Jornada LOPD i LSSI per als professionals i estudiants de les TIC

IMG-20131203-WA0000

IMG-20131203-WA0004

El passat dimarts 3 de desembre de 2013 va tenir lloc al Tecnocampus de Mataró una interessant jornada sobre la LOPD i LSSI organitzada pel COETIC, presentada i moderada per en Jordi Cantenys1, i amb la participació de ponents de primer nivell de l’Autoritat Catalana de Protecció de Dades (APDCAT), la Diputació de Barcelona, l’Asociación Profesional Española de Privacidad (APEP) i el Tecnocampus Mataró-Maresme (EUPMT-UPC).

Els objectius principals d’aquesta jornada, orientada principalment als professionals de les TIC, eren per una banda oferir als assistents una visió general del marc legal existent que afecta directament als sistemes d’informació, donar algunes pinzellades sobre les noves sortides professionals que combinen competències del dret i de la tecnologia, i finalment, fer-nos reflexionar sobre la formació i els coneixements necessaris per donar compliment a les lleis que regulen la nostra professió.

Les dades en sí no són més que informació, però quan fan referència a les persones, poden acabar afectant a la intimitat i al dret a la confidencialitat. En un marc legal que encara està canviant o evolucionant, el dret a la protecció de dades és un dret que serveix per garantir altres drets. Així doncs, els professionals de les TIC hauríem de vetllar pel seu compliment en els serveis o productes que dissenyem i construïm. La primera llei en aquest sentit va ser la LORTAD, de l’any 92. Actualment, les principals lleis que regulen els usos de la informàtica són la LOPD, la LSSI i de comerç electrònic, la llei de Signatura electrònica i la llei de conservació de dades i documents.

En Santiago Farré2 va explicar que l’Autoritat Catalana de Protecció de Dades ofereix un servei de consultoria personalitzat a les institucions que són dins el seu àmbit de competència (administracions públiques, universitats i altres ens públics o privats) i que volen adequar la seva actuació a la normativa de protecció de dades. Tots els dictàmens, informes i resolucions que emet la APDCAT estan disponibles i es poden consultar a la seva web http://www.apd.cat. L’APDCAT fa a més altres funcions: registra fitxers passant la informació a l’Agència Espanyola, comprova si s’estan aplicant les normatives (en aquest sentit té potestat sancionadora) i finalment intervé quan a un ciutadà se li denega el dret d’accés a les seves dades.

El Sr Farré va assenyalar que qualsevol empresa privada que estigui treballant per un ens públic té el deure de garantir la seguretat i la confidencialitat de la informació que està tractant pel compte d’aquesta. Habitualment, se li fa signar un document on se l’informa de la normativa a complir. També va comentar que s’han començat a emetre dictàmens en relació a l’ús de determinades aplicacions online, com Google Drive o Analytics.

Per potenciar l’aportació de valor en matèria de protecció de dades, la APDCAT ha convocat enguany la primera edició del Premi de Protecció de Dades en el Disseny, que es tornarà a convocar el proper any. També estaran presents en el Mobile World Congress de Barcelona al febrer 2014 tractant el tema de l’impacte de les Apps sobre la privacitat.

A continuació, en Jordi Saldaña3 va destacar que, pel fet de tractar una sola dada personal en un SI, ja estem obligats a complir la llei, i en aquest sentit, les dades de geoposicionament sovint no es tenen en compte malgrat ser de nivell alt. Hi han moltes Apps gratuïtes que geoposicionen als usuaris de forma injustificada, és a dir, sense ser realment necessari per al funcionament de l’aplicació. Cal informar-ne l’usuari i requerir sempre el seu consentiment, cosa que no fan algunes aplicacions desenvolupades en altres països fora d’Europa, amb marcs legals molts diferents al nostre. I llavors, si hi ha alguna mena de conflicte, cal anar a litigar a l’estranger. Resumint-ho en una frase, el Sr Saldaña va expressar que “Les dades estan al núvol però la responsabilitat està a terra“.

Pel que fa a la LSSI, “Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico”, cal que qualsevol aplicació web disposi d’un avís legal, una adreça de contacte, i si es venen serveis cal detallar les obligacions prèvies i posteriors a la contractació o compra. Les cookies de sessió o les utilitzades per a balanceig de càrrega per exemple, no necessiten consentiment. En canvi, sí el necessiten les cookies emprades per exemple per Google Analytics o per xarxes socials.

A més d’aportar la visió jurídica de la protecció de dades personals i la LSSI, el Sr Saldaña va destacar als assistents que es poden desenvolupar moltes aplicacions innovadores que tractin dades, però sempre cal sol·licitar un assessorament previ, fins i tot quan es tracti de projectes de integració o interconnexió. Finalment, cal tenir clar les mesures de seguretat a prendre i legalitzar els fitxers de dades declarant-los a l’agència.

A continuació, la Carme Sánchez4 va oferir als assistents la seva visió professional des de l’administració publica (Diputació de Barcelona). Va remarcar la necessitat d’aplicar el que s’anomena “Privacy by design“, o privacitat i seguretat des del disseny, des del moment en que es dissenya una aplicació i al llarg de tot el procés. Segons va dir “Aplicar la privacitat i la seguretat des de l’inici és una manera d’estalviar molts diners en els projectes. En aquest sentit, també és important que les aplicacions i serveis passin proves sobre el compliment de normatives amb resultats satisfactoris.

A continuació, ens va parlar de la figura del DPO –Data Protection Officer– com a nova professió relacionada amb les TIC i el Dret, comentant que al 2014 entrarà en vigor el reglament europeu de protecció de dades que s’haurà d’aplicar en tots els estats membres i que servirà per homogeneïtzar el marc legal, ampliant els drets dels usuaris i imposant a les institucions i empreses d’un cert volum noves obligacions, com la de disposar d’un delegat de protecció de dades.

Totes les administracions públiques tindran la obligació de tenir un DPO degudament format, certificat i amb certa experiència, amb capacitat per realitzar funcions d’anàlisi, auditar, tenir un ampli coneixement del negoci i dels processos, capacitat de planificació i documentació, capacitat d’execució, capacitat per adoptar la protecció de dades per defecte des del disseny i en tot el cicle de vida del programari, i finalment, una relació privilegiada amb els reguladors.

A més, aquest nou perfil a cavall entre la enginyeria i el dret, serà l’encarregat de fer complir el reglament, formar el personal, vetllar per la conservació de la documentació i ser el contacte amb les autoritats de control. En definitiva, la introducció de la figura del DPO representarà un canvi substancial per als professionals de la privacitat, convertint-se en una mena de consultor intern amb grans dots de comunicació que desenvoluparà una funció organitzativa transversal.

Malgrat la necessitat de tenir un coneixement profund de l’organització, de la seva estructura i funcionament, és molt probable que els ens públics de mida petita o mitjana cerquin el DPO en consultories externes.

A la Diputació de Barcelona, la Carme és la DPO de l’organisme i se sent satisfeta d’haver realitzat el nou inventari de fitxers. Els principals obstacles amb els quals ha topat, però que ha salvat amb èxit, han estat l’absència d’exemples, la independència funcional, la manca d’avaluacions d’impacte en matèria de protecció de dades, i finalment, cercar i trobar proveïdors que compleixin amb la privacitat des del disseny.

Per acabar, l’Alfons Palacios5 va donar la seva visió acadèmica parlant de les assignatures en les quals s’estudia el marc legal TIC en el Grau en Enginyeria Informàtica i va destacar la necessitat de reforçar els plans d’estudi amb jornades complementàries com aquesta.

1En Jordi Cantenys és Enginyer Tècnic Informàtic, vocal de Dret a les TIC del COETIC i membre de l’APEP.

2En Santiago Farré és el Cap de l’assessoria jurídica de l’Autoritat Catalana de Protecció de Dades.

3Jordi Saldaña és Advocat de Roca Junyent i membre de la Junta Directiva d´APEP.

4La Carme Sánchez Ors és laDPO a la Diputació de Barcelona i membre de la Junta Directiva d’APEP.

5L’Alfons Palacios és Professor del Grau de Informàtica a l’EUPMT-UPC, Tecnocampus Mataró

Anuncis

Privacitat i seguretat als telèfons mòbils.

Les Apps i la seguretat en mòbilsEn data 4 d’octubre de 2012 hem assistit amb els companys de feina a una conferència sobre “La privacitat als telèfons mòbils i l’entorn 2.0”, organitzada per l’Àrea d’Innovació del Parc Científic i Tecnològic de la Universitat de Girona i presentada per l’empresa Prodat Catalunya ( @prodatCatalunya )

La conferència s’ha centrat principalment en dos grans àmbits:

  • Què fan les Apps (aplicacions per mòbils) amb les nostres dades?
  • Marc legal de la protecció de dades de caràcter personal en les Apps

Moltes Apps tracten dades sense el nostre consentiment, sobretot les que han estat desenvolupades en països on no hi ha un marc legal per a la protecció de dades de caràcter personal.

Tenim l’exemple de Facebook , Angry birds , Whatsapp , i moltes altres.

Amb Angry Birds hi ha hagut recentment una problemàtica important ja que tractava i cedia les dades dels seus usuaris sense informar ni sol·licitar el consentiment. Moltes d’aquestes dades han anat a parar en mans de Google.

Pel que fa a les Apps de missatgeria instantània, Whatsapp presenta uns quants inconvenients en quant a seguretat respecte al seu competidor Blackberry messenger. Aquest últim llegeix el codi IMEI del terminal, enllaçant directament l’aplicació amb el mòbil. En conseqüència, no es pot deslligar el titular del telèfon de l’usuari d’aquesta App. En canvi, WhatsApp no és tant fiable respecte a la identitat de l’usuari.

D’altra bana, BBMessenger demana sempre el consentiment previ per poder enviar missatges a un contacte, al contrari de WhatsApp amb el qual ens podem trobar que qualsevol persona que tingui el nostre número de telèfon pot comunicar amb nosaltres i no forçosament sabem qui ens té entre els seus contactes, és a dir, no es demana consentiment previ.

Una App desenvolupada a Espanya té l’obligació de complir la LOPD i per tant, si vol accedir a les dades dels contactes d’un telèfon i/o fer-ne un tractament, és necessari que demani consentiment als contactes de l’agenda i els informi del tractament de les seves dades. Malauradament, portar-ho a la pràctica és complex perque la majoria d’empreses desenvolupadores es troben als EEUU.

Compte si es vol utilitzar Whatsapp messenger per a finalitats corporatives, comercials, polítiques o socials perque s’ha de complir la llei i com que aquesta App no la compleix, tampoc l’estaríem complint si l’utilitzem per enviar missatges publicitaris. Som nosaltres els responsables d’aplicar les mesures de seguretat segons el nivell de les dades.

Tot i que aquestes obligacions queden excloses en l’àmbit privat, cal anar també amb compte amb els grups de xat, que s’entenen com a tals fins a un màxim de 30 usuaris. Un perfil obert o un gran nombre de contactes en una xarxa social en la qual es publica informació personal d’altres (origen racial, religió, salut) ens converteix en responsables del tractament. En aquest sentit, la publicació de fotografies a les xarxes socials pot ser considerada com a intromissió il·legítima al dret a la intimitat i a la pròpia imatge si no s’han demanat el consentiment expres per a la publicació o difusió.

Recomanacions per a l’ús de les Apps:

  • Informar-nos bé sobre els riscos
  • Configurar paràmetres de seguretat
  • Evitar aportar informació sobre tercers sense el seu consentiment

Consideracions especials per als menors:

Els menors de 14 anys no poden manifestar el seu consentiment pel tractament de les dades. Cal demanar-ho als seus pares o tutors legals. A Espanya, un menor no pot tenir un mòbil registrat al seu nom, lo qual no impedeix que el pare en sigui el titular i el cedeixi al fill. Una recomanació saludable per a tots els pares és capar els mòbils per evitar sorpreses o compres no desitjades, com va passar amb l’aplicació dels Barrufets.

El nostre rastre a la xarxa

Quan naveguem per Internet, deixem empremtes com:

  • la nostra adreça IP pública
  • quin sistema operatiu tenim instal·lat
  • quin navegador hem fet servir
  • analítiques d’ús d’aplicacions i pàgines visitades (Google Analytics i Facebook Like)

I de vegades podem revelar :

  • localització mitjançant GPS, segons xarxes wifi a les que estem connectades, node 3G al que estem connectats, o simplement mitjançant la IP pública.
  • si alguna de les aplicacions a les que hem accedit utilitzen “cookies” també podrien haver-hi a dins dades personals o de la nostra interacció amb l’aplicació.
  • Altres informacions que les pròpies aplicacions a les que accedim estan enviant a servidors externs (com són per exemple la cerca d’actualitzacions de programari, la depuració d’errors, etc)

Si a més ens connectem (amb portàtil o mòbil) a una xarxa Wifi pública i oberta (aeroports, universitats, parcs empresarials, etc), la nostra MAC (codi alfanumèric únic de cada dispositiu) també deixa rastre dins la mateixa xarxa, però no a fora. Si hi hagués algú “snifant” [espiant la informació que passa per la xarxa], podríem estar revelant dades personals i contrasenyes simplement mitjançant la navegació i sense ser-ne conscients.

Per evitar ser espiats, hem d’utilitzar sempre que sigui possible el protocol https. Facebook i Twitter ho permeten, només cal buscar a la configuració i emprar sempre https en lloc d’http, sobretot en dispositius mòbils. Pel que fa al WhatsApp, recentment ha afegit la possibilitat d’encriptar les comunicacions però abans no es podia, lo qual representava un forat de seguretat important.

Qui pot seguir el nostre rastre?

  • Persones conectades a la mateixa xarxa (Lan o Wifi) mitjançant les tècniques descrites anteriorment
  • L’ISP (Proveïdor de Serveis d’Internet) per control d’ús de la connexió
  • Nodes d’enrutament (qualsevol dels nodes pels quals passi la informació que enviem)
  • El responsable del lloc web al que accedim
  • Cossos policials, jutges i tribunals. Existeix una directiva de retenció de les dades que obliga als ISP a conservar totes les dades de connexions dels seus clients entre 6 mesos i 2 anys.

Llavors què podem fer?

La premissa és usar el sentit comú.

  • No fer res que no es faria a la vida real
  • No proporcionar informació personal
  • Vigilar les imatges que es pujen, les quals sempre porten implícites unes metadades amb informació (data i hora de presa, per exemple)
  • Utilitzar tallafocs i tenir l’antivirus correctament actualitzat
  • Descarregar les actualitzacions de seguretat que van sorgint de les diferents aplicacions que utilitzem
  • No proporcionar mai contrasenyes o dades en webs no segures (cal que comencin per https:// )

A més, hi han certs navegadors que permeten instal·lar extensions que proporcionen més seguretat i privacitat, tot i que la seva eficàcia és relativa.

Firefox ofereix “Addblock plus” que evita que s’obrin finestres de publicitat, i “Flashblock Plus” que evita que es carreguin presentacions de Flash. També es pot configurar per a que demani autorització per executar Javascript.

Hi ha una opció que podem marcar que s’anomena “Do not track” que serveix per indicar que no es vol ser rastrejat, però a la pràctica, el lloc web decideis si ho respecta o no. En conseqüència, no tenim cap garatia que ens facin cas.

Una altra pràctica saludable és limitar l’historial del navegador, verificar les cookies periòdicament i eliminar-les.

Existeix també un mètode de navegació privada que no deixa rastre del que visitem al nostre ordinador però sí a la xarxa (les webs registraran la nostra visita, l’ISP també i les persones conectades a la mateixa xarxa també podrien capturar-ho).

Tots els mètodes esmentats fins ara per navegar anònimament mantenen aquest anonimat en un grau molt “relatiu”.

Una eina que permetria una navegació 100% anònima sense deixar rastre ni de la geolocalització, ni de la IP, ni de la identitat, s’anomena TOR [www.torproject.org] i es basa en utilitzar varis túnels xifrats entre els nodes pels quals passa la nostra informació.

Conclusions

El fet que la majoria de serveis estiguin en el núvol i que no sapiguem què s’està fent exactament amb les dades que es recullen de les nostres interaccions amb aquestes aplicacions fa que siguem en certa manera vulnerables. Aquest encara és més preocupant si l’usuari és menor d’edat. Hem d’actuar doncs amb sentit comú i molta cura, tant en entorns mòbils com en estacions de treball conectades a internet per wifi o per lan (cable). És saludable llegir sempre els advertiments quan instal·lem una App, accedir a una adreça https sempre que sigui possible, no facilitar mai cap contrasenya que coincideixi amb la del banc o altre servei crític en donar-se d’alta a un nou servei o App, i finalment, no revelar informació personal a les xarxes socials.