lunes, 27 de febrero de 2012 1 comentarios

Por qué lo llaman "secreto de sumario" si no es confidencial

En estos días anda la prensa y los medios revolucionados revoloteando alrededor del "caso Urdangarín". Lo que me parece cuando menos asombroso en este País es el poco respeto que se tiene a la confidencialidad de las diligencias realizadas por los jueces. Allá por el año 2008 ya publiqué tres entradas tituladas "El repugnante mercadeo de información", "Cuando confidencial no significa nada" y  "Tomándose en serio la palabra confidencial" donde se reflexionaba sobre lo frecuente de las fugas de información hacia la prensa.

En otros países estas fugas se han dado por la pericia de algún fotógrafo que ha conseguido captar desde muy lejos y con potentes zooms en sus cámaras los contenidos de documentos que son portados por los responsables de la custodia cuando salen de una oficina o se montan en su vehículo. Aquí sin embargo es de lo más común observar en presa los documentos fotocopiados o escaneados adjuntos como parte de la información publicada.



Buscando en Google he podido encontrar la justificación al secreto del sumario y su importancia dentro del proceso previo de investigación. En la entrada SECRETO DEL SUMARIO Y DERECHO DE DEFENSA: UN DIFÍCIL EQUILIBRIO se razona su motivación e importancia siendo obviamente la confidencialidad la dimensión de la seguridad más importante en este tipo de documentos.
El secreto para las partes personadas previsto en el art. 302 párr. 2º de la Ley Procesal Penal, aplicable al procedimiento abreviado a tenor de lo dispuesto en el art. 774 de la misma ley, se justifica, STS de 24 de mayo de 2000 (RJ 2000, 5771) en evitar interferencias o acciones que pongan en riesgo el éxito de la investigación y la averiguación de la verdad de los hechos objeto de la causa, siendo evidente que en ciertas ocasiones es imprescindible tal declaración de reserva puesto que las actuaciones procesales llevadas a cabo por el Juez instructor de conocerlas el imputado o posibles afectados resultarían de todo punto estériles.
Desde la optica de este blog, la violación del secreto de sumario afecta gravemente a las dos partes del proceso procesal: Por un lado al investigado porque puede comprometer su intimidad o privacidad al ser revelados datos que sólo debieran estar accesibles a un conjunto limitado de personas que participan en la instrucción. Por otro al juez que puede no ver garantizado el éxito de la investigación que es el objetivo por el cual determina el secreto de sumario.

En cualquier caso, la reflexión que procede en este blog es otra. Con esta violación tan sistemática del secreto y dado que parece no garantizarse cuando los hechos tienen cierta notoriedad social, cabe plantearse dos cuestiones:
  • ¿Cómo no es posible garantizar la confidencialidad de documentos?
  • ¿Cómo violaciones sistemáticas no acaban en investigaciones que permitan iniciar los procedimientos disciplinarios contra aquellos que participan en la violación del secreto?
Esta claro que existe una gran tensión entre "el secreto del sumario" y "la libertad de prensa" que permite al periodista omitir sus fuentes para proteger la identidad de sus confidentes. Sin embargo, es "extraño" y cuanto menos "sospechoso" cierto caldo de cultivo que rodea a los tribunales cuando los casos juzgados están sometidos a la presión mediática. Parece obvio que la ausencia de sanciones y procedimientos disciplinarios contra todos aquellas personas que en algún momento han filtrado algún documento alimenta esta sensación de absoluta impunidad contra la revelación de "secretos" que se viene produciendo en los tribunales. Pero también es de suponer que el personal interno que tiene acceso a los documentos y que consigue filtrarlos no siempre tendrá una motivación filantrópica por la "libertad de prensa" y deberá ser motivado de alguna forma para arriesgar en cierta forma su puesto de trabajo. Es aquí donde consultando en Wikipedia sobre el "código deontológico de los periodistas" encontramos esta frase: 
"En los deberes se recoge la necesidad de "utilizar métodos dignos para obtener la información, lo que excluye los procedimientos ilícitos".
Por tanto, ¿No deberían los medios de comunicación también calibrar la naturaleza de sus fuentes y valorar si la información ha sido recogida mediante medios lícitos o no antes de realizar su difusión?

En vista de los acontecimientos es obvio que no se les pasa por la cabeza. Prima la audiencia o el eco mediático de la noticia más que la forma en la que esta es obtenida, es decir, "el fin justifica los medios". Respecto a lo que ocurre los juzgados en relación a la no custodia de la confidencialidad de la información, nada que añadir a lo dicho ya en la entrada del año 2008 y la del 2011, el negocio de las fugas de información. No es un problema que no tenga solución, simplemente es un problema que no se quiere solucionar. El personal que trabaja en una organización debe ser leal y cumplir con sus obligaciones respecto a la custodia de información. Además, en estos casos donde siempre hay datos de carácter personal, el "Deber de secreto del artículo 9 de la LOPD" es pisoteado y arrastrado por el barro. Sin embargo, parece que en estas situaciones la AEPD no puede intervenir. Sin embargo, por más frecuente que sea no dejaré pasar ocasión para al menos hacer reflexionar al respecto cada vez que ocurra un caso notorio, aunque sea a modo de pataleta.
  





viernes, 17 de febrero de 2012 0 comentarios

Materiales de concienciación en seguridad de ENISA

Aunque ENISA publicó los materiales que hoy os comento hace tiempo, me parece interesante darlos a conocer para todos aquellos que os planteáis cómo mejorar la concienciación del personal de forma una forma sencilla y atractiva.

En la sección de Concienciación se han elaborado una serie de cómics y fotografías que permiten transmitir mensajes muy claros y directos sobre las pautas y hábitos que todo buen empleado debe seguir para la adecuada protección de la información.


Estas referencias también os pueden ser de ayuda y ejemplo para pensar cómo elaborar vuestros propios materiales con las problemáticas propias de vuestras organizaciones.



jueves, 9 de febrero de 2012 5 comentarios

"LOPD a coste cero, que no te tomen el pelo"

Aunque no es la temática principal de este blog la protección de datos, son temas intrinsecamente relacionados dado que los datos de carácter personal no son más que un subconjunto particular de información.
El texto de hoy parecerán trivialidades a mis lectores más asiduos que en muchos casos, son auténticos expertos en la materia pero mi intención es por un lado destacar la intensa y constante labor de la asociación APEP por la defensa de la protección de datos y sobre todo, por el mantenimiento de la dignidad de los servicios de consultoría/auditoría relacionados con la adecuación a la Ley 15/1999 y por otro, aclarar o aportar un poco de información respecto lo que supone el "problema de la LOPD" para una empresa de forma que se pueda entender que las ofertas a coste cero no solucionan nada.
Este post está dirigido a aquellos lectores que no conozcan de que va esto de la LOPD y que pueden recibir la visita/llamada de una consultora que se ofrece a "adaptar/adecuar/legalizar" sus datos de carácter personal a un coste mínimo o incluso cero aprovechándose de la bonificación que existe en materia de formación a empresas a través de la Fundación Tripartita.
A todos estos "clientes-victimas" de una regulación de mercado de la consultoría en materia de la LOPD cruel y temeraria que no lleva a ningún sitio, se hace saber:


La Fundación Tripartita ha aclarado en esta nota en su Web que son actividades constitutivas de fraude"La Fundación Tripartita para la Formación en el Empleo advierte a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude.


El cumplimiento de la LOPD es una actividad más de la empresa u organización. El uso de información es parte de cualquiera de las actividades de todo proceso de negocio. La Ley 15/1999 de Protección de Datos de Carácter Personal (conocida por los amigos como LOPD y temida por la gente en general por sus famosas multas) sólo establece ciertos mínimos cuando lo que se tiene entre manos son datos de carácter personal. Ello implica que toda organización debe esforzarse por entender esas restricciones y debe dar cumplimiento, CADA VEZ QUE MANEJA ESTE TIPO DE INFORMACIÓN, de aquellas cosas que la regulación ha establecido. Por resumir de forma escueta y clara, a pesar de obviar detalles, matices y excepciones particulares que las hay y muchas (Y que son precisamente las cuestiones que una empresa especializada en materia LOPD debe resolver), las tareas más básicas son:
  • Registrar ante la Agencia de Protección de Datos los diferentes tratamientos (Ficheros jurídicos) que la Organización desea realizar e informar de determinados aspectos vinculados a ellos según los requisitos establecidos por la Agencia Española de Protección de Datos. Esta tarea se realiza en el momento inicial y debe actualizarse con los cambios que se produzcan a lo largo del tiempo sobre los ficheros declarados.
  • Informar a cada propietario de los datos (Afectado o cliente que nos entrega información) de qué vamos a hacer con ellos (Finalidad) y quienes somos(Responsable del fichero). Si además los datos que recogemos serán entregados a otras empresas relacionadas con nosotros para la misma finalidad habrá que indicarlo también en este momento. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes.
  • Indicarle en el momento de la recogida de datos que tiene unos derechos reconocidos por la Ley y determinar cómo pueden ser ejercicios (Derechos de acceso, rectificación, cancelación u oposición conocidos por derechos ARCO. Esta tarea se debe realizar en cada recogida de datos a cada uno de tus clientes. 
  • Establecer las relaciones contractuales necesarias con aquellas otras empresas que acceden a nuestra información para proporcionarnos a nosotros (Organización) un servicio necesario en el tratamiento de datos declarado (Finalidad del fichero) determinando así la figura de Encargado de tratamiento. Esta tarea se debe realizar en el momento en que se van a contratar servicios a terceros que accedan a nuestros datos en calidad de encargados de tratamiento. Atender a cada afectado cada vez que se diriga a nuestra organización solicitándonos un ejercicio de derechos ARCO y en los plazos de respuesta que establece la Ley. Esta tarea se debe realizar cada vez que un afectado solicita un derecho.
  • Proteger los sistemas de información con unas mínimas medidas de seguridad que afectan a los datos tanto en soporte papel como almacenados en sistemas informáticos. Las medidas a las que te comprometes deben estar escritas en un "Documento de seguridad" que debe indicar qué procedimientos aplicas a diario para garantizar el cumplimiento de estas medidas. Por tanto, tener el documento en sí mismo no supone nada más que documentar lo que dices que vas a hacer. Para la seguridad lo importante es ejecutar y cumplir lo que escribas en el. Esta tarea por tanto se realiza a diario cuando se ejecutan los procedimientos establecidos y debe proteger por parte de las personas de la organización que tratan con esta información la seguridad de los datos (disponibilidad, integridad, confidencialidad y autenticidad).

El cumplimiento de la LOPD visto lo anterior NUNCA será resultado de una actuación PUNTUAL realizada por parte de una consultora. Si has entendido el resumen de tareas podrás comprender que una consultora JAMAS podrá garantizar que tu Organización cumpla con la legislación porque no está todos los días en tu empresa atendiendo a tus clientes o ejecutando los procedimientos de seguridad. Está en tu mano porque como se dice en el punto anterior, el tratamiento de los datos es una actividad más de tu negocio. Lo que una consultora externa "DEBE" hacer es informarte y asesorarte adecuadamente respecto de qué cosas tienes que hacer para cumplir con la legislación en materia de protección de datos. Y ojo, no sólo es importante la LOPD, dependiendo del sector en el que estés, pueden ser relevantes otras legislaciones que también regulan este tipo especial de datos.

Si lo que te preocupan son las multas, la contratación de actuaciones puntuales no van a evitar en nada las posibles sanciones que te imponga la AEPD. ¿Por que? Si la AEPD aparece por tu puerta ten claro que existen indicios más que suficientes de que YA HAS HECHO ALGO MAL. O bien no has informado adecuadamente, o bien no has atendido un derecho a un afectado en plazo, o bien no has garantizado las medidas de seguridad. En cualquier caso, la potencial infracción YA ESTA COMETIDA y por tanto, que saques un "Documento de Seguridad" o "la inscripción ante la AEPD" no te exime en nada de culpa. Simplemente justifica que aquellos deberes que eran acciones puntuales se realizaron pero las tareas de protección habitual han fallado. Por tanto, si una consultora viene asustandote con las cuantiosas sanciones y el "chantaje del miedo" ten claro que no te librarás de él si no haces las cosas de forma correcta y eso no suele ser lo que te dicen esas consultoras que te resuelven todos tus problemas.


Conclusión: Todas adecuaciones a la LOPD a Coste Cero tirando de fondos de formación de la Fundación Tripartita no te libran nada, no te protegen de nada y encima se llevan tu dinero. Por tanto, LOPD a coste cero, que no te tomen el pelo.

Y si llegados a este punto estás desconcertado, confuso y quieres saber con certeza en qué consiste un servicio completo de adaptación integral a la LOPD, la Asociación de todos los "PROFESIONALES CON MAYÚSCULA", la APEP que se dedican a esto han elaborado un documento a modo de código de conducta donde determinan los "minimos de calidad" que debe tener todo servicio de consultoría de la LOPD y que puedes descargar en este enlace. Por tanto, exige  calidad mediante "la denominación de origen LOPD" a tu consultora LOPD y al menos, comprueba que en su oferta se cubren los contenidos de este documento. En los tiempos que corren, lo mejor que podemos hacer es invertir bien el dinero y no entregarlo a aquellos que aprovechándose de tu ignorancia quieren ganar dinero fácil a partir del "copiaypega".



    viernes, 3 de febrero de 2012 6 comentarios

    ¿Una nube para la AGE? Con Google Apps hay que pensarlo dos veces.

    Hoy a través de Twitter he leído dos post que han iniciado el título de este artículo. El primero titulado ¿Y si los funcionarios usaran Google Apps? plantea tras noticia del BBVA y su migración a Google Apps si la Administración General del Estado podría plantearse un escenario similar. En este artículo se referencia a su vez a otro más extenso titulado Una nube para la Administración General del Estado (AGE), un análisis más exhaustivo de los pros y contras que puede tener la unificación mediante la cloud computing de los recursos de la Administración General del Estado. 
    Mi post pretende complementar y completar este análisis aportando algo de luz en las cuestiones que afectan a la seguridad de la información y en este caso, el papel crucial que puede tener esta cuestión en la decisión de externalizar hacia una nube "pública" pero propiedad de una empresa "privada" basada en Google Apps.

    En primer lugar aclarar que en cierta forma comparto los argumentos principales que llevan a pensar en la homogeneización y centralización de recursos TI para dar servicio a la AGE, por las cuestiones planteadas en el propio blog y que a continuación cito:
    • Ubicuidad: el acceso a los servicios está disponible desde cualquier terminal: PC, SmartPhone (iPhone incluido), Tablet (iPad incluído), …. Se puede usar en cualquier momento y lugar en el que exista una conexión a Internet/Intranet.
    • Inmediatez: El despliegue de la solución es muy rápido, no requiere reformas o adaptaciones de los sistemas existentes, y el periodo de formación y adaptación de los usuarios es muy corto, pues muchos de ellos ya conocen y usan las herramientas de Google
    • Flexibilidad: una de las características más interesante del SAAS es que el servicio y el cliente está constantemente actualizado de forma completamente transparente. Las nuevas versiones aparecen automáticamente al usuario cuando están disponibles, generalmente con la opción de “seguir con la versión antigua” si en ese momento tenemos prisa y no queremos aprender la nueva funcionalidad.
    • Seguridad: Los servicios contratados se acogen a la legislación sobre protección de datos española y europea mediante el acuerdo de “Puerto Seguro” (Safe Harbor) a la cual está actualmente adherido Google. Para proceder a implementar este proyecto, el BBVA ha recibido la autorización del Banco de España, como es preceptivo.
    • Y, por supuesto, Coste. Diversos estudios fijan en torno a los 100 dólares por año el coste de cada buzón de correo corporativo cuando se implementa con medios propios, pero para volúmenes de usuarios a partir de 10.000. Sin embargo, si el número de usuarios desciende por debajo de 10.000, los costes aumentan rápidamente. Así, para 100 usuarios un estudio calcula un precio de más de 300 dólares al año. Frente a ello, la solución de correo corporativo de Google tiene un coste de alrededor de 40 € por usuario y año.
    • Y no olvidemos que esta solución no es sólo correo. Incluye también todas las herramientas de ofimática en línea de Google: Documentos, Hoja de cálculo, Presentaciones. A la hora de comparar costes, debemos poner en el debe de la solución in-house el coste de adquisicion y amortización de las herramientas ofimáticas usadas en la casa. Por no hablar también de otras posibilidades como el chat, audio y video conferencia en línea incluidas en la solución.
    De todos estos puntos a favor, el que posteriormente cuestionaré es el de la seguridad tratando de justificar el por qué. En el mismo texto y cuando se reflexiona sobre los contras de esta solución, de nuevo la seguridad aparece en el centro de la cuestión.
    • En primer lugar, están las cuestiones de la seguridad de la información y de la disponibilidad del servicio. Estos son las principales pegas que se pueden poner a esta solución basada en nube pública, y precisamente los principales argumentos a favor de una nube privada.
    • Con respecto a la seguridad de la información, ¿es suficiente con la que proporciona “Safe Harbor”?. En otras palabras, ¿podemos dormir tranquilos los responsables de informática sin saber exactamente dónde están los datos?. No soy un experto, pero parece que la cobertura legislativa de puerto seguro es o debería ser suficiente también para la aplicación de estos servicios en la Administración Pública española.
    • Además, la gestión, control y validación de usuarios no se externaliza: puesto que se utiliza un servicio LDAP interno de la AGE, el proveedor de servicios no podrá, aunque quiera, crear o modificar cuentas de usuario. Todo el acceso está bajo el control de los sistemas de información propios de la AGE.
    • Con respecto a la disponibilidad y continuidad del servicio, estamos hablando fundamentalmente de un SLA y del grado de confianza que nos ofrece la empresa proveedora del servicio de cumplir un SLA. A este respecto, no olvidemos que cualquier solución de nube privada va a depender también de los SLA que se contraten y de cómo esos SLA se aplican en la práctica. De modo que, en este aspecto, para mí, hay empate.
    • Existe también la cuestión del archivo y la recuperación de los datos, y, llegado el caso, de la transición del servicio a otro posible proveedor. Aquí también nos encontramos con que, tanto en las soluciones de nube privada como en las de nube pública, son cuestiones a resolver. No es que estén muy claras, pero no veo en ellas un argumento de peso a favor de una u otra solución.
    • Pero por otro lado, las soluciones de nube privada son por lo general más caras y más lentas de poner en marcha, y sobre todo, menos escalables. El momento en el que empiezan a ser efectivas las ventajas de la nube privada llegan mucho más tarde en el cronograma proyecto que en el caso de l nube pública, la cual resulta eficaz y es escalable desde la primera instalación. Por ello, el riesgo técnico/económico para el proyecto de adoptar una nube pública es muy inferior al de la nube privada, lo que para mi decanta definitivamente el peso de la decisión a favor de la nube pública.


    Hecha la introducción ahora voy a intentar expresar mi punto de vista al respecto. 

    Primera cuestión: ¿por qué Google debe tener acceso a datos de funcionarios y españoles?

    Creo que uno de los elemento esenciales que hay que plantearse en este asunto es qué ocurre con la información cuando se procesa en un entorno tradicional ofimático y qué ocurre cuando se procesa en Google Apps. En un entorno ofimático tradicional los datos se recogen, procesan, generan unos resultados, se almacenan o se envían hacia otros agentes relacionados con el tratamiento. Los procesos de transformación operan simplemente sobre los datos en cuestión afectados por el trámite administrativo. Cómo mucho se generan otros metadatos vinculados a la propia gestión pero todo queda en el Organismo responsable de la tramitación.
    Sin embargo, cuando la información se procesa con Google Apps las cosas son diferentes. En el discurso filantrópico de la empresa americana se insiste en la necesidad de mejorar el servicio al usuario, de facilitarnos la vida y tanto soniquiete parece hacernos olvidar un aspecto muy importante del asunto: EXAMINAN E INDEXAN TODOS LOS DATOS PROCESADOS. Obviamente antes de hacer una afirmación así te tenido que buscar un poco cuales son las condiciones del servicio en este caso de Google y dado que esta empresa en esta materia es transparente, podemos encontrar en la FAQ de Google Apps la respuesta.
    Privacy
    Who owns the data that organizations put into Google Apps? 
    When can Google employees access my account?
    Who can gain access to my Google Apps administrative account? 
    Who can gain access to my end-users' accounts? 
    Does Google give third parties access to my organization's data? 
    What kind of scanning/indexing of user data is done? 
    In order to provide some of the core features in Google Apps products, our automated systems will scan and index some user data. For example:
    • Email is scanned so we can perform spam filtering and virus detection.
    • Email is scanned so we can display contextually relevant advertising in some circumstances. (Note that there is no ad-related scanning or processing in Google Apps for Education or Business with ads disabled)
    • Some user data, such as documents and email messages, are scanned and indexed so your users can privately search for information in their own Google Apps accounts.
    In other words, we only scan or index user content in Google Apps in order to provide features that will directly benefit users, or to help us maintain the safety and security of our systems. Except when your users choose to publish information publicly, Google Apps data is not part of the general google.com index.
    It's important to note that our scanning and indexing procedures are 100% automated and involve no human interaction. For complete information, see our detailed Privacy Policy, Privacy Principles, and our Google Apps Terms of Service (Google Apps, Google Apps for Business, Google Apps for Education).
    Por tanto, primera cuestión ¿Debe el Estado Español permitir meter las narices a una empresa extranjera en la información que procesa para satisfacer sus gestiones administrativas? Además, acabamos de sufrir estos días, con el cambio de política de privacidad de Google otro hecho relevante. De forma unilateral se modifican las políticas de privacidad y se imponen como las lentejas: "si quieres las tomas y si no, las dejas". Sin embargo, moverse de sistema de información o cambiar los hábitos del usuario no es tarea fácil ni que pueda ser asumida de un día para otro. Y esta vez nos dan un mes de plazo porque "La nueva Política de privacidad y las nuevas Condiciones de servicio de Google entrarán en vigor el 1 de marzo de 2012. Si decides seguir usando Google una vez que se haya producido el cambio, lo estarás haciendo con arreglo a la nueva Política de privacidad y a las nuevas Condiciones de servicio."


    Segunda cuestión: ¿Incumple Google la legislación en materia de protección de datos?

    Esta segunda pregunta afecta esencialmente a la privacidad de los ciudadanos pero en esta cuestión, Google tiene resuelto el problema con la firma del acuerdo Safe Harbour. Sin embargo, ¿qué supone firmar ese acuerdo? De nuevo hay que rebuscar un poco para encontrar la página del Ministerio de Comercio americano y hallar los términos a los que se refiere dicho acuerdo. Básicamente que se respetan los principios generales de protección de datos del marco europeo, es decir, se cumplen y garantizan los siguientes derechos:
    Organizations must comply with the seven Safe Harbor Privacy Principles, which require the following: 
    Notice 
    Organizations must notify individuals about the purposes for which they collect and use information about them. They must provide information about how individuals can contact the organization with any inquiries or complaints, the types of third parties to which it discloses the information and the choices and means the organization offers for limiting its use and disclosure.
    Choice 
    Organizations must give individuals the opportunity to choose (opt out) whether their personal information will be disclosed to a third party or used for a purpose incompatible with the purpose for which it was originally collected or subsequently authorized by the individual. For sensitive information, affirmative or explicit (opt in) choice must be given if the information is to be disclosed to a third party or used for a purpose other than its original purpose or the purpose authorized subsequently by the individual. 
    Onward Transfer (Transfers to Third Parties) 
    To disclose information to a third party, organizations must apply the notice and choice principles. Where an organization wishes to transfer information to a third party that is acting as an agent, it may do so if it makes sure that the third party subscribes to the Safe Harbor Privacy Principles or is subject to the Directive or another adequacy finding. As an alternative, the organization can enter into a written agreement with such third party requiring that the third party provide at least the same level of privacy protection as is required by the relevant principles. 
    Access 
    Individuals must have access to personal information about them that an organization holds and be able to correct, amend, or delete that information where it is inaccurate, except where the burden or expense of providing access would be disproportionate to the risks to the individual's privacy in the case in question, or where the rights of persons other than the individual would be violated.
    Security 
    Organizations must take reasonable precautions to protect personal information from loss, misuse and unauthorized access, disclosure, alteration and destruction. 
    Data integrity 
    Personal information must be relevant for the purposes for which it is to be used. An organization should take reasonable steps to ensure that data is reliable for its intended use, accurate, complete, and current. 
    Enforcement 
    In order to ensure compliance with the safe harbor principles, there must be (a) readily available and affordable independent recourse mechanisms so that each individual's complaints and disputes can be investigated and resolved and damages awarded where the applicable law or private sector initiatives so provide; (b) procedures for verifying that the commitments companies make to adhere to the safe harbor principles have been implemented; and (c) obligations to remedy problems arising out of a failure to comply with the principles. Sanctions must be sufficiently rigorous to ensure compliance by the organization. Organizations that fail to provide annual self certification letters will no longer appear in the list of participants and safe harbor benefits will no longer be assured.
    To provide further guidance, the Department of Commerce has issued a set of frequently asked questions and answers (FAQs) that clarify and supplement the Safe Harbor Privacy Principles.
    Realmente el cumplimiento de todos estos principios garantizan los requisitos establecidos por la LOPD pero sólo amparan a Google a tener nuestros datos con determinadas garantías y condiciones.  Aun así, la cuestión principal es que Google tendría los datos de los funcionarios que acceden a los sistemas y de los ciudadanos españoles que aparezcan en los documentos que éstos intercambien.

    Google en este caso ejerce con un gran encargado de tratamiento que garantizará al Responsable del fichero, en este caso la AGE, todas aquellas cuestiones exigidas por la LOPD. Pero aquí la pregunta es, ¿Debe un ciudadano, por el hecho de tener que realizar un trámite con la AGE tolerar que Google tenga acceso a cierta información sobre su persona porque van a ser empleados en su tramitación recursos de la empresa americana? ¿Debe un funcionario tolerar lo mismo? 
    No debemos confundir cumplir con la LOPD con el hecho de que el tratamiento de la información sea pertinente. Imaginemos que un Ayuntamiento usa Google Apps para la gestión de las multas de coche. En el manejo de los documentos ofimáticos necesarios para la gestión administrativa, aparte de la propia información sobre el infractor, el vehículo, la cuantía, la notificación, en los servidores de Google se van a indexar palabras vinculadas al dueño de la cuenta (el funcionario que tramita) y no sabemos si también asociadas al posible infractor (aquí no puedo ir más allá porque desconozco si Google puede vincular los datos escaneados a usuarios identificados en los propios documentos)

    En este caso, este "encargado de tratamiento" va a hacer cosas que no están justificadas por la finalidad principal del fichero declarado pero que son intrínsecas al uso del servicio. Como hemos visto antes, toda documentación procesada es escaneada e indexada de forma automatizada. Y esa cuestión, vinculada al hecho de pensar que son tramites de la Administración General del Estado no me hace mucha ilusión. No entiendo por qué una empresa extranjera debe conocer tanta meta-información de los procesos internos de gestión administrativa de un país aunque cumpla con la legislación en materia de protección de datos. Y mucho menos con la nueva política de privacidad, donde lo que pretenden es reunir información parcial de cada uno de los servicios que emplea un usuario para hacer un único cubo que permita "inferir" o "anticipar" hábitos de consumo, productos o compras que potencialmente el usuario esté pensando hacer.


    Tercera cuestión: ¿Garantiza la seguridad de la información?

    Esta es quizás la pregunta mas compleja. ¿Qué debemos entender por garantizar la seguridad? ¿Protección de las infraestructuras? ¿En qué plano de la seguridad, el operativo? 
    La infraestructura de Google estoy seguro que resuelve los aspectos más básicos de la seguridad de la información en relación a la protección de ubicaciones físicas, seguridad lógica, prevención de intrusiones, continuidad de negocio, etc. Es más, como se comenta en el blog eFuncionario, cumple con FISMA que es más exigente que ISO 27001.

    La cuestión aquí no es la seguridad operacional sino la seguridad estratégica de un País que pone en manos de un tercero (externo y americano) parte de los recursos TI esenciales para proporcionar servicios básicos considerados estratégicos para el buen funcionamiento del estado. Y aquí es también curioso el planteamiento de Google. Efectivamente, se han preocupado de cumplir FISMA porque es la normativa del Estado Americano para poder garantizar los requisitos del Gobierno americano en materia de seguridad. Obviamente esta normativa está pensada por su Gobierno para la protección de sus intereses. Además, es muy curioso ver como en la explicación de los temas de seguridad para "Google Apps for Government" se dicen cosas como esta:
    Meeting unique government requirements
    Google Apps for Government provides segregated systems for our US government customers. Government customer data is stored in the US only. This "community cloud" – as defined by the National Institute of Standards and Technology – is available now to any federal, state or local government in the United States.
    Google, como empresa americana que es, está diseñando y pensando en salvaguardar los intereses de su país, y por tanto, satisface completamente las necesidades específicas garantizando que para el Estado Americano, esa "Nube es privada" pero gestionada por Google. 

    ¿Qué ocurre cuando es el Estado Español el que usa esa infraestructura? Pues seguramente que nuestros datos no se almacenan en nuestro país sino en el suyo. Por tanto, la gran cuestión es ¿Por qué el Gobierno Español debe aceptar una protección inferior de la que el Gobierno americano exige a sus propios datos?
    ¿Por qué ellos no permiten que los datos del estado salgan de su país y los españoles tenemos que tolerarlo? ¿Qué me importa a mi SU FISMA si lo que aquí necesitamos que se cumpla es NUESTRO R.D. 3/2010 del Esquema Nacional de Seguridad?

    Por tanto, en este tercer punto no debemos confundir que las instalaciones estén bien protegidas y adecuadamente gestionadas con que eso sea suficiente para garantizar los requisitos de seguridad que un Estado. Se debe tener en cuenta el plano estratégico  a medio y largo plazo antes de hacer un movimiento como el de migrar la AGE a Google Apps, porque además el camino de retorno no debe ser nada fácil. El BBVA como empresa privada puede hacer lo que sus dueños, accionistas y clientes toleren o permitan. El Estado debe atender al bien común de sus ciudadanos y en ese contexto, las decisiones no son tan sencillas.

    Cuarta cuestión: ¿Y qué ocurriría en caso de conflicto España-EEUU?

    Esta es quizás la pregunta menos relevante pero los que nos dedicamos a seguridad siempre debemos posicionarnos en los escenarios donde las cosas no funcionan bien, donde lo que se plantean son amenazas holísticas de cualquier ámbito y envergadura. Aquí para contestar sólo hay que leer lo que los propios americanos explican en su manual de operación de información (information warfare). Tal como explicó el blog Aeropago21 que cito a continuación, su estrategia está segmentada en diferentes niveles y estrategias que comprenden los siguientes puntos:
    Dentro de la Guerra de Información esta doctrina define cinco núcleos básicos de capacidades, entre los que se encuentra tanto las ciberoperaciones como otras operaciones de corte más tradicional. Son las PSYOPS, la OPSEC, el MILDEC, la EW y las CNO.


    Las PSYOPS, Operaciones de Guerra Psicológica (Psychological Operations), suponen el uso de propaganda para influir en las opiniones y comportamiento normalmente del enemigo pero también de aliados o elementos neutrales. Operaciones clásicas de PSYOPS son el uso de panfletos, transmisiones de radio o TV, etc. con el objetivo de desmoralizar al enemigo.


    La OPSEC, Seguridad Operativa (Operations Security), se dedica a identificar que acciones propias pueden ser observadas por el enemigo y hasta qué punto este puede obtener inteligencia de las mismas. Así mismo la OPSEC también se encarga de definir y adoptar medidas para impedir esa recolección de inteligencia.


    El MILDEC, Engaño Militar (Military Deception), engloba las tareas encargadas de facilitar al enemigo indicadores falsos que le hagan llegar a conclusiones erróneas sobre la fuerza, intenciones y capacidades propias. Un ejemplo histórico de MILDEC seria la Operación Fortitude durante la segunda guerra mundial con el objetivo de desviar la atención del desembarco sobre Normandía hacia un supuesto desembarco en el Paso de Calè.


    La EW, la Guerra Electrónica (Electronic Warfare), implica el dominio del espectro electromagnético. Que incluye tanto la monitorización de las emisiones del enemigo como el uso de medios que van desde perturbadores a misiles anti-radar para limitar su utilización al contrario. Un ejemplo histórico de Guerra Electrónica seria la conocida como Battle of the Beams, también ocurrida durante la segunda guerra mundial, y que se centro en la utilización de sistemas de navegación aérea para facilitar el bombardeo alemán sobre Inglaterra, y los exitosos esfuerzos por interferir y falsear estas emisiones por parte de los ingleses.

      

    Las CNO, Operaciones en Redes de Computadoras (Computer Network Operations). Las CNO se derivan de la creciente utilización de computadoras en red y sistemas de información por parte de organizaciones civiles y militares. Las CNO, junto con la EW, se utilizan para atacar, engañar, degradar, interrumpir, denegar, explotar la infraestructura del enemigo y defender la propia.
    En un escenario de Ciberguerra estaríamos jodídos porque les hemos simplificado su actuación llevándonos todo a su país y sus infraestructuras.

    La gente de PSYOPS podría "envenenar contenidos" modificando los documentos ofimáticos depositados en Google Apps. No debemos olvidar que es una empresa americana y que en caso de conflicto se someterá por completo al Estado. Y si se incumple alguna legislación, articulan rápido una Patriot Act y ajustan lo que sea necesario.

    La gente de OPSEC se dedica a vigilar el tráfico de red cuyo origen sea España y destino los servicios de Google Apps.

    La gente de MILDEC se dedica a jugar con los anchos de banda en la red, cortando y restableciendo el suministro cuando les apetece.

    La gente de EW no tiene mucho que hacer porque ellos tienen ya el control de todos los recursos.

    La gente de CNO sólo tienen que cortar el canuto de conexión desde España hacia sus servidores y estamos todos incomunicados y sin acceso a la información (Y ni siquiera su backup).

    ¿Muy paranóico y excéntrico, verdad? Que se lo cuenten a la empresa petrolera PDVSA cuando fue bloqueada a través de ataques informáticos provocando el "caos total" en Venezuela por el corte del suministro de petróleo al país. Los venezolanos elaboraron un documental conocido como "El cerebro de PDVSA" donde con demasiada carga política cuentan la realidad de unos hechos verídicos, el boicot americano mediante el sabotaje de los sistemas de información de la empresa más importante de Venezuela. El documental puede verse en Youtube en estos tres enlaces:

    Conclusión final
    El presente texto no quiero que sea visto como una oposición frontal a la cloud en la Administración General del Estado, todo lo contrario. Nube SI pero bajo control completo del Gobierno. Tenemos un grave problema en el área TI y es que nos estamos quedando atrás en la competencia por hacerse con los servicios tecnológicos en la Nube a nivel mundial. Lo que está en juego cuando hablamos de subcontratar Google es también parte del PIB, son puestos de trabajo que se van hacia el pueblo americano en vez de quedarse aquí, es mano de obra cualificada que no encontrará empleo porque se habrán elegido a empresas extranjeras con empleados con similar calificación pero que invirtieron en las infraestructuras en el momento adecuado. Por tanto, los motivos por los que aparece la "nube" en el contexto de la AGE son muy "loables" y "deseables" pero los medios para lograrlos deben ser controlados y controlables. El problema para poder pensar en la centralización y unificación de recursos es simplemente político. La filosofía aplicada hasta la fecha no ha pasado por un pensamiento estratégico, unificador y de interoperabilidad completa porque cada "reino" ha querido mantener su cuota de poder. No tiene sentido que las aplicaciones destinadas a atender a ciudadanos iguales sean diferentes por regiones, pero el problema previo es que las gestiones administrativas no son idénticas tampoco. Esa filosofía de por cada problema, determinar como mínimo 17 soluciones es un sinsentido y una perdida de productividad y operatividad a toda cosa, que lastra nuestro futuro.

    Sin embargo, un Estado, por la importancia estratégica que tiene el area TI no puede pensar en poner toda esa gestión en manos de terceros países  porque además hemos visto que los propios americanos no lo hacen. Además, me llama mucho la atención el cambio de pensamiento que se observa y la inocencia con la que se juzga a Google frente a otras empresas. Si poníamos hace años el grito en el cielo por emplear tecnologías Microsoft en los sistemas operativos y aplicaciones porque era "código propietario cerrado" que podía tener cualquier cosa, ¿Por qué ahora tenemos que ser menos desconfiados con Google que pone también código pero que además te dice claramente que va a escanear e indexar toda la información? ¿Por qué es Google más inocente que Microsoft? ¿Porque claramente lo cuenta y lo explica?





     
    ;