martes, 31 de julio de 2012

Cookies legales

En marzo de este año se hacía pública en el BOE una polémica normativa que acogía una serie de modificaciones que afectaban a diferentes sectores incluido el del comercio electrónico. Motivada por las directivas europeas 2009/136 y 2002/58, de tratamiento de datos de carácter personal y a la protección de la intimidad en el sector de las comunicaciones electrónicas, se establecía la necesidad de reformular determinados artículos de la Ley 34/2002 (LSSI-CE).

Como tal, el 30 de marzo se publicaba el Real Decreto-ley 13/2012, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Se reformulaba a través de su texto el artículo 22 de la LSSI-CE quedando definido así:

"Artículo 22. Derechos de los destinatarios de servicios.

1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."

Esta normativa condiciona algunos aspectos de funcionalidad de contenido web de las empresas españolas que hacen uso de los servicios de internet como mecanismo para el comercio electrónico. Por ejemplo de aquellas que se haga un empleo de cookies para almacenar información del usuario y para los que podría ser necesario requerir información de consentimiento. No obstante hay que hacer una serie de matizaciones puesto que no en todas las circunstancias dicho consentimiento es requerido sino que podría consederarse implícito. El grupo de trabajo del artículo 29 de protección de datos de la Unión Europea ha emitido un dictamen el 12 de junio al repecto estableciendo las debidas matizaciones.

Hablaremos con detenimiento en futuros post en qué medida afectan a las organizaciones y que deben hacer para cumplir esta nueva adaptación a la protección de datos.

martes, 24 de julio de 2012

LOPD. Régimen sancionador

En un proyecto en el que me encuentro involucrado sobre análisis de LOPD, ha surgido el tema de la aplicación del régimen sancionador. A pesar de que la propia Ley Orgánica establecía dicho régimen, de una u otra forma esta debería adaptarse a las nuevas condiciones y reglas de juego.

Me he dado cuenta tras revisar las notas que tengo, que en el blog no había publicado precisamente que había habido una cambio significativo con respecto al mismo. Aunque este aspecto es del año pasado quizás para muchos pasara desapercibido por el contexto en el que hizo público.

El 4 de marzo del año 2011, hacía su aparición la ley 2/2011de Economía Sostenible. A través de su disposición final quincuagésima sexta, se realizaba la modificación de la Ley Orgánica 15/1999 en el apartado del régimen sancionador. Se modifican para ello los artículos 44, 45, 46 y 49, reformulando los originales.
Además de adaptar las cuantías económicas al Euro, modifican algunas causas significativas para condicionar si las faltas son leves, graves o muy graves. Incorporan también un factor muy importante para el cálculo de las cuantías sancionadoras,  el volumen de negocio o actividad del infractor, aunque no se establece en que medida se valora. De esta forma se aplica un condicionante corrector. Este de una u otra forma incide en el hecho de intentar ser equitativo con respecto a la importancia de la organización y su capacidad para el cumplimiento de la norma.

Quizás pueda parecer peculiar el contexto en el que se presenta la modificación, junto con un conjunto de normas dispares agrupadas bajo el lema de Economía Sostenible. En el contexto actual resulta irónico el formulismo empleado para la generación de un régimen sancionador que puede tener el triple carácter de forzar el hacer las cosas bien, de ser ejemplarizante y no obstante también recaudador.

Motivador o no el régimen sancionador resulta un factor inspirador (si no el más importante) para que las empresas se lo tomen en serio y hagan sus deberes.

miércoles, 4 de julio de 2012

Gestión de dispositivos móviles

Los dispositivos móviles se han convertido en un elemento esencial en el día a día de muchas personas. Utilísimos mire por donde se miren, constituye no obstante un verdadero problema para muchas organizaciones. Dispositivos que se pierden, malas configuraciones implementadas, múltiples sistemas diferentes, etc., a la larga supone un aumento significativo del coste de administración y la pérdida de la centralización.

A día de hoy las organizaciones no pueden permitirse el lujo de tener sistemas descontrolados, máxime cuando la potencia de estos medios es tan creciente que en circunstancias pueden sustituir a los equipos más tradicionales. Cada vez contienen y  manejan mayor cantidad de información sensible para una empresa. Se almacenan múltiples contraseñas, se utilizan aplicaciones que, como en el caso del correo electrónico, pueden interactuar con medios de la organización, permiten implementar VPN, etc. Supóngase solo por un instante que la configuración del dispositivo recae exclusivamente en el usuario, sin que un departamento IT pueda intervenir o modificar su gestión. Es fácil entender  la cantidad de problemas que pueden plantearse en un caso como el robo del mismo sin las medidas de seguridad adecuadas. El control por lo tanto de una infraestructura debe transcender desde los equipos  tradicionales y saltar también a la gestión de los dispositivos móviles.

Este viernes 6 de Julio a las 16:00, Joshua Saenz, Director Técnico de Arquitectura de Servidores de Sidertia Solutions,  conducirá un Webcast de Microsoft abordando esta temática. Mostrará para ello las nuevas capacidades aportadas por MS System Center Configuration Manager 2012 y la integración con ActiveSync y MS Exchange Server 2010, para dotar a una organización de los mecanismos necesarios para que la administración de los dispositivos sea viable.

Como en todos los Webcast de Microsoft Technet, la inscripción es gratuita y supone además una excelente oportunidad para poder preguntar y hablar con un profesional de la calidad y experiencia con la que cuenta Joshua Sáenz.