{"id":191,"date":"2010-05-31T16:33:00","date_gmt":"2010-05-31T14:33:00","guid":{"rendered":"http:\/\/beta.expertosenti.com\/2010\/05\/lopd-safe-harbor-sudor-y-lagrimas\/"},"modified":"2017-04-24T16:48:46","modified_gmt":"2017-04-24T14:48:46","slug":"lopd-safe-harbor-sudor-y-lagrimas","status":"publish","type":"post","link":"https:\/\/www.xpnti.net\/en\/lopd-safe-harbor-sudor-y-lagrimas\/","title":{"rendered":"LOPD, Safe Harbor, sudor y l\u00e1grimas"},"content":{"rendered":"

Dir\u00eda que no estoy solo en esa opini\u00f3n, pero usar t\u00e9rminos legales para describir “problemas” t\u00e9cnicos y al rev\u00e9s, normalmente provoca que no nos entendamos al no comprender el lenguaje.<\/p>\n

    \n
  1. En UE tenemos una serie de normativas (Directiva 95\/46, LOPD y RLOPD, etc…) que protegen los datos personales de las personas f\u00edsicas<\/b>, d\u00f3nde describimos una serie de protecciones que deben tener los datos conforme a qu\u00e9 cosas guardamos, y para salir de la jurisdicci\u00f3n debemos tener en cuenta otros procedimientos<\/li>\n
  2. En USA decidieron que si para sacar datos ten\u00edan que tener la aprobaci\u00f3n del director de la agencia de protecci\u00f3n de datos pertinente (al menos en Espa\u00f1a el RLOPD dice esto), mejor “negociar” con la EU algo, y sali\u00f3 el acuerdo de Safe Harbor<\/a>, donde las empresas americanas se pueden dar de alta y as\u00ed evitamos necesitar la aprobaci\u00f3n del director para mover datos personales<\/b><\/li>\n<\/ol>\n
    Hasta aqu\u00ed todo “normal”, la UE pone puertas al campo con directivas que son dif\u00edciles de hacer cumplir y ponen una espada de Damocles encima de sus empresas (si alguien el Contact Center se dedica a repartir datos y alega que no se lo ha formado, \u00bfqu\u00e9?,y si dejas un formulario libre y meten datos como “mi hijo est\u00e1 enfermo de paperas”,\u00bftu formulario Web es de nivel alto?), y los de USA definen unos principios de autocumplimiento y permiten operar con un mercado global, y si la l\u00edas te meten en una class action<\/i> de N mil millones de d\u00f3lares.<\/div>\n
    No discuto que los datos personales deban ser privados y aplicar el m\u00e1ximo celo en protegerlos, pero debemos encontrar puntos medios.<\/div>\n
    <\/div>\n
    Pensemos que esto solo afecta a los datos personales<\/b> y las empresas guardan datos de muchos otros tipos y depende de cu\u00e1les nunca guardan datos personales m\u00e1s all\u00e1 de su gesti\u00f3n de recursos humanos, as\u00ed que cuidado, que alguien cumpla LOPD s\u00f3lo indica que no har\u00e1 cosas raras con los datos de personas, tus secretos comerciales, no est\u00e1n protegidos por esta ley.<\/div>\n
    <\/div>\n
    Luego tenemos el “cliente” que pide a su proveedor de infraestructura que aquello es LOPD nivel X, y que si viene la AEPD lo haga indemne de cualquier problema (normalmente post implantaci\u00f3n, hasta que se enteran los de legal), y claro, una cosa es tener copias cifradas e inventariadas en otra ubicaci\u00f3n y otra es que tu aplicaci\u00f3n no autentique ni autorice por individuo (grupo callcenter para evitar licencias o problemas en rotaciones). He vivido discusiones de d\u00edas por temas de estos, hasta que los abogados acaban metiendo m\u00e1s clausulas, no las entienden ni ellos y seguimos para bingo…<\/div>\n
    <\/div>\n
    Tambi\u00e9n tenemos el que va repitiendo el mantra del Safe Harbor o LOPD para tener ventaja competitiva. S\u00f3lo voy a meter dos ejemplos dir\u00eda que significativos. Rackspace<\/b>, empresa seria y l\u00edder en su mercado est\u00e1 en Safe Harbor l\u00f3gicamente, pero la mayor\u00eda de sus clientes europeos la contratan por el tema de Managed Hosting o Cloud. El \u00e9nfasis es mio (http:\/\/www.export.gov\/safehrbr\/companyinfo.aspx?id=9164<\/a>):<\/div>\n
    <\/div>\n

    Personal Information Received from the EU: Rackspace collects personal information from prospective customers, prospective employees, prospective vendors and other persons located in the European Union who may be interested in a business relationship with Rackspace via website visits, telephone calls, chat, web forms, email and other means; Rackspace uses this information to contact those persons about Rackspace services, employment opportunities, and potential business transactions, and to generally improve the way Rackspace markets its services. Rackspace collects personal information from its customers, vendors and employees located in the European Union; Rackspace uses that information to provide services to those customers, manage relations with vendors, for related financial and other operational purposes and to perform its own human resources functions. Rackspace affiliates located in the European Union provide Rackspace with personal information about their customers, vendors and employees; Rackspace uses this information to assist its affiliates in providing services to those customers, and to assist its affiliates with vendor relations and contract management, human resources management, and their internal financial and other operations. When providing information technology hosting services, Rackspace may process personal data controlled by its customers; Rackspace does not apply Safe Harbor Principles to that data, but processes that data at the direction of its customers and in accordance with the terms of its agreements with its customers.<\/b><\/p><\/blockquote>\n

     En resumen, que los datos que entras en su CRM, los tienen protegidos (l\u00f3gico), pero lo que metas en los servidores es tu problema<\/p>\n

    <\/div>\n
    Y Amazon (http:\/\/www.export.gov\/safehrbr\/companyinfo.aspx?id=9319<\/a>), donde me quedo con esta linea:<\/div>\n

    Do you agree to cooperate and comply with the European Data Protection Authorities? <\/span>No<\/b><\/span><\/p><\/blockquote>\n

     As\u00ed que adem\u00e1s de no hablar de lo de AWS (el Cloud de Amazon), te dejar\u00e1n solo ante el peligro<\/p>\n

    Con esto no quiero decir que nada hac\u00eda USA (o resto del mundo), sino que eval\u00faes los riesgos, donde guardas datos personales y sobretodo c\u00f3mo lo haces. Las agencias de protecci\u00f3n de datos no act\u00faan de oficio (al menos hasta donde yo s\u00e9), as\u00ed que si estableces todos los procedimientos adecuados para proteger esos datos no habr\u00eda motivo para que alguien presente denuncia en tu contra.<\/p>\n

    Mi recomendaci\u00f3n ser\u00eda, y ten en cuenta que yo soy ingeniero inform\u00e1tico, s\u00e9 de poco a nada de derecho:<\/p>\n

    – Si alguien te dice “Safe Harbor”, averigua hasta qu\u00e9 extremo
    – Los datos personales, la mayor\u00eda de veces ser\u00e1n pocos o ninguno (s\u00f3lo son personales si puedes llegar al individuo, y adem\u00e1s cuando hablan como persona f\u00edsica)
    – Cuidado con los campos libres de los formularios
    – TU sigues siendo el responsable, as\u00ed que no conf\u00edes en que porque le hayas dicho a tu comercial que tu web es Nivel Alto, se establecer\u00e1 m\u00e1s celo en el control, aseg\u00farate<\/b>
    – <\/b>Involucra a legal en la decisiones a tomar, no en como crujir al proveedor en caso de problemas, sino en qu\u00e9 situaciones permitir\u00e1n mejor defensa (si guardo los datos cifrados, \u00bfen qu\u00e9 mejoro?), y te ayudar\u00e1n a preparar el Business Case de las pol\u00edticas de seguridad (sino se cifra, tenemos un riesgo estimado de X\u20ac)
    – Es muy dif\u00edcil pasar el marr\u00f3n a otros, as\u00ed que te toca controlar
    – La obligaci\u00f3n de cumplir la ley no tiene nada que ven en donde est\u00e1n los servidores, sino donde tienes tu presencia, sea matriz o sucursal y sea esa la que recoja los datos<\/p>\n

    Espero que sea de ayuda para los que os est\u00e9is peleando con todo esto<\/p>\n

    Saludos<\/p>\n

    PS: Como veis no tiene nada que ver en si Cloud, Housing, Hosting o en tu propio datacenter, es sobre el control del acceso a los datos, sean personales o no<\/p>\n","protected":false},"excerpt":{"rendered":"

    Dir\u00eda que no estoy solo en esa opini\u00f3n, pero usar t\u00e9rminos legales para describir “problemas” t\u00e9cnicos y al rev\u00e9s, normalmente provoca que no nos entendamos al no comprender el lenguaje. En UE tenemos una serie de normativas (Directiva 95\/46, LOPD y RLOPD, etc…) que protegen los datos personales de las personas f\u00edsicas, d\u00f3nde describimos una serie de protecciones[…]<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[12,31,32,33],"tags":[],"_links":{"self":[{"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/posts\/191"}],"collection":[{"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/comments?post=191"}],"version-history":[{"count":1,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/posts\/191\/revisions"}],"predecessor-version":[{"id":1966,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/posts\/191\/revisions\/1966"}],"wp:attachment":[{"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/media?parent=191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/categories?post=191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.xpnti.net\/en\/wp-json\/wp\/v2\/tags?post=191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}