Etiqueta: protección de datos

bookmark_border¿Profesionales?

Posted on by Félix J. Haro

AUMENTO DE DENUNCIAS
CRUCE DE INFORMACIÓN ENTRE AGPD Y AEAT
La Resolución de 12 julio 2006 de la Agencia de Protección de Datos, ha previsto un período transitorio de adaptación de las empresas a la inscripción de los ficheros en la Agencia. El 24 de octubre de 2007 ha finalizado este período de gracia. Siendo a partir de esta fecha que la Agencia va a reforzar sus herramientas inspectoras para un riguroso cumplimiento de la Ley.

Cruzar los datos de las empresas que han inscrito sus ficheros en la Agencia de Protección de Datos con las empresas dadas de alta en la Agencia Tributaria (Hacienda) y que todavía no lo han hecho, es una arma poderosa que la Agencia puede utilizar.

No, no me he vuelto loco. Esto es el texto de una diapositiva ya un poco antigua de una presentación de un despacho de abogados supuestamente especialistas en protección de datos. Me dan ganas de vomitar cuando veo que la profesión está plagada de gentuza que no tiene remota idea de lo que está hablando, y que además, mienten y atenazan a sus potenciales clientes con presentaciones que solo hablan de sanciones… ¡pero es que este texto se lleva la palma!

No he podido evitar colocarlo. Queda inaugurada en este blog la categoría “Espectáculo LOPD”.

bookmark_borderUn nuevo escenario (2ª parte)

Posted on by Félix J. Haro

chainreactionLa comunicación de Vodafone con los clientes afectados ha sido nula. Como ya hemos visto, lo único que se conoce está en noticias de prensa, en el foro donde bastantes usuarios intercambiaban información, y finalmente, en el comunicado de FACUA. Lo cierto es que la respuesta puede calificarse de desastrosa.

La sensación que los clientes afectados se han llevado deja mucho que desear. Me gustaría poder medir cuántos clientes dejarán Vodafone por este incidente, o poder medir también la publicidad negativa que estos proporcionarán a esta compañía. Todo esto podría valorarse económicamente.

¿Pero qué se debía hacer? ¿Es mejor no levantar mucho polvo guardando silencio, y dejar que pase la tormenta, o tomar medidas?… ¿pero qué medidas? Las empresas españolas no están obligadas a comunicar estos fallos de seguridad que comprometen datos de carácter personal, pero no es menos cierto que con Internet al alcance del usuario el escenario ha cambiado. Ya hemos visto lo fácilmente que corren las noticias…

Todavía no está muy introducido en España lo que es conocido como “data breach management”. Diferentes equivalentes a nuestra Agencia Española de Protección de Datos tienen publicadas guías para actuar en estos casos. A título de ejemplo:

Canadá – Key steps for organizations in responding to privacy breaches

Gran Bretaña – Guidance on data security breach management

Nueva Zelanda – Privacy Breach Guidance

Tienen en común que los pasos a seguir son los siguientes:

1.- Contención del incidente y evaluacion preliminar;
2.- Evaluación de los riesgos asociados;
3.- Notificación; y
4.- Prevención 

La tercera fase, la notificación, es la que sabemos que Vodafone no ha realizado. Al menos voluntariamente.

En todas estas guías se hace hincapié en que hay que evaluar caso por caso. El procedimiento de notificación de incidencias ha fallado estrepitosamente. ¿Cómo es posible que habiendo recibido llamadas en el servicio de atención al cliente no se reaccionase antes? Y una vez conocido, y habiendo sido contactados por FACUA pidiéndoles explicaciones, ¿por qué Vodafone no hizo un comunicado público?

Tendremos que acostumbrarnos a gestionar estos incidentes. No sería mala idea quizá que la Agencia se pusiera manos a la obra para confeccionar una guía de estas. No tardará mucho, ¿hay apuestas?