Paloma Llaneza

Me escriben un par de amigos bloggers interesándose por EuroPrise, un sello llamado de calidad (ya os diré por qué no lo considero de calidad) que ha montando una autoridad de control alemana para certificar, en principio, producto y ahora también servicios.

Como aparezco en la lista como la primera experta acreditada por España (prometo que fue por estricto orden de caída) y hay confianza, me dirigen varias preguntas sobre el esquema de certificación que les contesté apresuradamente.

Una vez que he acabado el informe del cliente que he presentado al piloto y mi nuevo “examen” para ampliar mi acreditación de experto legal a experto legal-técnico, hago un hueco para compartir con vosotros esas respuestas y algunos problemas que la aplicación práctica del esquema me han generado.

La certificación se produce contra la directiva comunitaria de protección de datos y las normas nacionales en donde el producto/ servicio se distribuya/preste. Documentalmente, se trabaja con los siguientes documentos:

- EuroPriSe Evaluation Manual for Experts, que es una especie de metodología, en la que se distinguen las fases de evaluación y los documentos aplicables.

- EuroPriSe Catalogue for Experts (v0.3): organizado en cuatro areas, es un gran checklist de cumplimiento contra la Directiva y normas nacionales

- EuroPriSe Criteria Catalogue for Experts (version 0.3): contiene el catálogo y lo explica, ampliando con información útil para el evaluador.

- Por último, hay un modelo de informe (Evaluation Report Template) que ha de ser respetado.

Las entidades de certificación son las agencias que se han unido al proyecto, y los evaluadores somos los expertos, a quien nos contrata el evaluado. Este esquema tiene el riesgo de que el experto se vea abocado a hacer consultoría. La situación óptima sería la que se contempla en esquemas de certificación normativos, en las que el auditor es no sólo acreditado y seleccionado, sino también pagado, por la entidad de certificación de la que depende contractualmente.

Otra de las mejoras que incluiría en el esquema sería la de dividirlo en dos (uno de producto y otro de proceso/servicio/SI) con sus correspondientes catálogos independientes, estructurando mejor el de proceso, con inclusión, en su caso, del sistema de gestión que actualmente no contempla. Se echa de menos también una metodología de auditoría más precisa, y se echa de más la distinción entre datos primarios y secundarios, que parece que se arrastra de la certificación de producto. Esta distinción, desde la perspectiva de proceso es innecesaria, pues si se trata de datos personales, todos, primarios o no, han de ser tenidos en consideración en la evaluación.

También he detectado un problema de indefinición. Aunque se califica este sello como de calidad, la realidad es que no es un sello de calidad sino de cumplimiento legal, ya que nuestro documento normativo (esto es, el documento contra el que certificamos) no es una norma de cumplimiento voluntario tipo ISO o UNE, sino la directiva y normativa nacional de cumplimiento obligatorio. No tenemos, por tanto, un documento normativo de calidad (que es un plus sobre el cumplimiento obligatorio) sino una combinación de normas comunitarias y nacionales en forma de checklist.

Lo anterior, que es muy interesante a la hora de vender un producto compliant, es muy peligroso al vender una organización compliant. Mientras el fabricante del producto no va a ser sancionado si lo que vende no cumple, la organización sí.

Se que muchos creen que un sello de este tipo le blinda frente a inspecciones. Puede. O puede que no.

Mi ego sigue sin quererse bajar de lo alto del armario. Aprovechando que no está cerca retomo la propuesta de Renato quien me invita, y yo a vosotros, a reflexionar sobre situaciones prácticas en las que aplicar el Derecho TI de verdad, como cuando nos preguntan a bocajarro en el despacho.

Él propone tres escenarios que copio a continuación y yo os pido que os animéis a aportar los que se os ocurran, que yo de imaginación voy muy corta. Si salen los suficientes lo mismo podemos engañar a mi editor y hacernos una peculiar “obra colectiva”. Aquí van los ejemplos de Renato:

Escenario 1: Empresa que publica un portal en Internet donde se recogen datos personales a través de formularios y que contempla la venta en el portal, admitiendo certificados digitales reconocidos como mecanismo de firma securizada. Este “culebrón” puede mover casi todos los marcos existentes y admite múltiples variantes que moverían de distinta forma los mismos.

Escenario 2: Organismo de las Administraciones Públicas que, en un arranque de filia hacia sus fieles y sufridos administrados, decide ofrecerles un portal tipo “ventanilla única” donde éstos pueden interactuar con las AAPP, iniciar o consultar expedientes varios. Doña LISI viene de visita, al igual que en Ejemplo 1.

Escenario 3: Empresa que desea adaptarse al “nuevo” Reglamento de la LOPD pero, además, quiere aprovechar para adaptarse a las “buenas prácticas” de la ISO 27002.

Reservaré unos cuantos iLom para animar la creatividad.

Entre las dos mil cosas a las que me dedico se cuenta la de dirigir la revista jurídica on-line NJBOSCH.

Estamos con eso del nuevo año poniéndola más mona y, ahora que está tan de moda, haciéndola más 2.0.

El espíritu de la revista siempre ha sido el de hacer una publicación de abogados para abogados, con un acercamiento práctico y crítico a los problemas legales. Como a veces lo conseguimos y otras no tanto nos gustaría contar con más colaboradores que no le tengan repeluco a este entorno.

Así que nos preguntábamos si alguno de los que os paseais por aquí os apetecería mandarnos colaboraciones legales o paralegales. Ahora andamos buscando colaboradores que se atrevan con la reforma del Código Penal en materia de tráfico así como con alguien que quiera escribir sobre la nueva (y tardía) regulación sobre los bienes tangibles.

Podéis dirigiros a info_arroba_palomallaneza.com.

¿Os animáis?

La entrada PRIVACY REVISITED ha sido retirada por petición expresa de la autora.

JULIO SAN JOSÉ SÁNCHEZ es CISM y Lead Auditor BS 7799 por British Standard Institution. Coordina el SC27/WG2 de criptografía y representante del SC27en el GET 13 (Grupo Especial de Análisis de Riesgos).

ME LO BORRE BIEN

Recientemente, la cadena BBC denunciaba un nuevo negocio detectado en Nigeria: la venta de datos bancarios de clientes británicos, recuperados de los ordenadores viejos que instituciones y particulares donan a Nigeria. 

Lo mismo sucede con los teléfonos móviles y PDAs, según un reciente estudio de la consultora Trust Digital, que compró diez aparatos en eBay y los diseccionó: extrajo 27.000 páginas de información, con la que pudo localizar a los dueños originales, además de su información bancaria, contratos y planes empresariales, listas de contactos, llamadas, correspondencia, contraseñas y uso de medicamentos.

Veamos: cuando usamos un dispositivo móvil (teléfono, pda, black, smartphone…) la información que recibimos/enviamos esta compuesta en casi todos los casos por información confidencial y/o cuando menos privada. Durante la vida útil del dispositivo éste se encuentra bajo nuestra custodia por lo que el acceso indebido es potencialmente menos peligroso, pero cuando vamos a deshacernos del dispositivo ¿que ocurre con la información contenida en él?

En el mejor de los casos y para usuarios muy concienciados, se producirá un borrado lógico de toda la información, que puede ser fácilmente reconstruido a través de múltiples herramientas de “recovery“. Ya existen empresas que aconsejan a los usuarios como hacerlo de forma manual.

Normalmente los sistemas con los que trabajamos (incluyendo a Linux) son bastante “promiscuos” a la hora eliminar información de los soportes magnéticos y todo ello en aras a la velocidad, pero claro esto deja en campo abierto a los “recuperadores” tanto los legales como los alégales. Por cierto y disculpar mi “asnez” jurídica ¿recuperar los datos del anterior dueño del disco vulnera alguna legislación?.

Ya sabéis, a partir de ahora si te ha dado suficiente miedo lo que acabo de contar, haced una eliminación segura de tus soportes. Vamos, me lo borre bien.

Hay amigos a los que les puedes dar la tabarra sin que huyan y que además “te escriban algo”.

Para ellos, firmas invitadas y amigos interesantes que me descargarán de la tarea de encontrar algo que contar, abrimos esta nueva sección.

Sin más preámbulo, ¡Queda inaugurado este pantano!