo antes en conocimiento de una persona adulta.

c). La imagen es un dato personal cuyo uso está protegido por la Ley. La imagen de alguien no se puede utilizar sin el consentimiento de la persona implicada. En ciertos casos hace falta incluso otro tipo de autorizaciones. No lo olvides. Si hay problemas, esto puede ponerse sobre la mesa y comprometerte.

d). Recibir o tomar una imagen de una persona no te da derecho a distribuirla. El hecho de contar con una imagen (fotografía o vídeo) en tu teléfono móvil no significa que tengas derecho a hacer con ella lo que quieras. Son cosas diferentes. Incluso si te dieron permiso para tomar la imagen, no significa que la puedas enviar a terceros.

e). La Ley actúa siempre, también para los menores, con Internet y los móviles. Que todo el mundo lo haga, que consideres que no van a poder identificarte, o que seas menor de edad no te libra del peso de la justicia. Las leyes están para protegerte y por eso actúan en todos los ámbitos. También protegen a los demás, y te pedirán cuentas si no respetas las reglas.

f). No participes con tu acción, tu risa o tu omisión. Cuando el sexting deriva en humillación y acoso colectivo, la víctima sufre un daño enorme, un sufrimiento extremo. Si lo promueves y lo jaleas, eres responsable. Si te callas, tu silencio ayuda a quien acosa y hiere a la víctima.

 

Share

LAS BRECHAS DE SEGURIDAD

La seguridad de la información constituye el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma, y tal como señala Wikipedia, el concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

a). Crítica: Es indispensable para la operación de la empresa

b). Valiosa: Es un activo de la empresa y muy valioso.

c). Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

a). Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.

b). Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos. Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información. Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran. La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma

Recio ha señalado que desde hace ya algunos años la información está definida como el activo más valioso de una compañía (los costes derivados de pérdida de seguridad no son sólo costes económicos directos, sino que también afectan a la imagen de la empresa), por lo que, cada vez más, la seguridad de la información forma parte de los objetivos  de las organizaciones y, sin embargo, y a pesar de esa concienciación generalizada, muchas compañías no se enfrentan a este aspecto con la globalidad con la que debiera tratarse. Además de esta falta de visión global, existe otro factor que afecta a la estrategia de seguridad de una organización: la dispersión de las inversiones de seguridad en múltiples nichos desalineados con el objetivo global, de modo que la focalización en cuestiones concretas de seguridad hace olvidar el objetivo estratégico. Cuando una empresa define la seguridad de la información como prioridad, estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea la necesidad de instalar mecanismos, llamémosles físicos, que permitan controlar los riesgos asociados a la seguridad más inmediata.

La Seguridad de la Información, por tanto, según afirma AEC, tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Podemos entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen. La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. Conviene aclarar que la seguridad absoluta no es posible, no existe un sistema 100% seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.

No obstante ello, en la práctica, según pone de manifiesto TicBeat el año 2015 fue un año proclive a la producción de quiebras en la seguridad de la información, pues se produjeron múltiples brechas o fugas de información, que tuvieron una repercusión mediática ciertamente relevante. Entre otras, y como ejemplos más conocidos y relevantes de supuestos de brechas de ciberseguridad, deben destacarse por su importancia las siguientes:

a). Ashley Madison: 37 millones de infieles expuestos

El portal de citas para personas casadas Ashley Madison vio como este año se hacían públicos los datos e identidad de nada menos que 37 millones de sus usuarios, para los cuales la privacidad era algo clave. Una brecha de seguridad proporcionó acceso no autorizado a un grupo de hackers a información de los usuarios y trabajadores del sitio.

b). T-Mobile

Hasta 15 millones de personas, muchos de ellos clientes de la operadora T-Mobile, una de las más importantes de Estados Unidos, se vieron afectadas este 2015 por una brecha de seguridad que se ha producido en los servidores de Experian, una multinacional de información crediticia con la que trabaja dicha compañía telefónica.

c). El ‘bug’ en los ordenadores de Dell

Desde el pasado mes de agosto, algunos modelos de PC del fabricante Dell incluían un fallo de fábrica que permitiría a los hackers interceptar el tráfico encriptado que desde ellos se hacía en la red. Así lo aseguró Joe Nord, un investigador especializado en ciberseguridad, que fue el encargado de poner de relieve este problema.

d). Ni los niños están a salvo

En este 2015 también constatamos que las ciberamenazas no distinguen de edad. Así, el fabricante de juguetes educativos para niños Vtech informó este año que había sufrido un acceso no autorizado a su base de datos, en el que habían quedado expuestos los datos personales de 4,9 millones de clientes adultos y 6,4 millones menores de edad.

e). Las primarias demócratas en EEUU, a expensas de las ciberamenazas

Este mismo mes de diciembre conocimos un error técnico en NGP VAN, el software que utilizan los equipos de Hillary Clinton y Bernie Sanders, candidatos demócratas a la Casa Blanca, para acceder a los datos de los posibles votantes, una información crucial para la recaudación de fondos privados.

Dicho fallo provocó que los asesores de Sanders tuvieran acceso temporalmente a los datos de Clinton, como John Uretsky, director nacional de datos de la campaña de Sanders, que se habría valido de este fallo técnico para acceder en repetidas ocasiones a la base de datos de los votantes de Clinton.

A juicio de Enigmedia, a  pesar de que las empresas estén concienciándose progresivamente y estén empezando a impulsar medidas internas para mejorar van por detrás de los hackers o ladrones de información. Como resultado de esta actividad las fugas de información o  brechas en la seguridad digital, más comunes, desde la perspectiva de las causas o elementos que los producen, son las que se citan seguidamente a título de ejemplo:

a). Malwares a través del phishing: un ataque mediante emails. El emisor suplanta la identidad de una empresa conocida (últimamente Correos) e invita al usuario a descargarse un archivo para poder recuperar un paquete. De esta forma instala el malware en nuestro equipo y cifra toda la información. La única forma de recuperarla es pagando el rescate que nos piden (oscila entre 100 y 500€).

b). Comunicaciones inseguras y robo de información: Las empresas manejan una gran cantidad de información que puede ser sustraída con fines delictivos. Credenciales bancarias o información confidencial, todo es susceptible de ataque para sacar un beneficio económico con su venta o por espionaje industrial. Todo ello se facilita si nuestras comunicaciones son inseguras. A pesar de tener poca visibilidad en la sociedad actual, los ataques pueden hacer muchísimo daño y conseguir un beneficio económico multimillonario.

c). Empresas pequeñas también son objeto de ataques: Aunque la gran mayoría de las pequeñas empresas piensen que no son susceptibles de ser atacadas porque los ciberdelincuentes no “perderán su tiempo” con ellos, la realidad es otra. Al considerar que no corren peligro, las pymes no invierten tanto en seguridad y los ataques son mucho más fáciles de perpetrar. Para algunos hackers o ladrones de información es la principal razón de atacar.

d). Software desactualizado: El 19,26% de empresas siguen utilizando Windows XP, un sistema operativo al que Microsoft dejó de ofrecer soporte técnico hace poco más de un año. Se ha convertido en un nido de malware.

e). Establecer y comunicar la política de seguridad: Dentro de la empresa todos los empleados deben saber cuáles son las decisiones que se han tomado. Es decir, hay que establecer una política común en todos los departamentos para que no haya brechas en la seguridad. Por ejemplo, la forma de conectarse a redes inalámbricas o qué guardar en la nube u otro tipo de almacenamiento y cómo hacerlo. Si no se hace así, puede haber problemas porque cada empleado hará lo que le parezca.

Enigmedia, también señala como medidas necesarias para evitar los ataques a una empresa las que se citan a continuación

a). Crear listas blancas: Además de no confiar en emails que no esperemos o en aquellos que contengan fallos de ortografía o mezcla de idiomas, es aconsejable, crear listas blancas que recogen los objetos conocidos como legítimos. De esta forma cuando un empleado desea abrir un archivo éste pasa automáticamente por una base de datos que certifica que ya se ha utilizado con anterioridad y que no contiene software malicioso. Antes se creaban listas negras, una base de datos con archivos dañinos para impedir de manera automática que estos puedan ejecutarse y afectar a un determinado equipo o red. Pero esta segunda vertiente tiene el problema de que los ciber delincuentes crean ingentes cantidades de malware a diario, en su mayoría pequeñas variaciones de uno. Es más aconsejable ir clasificando lo conocido.

b). Cifrado: el robo de información y las comunicaciones inseguras se pueden evitar cifrando y securizando las comunicaciones. En un informe publicado recientemente por Tecnalia, la empresa vasca aboga por el cifrado completo y el establecimiento de contraseñas robustas como medida obligatoria para todos los ordenadores portátiles y smartphones que se utilicen en una empresa. De esta forma evitaremos que los ladrones de información o hackers puedan hacerse con información privada. Podemos tener un buen sistema de seguridad, pero si nuestras comunicaciones no son seguras los hackers tendrán un acceso muy simple a todo eso que queremos proteger.

c). Invertir en seguridad: Obviamente sin derrochar todo el presupuesto y con proporcionalidad al tamaño de la empresa, pero teniendo en mente que hoy en día cualquiera puede ser víctima de un ataque. Los ciber delincuentes han visto que las empresas pequeñas son mucho más vulnerables y a pesar de que la cuantía del botín es considerablemente menor, optan por la rapidez y las facilidades.

d). Actualizar software: No es la panacea, pero si sus buscadores, el sistema operativo, el antivirus y demás programas están actualizados habrá cerrado una puerta de entrada a los ladrones de información.

e). Política de formación e información: informar periódicamente a los trabajadores de las medidas de seguridad que se van implementando: dónde guardar la información, cómo hacerlo, etc. El diseño de un sistema infranqueable no sirve para nada si aquellos que deben usarlo no saben cómo hacerlo. Al final, ese desconocimiento conllevará problemas y un punto débil ante ataques.

Por tanto, el punto fundamental de partida para el establecimiento y mantenimiento con garantías de éxito de la seguridad de la información es la definición clara de objetivos a partir de los cuales desarrollar las políticas y procedimientos que definan el marco en el que situar las medidas de seguridad a implantar, teniendo en cuenta, tal como afirma Recio, aspectos como las leyes que rigen en materia de seguridad el espacio geográfico en el que se ubica la organización LOPD, por ejemplo, en España), los compromisos con terceros en el cumplimiento de normas que tenga la compañía (SAS70, 27001, etc.) y, por supuesto, el día a día del negocio.

Share

“¿QUÉ ES UN “INFLUENCER”?” o “LOS INFLUENCERS: TODOS SOMOS CRISTIANO RONALDO”

Un “influencer”, es un nuevo protagonista nacido del desarrollo de las nuevas tecnologías, concretamente, en este caso, de las redes sociales. Se puede afirmar que un “influencer” es una persona que cuenta con cierta credibilidad sobre un tema concreto, y por su presencia e influencia en redes sociales puede llegar a convertirse en un prescriptor interesante para una marca. Son, por tanto, personas de gran presencia social, y sobre todo, por la indicada credibilidad, relevancia y presencia que poseen en las redes sociales, fundamentalmente  gracias a su popularidad y el conocimiento que se tiene del mismo en determinados sectores.

Las razones por la que interesa contactar con un “influencer” estriban en que a menudo, los “influencers” partiendo de esa “credibilidad”, tienen un mayor alcance y popularidad que la propia marca en si, por lo que la viralidad que éstos pueden conseguir es mayor. Normalmente consiguen llegar a nuevos clientes potenciales e invitarlos indirectamente a probar un determinado producto, debido al respeto y la atracción que los mismos llegan a tener entre sus fans, seguidores y partidarios.

Los “influencers” son capaces de influir, como su propio nombre indica, en las personas. Sin embargo, con la generalización del uso de las redes sociales, los “influenciadores” online han disparado su capacidad de acción, tal como señala el Diario ABC. Según Núria Mañé, consultora de comunicación, “los influenciadores” digitales son aquellos usuarios capaces de difundir mensajes a través de sus seguidores/amigos de manera efectiva con el objetivo de generar un WOM positivo. En el mundo del marketing, Word of Mouth Marketing (WOMM) es una tendencia clave, que consiste en cómo las marcas se preocupan por sus clientes, con los que intentan mantener un diálogo y una buena relación. Y eso lo hacen a través de los “influencers”. En cualquier estrategia de marketing o posicionamiento cada vez tiene más relevancia el C2C (consumer to consumer) y en concreto el papel de los “influencers”. Tal y como ha comprobado el reciente «Estudio Anual de Redes Sociales 2016», elaborado por la asociación de publicidad, marketing y comunicación digital en España IAB Spain, el 85% de los encuestados declaró que sigue a “influencers” a través de las redes sociales, especialmente las mujeres. Además, el informe señala que los temas de mayor interés son la actualidad, política y sociedad y moda, mientras que las redes sociales favoritas para estar al día de estas personalidades son Facebook (63%), Twitter (34%), YouTube (20%) e Instagram (17%).

De conformidad con Inboud Marketing para acertar y  elegir bien a un “influencer”, debemos tener en cuenta fundamentalmente, estas tres premisas:

a). Su capacidad de generar opiniones y reacciones en otros usuarios cuando habla sobre una temática en concreto: Si algo les caracteriza es su capacidad de generar conversación en torno a un tema o marca, debemos saber aprovechar este aspecto.

b). El potencial de audiencia de un “influencer” sobre una temática determinada: Los seguidores de “los influenciadores” son más valiosos por su calidad que por su cantidad.

c). El nivel de participación en la conversación sobre el tema en cuestión: La implicación del “influencer” en la acción es fundamental para garantizar su éxito.

Aunque los “influencers” ya existían antes de su llegada a internet, han ido tomando popularidad a raíz del auge de las redes sociales, debido a la capacidad de viralizar de éstas. Encontrar a los “influencers” digitales no es difícil; para escoger al adecuado para una marca en concreto, se debe tener la suficiente información primero, y además, conocer algunos bloggers o usuarios de redes sociales que puedan interesar en el sector donde se desarrolla la actividad, y medir el alcance que pueda tener. Además, se debería tener en cuenta el perfil de sus seguidores; no tienen el mismo público un youtuber de 20 años, y un presentador de informativos en la televisión. Probablemente también habrá diferencias entre la difusión que tienen los contenidos de uno u otro, que no tiene por qué ir relacionado con el número de seguidores (un tuitero puede obtener muchos RT’s de gente, que ni siquiera le sigue). Independientemente de la elección que se lleve a cabo, es importante que quien vaya a actuar como “influencer” para una marca sea alguien que aporte valor específico a la misma.

A raíz de todo ello, ha nacido el llamado “marketing influyente”, el cual constituye una forma de marketing que ha surgido a partir de una variedad de prácticas y estudios recientes, en la que se enfocan en las claves específicas de los individuos más que en el mercado objetivo en su conjunto. Identifica a las personas que tienen influencia sobre los compradores potenciales, y en las actividades de marketing orientadas en torno a estas personas influyentes. Por ello, se puede afirmar que básicamente constituye una nueva estrategia en la que una empresa y una o varias personas influyentes colaboran para crear una imagen de marca. Como se ha indicado anteriormente, los “influencers” son aquellas personas que normalmente tienen conocimientos sobre algún sector en particular (aunque no siempre es así, especialmente si el “influencer” en cuestión es famoso), y suelen compartir en Internet su experiencia con un producto concreto. En su consecuencia, pueden ser tanto figuras famosas como individuos imparciales, y que, en principio, nada tienen que ver con la marca, pero quieren compartir su opinión. A menudo, también pueden ser contratados por las propias marcas para que haga una review o reseña sobre ella, siendo conscientes de las probabilidades que hay de que esa opinión se propague. En resumen, un “influencer” es una figura que puede ser muy útil para una marca, siempre y cuando se elija la persona y el modelo adecuado, teniendo en cuenta sus características principales. Después de ello, sólo queda contactar con él y esperar que acepte, aunque posiblemente cualquier persona haya actuado como “influencers” alguna que otra vez, aunque sea de manera inconsciente.

Debe tenerse presente, que la llegada de la web 2.0 presentó un panorama en el que la opinión de cualquier usuario podía generar una corriente de opinión. Desde hace tiempo en las facultades de periodismo se pone el ejemplo del escándalo Clinton-Lewinsky (1998) como una de las primeras noticias que se difundió antes por internet que en los medios tradicionales. Hoy, ese es el día a día, y rara es la noticia que no se propaga más (y no necesariamente mejor…) por internet. Todo ello constituye una oportunidad, y a la vez, un riesgo para cualquier marca o personaje preocupado por su éxito corporativo o personal. Sobre la base de estos argumentos, Oscar del Santo, experto en reputación online defiende la siguiente fórmula: Éxito Online = (Nº de promotores de tu marca) x (Nivel de influencia de los promotores)

Habitualmente se suele distinguir entre  dos tipos o categorías diferentes de de “influencers”. Estas son:

a). El nativo digital: que es teóricamente imparcial. A menudo es el “influencer” de forma espontánea e inconsciente; le gusta una marca y la recomienda. Otras veces es contactado por las propias marcas para probar sus productos puesto que aportan credibilidad.

b). La celebrity online: es básicamente eso, alguien influyente off line que en un momento dado extrapola esa popularidad a internet. Para las marcas, puede ser tan efectivo como la publicidad convencional y, desde luego, mucho más barato.

Según un estudio de Movistar, el 56% de las mujeres y el 54% de los hombres han tenido en cuenta alguna vez las recomendaciones de personas a las que siguen en entornos sociales. Por lo tanto, se podría concluir que un “influencer” es un gran altavoz. Por el número de seguidores, interacciones, shares y retuits, los “influencers” se han convertido en los principales encargados de dar impulso a los primeros pasos de cualquier persona en las redes sociales. Los “influencers” son profesionales ligados a áreas concretas de actividad con gran notoriedad y reputación en las redes. Salvando las exageraciones, se puede afirmar que, para que los “influencers” pueden convertir en oro todo lo que tocan (citan o comparten) por tres motivos:

a). Aumentan el tráfico y disminuye la tasa de rebote de cualquier site: se presupone que los “influencers”, si han logrado semejante estatus, es debido a sus altas dosis de creatividad y, sobre todo, por compartir contenido interesante y de alta contribución al conocimiento.

b). Atraen público de alta calidad: los “influencers” tienen una importante audiencia. Son canales de noticias en sí mismos y divulgadores de la última moda en cualquiera que sea el área de actividad que pueda interesar. Aglutinan profesionales de un determinado sector.

c). Impulsan las conversiones: la finalidad última de una actividad de e-commerce siempre debería ser que el pitón del embudo se cierre con una transacción económica. Los “influencers” empujan a que entren nuevos visitantes, y al mismo tiempo, suponen una ocasión única para que un ingente número de internautas compren un determinado producto o contraten un  servicio concreto.

Para Sol Romeo, la estrategia on line que pasa por contactar con un “influencer” presenta otros beneficios, que se deben tomar en consideración. Estos son los siguientes:

a). Mejoran el posicionamiento de la marca asociándola a una persona conocida.

b). Logran una mayor credibilidad para que se recomiende un  producto concreto y determinado.

c). Aumentan las llamadas “conversiones” a un producto. Si se logra que un “influencer” hable bien de un producto, sus seguidores querrán conocerlo y probarlo.

d). Permiten conectar con el público de forma más cercana y efectiva.

e). Puede ayudar a llegar a la audiencia de una manera creativa.

f). Incrementan la receptividad de los mensajes. Los “influencers” saben bien cómo comunicarse con sus seguidores, y esto hará que cualquier mensaje tenga mucha más llegada.

Habiendo comprendido que lograr la cita directa o mención del “influencer” impacta positivamente en cualquier negocios digitales, es el momento de averiguar cómo se puede hacer que fijen la mirada definitivamente en una site o en un producto específico, de entre el ingente número de compañías que, como les buscan. El simple hecho de caerles en gracia no es suficiente. Si se piensa que, al primer intento, un “influencer” va a promocionar un determinado site como si fuera el mejor anuncio de marcas de tanto prestigio como pueden ser la de Coca Cola, es mejor olvidarlo. Únicamente el trabajo constante: demostrar, que no es una cuestión meramente pasajera, sino que el mantenimiento y el desarrollo de nuestra creatividad, lo más probable es que  provoque un cierto efecto de  permanencia en el tiempo y, consecuentemente ,el mismo  aporte un valor práctico que a la larga, despierte el chip del “influencer” y por ello la relevancia del producto o la site en cuestión. Es obvio que, para ello, se necesita determinada actividad que se concreta en acciones como: citarle, retuitearle, comentar en su página correspondiente y, sobre todo, ofrecer contenido de altísima calidad. Si no se rebasa el límite de lo cansino, el retorno puede ser espectacular.

También debe tenerse en cuenta que los influyentes pueden ser los compradores potenciales a sí mismos, o pueden ser terceros. Estos terceros existen en la cadena de suministro (minoristas, fabricantes, etc.) o pueden ser llamados influyentes de valor añadido (como periodistas, académicos, analistas de la industria, asesores profesionales, etc.).

Como se evidencia de las anteriores consideraciones el “influencer” constituye básicamente una nueva figura de nuestro tiempo, tomando como punto de partida de su creación básicamente el desarrollo de las nuevas tecnologías, y las novedosas formas de comunicación que hoy en día existen en nuestras sociedades. Ello ha tomado cuerpo también, gracias a las prácticas de marketing más novedosas.  En este momento, nada hay descrito sobre el estatuto jurídico de “los influyentes”[, por lo que deberemos aplicar normas y conceptos jurídicos generales, y especialmente con relación a estas figuras deberemos atenernos a los pactos contractuales que se hayan suscrito específicamente para el desarrollo de dichas campañas promocionales en particular.

Share

LOS CHATBOT

¿PODRÁ ALGÚN DÍA UNA MÁQUINA HACER CREER A UN HUMANO QUE ELLA TAMBIÉN ES UN SER HUMANO?: LOS “CHATBOT”.

Si una máquina se comporta en todos los aspectos como inteligente, entonces debe ser inteligente”. Esta premisa, y casi convicción, llevó a Alan Turing a exponer en la prestigiosa revista filosófica Mind su pensamiento ante la comunidad científica británica. Su artículo, publicado en 1950 bajo el título “Computing Machinery and Intelligence”, ahondaba sobre la inteligencia artificial haciéndose una sencilla y trascendental pregunta: ¿pueden las máquinas pensar?

A tal cuestión cabe responder que probablemente en un futuro no demasiado lejano, las mismas podrán hablar y mantener una conversación racional, de manera no diferente a las capacidades que tiene el ser humano. Y con relación a este concepto, surgen los llamados “bot” de charla” o “bot” conversacional”, o “chatbots”, los cuales constituyen un programa que simula mantener una conversación con una persona al proveer respuestas automáticas a entradas hechas por el usuario.

En este sentido, y ahondando en este concepto, cabe cuestionarse  si efectivamente ¿podrá algún día una máquina hacer creer a un humano que ella también es un ser humano?

Habitualmente, la conversación se establece mediante texto, aunque también hay modelos que disponen de una interfaz de usuario multimedia. Más recientemente, algunos comienzan a utilizar programas conversores de texto a sonido (CTV), dotando de mayor realismo a la interacción con el usuario. Para establecer una conversación han de utilizarse frases fácilmente comprensibles y que sean coherentes, aunque la mayoría de los “bot” conversacionales no consiguen comprender del todo. En su lugar, tienen en cuenta las palabras o frases del interlocutor, que les permitirán usar una serie de respuestas preparadas de antemano. De esta manera, el “bot” es capaz de seguir una conversación con más o menos lógica, pero sin saber realmente de qué está hablando.

En este orden de cosas cabe señalar  que la dificultad de su programación hace que conseguir un resultado decente suponga una gran inversión de recursos. Sin embargo, la mejora en el desarrollo y modulación tanto de las librerías de vocabulario, como de los algoritmos de inteligencia artificial, están simplificando la elaboración de estos “bots”. De esta manera, se estima que para el año 2019 la producción de estos “bots” llegará a ser tan común, que incluso cada persona podría contar con un “bot” personalizado a sus necesidades. No olvidemos que tienen muchísima utilidad a la hora de dar información rápida acerca de un sistema o zona, y que se pueden convertir en auténticos especialistas en materias muy concretas, debido a la capacidad de aprendizaje que incorporan algunos de ellos.

Pero un “chatbot” es un software capaz de comunicarse con los humanos usando inteligencia artificial. El uso de la inteligencia artificial crea rentables interacciones entre consumidores y empresas en los servicios de mensajería. Así fue como comenzó la invasión de los “bots” en el sector tecnológico. Como ha quedado dicho, los “bots” son programas informáticos que realizan tareas automatizadas y están presentes desde hace tiempo en la web, por ejemplo escaneando páginas indexadas por motores de búsqueda o transformando las computadores en zombis durante un ataque cibernético. Pero últimamente hay una novedad que da mucho de qué hablar: los “chatbots”. Estos “diálogos robotizados” se han vuelto interactivos gracias a un toque de inteligencia artificial que consigue sostener una conversación con un humano en un servicio de mensajería o una red social. Así se venden servicios, artículos o boletos de avión.

Tal como se afirma en El Economista, hoy en día las apps de mensajería están convirtiéndose en uno de los servicios más utilizados por los usuarios de dispositivos móviles. Por esta razón, varios sectores están incorporando estos canales a sus modelos de negocio, un servicio que no estará controlado por  personas, sino por robots”. En este sentido, tanto editores como apps de mensajería están centrando todos sus esfuerzos en el desarrollo de softwares de inteligencia artificial para crear “chatbots”, es decir, “bots” capaces de entablar conversaciones con los usuarios. Dos compañías que ya han decidido acoger esta nueva tecnología son el Washington Post y la plataforma Outbrain, los cuales emplearán “bots” para la distribución de sus contenidos.

Estos asistentes cuentan con una serie de características que les permiten actuar como si fueran un ser humano. La primera de ellas tiene que ver con la tecnología de procesamiento del lenguaje natural. Y es que los “bots” podrán entender las peticiones realizadas por los internautas de tal manera que no estarán perdidos ante posibles variaciones e interpretaciones que las personas hacen del lenguaje.  Otra de las capacidades que define a los chatbots” tiene que ver con su facilidad para adquirir nuevos conocimientos. Independientemente del ámbito en el que opere un “bot”, sus conocimientos sobre el área en cuestión serán básicos, de tal forma que su relación con cada persona será única ya que irá aprendiendo y adaptándose en base a la información que le suministre cada usuario. Esta funcionalidad es posible gracias al desarrollo de la Inteligencia Artificial.

De esta forma, ya existen asistentes personales como Siri y Cortana, aunque todavía presentan fallos y tienen mucho que mejorar. Sin embargo, la construcción de esta característica requiere de un gran trabajo puesto que puede generar demasiada autonomía en los “bots” y al finalmente pueden terminar aprendiendo más de la cuenta. Esto es lo que le sucedió a Tay, el “chatbot” creado por Microsoft, el cual comenzó a realizar comentarios racistas y misóginos en las redes sociales. La presencia de los “chatbots” en la sociedad ya es una realidad y todo apunta a que serán la nueva corriente a tener en cuenta en el mundo de la tecnología, por lo que las principales compañías tecnológicas, como Google o Facebook, desarrollarán sus propios servicios de “bot”s. Aunque estas herramientas pueden ser un arma de doble filo porque pueden causar el desuso de los servicios que disponen las tecnológicas ante la oferta de posibilidades que pueden llegar a ofrecer los “chabots”.

La principal razón se achaca a la rapidez con la que mejoran los softwares de Inteligencia Artificial, siendo los culpables de este auge las principales tecnológicas de Silicon Valley como Facebook y Google, entre otros, según se señala en El Economista. Y es que la IA permite a los ordenadores procesar el lenguaje, y en el fondo conversar con las personas, de una forma que nunca antes se había visto.  Otro motivo tiene que ver con las oportunidades que ofrece esta tecnología para convertirse en una nueva fuente de ingresos.

En este sentido, Messenger de Facebook, que cuenta con 900 millones de usuarios, se ha volcado de lleno en el desarrollo de “bots” para que tanto editores como empresas puedan ofrecer sus servicios y productos a través de este canal. De esta forma, los fabricantes e inversores buscarán aprovechar de la mejor manera posible este mercado potencialmente lucrativo. Las tecnológicas no están centrando todos sus esfuerzos en la creación de “bots” por casualidad. Está claro que con este mercado se pueden obtener importantes beneficios económicos de tal manera que existen oportunidades para generar ingresos a través de las suscripciones, la publicidad y el comercio electrónico. En base a este planteamiento, si los “bots” permiten ahorrar tiempo a los usuarios, es posible que se adopten modelos de suscripción para disponer de ellos. Además, si un “bot” remplaza a las funciones de los motores de búsqueda de Google, puede que incorporen contenidos publicitarios. Y por último, si el “bot” influye en la decisión de una compra de comercio electrónico, el creador del software podría obtener una comisión.

Se puede afirmar, por tanto, que hoy por hoy los “bots” representan una extensión natural de los comportamientos ya existentes en los consumidores,  y consecuentemente con ello, hablar con un “bot” para hacer alguna actividad es más cercano a la comunicación normal entre humanos que tener que hacer malabarismos entre distintas aplicaciones. En este sentido, debe recordarse el llamado “test de Turing” (o prueba de Turing) que constituye una prueba de la habilidad de una máquina de exhibir un comportamiento inteligente similar, o indistinguible, del de un humano. Alan Turing propuso que un humano evaluara conversaciones en lenguaje natural entre un humano y una máquina diseñada para generar repuestas similares a las de un humano. El evaluador sabría que uno de los miembros de la conversación es una máquina y todos los participantes serían separados de otros. La conversación estaría limitada a un medio únicamente textual como un teclado de computadora y un monitor por lo que sería irrelevante la capacidad de la máquina de transformar texto en habla.

En definitiva, Turing proponía un juego de imitación. Para dicho juego era necesario la presencia de un juez, ubicado en una habitación aislada, y un individuo y una máquina en otra. Ambos responderán por chat a las preguntas que les realizara el interrogador. La máquina había de hacerse pasar por un ser humano; si el juez es incapaz de distinguir entre el individuo y el ordenador, se considera entonces que la máquina ha alcanzado un determinado nivel de madurez, y por tanto, que es “inteligente”.

En el caso de que el evaluador no pueda distinguir entre el humano y la máquina acertadamente (Turing originalmente sugirió que la máquina debía convencer a un evaluador, después de 5 minutos de conversación, el 70% del tiempo), la máquina habría pasado la prueba. Esta prueba no evalúa el conocimiento de la máquina en cuanto a su capacidad de responder preguntas correctamente, solo se toma en cuenta la capacidad de ésta de generar respuestas similares a las que daría un humano. Esa era la propuesta de Turing: puestos a debatir si las máquinas pueden pensar, dejemos de reflexionar de manera teórica, atrapados en definiciones imposibles, cambiemos de tercio y veamos, de manera práctica, si una máquina se puede comportar de manera indistinguible de un ser humano.

Actualmente, una de las aplicaciones de la prueba de Turing más extendida es el control de spam. Este correo basura es generalmente enviado por un ordenador, así que el test de Turing puede usarse para distinguir si el remitente es humano o una máquina. En el CAPTCHA, “Completely Automated Public Turing test to tell Computers and Humans Apart” (prueba de Turing pública y automática para diferenciar máquinas y humanos), esa conocida sucesión de números y letras, su ‘juez’ es, paradójicamente, un ordenador.

Hoy en día más de 25 compañías están usando ya “chatbots” a través de Messenger. Sin embargo, en la actualidad hay dudas acerca del impacto que tendrán estos asistentes virtuales en los negocios, debido a los reparos que pueden tener muchas empresas a la hora de dejar su atención al cliente en manos de la inteligencia artificial. Y siendo realistas, debe tenerse presente que se necesita tiempo y más avances en términos de inteligencia artificial para que esta novedad se adopte masivamente. No obstante ello, es del todo probable que los “chatbot” coexistan por ahora con las aplicaciones y los sitios web, pero se popularizarán rápidamente entre los usuarios más conectados, aquellos que adoptan activamente un estilo de vida netamente digital.

Share

NO TODOS SOMOS IGUALES ANTE INTERNET

Nicholas Negroponte señalaba que “cualquier tecnología unida a la ciencia produce un cambio en la forma de vivir y de entender la realidad”. En los últimos años se ha producido un intenso y acelerado conocimiento del universo, y además, la tecnología ha permitido la transformación de este mundo y de los propios seres humanos. El concepto de evolución atiende a  la transformación a lo largo del tiempo de elementos culturales de una sociedad (o una parte de esa). La transformación que se está produciendo en nuestras sociedades se evidencia en el desarrollo de los usos, costumbres, religiones, valores, organización social, tecnología, leyes, lenguajes, dispositivos, herramientas, transportes-, y la misma se desarrolla por la acumulación y transmisión de conocimientos para la mejor adaptación al medio ambiente. Al hilo de ello, son frecuentes las encuestas relativas a las circunstancias de las personas que tienen acceso y  usan Internet. En ellas, llama la atención la enorme desigualdad que se está produciendo entre las mismas, en cuanto a la posibilidad de acceso a esta red de redes, lo que determina la existencia de cada vez mayores diferencias  en cuanto a su posibilidad de este uso, en función de la  condición de la persona:

  • El género, dado que hay una relación entre los usuarios, de 1 a 3 a favor de los varones.
  • La edad. La mitad de los usuarios tienen una edad intermedia, comprendida entre 25 a 44 y 14 a 24 años, experimentado una reducción muy significativa a partir de los 45 años.
  • La clase social. Está siendo un producto para la clase alta y media alta (casi el 60% de los usuarios), y apenas extendido entre los grupos sociales inferiores.
  • Nivel de estudios. Prácticamente todos los usuarios tienen estudios secundarios o universitarios, dado que no llega al 1% la proporción de aquellos que utilizan internet y no han alcanzado este nivel de instrucción.
  • Estado civil. Destaca su utilización por parte de los solteros en una proporción muy significativa.
  • Rol familiar. Las ‘amas de casa’ se encuentran en una situación de desigualdad frente al padre de familia.
  • Hábitat. El nivel de utilización de internet está en relación directa con el hábitat, siendo superior en la ciudad, lo que hace suponer que su nivel de implantación en el medio rural es muy reducido.

Este panorama evidencia la existencia de nuevas fuentes de desigualdades sociales, que determinarán una importante brecha y fragmentación de la sociedad, como consecuencia de la posibilidad y la capacidad de acceso de las personas a las nuevas autopistas de la información y de la comunicación. Estas nuevas diferencias sociales, sin duda alguna, determinarán a la vista de la encuesta, que, a medio plazo, exista  un déficit de acceso a los medios de conocimiento, especialmente por parte de las mujeres, de las personas que tengan más de 45 años, de las clases menos pudientes económicamente, de los casados, de las “amas de casa”, y de aquellas personas que desarrollan su actividad en el medio rural.

Estas dificultades de integración social son, sin lugar a dudas, preocupantes, porque del análisis de las mismas, es evidente que se están produciendo, y van a generar con mayor profusión en un futuro inmediato,  diferentes niveles de bienestar y de calidad de vida, teniendo en cuenta que las perspectivas de desarrollo social, cultural y económico, y por qué no jurídico, estarán sustentadas cada día más sobre la base del acceso y el uso a las nuevas tecnologías. En este sentido, no hay que olvidar que este desarrollo tecnológico es ya una realidad que supone un cambio radical en la forma de trabajar, de entender las relaciones sociales, económicas y comerciales, y que conlleva rediseñar las estructuras organizativas de la vida e invertir en nuevos talentos y conocimientos.

Se dice que la globalización aumenta la sensibilización ante las diferencias. Por ello se ha señalado que la tecnología une al mundo de muchas maneras. El dinero, las ideas, la información, el conocimiento y las imágenes se mueven a través del mundo casi instantáneamente. Cada momento en la historia y la complejidad de la vida social se abren a una pluralidad de interpretaciones que suceden dentro de distintas trayectorias. Esta diversidad prueba la resiliencia de la sociedad. La cultura cambia en respuesta a las estrategias de la gente para adaptarse y todos somos conscientes de los cambios operados en cada sociedad en los últimos tiempos. La sociedad aprecia los beneficios de la tecnología de “Internet” (mejores servicios, acceso rápido a la información, oportunidades de entretenimiento, etc.) pero también se preocupa por el lado negativo potencial de la tecnología. Si en una sociedad no se garantiza esa igualdad de oportunidades tecnológicas, constituye una consecuencia inevitable, que hablemos de ciudadanos de primera frente a otros de diferente categoría, generando a las postre nuevas desigualdades que jurídicamente se van a manifestar en múltiples aspectos de la vida de las personas, creando nuevos factores de discriminación, probablemente, de más difícil superación que los ahora existentes, y que, además, pueden escapar al control de las propias sociedades.

Por ello, en estos momentos de desarrollo tecnológico imparable, se hace necesario fomentar la igualdad ante Internet, eliminando cualquier case de barrera que impida su acceso o uso o provoque, a contrario sensu de las encuestas, desigualdades derivadas de la propia condición de la persona.

Share

EL DOCUMENTO DE SEGURIDAD: UN DOCUMENTO A REVISAR

Tal como señala Juan Carlos Galván, tuvieron que pasar más de 20 años desde la previsión contenida en el artículo 18.4 de nuestra Constitución (“La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”) hasta la promulgación de la Ley Orgánica de Protección de Datos de Carácter Personal, y unos cuantos más hasta su desarrollo reglamentario, donde por fin se ahondó en aquéllas cuestiones técnicas y tecnológicas que se referían a la seguridad. Aún tras este largo recorrido, la seguridad en la protección de datos constituye hoy en día un caballo de batalla con el que muchas empresas deben lidiar a diario, debido principalmente a una ley y un reglamento excesivamente rígidos que otorgan poco margen de maniobra a una seguridad sencilla y eficaz.

Y en este entorno se sitúa el llamado “documento de seguridad”, como más adelante se justificará es una de las partes fundamentales de la protección de datos. Es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. Para SBQ, el conocimiento de la utilidad, del contenido y de la importancia de este Documento de Seguridad es obligatorio para todos aquellos que están relacionados en algún punto con los ficheros empleados para el tratamiento de datos de carácter personal, sin embargo, muchas empresas desconocen la necesidad de disponer de este documento, convirtiéndolo en el gran desconocido.

Tal como señala la Agencia Española de Protección de Datos, en una de sus publicaciones, el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter personal, (LOPD) establece en su punto 1º que “el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural“.

Del mismo modo, el Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD que, en su Título VIII, establece las medidas de índole técnico y organizativo que los responsables de los tratamiento o los ficheros y los encargados de tratamiento han de implantar para garantizar la seguridad en los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de datos de carácter personal.

Entre estas medidas, se encuentra la elaboración de un documento que recogerá las medidas de índole técnica y organizativa acorde a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los datos de carácter personal, el cual ha de encontrarse siempre actualizado y revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento de datos, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados.

El documento de seguridad debe contener las medidas de seguridad, tanto técnicas como organizativas de la empresa, en relación a los datos personales que recoge y trata. Por tanto, el documento de seguridad contendrá:

a). Identificación de la empresa, sus servicios y ámbito de aplicación del documento de seguridad.

b). Los ficheros que la empresa tiene (clientes, pacientes, trabajadores, cámaras de seguridad, etc.) y su estructura, es decir, nombre del fichero, origen de los datos, forma de tratamiento de los datos (soporte papel o informático), tipos de datos que se recogen (nombre, apellidos, dirección postal, teléfono, dirección electrónica…), nivel de seguridad del fichero (básico, medio o alto) y la empresa encargada de gestionar el fichero si la hubiere (por ejemplo: la gestoría laboral es la encargada de gestionar el fichero de RRHH, en tanto y en cuanto, elabora las nóminas de los trabajadores).

c). Cuáles son las medidas de seguridad que las empresa tiene para proteger esos ficheros, señalar, entre otras: armarios cerrados con llave, despachos cerrados con llave, destructoras de papel en los despachos que contiene documentación en soporte papel, contraseñas personales en los ordenadores con acceso a datos personales, caducidad de las contraseñas, cómo, dónde y cuándo se hacen las copias de seguridad, dónde se guardan las referidas copias de seguridad, con qué periodicidad se hacen, cuál es el procedimiento a seguir en caso de que se produzca una incidencia en la empresa respecto a datos personales, etc.

d). Relación de los encargados del tratamiento, es decir, de las empresas a las que se ha contratado la prestación de un servicio y en función de dicha prestación tienen acceso a datos personales. Por ejemplo: la gestoría laboral, gestoría fiscal, la empresa de mantenimiento informático, la empresa de prevención de riesgos laborales, etc.).

e). Inventario de: los soportes con acceso a datos personales dónde se realizan las copias de seguridad, de los equipos informáticos que tienen acceso a datos y de los programas informáticos.

f). Lista del personal de la empresa con acceso a datos y las funciones de cada uno de ellos (a qué ficheros acceden y qué pueden acceder con los datos personales que tratan).

En este sentido el artículo 88.3 del RLOPD, establece:

El documento deberá contener, como mínimo, los siguientes aspectos:

  1. a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
  2. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
  3. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
  4. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
  5. e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
  6. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
  7. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Y el apartado 4 del mismo artículo añade:

  1. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el documento de seguridad deberá contener además:
  2. a) La identificación del responsable o responsables de seguridad.
  3. b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

A la vista de esta normativa, tal como expone SBQ, se debe entender que el Documento de Seguridad no constituye una documentación de carácter estático, sino como una ayuda para la gestión de la seguridad de los ficheros de datos y para adaptarse a las posibles evoluciones de la empresa.

Y Mar del Peso ha señalado que no hay que olvidar que el documento de seguridad debe mantenerse actualizado en todo momento y revisado no solamente cuando se produzcan cambios en las disposiciones vigentes en materia de seguridad de los datos de carácter personal, como en este caso, sino también cuando:

a). Se produzcan cambios relevantes en el sistema de información.

b). Se produzcan cambios relevantes en el sistema de tratamiento empleado.

c). Se produzcan cambios relevantes en su organización.

d). Se produzcan cambios relevantes en el contenido de la información incluida en los ficheros o tratamientos.

e).Como consecuencia de los controles periódicos realizados.

Consecuentemente con ello, el Documento de Seguridad es un documento esencial para que la empresa pueda gestionar adecuadamente la seguridad de los datos personales que contiene el o los ficheros de la empresa y, por ello, debe contener como mínimo los datos del ámbito de aplicación, el procedimiento de actuación ante incidencias, las medidas de seguridad en el caso de transportes de soportes y documentos, el procedimiento de realización de las copias de seguridad, las funciones del personal que están relacionados con los ficheros y el uso que pueden ejercer de ellos, etc. Todo ello para garantizar que sea cual sea su nivel de seguridad se establecen las medidas adecuadas para proteger los datos personales de que dispone la empresa y garantizar su seguridad. Por lo tanto, se puede indicar que es una parte esencial del cumplimiento de la Ley Orgánica de Protección de Datos, ya que no solo se debe afirmar que se protegen los datos y que los mismos son tratados adecuadamente, sino que hay que demostrarlo y poner las medidas que permitan que se garantice su correcta gestión y su seguridad.

Sin embargo, cabe reflexionar, si hoy en día el concepto y la normativa que regula el documento de seguridad no adolece del resto de la obsolescencia que se achaca a la normativa vigente en materia de protección de datos de carácter personal.

Juan Carlos Pascual ha señalado que dado que tenemos, y seguiremos teniendo, novedades que irrumpan en el mercado con nuevas y prometedoras funcionalidades, es necesario hacer un enfoque global y aplicar todas las herramientas que la tecnología nos ofrece para que la seguridad no se limite a un simple acto de levantar barreras e imponer restricciones. Necesitamos que la tecnología forme parte del proceso de diseño de cualquier elemento, que el concepto “security by design” esté presente en redes y sistemas y que la entrada en escena de nuevos actores que puedan asumir el protagonismo de la tecnología en cualquier momento no suponga un nuevo reto a la ciberseguridad. En este sentido, las fronteras de la información se vuelven borrosas y nunca podrá controlarse el número creciente de dispositivos que tratan de acceder a información restringida. Las empresas no tendrán control sobre los dispositivos con los que trabajan, así el enfoque debería ser “Choose Your Own Security”, construyendo una seguridad por capas que permita el nivel de acceso adecuado a los datos.

Y todo ello debe estar vinculado a la gobernanza de seguridad y el amplio enfoque al que deben aspirar las prácticas de seguridad, bien preparadas, engrasadas y ejercitadas para estar listas ante cualquier ataque. Pero también existe la necesidad de que los estándares de seguridad se establezcan en las relaciones inter-empresa de manera que las compañías que se relacionan y comparten información, colaboren también en las medidas y prácticas de seguridad.

Todas estas cuestiones exigen un replanteamiento de la seguridad en la protección de datos, y concretamente en el contenido del documento de seguridad, donde tengan entrada cuestiones nuevas que efectivamente potencien no sólo la seguridad de los datos, sino la mitigación de la ciberdelincuencia. En este sentido, cabe indicar que son escasas las empresas que en sus manuales internos, contemplan los procedimientos a seguir ante la producción de ciberincidentes, ante el que no es extraño que no se sepa cómo  reaccionar, o cómo afrontar la producción de una brecha de seguridad, desde las más complejas que comprometen el funcionamiento todo el sistema y la integridad de la información en el contenida, a las más elementales, como el simple extravío de un dispositivo móvil o un pendrive.

Estas cuestiones, si bien son ciertamente novedosas, cada día es más importante que formen parte de las políticas y de las medidas de seguridad que debe adoptar cualquier operador que trate datos de carácter personal, y  que no solamente no deben ser ajenas al contenido del citado “documento de seguridad”, sino que deberían pasar a formar parte esencial del mismo dada la trascendencia que habitualmente ellas tienen.

Por todo  ello, puede concluirse afirmando que la seguridad a la que se hace referencia, ha dejado de ser algo esencialmente estático, y de manera necesaria tiene que adaptarse y acomodarse a la evolución de la tecnología, y a las nuevas exigencias que la lucha contra la ciberdelincuencia lleva consigo.

 

Share

“EL CONCEPTO DE GRUPO EN LA LEGISLACION DE PROTECCION DE DATOS”

JAVIER PUYOL MONTERO

El tratamiento de datos en el seno de los grupos de empresas, sean puramente nacionales o de carácter transnacional, es una  cuestión que hoy por hoy necesita una seria reflexión en aras, de posibilitar tanto el cumplimiento de la normativa vigente, como el normal funcionamiento del conjunto de empresas que lo constituyen y su adecuado desarrollo económico. Es importante poner de relieve que todas las consideraciones que a tal efecto se efectúen deben aunar siempre estos dos elementos como premisas y puntos de partida. Es decir, el fomento tanto del desarrollo económico, como el cumplimiento de la legalidad.

En la Ley Orgánica 15/1.999, de 13 de diciembre de Protección de Datos de Carácter Personal no existen menciones concretas a esta concreta problemática, de la que si se encuentran menciones aisladas, y muy asistemáticas en el Reglamento de dicha Ley Orgánica, aprobado por el Real Decreto 1720/2.007, de 21 de diciembre, relativas a las “Transferencias Internacionales de Datos”, concretamente en el apartado 4º del artículo 70,  y en el apartado in fine del número 2º del artículo 137 del citado RLOPD, trayendo este último precepto causa del anterior.

En el análisis de estas cuestiones se ha de partir de un hecho bastante evidente, consistente en la propensión de la legislación vigente a establecer una regulación estrictamente basada en un plano individual, del que derivan y son buena muestra los conceptos de “responsable de fichero”, “responsable de tratamiento” y “encargado del mismo” sean estos personas físicas o jurídicas, tengan estas naturaleza pública o privada, y donde, a priori, no tienen cabida ni la pluralidad de unos o de otras, salvo que medie el consentimiento del titular del dato, o exista una adecuada relación de prestación de servicios, sobre la base de una relación contractual o un título obligacional suficiente.

Por ello, ha de considerarse que el concepto “grupo” se encuentra manifiestamente ignorado, al constituir una deformación de los  ya existentes sobre los que se asienta dicha normativa. Probablemente, esta normativa empieza a dar signos evidentes de obsolescencia derivada de su propia década de existencia, y en la que no se acierta a dar respuesta a una serie de problemas, que lejos de ir a menos se van a extender sobre la base del desarrollo tecnológico y empresarial, unido al empuje de una creciente globalización cada día más generalizada.

En estas consideraciones, tal vez no resulte un desatino, a modo de cuestión previa, apuntar la conveniencia relativa a que la protección de datos no se limitara en su nivel de protección única y exclusivamente a las personas físicas, sino que ampliara su ámbito de eficacia a las de naturaleza jurídica, tal y como está sucediendo en otras legislaciones, que están promulgando en la actualidad modernas leyes sobre la materia, recogiendo cuestiones novedosas al respecto, sobre la base de la experiencia de otros cuerpos normativos ya en aplicación, como de manera evidente puede constituir un buen ejemplo de ello la Ley Orgánica española, así como la experiencia acumulada, consecuentemente, desde el año 1.992.

Entrando ya en la materia que nos ocupa, hemos de recordar el concepto de transferencia internacional de datos, tal como se contempla en el apartado s) del artículo 5º, del Reglamento LOPD, donde se indica que dicho concepto se refiere al “tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español”. Dicho concepto ha de ponerse en conexión con las previsiones que se contemplan en el citado apartado 4º, del artículo 70 del Reglamento de la LOPD, con relación a los Códigos Tipos. En dicha norma se establece lo siguiente:

“También podrá otorgarse la autorización para la transferencia internacional de datos en el seno de grupos multinacionales de empresas cuando hubiesen sido adoptados por los mismos normas o reglas internas en que consten las necesarias garantías de respeto a la protección de la vida privada y el derecho fundamental a la protección de datos de los afectados y se garantice asimismo el cumplimiento de los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, y el presente Reglamento.

En este caso, para que proceda la autorización del Director de la Agencia Española de Protección de Datos será preciso que las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español.

En todo caso, la autorización del Director de la Agencia Española de Protección de Datos implicará la exigibilidad de lo previsto en las normas o reglas internas tanto por la Agencia como por los afectados cuyos datos hubieran sido objeto de tratamiento”.

En el análisis de este precepto se deben hacer diferentes consideraciones. Por un lado, se reconoce abiertamente la posibilidad de autorización de las Transferencias Internacionales de Datos en el seno de empresas multinacionales, siempre que se hubieran adoptado normas o reglas internas que tengan el siguiente contenido y garanticen:

  1. a) El respeto a la vida privada de las personas
  2. b) El derecho a la protección de datos de los afectados
  3. c) Los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1.999, de 13 de diciembre y en el Reglamento de la citada Ley Orgánica.

Es evidente, que a la vista del contenido que ha de contener este conjunto normativo, el legislador ha pretendido reforzar las garantías del cumplimiento de la legislación vigente en la materia, y los derechos fundamentales que la presiden. No obstante ello, debe tenerse en cuenta que se trata de normas que han de ser adoptadas por grupos multinacionales de empresas, que por su propia definición, abarcan empresas sometidas a legislaciones propias del estado al cual cada una de ellas pertenezcan, y que no tienen porqué compartir los términos en los cuales se encuentra redactada la Directiva, o la Ley Orgánica que es de aplicación en España, que le sirve de trasposición de aquella en nuestro país, y por ende, tanto sus principios, como las condiciones de ejercicio de los derechos que en las mismas se contienen.

Es evidente que la normativa privada que supone  dicho conjunto de reglas, ante esa falta material de coincidencia con el ordenamiento jurídico al que se ha hecho referencia, pueda interpretarse que la misma no sea respetuosa con el derecho al “habeas data“. Ello implicaría, si se sigue el ejemplo de la exigencia reglamentaria española, que un grupo multinacional de empresas habría de contar con tantos códigos internos que posibilitaran las transferencias internacionales de datos entre las empresas de un mismo grupo, como legislaciones nacionales que vincularan a cada una de las empresas que lo componen.

Estas consideraciones conllevan, en definitiva, a la conclusión consistente en que dados los términos en los que se encuentra redactado el precepto en cuestión, el respeto a la vida privada de las personas deba  necesariamente ser interpretado conforme se lleva a cabo por parte del Tribunal Constitucional Español, en uso de las atribuciones que le confiere nuestra Constitución de 1.978, y las normas que le sirven de desarrollo. En idénticos términos cabe expresarse con relación al derecho a la protección de datos de los afectados, a lo que debe sumarse la labor interpretativa que llevan a cabo no sólo los Tribunales de Justicia, sino a los propios entes administrativos estatales y autonómicos que le sirven de soporte. Y finalmente, debe extenderse, tal como se contempla en el precepto reglamentario citado, a los principios y el ejercicio de los derechos reconocidos en la Ley Orgánica 15/1.999, de 13 de diciembre y en el Reglamento de la indicada Ley Orgánica.

Además, el precepto que nos ocupa exige, como ha quedado dicho, que” las normas o reglas resulten vinculantes para las empresas del Grupo y exigibles conforme al ordenamiento jurídico español”. Esta norma lleva consigo tener en cuenta dos consideraciones bien diferenciadas:

  1. a) En primer lugar, que las normas resulten vinculantes para las empresas del Grupo.

Ello implica que este análisis sobre su aplicación debe partir del estudio  de las normas  que internamente existan en el seno de un grupo de empresas multinacionales sobre el establecimiento de normas vinculantes para todas y cada una de las Sociedades que conformen el meritado grupo.

  1. b) En segundo término, se establece que las normas o reglas internas resulten exigibles conforme al ordenamiento jurídico español.

Esta exigencia puede presentar una cierta contradicción con la propia filosofía de lo que se pretende regular. Se trata de establecer normas internas vinculantes para un grupo de empresas, que además, revista el carácter de que sean empresas pertenecientes a diferentes estados nacionales que regulen las transferencias internacionales de datos, y sin embargo, en la norma reglamentaria se presupone que la empresa multinacional tiene nacionalidad española, o que este abanderamiento tiene un carácter predominante dentro del conjunto multinacional de empresas.

Esta configuración corre el riesgo, por la propia limitación en la que se encuentra establecida de que las empresas se vean abocadas a elaborar una norma interna a los efectos de llevar a cabo las transacciones legales con la Agencia Española de Protección de Datos, rigiendo en el seno de cualquier grupo multinacional otras normas para el tratamiento de datos de carácter personal, lo que puede privar, evidentemente, a esta regulación que se pretende establecer por la vía del RLOPD, del papel normativo uniformador que un código interno de grupo se presume que ha de tener en esta materia, sobre todo si se tiene en cuenta  la eficacia y la calidad de la normativa actualmente vigente en España y la seguridad jurídica que se vislumbra de las garantías que se encuentran establecidas al efecto.

También debe considerarse el concepto de vinculación que se establece en el citado artículo 70.4º del RLOPD para las empresas del Grupo implica que empresas sometidas al régimen jurídico de otro estado trasnacional, deben asumir la exigibilidad del carácter vinculante de las normas o reglas internas de conformidad con el ordenamiento jurídico español, lo que, sin duda, pueden suscitar problemas de compatibilidad con la indicada normativa interna que vincule respectivamente a cada una de las empresas que componen el indicado grupo.

Finalmente, esta norma reglamentaria se refiere al concepto de la exigibilidad que pueden ejercer tanto la Agencia Española de Protección de datos, como por los propios afectados con relación a la propia normativa interna aprobada por un grupo multinacional de empresas. Y de ello pueden igualmente deducirse una serie de dudas, con relación a eficacia de este precepto. Concretamente, nos referimos a que este principio de exigibilidad, por su propia naturaleza se va a reducir a la empresa de nacionalidad española, o a la extranjera que se encuentre radicada en España, o a cualquier otra que le sea de aplicación la normativa española sobre la materia, y no desde luego a otras, que no se encuentren directamente afectadas por la Ley española, aunque las mismas pertenezcan al citado grupo multinacional de empresas.

El citado artículo 70.4 RLOPD ha de ser puesto en conexión con lo afirmado en el apartado in fine número 2º del artículo 137 del citado Reglamento, en el que se afirma lo siguiente:

“Si la autorización se pretendiera fundar en lo dispuesto en el apartado 4 del artículo 70, deberán aportarse las normas o reglas adoptadas en relación con el tratamiento de los datos en el seno del grupo, así como la documentación que acredite su carácter vinculante y su eficacia dentro del grupo. Igualmente deberá aportarse la documentación que acredite la posibilidad de que el afectado o la Agencia Española de Protección de Datos puedan exigir la responsabilidad que corresponda en caso de perjuicio del afectado o vulneración de las normas de protección de datos por parte de cualquier empresa importadora”.

Este precepto se encuentra ubicado dentro del Capítulo V relativo a los “Procedimientos Relacionados con las Transferencias Internacionales de Datos”, concretándose en el mismo, alguno  de los requisitos que son exigibles para efectuar dichas transferencias internacionales, en el caso de que se tome como punto de partida para la realización de los mismas, lo afirmado en el indicado artículo 70 del RLOPD.

Tales requisitos previstos en la citada norma son básicamente los siguientes:

  1. a) La aportación de las normas o reglas adoptadas en relación con el tratamiento de los datos en el seno del grupo.
  2. b) La aportación de la documentación que acredite su carácter vinculante y su eficacia dentro del grupo.
  3. c) La aportación de la documentación que acredite la posibilidad de que bien por el afectado, o en su caso, por la Agencia Española de Protección de Datos se pueda exigir la responsabilidad:

–  que corresponda en caso de perjuicio al afectado.

– que proceda por la vulneración de las normas de protección de datos por parte de cualquier empresa importadora.

Del examen conjunto de los preceptos trascritos deben efectuarse una serie de consideraciones al efecto.

Así, cabe plantearse que representa para un conjunto multinacional de empresas utilizar la vía del artículo 70.4º del RLOPD a la hora de solicitar la tramitación de una transferencia internacional de datos, frente a la vía convencional prevista en la propia Ley Orgánica 15/1.999, de 13 de diciembre, y en su Reglamento.

Ni la citada Ley, ni su Reglamento, hacen mención expresa a ello, por lo que sus ventajas deben extraerse del los diferentes regímenes jurídicos contemplados en la normativa citada, donde a grandes rasgos deben diferenciarse aquellos supuestos en los de manera expresa se encuentra prevista como preceptiva la correspondiente autorización del Director de la Agencia Española de Protección de datos, como requisito previo para que dicha transferencia internacional sea efectiva, y consecuentemente con ello, pueda llevarse a efecto.

Se trata fundamentalmente de los supuestos que se encuentran previstos como regla general en los apartados 1º y 2º del artículo 33 de la Ley Orgánica 15/1.999, donde se señala:

 

“1. No podrán realizarse transferencias temporales ni definitivas de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con destino a países que no proporcionen un nivel de protección equiparable al que presta la presente Ley, salvo que, además de haberse observado lo dispuesto en ésta, se obtenga autorización previa del Director de la Agencia de Protección de Datos, que sólo podrá otorgarla si se obtienen garantías adecuadas.

 

  1. El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por la Agencia de Protección de Datos atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

 

De acuerdo con el precepto trascrito, se debe interpretar que los supuestos, que a su vez se contemplan en el artículo 34 de la misma Ley Orgánica, se encuentran sometidos al requisito consistente en  la mera comunicación de la Agencia Española de Protección de Datos, donde la autorización de su Director carece del carácter de preceptiva, tal como sucede en los supuestos derivados de la regla general prevista en el artículo 33 de la Ley, antes indicados.

En dicho artículo 34 se determinan como supuestos exceptuados de la autorización los siguientes:

“Lo dispuesto en el artículo anterior no será de aplicación:

 a) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

b) Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

 c) Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

 d) Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

 e) Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

 f) Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

 g) Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

 h) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

 i) Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

 j) Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

 k) Cuando la transferencia tenga como destino un Estado miembro de la Unión Europea, o un Estado respecto del cual la Comisión de las Comunidades Europeas, en el ejercicio de sus competencias, haya declarado que garantiza un nivel de protección adecuado”.

A la vista de este precepto, y consecuentemente con el mismo, si el legislador nacional ha pretendido establecer normas especificas -v.gr. artículos 70.4º y 137.2º ambas del RLOPD-, para regular las transferencias que se produzca internamente en el seno de un grupo multinacional de empresas, posibilitando y al mismo tiempo exigiendo que se dicten expresamente normas o reglas internas, que siendo vinculantes para el propio grupo, favorezcan la realización de las indicadas transferencias internacionales de datos, es evidente que el propio legislador ha pretendido dotar de una situación jurídica diferente y especial a estos grupos de empresas que opten finalmente por acogerse a estar previsiones reglamentarias.

En buena lógica, no cabe otra consecuencia que entender, que los grupos de empresas que opten por esta vía normativa se van a encontrar liberados de tener que recabar para la realización de las mismas, en cualquier caso, y para toda clase de transferencias internacionales, de la correspondiente autorización del Director de la Agencia Española de Protección de Datos, bastando a tal efecto, con la mera comunicación de la realización de las mismas a la citada Agencia.

En otro caso, carecen de sentido las específicas previsiones del legislador, y no tendría utilidad o sentido alguno obligar a un grupo multinacional de empresas a adoptar normas internas, que además, tengan el carácter de vinculantes para el conjunto  de empresas que integren dicho grupo, con las dificultades técnicas que ello conlleva, y a las que se ha hecho alusión anteriormente, si al final la utilidad de este proceso es nula, y no reporta otras consecuencias o situaciones jurídicas que aquellas que ya se encuentran previstas con carácter general en los ya citados artículos 33 y 34 de la Ley Orgánica 15/1.999.

Por ello, debe insistirse muy mucho en la necesidad de concretar las ventajas prácticas y reales que el empleo de esta alternativa legal conlleva, a los efectos de no convertir dicha norma, que pese a su posible complejidad técnica, puede conllevar ventajas operativas ciertamente apreciables, en un manifiesto exceso del legislador,  fruto de la improvisación y de la falta de reflexión sobre el alcance y la eficacia de esta norma.

Finalmente, para concluir estas breves notas sobre el tema que nos ocupa, es preciso hacer referencia a la responsabilidad en que puede incurrirse por parte de una empresa perteneciente a un grupo multinacional que haya adoptado normas de carácter privadas  vinculantes a los efectos de la realización de transferencias internacionales de datos. En principio, no parece que dichas normas grupales tengan la capacidad de establecer su propia tipificación de conductas sancionables por el incumplimiento de las mismas, por lo que lo más razonable es que en tales supuestos haya de aplicarse el derecho sancionador expresamente previsto en la Ley Orgánica y en su Reglamento, si bien es al menos teóricamente valorable la situación en la que en dichas normas o reglas de carácter privado se describan  los supuestos  que se consideran como vulneraciones al propio código privado.

Ello hay que ponerlo en relación con un elemento singular a tener en consideración, y que no es otro que el relativo a que dichas normas o reglas de índole privativas habrían sido previamente aprobadas por la propia Agencia Española de Protección de Datos. La confluencia de ambas situaciones puede generar situaciones confusas y no deseables desde el punto de visto jurídico y de la aplicación de normas sancionadoras, por lo que parece razonable que el código privado se encuentre ausente de normas que reúnan dicho carácter sancionador, a los efectos de que el régimen jurídico aplicable en esta materia única y exclusivamente el contenido en la Ley Orgánica 15/1.999, de 13 de diciembre y en su Reglamento de desarrollo.

Todas las reflexiones contenidas en estas notas llevan a la consecuencia de que es preciso de que por se dote de un contenido real y ventajoso a esta vía normativa establecida por el legislador, de modo que se faciliten de una manera práctica y efectiva la realización de transferencias internacionales de datos en el seno de empresas multinacionales de una manera racional, sencilla, práctica y eficiente, pues, en otro caso, estaremos en presencia de una serie de preceptos contenidos en los cuerpos legislativos y reglamentarios propios de la protección de datos, en los que el ejercicio de las previsiones normativas establecidas al efecto no puede ser recomendable, puesto que no reportan ninguna situación adicional o ventaja operativa alguna, frente a las normas ya previstas con carácter general en la propia Ley Orgánica para la realización de Transferencias Internacionales de Datos, en las que no se hace preciso más allá de los meros trámites burocráticos ya existentes, a los que hay que dar el debido cumplimiento, elaborar normas internas entre empresas de un mismo grupo, en los que salvando los problemas técnicos entre otros, los propios de las divergencias de las  legislaciones nacionales que les sean aplicables a las Sociedades que integran el citado Grupo, se establezca el obligado cumplimiento de tales normas privadas para todas y cada una de las empresa que compongan el citado grupo multinacional.

Share

LA PRIVACIDAD RESPONSABLE O LA PRIVACIDAD POR EL DISEÑO

Sirera, Fernández Lasquetty y Ramos han señalado que las empresas deben defenderse hoy para proteger su información y entre ella tanto sus datos como su know how. Toda la información valiosa de cualquier empresa debe de estar clasificada y debidamente protegida y para ello es imprescindible que todas las personas que la utilizan tengan una formación adecuada, al tiempo que estén implantados unos procesos claros para su manejo e información en tiempo real. Tanto las herramientas informáticas de seguridad como la gestión eficaz de los sistemas de la empresa incardinados dentro de la misma y el factor humano juegan un papel clave en la protección de la información. No hay, que olvidar el 70% de los pleitos por violación de secretos industriales tienen que ver con empleados o colaboradores. Construir y mantener la confianza de los usuarios y de los stakeholders en la protección de los datos personales es imprescindible en  cualquier empresa. Sin privacidad, un servicio no llegará a tener la confianza del usuario, del cliente, del proveedor y de los stakeholders y, por tanto, su modelo de negocio será inviable. Hay que proteger los datos personales teniendo en cuenta todo el ciclo de vida de la tecnología, por tanto y por defecto hay que aplicar a priori este criterio, tanto en grandes como en pequeñas empresas, y efectuar un análisis inicial de la privacidad y sus consecuencias en todos los productos y servicios, junto con los requisitos de seguridad, usabilidad, accesibilidad, para proceder en las empresas a, disminuir los riesgos, multas y sanciones económicas, civiles y penales, incrementar las ventas y  proteger la reputación corporativa de las empresas, y por ende su futuro y viabilidad. La protección de los datos de carácter personal es muy importante para empresas que, situadas en España o fuera de ella, empleen datos de carácter personal en su negocio tales como creadores de aplicaciones, software, o patentes que se sirvan o utilicen  datos personales,  para entidades que vendan bienes o servicios a través de Internet,  empresas que se dediquen actividades de marketing, y en concreto, marketing digital, así  como entidades del sector público en sus relaciones con usuarios y clientes.  Para proceder a implantar estas medidas, y asegurarnos un correcto cumplimiento de la legalidad, se debe tener en cuenta lo que se conoce como privacidad desde el diseño o a medida o privacy by design. Que para Chinea se concreta   en el hecho de que a la hora de la toma de requisitos del diseño de la aplicación o sistemas que vayamos a utilizar dentro de nuestra empresa y/o desde el momento en que se recoge un dato, es fundamental tener en cuenta las necesidades especiales de protección de la privacidad de la información junto con los demás aspectos tanto técnicos como no técnicos. De esta forma, se asegura la privacidad y control de la información de la organización. Por ello, si se tiene en cuenta estos aspectos desde el inicio, se evitará tener que redefinir los sistemas continuamente en lo que a este aspecto se refiere, y por tanto, un incremento en el coste de su mantenimiento, ya que en muchas ocasiones son cuestiones difíciles de superar después de que el diseño básico se haya elaborado. La intensidad de las medidas de privacidad debe ser proporcional a la sensibilidad de los datos. Además, la protección/privacidad de los activos de información debe entenderse dentro de la organización como un modo de funcionamiento por defecto.

La Privacidad por el Diseño, según Fernández Vela,  se fundamenta en que la privacidad no puede asegurarse únicamente por el cumplimiento de la legislación y de los distintos marcos reguladores, sino que la garantía de la privacidad debe convertirse en el modo que use por defecto la organización en sus distintas operaciones. Se pretende con esta estructura que todas las actuaciones relacionadas con el tratamiento de datos personales y privacidad se identifiquen, analicen e incorporen en los distintos sistemas. Como consecuencia de todo ello, García Mexía, señala que la Privacidad por el Diseño se basa en una noción sustantiva de privacidad, a su vez comprensiva de nociones como el derecho “a ser dejado en paz”, la confidencialidad de la información, la identidad personal, la seguridad de los sistemas y redes o la protección de datos en forma de control sobre los mismos. A partir de aquí, la Privacidad por el Diseño opera en puridad como un método para proteger la privacidad en su vertiente sustantiva, mediante lo que podríamos describir como una “imprimación” de la privacidad en el corazón de los sistemas y procesos. En todo caso, la incorporación de estructura de la Privacidad desde el Diseño en ningún caso aparece refrendada como un imperativo legal, por tanto deberá formar parte del corolario de la Responsabilidad Social Corporativa del prestador de servicios de espacios digitales, entendiendo esta responsabilidad como aquella condición de una empresa que, partiendo de la base que cumple con la normativa, decide añadirle un “plus” integrando, en su estrategia, objetivos que se comprometan con la sociedad.

Debe tenerse en cuenta que la Privacidad por el Diseño es un concepto desarrollado por Cavoukian en los años 90’s, para atender los efectos siempre crecientes y sistemáticos de las Tecnologías de la Información y las Comunicaciones, y de los sistemas de datos en red a gran escala. La Privacidad por el Diseño promueve la visión de que el futuro de la privacidad no puede ser garantizada sólo por cumplir con los marcos regulatorios; más bien, idealmente el aseguramiento de la privacidad debe convertirse en el modo de operación predeterminado de una organización. La Privacidad por el Diseño se extiende a una “Trilogía” de aplicaciones que engloban:

  1. Los sistemas de tecnologías de la información;
  2. Las prácticas de negocio responsables; y
  3. El diseño físico e infraestructura en red.

Cavoukian señala que los principios de Privacidad por el Diseño pueden ser aplicados a todos los tipos de información personal, pero deben ser aplicadas con vigor especial a datos delicados tales como información médica y datos financieros. La robustez de las medidas de privacidad tiende a ser correspondiente con la sensibilidad de los datos, estableciendo su creadora siete principios en los que se tiene que fundamentar. Estos principios son:

a). Proactivo, no Reactivo; Preventivo no Correctivo.

El enfoque de Privacidad por el Diseño (Privacidad por el Diseño por sus siglas en Inglés) está caracterizado por medidas proactivas, en vez de reactivas. Anticipa y previene eventos de invasión de privacidad antes de que estos ocurran. Privacidad por el Diseño no espera a que los riesgos se materialicen, ni ofrece remedios para resolver infracciones de privacidad una vez que ya ocurrieron – su finalidad es prevenir que ocurran. En resumen, Privacidad por el Diseño llega antes del suceso, no después.

b). Privacidad como la Configuración Predeterminada.

La Privacidad por el Diseño busca entregar el máximo grado de privacidad asegurándose de que los datos personales estén protegidos automáticamente en cualquier sistema de IT dado o en cualquier práctica de negocios. Si una la persona no toma una acción, aun así la privacidad se mantiene intacta. No se requiere acción alguna de parte de la persona para proteger la privacidad  está inter construida en el sistema, como una configuración predeterminada.

c). Privacidad Incrustada en el Diseño.

La Privacidad por el Diseño está incrustada en el diseño y la arquitectura de los sistemas de Tecnologías de Información y en las prácticas de negocios. No está colgada como un suplemento, después del suceso. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que está siendo entregada. La privacidad es parte integral del sistema, sin disminuir su funcionalidad.

d). Funcionalidad Total – “Todos ganan”, no “Si alguien gana, otro pierde” Privacidad por el Diseño busca acomodar todos los intereses y objetivos legítimos de una forma “ganar-ganar”, no a través de un método anticuado de “si alguien gana, otro pierde”, donde se realizan concesiones innecesarias. Privacidad por el Diseño evita la hipocresía de las falsas dualidades, tales como privacidad versus seguridad, demostrando que sí es posible tener ambas al mismo tiempo.

e). Seguridad Extremo-a-Extremo – Protección de ciclo de vida completo.

La Privacidad por el Diseño se extiende con seguridad a través del ciclo de vida completo de los datos involucrados. Las medidas de seguridad robustas son esenciales para la privacidad, de inicio a fin. Esto garantiza que todos los datos son retenidos con seguridad, y luego destruidos con seguridad al final del proceso, sin demoras. Por lo tanto, la Privacidad por el Diseño garantiza una administración segura del ciclo de vida de la información, desde la cuna hasta la tumba, desde un extremo hacia el otro.

f). Visibilidad y Transparencia.

La Privacidad por el Diseño busca asegurar a todos los involucrados que cualquiera que sea la práctica de negocios o tecnología involucrada, está en realidad esté operando de acuerdo a las promesas y objetivos declarados, sujeta a verificación independiente. Sus partes componentes y operaciones permanecen visibles y transparentes, a usuarios y a proveedores. Recuerde, confíe pero verifique.

g). Respeto por la Privacidad de los Usuarios.

Hay que mantener un enfoque centrado en el usuario por encima de todo, la Privacidad por el Diseño requiere que los arquitectos y operadores mantengan en una posición superior los intereses de las personas, ofreciendo medidas tales como predefinidos de privacidad robustos, notificación apropiada, y facultando opciones amigables para el usuario. En definitiva, el usuario en el centro de las prioridades.

El concepto de Privacidad por el Diseño (Privacy by Design) hace referencia a un enfoque en el que el impacto en la privacidad de cualquier nuevo sistema, proceso o servicio es considerado desde las fases iniciales del ciclo de vida de su desarrollo.

Sánchez Barroso sostiene que para poner en práctica este enfoque es esencial la realización de un Análisis de Impacto en la Privacidad (Privacy Impact Assessment o PIA de sus siglas en Inglés) que no es más que el ejercicio de análisis de riesgos con el que se intenta identificar todos los posibles riesgos para la privacidad que puede implicar el nuevo proceso y a los que habrá que poner remedio. Como consecuencia, el diseño incorpora desde su propia concepción controles para mitigar las posibles vulnerabilidades de protección de datos y privacidad. El enfoque de Privacidad por el  Diseño, si se aplica de manera genuina, asegura el diseño de controles más efectivos, más sencillos y baratos y más difíciles de vulnerar, al formar parte intrínseca del propio sistema. Sin embargo, las propias autoridades de protección de datos son conscientes de las dificultades para el éxito de este tipo de conceptos. Como principales inconvenientes para su implantación, debe traerse a colación un estudio promovido hace ya algún tiempo por la autoridad de protección de datos de Reino Unido, entre las principales barreras existentes, según dicho autor, se pueden citar las siguientes:

a). Las dificultades existentes  por parte de la dirección de las organizaciones para percibir los riesgos y los beneficios de la protección de datos. La inversión necesaria no se percibe como justificada.

b). Por motivos similares, las empresas proveedoras de soluciones software no encuentran en la inclusión de funcionalidad orientada a preservar la privacidad una ventaja competitiva, por lo que el software comercializado adolece de este tipo de funcionalidad.

c). Las seguridad de  la información (y aún más las protección de datos) no está incluida todavía de manera generalizada como elemento integrante e importante en el ciclo de desarrollo de software usado por las organizaciones.

d). Las organizaciones suelen tener dudas sobre cómo implementar soluciones tangibles para dar respuesta a los requisitos de control de la normativa de protección de datos. A esta situación contribuye la ausencia de estándares prácticos a nivel internacional que orienten a las organizaciones en la implementación efectiva de controles.

El hecho de que la Privacidad por el Diseño vaya a ser una obligación legal exigible tras la aprobación del Proyecto de Reglamento Europeo de Protección de Datos ha sido considerado como un factor muy positivo, ya que va a ejercer como instrumento coercitivo para sensibilizar a las compañías y a las organizaciones de la necesidad de establecer medidas de prevención adecuadas, desde la propia percepción del tratamiento, reforzando así una buena práctica que juega en favor de la competitividad individual de las organizaciones y del mantenimiento de un entorno más robusto respecto a gestión de la información y la seguridad de los sistemas informáticos. Al igual que otros requerimientos recogidos en el proyecto de regulación europea, el desarrollo de los principios exigibles de privacidad por defectos y desde el diseño, contiene cierta dosis de indefinición, en cuanto a su aplicación práctica, que los reguladores se encargarán de complementar y delimitar. Por ello, Por lo tanto se deberá asegurar, al usuario del servicio, la privacidad como elemento principal de la arquitectura del espacio digital utilizando la estructura de Privacidad por el Diseño. Gracias a este “plus” añadido podrá incrementar el usuario su capacidad de control y decisión sobre la cantidad y cualidad de la información con la que desea alimentar su perfil y, consecuentemente, disponer de un marco más adecuado para salvaguardar su derecho a la privacidad.

Share