Ir al contenido principal

LOPD para todos (I)

En mi opinión, uno de los problemas que hacen que la Ley Orgánica de Protección de Datos de carácter personal (LOPD) sea una auténtica desconocida entre la ciudadanía en general, no ya entre quienes no conocen ni su existencia sino entre aquellos que han oído hablar de ella, es lo ardua que resulta su comprensión; empezando por lo más básico, su terminología. Cosa que tampoco es que sea rara, ya que creo que es algo común a la mayoría de las leyes. Se habla mucho, y desde hace mucho tiempo, de hacer más cercano el lenguaje jurídico a la ciudadanía, y sobre todo en materias que, como ésta, afectan a derechos fundamentales y tienen una gran incidencia en el día a día.

Por tanto, evidentemente, y en el caso que nos ocupa (LOPD) aún más, cualquier esfuerzo que se haga para transmitir de forma comprensible las leyes redundará sin duda en un mayor cumplimiento. En el caso de la LOPD, no sólo porque la ciudadanía en general la conozca más y mejor, y en consecuencia sea más consciente de sus derechos, sino también porque aquellos que tienen que aplicarla en su día a día en las organizaciones también la conocerán más y mejor, y, por consiguiente, estarán más preparados y serán más respetuosos a la hora de tratar datos de terceros.

Todas las autoridades de control existentes (AEPD, AVPD, APDCM y APDCAT), es decir, aquellas que tienen como misión principal velar por el respeto a los derechos que la LOPD nos reconoce en esta materia, realizan una encomiable labor en este sentido, editando y divulgando muy diversos materiales, dirigidos fundamentalmente a la ciudadanía en general, y también, aunque creo que en menor medida, a las personas que diariamente tratan este tipo de datos en las organizaciones.

Dicho lo anterior, en este post me gustaría compartir mi experiencia en la sensibilización y formación entre el personal de las organizaciones, bien se trate de administraciones públicas o empresas.

Uno acude a la sesión correspondiente pertrechado de una presentación ad hoc para la ocasión (personalizada con la problemática de protección de datos concreta de la organización en cuestión, intentando reflejar los conceptos, principios y desarrollo de la normativa de la forma más comprensible de la que uno es capaz, con ejemplos también personalizados de todo ello, y, sobre todo, con muchos dibujitos y colorines), para hacerla más interesante y amena - ni que decir cabe que, para ello, uno se ha estrujado bastante las meninges -, y, nada más empezar, cuando uno ha terminado de explicar los términos de la normativa, la "primera en la frente": se da la vuelta, observa a los asistentes, y:


En resumen, aquellos que miran estupefactos o parecen estar durmiendo son mayoría (bien es cierto que el porcentaje de los que se encuadran dentro de una u otra categoría no parece seguir un patrón simple predeterminado; parece depender del tipo de organización - mayor o menor problemática de ésta con respecto a la protección de datos -, del día que tenga uno mismo o del que tengan los propios asistentes, ... o de otro tipo de factores complejos que se me escapan. En cualquier caso, asunto para el análisis).

Mención aparte merecen aquellos que están sonriendo (eso sí, en número significativamente inferior a las personas de las dos categorías anteriores). Uno se pregunta: ¿lo habrán entendido?, pero enseguida desecha esa posibilidad, porque con el rollo que les has soltado es casi imposible que así sea; ¿se estarán riendo de mí?, y entonces empiezas a mirarte de forma convulsiva, no vaya a ser que tengas roto el patalón, etc.; ¿estarán contentos porque viniendo aquí se han escaqueado un rato del trabajo?, o ... caben infinidad de posibilidades, nunca lo llegarás a saber a ciencia cierta, y decides olvidarte de ello, aunque de lo que sí estás seguro es de que, al igual que el resto, tampoco han entendido nada.

¿Cómo llegas a esa conclusión?. Bien, imagínese el lector del post que es uno de esos asistentes y es la primera vez que oye hablar de la LOPD, y para explicarle tres términos muy básicos de la Ley (pongo sólo tres ejemplos), le sueltan algo parecido a lo siguiente (como digo, yo los intento hacer más comprensibles y pongo ejemplos, pero es que mucho no se puede hacer):

- Responsable del fichero o del tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente.

- Encargado del tratamiento: La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

¿Le extrañan ahora al lector las caras de los asistentes?. Pues a mí, la verdad, para nada. Esto, contado así o parecido, es 'infumable'. Todo ello, sin hablar de  lo que se entiende por otros términos implícitos en las definiciones citadas (tratamiento, etc.) y, ni siquiera, de otros términos que se establecen en la normativa. A mí de estos últimos el que más gracia me hace es el de "tercero" (perdón y prometo no poner ninguno más):

- Tercero: la persona física o jurídica, pública o privada u órgano administrativo distinta del afectado o interesado, del responsable del tratamiento, del responsable del fichero, del encargado del tratamiento y de las personas autorizadas para tratar los datos bajo la autoridad directa del responsable del tratamiento o del encargado del tratamiento.
Podrán ser también terceros los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.

Nota del autor:  lo de los "entes" que se recoge en dos de estas definiciones, no es que me resulte incomprensible a mí mismo, sino que, directamente, me da hasta miedo.

Posteriormente, comprenderá el lector que el resto de la sesión (todavía hay otras muchas definiciones 'básicas' que explicar y, además, queda lo más importante: niveles de seguridad, medidas organizativas y técnicas, etc.) se convierte en un infierno, tanto para el ponente como para los asistentes, aunque por motivos radicalmente opuestos pero con un fin común: "por favor, pase de mí este cáliz".

Ahorro más detalles. Cuando uno, al fin, consigue finalizar su exposición con la mayor dignidad posible, "Genio y figura hasta la sepultura", y alza la vista, observa que el semblante facial de los asistentes se torna unánimemente a:


Una pequeña satisfacción. No, no es porque piense que hayan entendido nada, ni mucho menos, sino porque, al menos, comprendo lo que significa: se alegran de que hayas terminado y todos ellos prefieren ir a currar que aguantar esta tabarra de la que no se han enterado de nada. Lo que visto desde otro punto de vista no puede ser más frustrante: no sólo porque no han entendido nada (objetivo de la sesión incumplido), sino porque, además, prefieren currar a escucharte (algo inaudito).

Por tanto, teniendo en cuenta la famosa frase de Albert Einstein:

"Haz todo tan simple como sea posible, pero no más simple",

y aún a riesgo de pasarme y de que los ortodoxos en la materia se me "tiren al cuello", estoy pensando en cambiar el enfoque de las sesiones a impartir para simplificar un poco ciertas cosas. Sirva de ejemplo esta pequeña infografía con relación a los términos básicos de la norma a los que se ha hecho referencia en este post:


Lógicamente, todo ello referido a ficheros con datos de carácter personal y al tratamiento de estos datos, aunque haya que matizar ciertas cosas, pero: ¿a que así se entiende mejor?. Si finalmente me lanzo a utilizarla en alguna sesión, prometo publicar en otro post la infografía completa y las caras que ponen los asistentes.

Comentarios

  1. francamente bueno¡¡¡...y entretenido. Un consejo: empieza así tu próxima exposición,ríete de las definiciones literales como haces en esta artículo, provoca carcajadas...y conseguirás mantener la atención durante unos increíbles...20 minutos. A partir de ahí no hay dios que escuche ni la conferencia más entretenida. Pero ese inicio es bueno...insisto:prueba en tu próxima presentación. Sobretodo,léeles lo de 'tercero',que es para partirse. Ya verás cómo se despiertan...y atienden lo que les vas a decir

    ResponderEliminar
  2. Pues si le sirve de consuelo, es la primera vez que entiendo la diferencia entre responsable de fichero y encargado de tratamiento. Y es gracias a usted.

    ResponderEliminar
  3. Your post is really informative for me. But i want to read some more details about the LOPD.
    Ley Orgánica de Protección de Datos, LOPD

    ResponderEliminar

Publicar un comentario

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de

Criptografía (XXIII): cifrado de Hill (I)

En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat

¿Qué significa el emblema de la profesión informática? (I)

Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im