El blog de García Larragan y Cía

Noticias como ésta: http://www.iustel.com/v2/diario_del_derecho/noticia.asp?ref_iustel=1042217 , nos dan una idea de lo importante que para una organización es establecer una normativa interna sobre el uso de los recursos informáticos y de comunicaciones, e implantar las medidas de índole técnico necesarias para velar por su cumplimiento por parte de los usuarios. Estas situaciones son mucho más frecuentes de lo que podría parecer. Otro ejemplo de una situación muy similar fue la sanción de 150.000 Euros impuesta a un centro médico de Bilbao por dejar disponibles en la red 11.300 historias clínicas, algunas de ellas (un porcentaje bastante significativo) correspondientes a interrupciones de embarazo. En este caso, como en el anterior, los datos también quedaron a disposición del público a través de la utilización del programa eMule. Estos dos casos tienen una especial relevancia desde el punto de vista de la protección de datos de carácter personal porque se divulgan datos...

Dos de las grandes peguntas que me hago de forma recurrente sobre la protección de datos de carácter personal son, respectivamente, cuál es la percepción de este tema por parte de la ciudadanía y cuál es el cumplimiento real de la normativa por parte de los responsables de los ficheros (tanto de ficheros de titularidad privada como pública). Hay diversos estudios sobre ambas cuestiones, algunos de ellos muy interesantes, que vienen, en mi opinión, a demostrar la escasa o nula importancia que le damos los ciudadanos a este tema y el bajo grado de cumplimiento de la normativa vigente, tanto por parte de las empresas como por partes de las administraciones públicas, y, además, una evolución de ambos aspectos insuficiente o, al menos, muy lenta. Uno de los estudios sobre la percepción social que me ha parecido muy interesante es el elaborado por el Gobierno Vasco y publicado en la página web de la Agencia Vasca de Protección de Datos ( http://www.avpd.euskadi.net/s04-5249/es/contenidos...

Soy plenamente consciente de que se trata de un asunto “espinoso” y que, como tal, suele provocar una fuerte controversia, además de se un tema bastante antiguo. Sin embargo, no por ello creo que no haya que darle la importancia que merece o que carezca de interés. En primer lugar y para quienes no estén familiarizados con ello, explicar brevemente que las empresas que ofertan la adecuación a la LOPD a coste 0 lo que proponen es la utilización de los créditos de formación continua gestionados por la Fundación Tripartita (el antiguo FORCEM) para adecuar las empresas a la LOPD, es decir, se utilizan fondos destinados a la formación de los trabajadores para la realización de trabajos de consultoría. Las empresas que llevan a cabo esta práctica facturan al cliente en función del crédito de formación disponible y este último se lo deduce como formación bonificada en las cuotas a las Seguridad Social. De esta manera, se pueden llega a producir distintos fraudes, entre los que cabe d...

En este post trataré sobre los procedimientos que considero más relevantes implantar en la adecuación de pymes y micropymes a la LOPD. Tal y como se indicó en el post anterior, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase y, por tanto, todos los aspectos organizativos a implantar deberán estar convenientemente desarrollados en dicho documento. Básicamente, esta segunda actividad consistirá en la implantación de los correspondientes procedimientos, incluyendo la creación de los registros y listas pertinentes (registro de incidencias, registro de entrada/salida de soportes, etc.). La implantación de las medidas y normas de seguridad asociadas se abordará en la tercera y última actividad de esta fase. Los procedimientos más importantes que deberán ser necesariamente implantados son los siguientes: 1º) Acceso, rectificación, cancelación y oposición: este procedimiento tendrá como objetivo garantizar el ejercicio, ante la propia organi...

Finalmente, la última fase que propongo para la implantación de la LOPD en pymes y micropymes es la Fase 4, cuyo objetivo es la implantación de todos los procedimientos, medidas, normas, reglas y estándares recogidos en el Documento de Seguridad elaborado en la fase 2. Por tanto, el Documento de Seguridad constituye la entrada para las actividades a realizar en esta fase, es decir, todos los aspectos a implantar deberán estar convenientemente desarrollados en dicho documento. En la primera actividad a llevar a cabo se trata de regularizar aspectos generales exigidos por la normativa en lo que respecta a los tratamientos de datos de carácter personal, tales como: 1.- Deber de información y consentimiento del afectado: consiste en implantar la normativa en lo que se refiere al derecho de información de los interesados sobre los extremos para los que se exige información previa (art. 5 de la LOPD) y, en el caso que así se requiera, solicitar su consentimiento para el tratamiento y/...

Para comenzar una serie de post sobre Gobierno de TI, en los que además tendrán cabida las buenas prácticas, metodologías y herramientas (ITIL, COBIT, CMM, Business Inteligence) que le dan soporte, he elegido un tema que creo que tiene que ver con el Gobierno de TI, la Gobernanza de TI, o, al menos, es lo que yo pensaba, pero que según lo que entiendo, en base a la opinión de los expertos, incorpora una perspectiva "nueva" a la visión que sobre las TI se tiene en las organizaciones en lo que respecta a la toma de decisiones, estrategia, directrices, supervisión, y su seguimiento y control, es decir, una visión desde el negocio (Gobernanza) frente a la visión desde la tecnología (Gobierno). Confieso que la primera vez que oí eso de la Gobernanza de TI, recientemente en un grupo de Linkedin, pensé “menuda palabreja” e, incluso, que se trataba de un barbarismo más a los que tan acostumbrados estamos en nuestra profesión, y, además, que hacía referencia al Gobierno de TI. Para re...

Como complemento a la primera entrada de frases célebres sobre la informática, comparto otras citas famosas que he leído en diversos sitios web y que me han gustado: - “la Informática es demasiado importante como para dejarla en manos de los informáticos.” - Parafraseando a G. Vaughn Jhonson. - “Cometer errores es humano, pero para estropear realmente las cosas necesitas un ordenador.” - Paul Ehrlich. - “Un ordenador te permite cometer más errores y más rápido que cualquier otra invención en la historia de la humanidad, con las posibles excepciones de las pistolas y el tequila.” - Mitch Radcliffe. - “El software es como el sexo: mejor si es libre y gratis.” - Linus Torvalds. - "Los Servicios Web son como el sexo entre los adolescentes. Todos hablan de hacerlo, pero aquellos que realmente lo hacen, lo hacen muy mal." - Michelle Bustamante. “La mayoría del software actual es muy parecido a una pirámide egipcia, con millones de ladrillos puestos unos encima de otros ...