Paloma Llaneza

La Agencia de Seguridad de la UE, ENISA (the European Network and Information Security Agency) ha presentado un documento relativo a los riesgos de autenticación en los servicios de banca on-line haciendo uso de los “European eID Cards”, los documentos de identificación electrónicos.

El documento analiza 7 vulnerabilidades, identifica 15 amenazas y facilita recomendaciones de seguridad.

Y me subí a un escenario en el que no veías al público y sólo oías a los de sonido y a los de la organización charlando animadamente. Las primeras filas estaban forradas de ordenadores con personas detrás que parecían atender más a lo que saliese de la pantalla que del escenario. Mientras hablo recalculo cómo conseguir que alguien no me insulte por el “tuiter” y como realizar una faena digna, si no de aliño.

Al final la gente pregunta y pregunta cosas muy interesantes, y agradeces no sólo el buen nivel de las preguntas, el debate de altura sino que, a pesar de las pantallas, de la oscuridad, siempre estuvieron allí.
Gracias a todos por vuestra generosidad con una “inclusera” recién llegada al EBE.

Por último, y para solventar el revuelo del lector de DNI-e que veo que colea, aclararé. El DNI provee dos servicios de los llamados de seguridad: el de autenticación (identificación) y el de firma.

La autoridad de registro y certificación es la Policía, quien también lo es de verificación (el root es de la Policía) para sus propios usos, distribuyendo “copias” a otras autoridades, entre las que se cuentan MAP y FNMT, quienes también pueden prestar servicios de validación o verificación. Por ejemplo, si compro en el Corte Inglés usando el certificado de firma del DNI-e el servicio de verificación (de que firmo yo con un certificado vigente) probablemente sea prestado por FNMT basado en unas “listas” en las que aparece los certificados vigentes.

Teóricamente, FNMT no pasará mis datos de compra ni mi comportamiento a la Policía, ya que técnicamente no es necesario para que el servicio de validación se preste. Dicho esto, y siendo consciente de que esta estructura se hizo, precisamente, para evitar la acusación de “gran hermano” que yo lancé al DNI-e, no puedo evitar que mi natural desconfiado me lleve a prefierir usar el DNI-e sólo en su versión cartón-piedra o para mi relación con la administración, quien va a tener los datos de todas maneras.

Y ahora se me puede instalar aquí el troll de Dondado para darme caña, si a su derecho conviene

Imagen extraída de “Así funciona SITEL”.Vista en La información (el original en formato flash)

Visto en AEDEL

Dejando a un lado las disputas políticas, a una asociación como la nuestra no puede por menos que interesarle el debate abierto alrededor de las garantías evidenciales de las grabaciones telefónicas realizadas con el sistema SITEL. Seguir leyendo…

Después de año y medio de trabajo y revisiones, conseguí, como experta del esquema Europrise, que se certificase el Turno de Oficio del Colegio de Abogados de Madrid. Hay fotos que ya colgaremos, pero os dejo no sólo con las notas de prensa, sino con el acceso al certificado y, lo que es más interesante, al short report, resumen de las 150 páginas de informe de evaluación.

El Ilustre Colegio de Abogados de Madrid consigue el Sello Europeo de Privacidad (EuroPriSe)

Madrid/Kiel, 3 de noviembre de 2009
Hoy en Madrid, en el marco del Seminario EuroPriSe, enfocado a tratar especialmente temas relativos al trabajo de las autoridades de protección de datos, se han concedido dos nuevos Sellos Europeos de Privacidad. El sello fue entregado al Ilustre Colegio de Abogados de Madrid (ICAM) por su “Solución para la gestión del servicio de Justicia Gratuita”.

Este servicio TIC demostró satisfactoriamente su cumplimiento de los exigentes requisitos de la legislación europea de protección de datos. En el sistema jurídico español, como en otros muchos países, el Estado está obligado a prestar ayuda a las personas que de otra manera no podrían costear los costes de una representación legal. El ICAM está obligado a verificar si las solicitudes de ayuda presentadas por los ciudadanos cumplen los requisitos de la ley. Para cumplir con esta obligación, el Colegio de Abogados de Madrid utiliza su “Solución para la gestión del servicio de Justicia Gratuita” que comprende la operación de un aplicativo desarrollado por el propio Colegio para gestionar la base de datos de Justicia Gratuita y el interfaz web que permite a los colegiados acceder a la información respecto a pagos pendientes y fechas de los mismos.

“Solución para la gestión del servicio de Justicia Gratuita” del ICAM ha demostrado con éxito su cumplimiento de la legislación europea de protección de datos y se les ha concedido hoy el Sello Europeo de Privacidad Europeo -EuroPriSe. “La evaluación de la “Solución para la gestión del servicio de Justicia Gratuita” confirmó que el ICAM pone un gran énfasis en la implantación de importantes medidas técnicas y organizativas para asegurar la máxima confidencialidad, integridad y disponibilidad de todos los datos personales procesados. El ejemplo del ICAM muestra que la obtención de un sello EuroPriSe no es solo atractiva para las empresas privadas, sino también para entidades públicas o que ejercen potestades de Derecho público” comenta Antonio Troncoso Reigada, Director de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM).

EuroPriSe is delighted to announce the awarding of European Privacy Seals to the IT-based “Legal Aid Solution” developed and used by the bar association of Madrid and to Iberemec’s web based client module of its customer relationship management (CRM) system “Iberemec CRM”.

On November 03, 2009, the bar association of Madrid (Ilustre Colegio de Abogados de Madrid – ICAM) was awarded a EuroPriSe certificate for its “Legal Aid Solution”. ICAM is legally obliged to check whether legal aid requests filed by citizens meet the requirements established by Spanish law. Fulfilling this legal obligation, ICAM  makes use of the “Legal Aid Solution” encompassing the operation of internally developed software managing the legal aid database and a web interface allowing independent duty solicitors to access information about pending legal fees and payment dates.

The evaluation performed by EuroPriSe Expert Paloma LLaneza (technical and legal) lead to the conclusion that ICAM’s “Legal Aid Solution” is compliant with EU data protection law. The evaluation confirmed that ICAM processes only personal data strictly necessary to fulfil its legal obligation and that it puts quite some emphasize on implementing strong technical and organisational measures ensuring maximum confidentiality, integrity and availability of all personal data processed.

ICAM is the first public body to be awarded a European Privacy Seal.

Hay una brillante escena de La Vida de Brian (¿y cual no?) en la que el Frente de Liberación de Judea discute cómo concederle a un tío que se “siente” Loreta el derecho “abstracto” a parir.

Ahora es Google quien, a través de su Data Liberation Front, nos reconoce el derecho abstracto a la protección de datos.

Como es de risa, prefiero a los Monty Python. Disfrutad.

Jesús Rubí, Adjunto al Director de la APD española, nos dirigió unas palabras en la cena de The Public Voice el pasado lunes.

Allí estábamos todos, recién cenados y algo achispados, calentando motores para la que se nos venía encima.

Por Paula Gonzalo

Lo que ha ocurrido en cada país en los últimos años en cuestión de privacidad y protección de datos está alterando el panorama internacional relacionado con el derecho a la información y a la intimidad.

Jaiok Kim desde Corea del Sur, comienza plateando estos aspectos como temas candentes en Corea. Ha habido desarrollos este año, que están en manos del sector público y privado sobre el concepto de la privacidad de los datos en línea. La enmienda propuesta en 2008 pretendía modificar la ley de la protección de datos  para mejorar la protección en esos aspectos. Los números de identificación única, como el de la seguridad social -o el DNI en España-, que permite conservar nuestra información en la red, requieren una mayor protección. Los proveedores de servicios deben encontrar una manera para ofrecer a los usuarios una forma de proporcionarles seguridad. También la publicidad en línea ha de estar regulada, especialmente creando listas opt-out, esperando disponer unas guías de protección a finales de año, según comenta Kim.

Meryem Marzouki, Derechos Digitales Europeos (Francia), centró su intervención en la protección de datos en la Unión Europea y la legitimación de esos datos. Una de sus preocupaciones es el plan de Estocolmo con la integración de datos y su uso en torno a bases policiales.

“Ha habido una evolución a nivel europeo, pero aún queda mucho por hacer. La identificación biométrica es una cuestión importante con la creación de bases de datos centralizados, como se está haciendo en Francia o Alemania.

El Estado de las bases de datos suelen ser ilegales:  más de 50 bases de datos policiales contienen un gran número de datos erróneos o inapropiados. La legislación europea tiene que activar garantías para lograr el cumplimiento del respecto a las bases de datos, especialmente en relación con los inmigrantes, menores, sectores desprotegidos. El tratado de Lisboa no será suficiente:  a finales de este año habrá más necesidad de contar con medidas de seguridad, y de limitar los datos biométricos y la protección de los grupos más vulnerables.

Es cierto que puede considerarse que todos somos sospechosos en potencia, pero existen parámetros para determinarlo …  pero la Unión Europea con la retención de datos abrió la posibilidad de tener un sistema de vigilancia a partir de  2002. En Francia se ha implantado la preservación de los datos de forma sistemática desde 2001, así que creo que nuestros políticos deben cumplir ciertos objetivo de cara a la próximas elecciones para justificar ciertas iniciativas relacionadas con la creación de bases de datos o auditor  los ficheros policiales, en donde se incluyen grandes errores. Pero es difícil poder corregirlos porque una base de datos informal de sospechosos no se puede corregir si no sabemos que es lo que contienen.

Un tema que despertó expectación en el debate posterior sobre estas bases de posibles sospechosos o delincuentes, ha sido la posibilidad de usarlos con fines ilícitos. La recogida de datos biométricos ¿cómo  se puede restringir?, No sólo se pueden usar en cuestiones policiales o de seguridad pública sino también en temas relacionados con la publicidad, ya que al final pueden usarse para fines distintos a los de recogida. El uso de la huella digital como una opción de identificación abre un campo de posibilidades extraordinariamente complicado.

Katitiza Rodríguez, de Electronic privacy Information Center (Perú/ USA), consideró que las  cámaras de vigilancia, su ampliación en el uso de estos
dispositivos y los argumentos empleados para su uso no están justificados legalmente.  Nada justifica que, superada la razón de seguridad alegada para su instalacióinb, las cámaras sigan ahí. Este es un aspecto que precisa de  mayor investigación y regulación.

Se trabaja en la consecución de una política de identidad general. Muchos usuarios han criticado Facebook, igual que Tuenti, para proteger a la sociedad civil respecto al uso de los datos personales de los usuarios. Es muy importante estar unidos en estas cuestiones.  Muchos gobiernos están creando tarjetas biométrias. No existe realmente ningún debate público alrededor de, por ejemplo, el uso y consecuencias del  uso del DNI electrónico y es necesario un mayor diálogo sobre el empleo de esa tecnología por sus posibles usos secundarios indeseados.

Ofelia Tejerina, de la Asociación Española de Internautas, (España) planteó los problemas más destacados sobre confidencialidad en torno a 5 puntos claves:
1- La privacidad en las transacciones comerciales informáticas.

2- La vídeovigilancia implantada por entidades privadas que no tienen muy claro como hacerlo.

3- Las redes sociales y los menores:  internet facilita la socialización pero ofrece ventajas y peligros, de ahí muchas de las campañas de concienciación e información.

4- La privacidad de las telecomunicaciones es muy importante también en cuanto a la exigencia de una normativa que las regule.

5- La falta de recursos materiales para facilitar esa seguridad y aprovechar esas ventajas y, al tiempo, generar cursos de formación de personal que ponga en marcha esto.

Trabajamos en la defensa de los derechos de los ciudadanos en la interceptación legal de las comunicaciones, especialmente en cuestiones de terrorismo, o delincuencia grave organizada. Al suspenderse el derecho de la privacidad de las comunicaciones debemos trabajar y esforzarnos para delimitar el secreto de las comunicaciones que necesita una ley orgánica, para limitar derechos fundamentales y complementarios y una autorización judicial, que hoy en España no existen. Existen normas extralegales y debe existir un juez que determine la proporcionalidad de estas medidas, expresar las acciones concretas que deben investigarse, los planes de intervención, de almacenamiento de los datos. Partimos de una normativa que esta utilizando el gobierno para controlar las comunicaciones de forma ilegal pero seguiremos trabajando para que la constitución nos proteja como ciudadanos.

Matias Altamira, de la Asociación de la Información Iberoamericana, ha abordado los aspectos de los procesos policiales y judiciales de forma que salvaguarden los derechos de los ciudadanos sin menospreciar la agilización  en la resolución de un delito.

Las mejoras de la tecnología también aportan problemas y no tener nada que ocultar legalmente no significa no tener problemas. No debemos olvidar la calidad y la utilidad de los datos, o que el dato biométrico usado en una relación laboral o censal debe acotarse para no ser usado fraudulentamente.

Vía :: Espíritu Digital