(Esta mañana, en Security Art Work)
Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que "permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados").
Esto ha levantado al parecer un pequeño revuelo en Internet, y aunque no es mi estilo, he de afirmar que la ignorancia es muy atrevida. Personalmente, no soy ni amigo íntimo ni enemigo acérrimo de Microsoft; tiene sus cosas buenas, y sus cosas malas, básicamente como cualquier gran empresa; aquello de Don´t be evil pasó a la historia. Pero esta me parece, al contrario de lo que muchos opinan, una buena noticia, por mucho que algunos se hayan llevado las manos a la cabeza y hayan puesto el grito en el cielo invocado las libertades civiles.
No me extenderé demasiado porque este es un tema que me parece obvio. El dispositivo proporcionado es una herramienta de análisis forense para un sistema (Windows) que resulta opaco en muchos sentidos, y más para personal policial no siempre especializado en delitos tecnológicos. No es, por supuesto, una puerta trasera que pueda ser utilizada indiscriminadamente sin conocimiento del usuario. Tampoco permite hacer cosas que no se puedan hacer en otros sistemas, simplemente las aglutina y las facilita. Es simplemente algo que, utilizado bajo una orden judicial y presencialmente, permite obtener información del sistema rápida y sistemáticamente; como utilizar una cámara de fotos en el lugar de un asesinato, antes de que limpien la sangre.
Nada más y nada menos. ¿Ustedes qué opinan?
[Fuentes originales en NYT y Seattle Times]
(Esta mañana, en Security Art Work)
Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.
Una vez "analizada", ésta no es en realidad más que el formalismo de informar al trabajador de que se están tratando sus datos; seguramente el clima algo tenso de la oficina y algunas expresiones poco afortunadas ha provocado que su propósito se malinterprete. El texto en cuestión entra en finalidades, ejercicio de derechos ARCO, "cesión" de datos a empresas vinculadas accionarialmente, solicitud de consentimiento y otros. Básicamente, mi impresión es que la empresa de esta chica está abordando un proyecto de adaptación a la LOPD, y éste es un paso más que hay que dar. No obstante, caben varios peros a la comunicación realizada, que deberían servir de ejemplo para todo aquel que esté pensando en realizar una comunicación de tratamiento de datos a sus empleados.
En primer lugar, el lenguaje y las expresiones son en algunos casos muy desafortunadas. Frases como "la empresa recabará a lo largo de la relación laboral todos los datos de carácter personal que sean necesarios" o "el trabajador presta su consentimiento expreso [...] para que cualquiera de sus datos de carácter personal, incluidos los sujetos a especial protección, puedan ser almacenados y utilizados por la Empresa" no son tranquilizadoras, y menos para personas que desconocen la LOPD y sus límites. Probablemente la expresión "aquellos datos estrictamente necesarios" hubiese sido igual de válida, y proporciona una mayor seguridad a quien lo ha de firmar. Para que se hagan una idea, el uso de "recabar" y la mención de datos de salud o afiliación sindical de los trabajadores, hacían que ella y sus compañeros pensasen que se estaba autorizando a la empresa a investigar al empleado por todos los medios necesarios.
En segundo lugar, hablar de cesión de datos a empresas vinculadas accionarialmente con la empresa tampoco tranquiliza, aunque sea para las mismas finalidades descritas. Sería deseable especificar qué empresas, o al menos a qué se dedican éstas; en mi opinión, si se trata de un grupo de empresas, lo más probable es que sea para la realización de la nómina y almacenamiento de los datos en los sistemas de la empresa (si fuese así, se trataría de un tratamiento de datos y no una cesión, por lo que tampoco sería necesario informar al empleado, pero puesto que existen otras finalidades, no está de más recabar consentimiento expreso), pero es mejor dejar las cosas claras, porque para personas que no tienen relación con el contenido de la LOPD, puede dar la sensación de que sus datos se van a vender, o a proporcionar a vaya usted a saber quién para vaya usted a saber qué.
Por último, al parecer nadie en la empresa se ha puesto en contacto con ellos para aclarar qué quiere decir exactamente este escrito; ni por qué deben firmarlo, ni qué pasa si no quieren firmarlo, ni qué es la LOPD ni para qué sirve; ni qué quiere decir todo eso de los datos de salud y afiliación sindical. Ni siquiera la persona que gestiona su delegación ha podido obtener explicaciones de la central. Aparte de que es necesario en muchos casos realizar formación sobre la LOPD (tanto para informar al empleado de qué se hace con sus datos, como para formarle en la gestión de datos de terceros a los que tiene acceso), no hubiese estado de más una circular alternativa, o una simple presentación por email, con formación sobre la LOPD. Eso hubiera evitado que mi amiga viese esto como una amenaza, en lugar de una comunicación de derechos y una obligación de la empresa, que es lo que en realidad es.
Resumiendo. Sin prescindir del necesario contenido formal, es muy importante que esa comunicación se realice de la manera adecuada, pero también que transmita las sensaciones e ideas que se pretenden: "Yo soy la empresa, y para poder pagarte la nómina, descontarte la cuota sindical, gestionar tu formación, o prevenir los riesgos laborales, necesito tener acceso a algunos de tus datos personales; datos que tendré que almacenar, y utilizaré para eso y para nada más. Que sepas que me comprometo legalmente a velar por su seguridad y que tienes una serie de derechos que puedes ejercer en todo momento".
No hay que olvidar que, por muchas medidas de seguridad, normativas, y políticas que queramos implantar, el empleado es al fin y al cabo el eslabón más importante de la cadena: es el que utiliza, accede, modifica y gestiona los datos de clientes, de personal interno, de proveedores, etc. Así que sería muy importante que no fuese el más débil.
Seguro que se acuerdan que tras el 11-M, ningún telediario mostró imágenes del atentado por respecto a las víctimas y cuestiones de sensibilidad. Estoy convencido de que no obstante, todas las cadenas estaban deseando sacar por televisión los cadáveres y cuerpos mutilados de las personas asesinadas.
Hace tan sólo diez minutos en las noticias de la Sexta han mantenido durante casi quince segundos un plano de un birmano muerto desnudo flotando boca abajo en un río. Entre otras cosas.
Ya saben aquello de "Todos somos iguales, pero algunos somos más iguales que otros", ¿verdad?
Vía Edgar Rovira.
Mi señora está afiliada a UGT. Así que, para consultar algunas cláusulas del contrato de su nuevo trabajo, ciertamente abusivas, decidió hacer uso de su cuota trimestral y los servicios de esta loquesea sindical. Después de media hora al teléfono y hablar con una variedad considerable de personas pertenecientes a una variedad considerable de federaciones (imagino que es lo que vienen a ser departamentos), consiguió finalmente saber el número de la federación que le correspondía, de acuerdo a la actividad económica de su nueva empresa.
Hoy, una vez conocido el número de teléfono de la persona que —en teoría— debía atenderla, ha vuelto a llamar. Y de nuevo, le han vuelto a pasar por un número indefinido de personas que, de nuevo, consideraban que la consulta no era de su competencia. Todo eso, sin ni siquiera conocer cuál era la consulta. Claro. Finalmente, un alma caritativa le ha pedido ún número de contacto para poder llamarla tras aclarar entre ellos quién debía coger el teléfono y responder a una consulta trivial sobre un par de preguntas que seguramente puedan ser contestadas independientemente de la actividad económica de su nueva empresa.
Eso pasó a las doce del mediodia.
Son las once y veinte de la noche.
Me pregunto si aún siguen discutiendo de quién es competencia tan complicada cuestión. Deberían irse a casa.
(...)
Imagino que firmará.
Hace unos meses, Fernando Martín, Presidente de Fadesa-Martinsa y del Grupo 14 Inmobiliarias por la Excelencia (en adelante G-14), aprendió a contar chistes.
Al parecer, Fernando Martín ya no es Presidente del G-14 (de Fadesa-Martinsa no lo sé aunque me preocupa más bien poco). Seguramente, ese es el menor de sus problemas. Ahora, Pedro Pérez ha ocupado su lugar, y aunque lo parezca, ni es un nombre genérico ni me lo he inventado (desde aquí, mis más afectuosos saludos para todos los Pedro Pérez de este país). No sé si Pedro Pérez es presidente de otra cosa, aunque da igual, pero como no sabe contar chistes, llora. Llora por esas 250,000 personas que se van a ir a la puta calle, dicen. Por esos miles de personas que no van a poder comprar un piso ya que este año según ellos se van a construir "muy pocos" pisos: sólo 200,000 pisos de los 350,000 pisos que necesita este país. Doscientos mil y trescientos cincuenta mil, respectivamente, no doscientos coma cero ni trescientos coma cero. Miles de. Igual que los parados, desgraciadamente.
Así que Pedro Pérez llora, con lo divertidos que son los chistes y con lo que nos gustan en este santo país (España). Claro que además de no saber contar chistes ni conocer la ley de la oferta y la demanda (como si eso tuviese algo que ver), tampoco sabe contar, valga la redundancia, porque al mismo tiempo que dice todo eso cifra en 500,000 los pisos en "stock". Quinientos mil, no quinientos coma cero pisos.
Stock: 1. m. Cantidad de mercancías que se tienen en depósito. [RAE]
Vamos, que hay medio millón de pisos en este país sin vender. Lo que, si aprendí a sumar bien, que lo dudo, significa que en total, a finales de 2008 tendremos 700,000 pisos construidos. Para una demanda anual, según ellos, de 350,000 pisos; todo en miles. Me atrevería a decir que según eso, aunque en 2009 no se construyese ni un piso, no pasaría nada. Que hay pisos de sobra. Pero no me atrevo. Seguramente se me escapa algo.
Al menos Pedro Pérez parece sincero, cuando le dice al Gobierno que no pide medidas para "suavizar" el ajuste de la construcción, a la vez que llora por los 250,000 parados y por la pérdida de 8 décimas del PIB en el primer trimestre del año, algo que no recuerda haber visto antes. Bueno, en realidad no parece sincero. Es bastante rastrero, pero no le vamos a pedir peras al olmo. Cada uno tiene su trabajo y ese es el suyo.
Yo le diría a Pedro Pérez que aprenda a contar chistes, que llorar, gracias a ellos va a llorar mucha gente en este país (claro que no sólo por ellos, porque hay muchas más razones para llorar —algunas incluso agradables— y sólo faltaba que ellos tuviesen la exclusiva), por desgracia. Así que háganos un favor y cuente chistes, hombre, chistes, que al menos nos alegran la vida.
