Sin categoría

Hace algunos días que leía en el blog de Joseba Enjuto una cuestión que me llevó hasta la relectura de algunas partes del texto de la LOPD y el RD en vigor 1720/2007. En este post, Joseba planteaba una interesante cuestión.

Imaginemos el siguiente escenario:

Tenemos un establecimiento público, un bar, por ejemplo. En ese bar disponemos de una cámara que no está grabando, la utilizamos, pongamos una vez al trimestre para ver qué ocurre o por si salta la alarma y nos avisan poder ver qué esta pasando en nuestro local. ¿Nos aplica la LOPD?.

Pues si nos vamos a la LOPD o al RD 1720 / 2007 en su artículo 2 podemos encontrar la siguiente descripción dentro del ámbito de aplicación:

Art 2. Ámbito Objetivo de Aplicación

El presente reglamento será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Nuestra cámara no está registrando nada en un soporte físico por lo que la cosa está clara, no nos aplica la ley, si no está dentro del ámbito de aplicación y además no hay fichero no nos aplica.

Pero si seguimos leyendo (aun con la idea en mente de que no registramos nada y no tenemos fichero), encontramos la definición de Datos de Carácter Personal que todos conocemos ya sobradamente:

Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables

Y… la de Tratamiento de Datos:

Cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

La cosa ya no es lo que parecía porque se está haciendo un tratamiento de datos personales pero… es que el ámbito de aplicación es el que es. Pues aquí entra en juego la instrucción 1/2006 de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Esta instrucción clarifica qué se debe hacer en el caso del bar de nuestro amigo:

• Información.

1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El distintivo informativo deberá de incluir una referencia a la LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS, incluirá una mención a la finalidad para la que se tratan los datos (ZONA VIDEOVIGILADA), y una mención expresa a la identificación del responsable ante quien puedan ejercitarse los derechos a los que se refieren los artículos 15 y siguientes de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción.

• Seguridad y Secreto.

El responsable deberá adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Asimismo cualquier persona que por razón del ejercicio de sus funciones tenga acceso a los datos deberá de observar la debida reserva, confidencialidad y sigilo en relación con las mismas.

El responsable deberá informar a las personas con acceso a los datos del deber de secreto a que se refiere el apartado anterior.

Dilema resuelto.

Un saludo.

INTECO CERT puso a disposición de pymes y usuarios hace algún tiempo una herramienta que hoy he probado y de la que he querido trasmitios mis impresiones. Esta herramienta responde al nombre de ConAn y su objetivo es plasmar en un informe cual es la situación del equipo en términos de seguridad.

ConAn

Esta herramienta de adquisición gratuita (registro necesario) y sencilla instalación realiza un análisis bastante completo del sistema y ofrece mucha información al respecto entre la que podemos destacar:

• Nivel de seguridad del sistema detallando cuáles son los puntos débiles (aplicaciones o procesos afectados) y cómo se solucionan ofreciendo enlaces que apoyan al usuario.
• Información detallada del análisis
  • Sistema Operativo
  • Firewall
  • Antivirus
  • Navegadores
  • Conexiones de red
  • Interfaces de red
  • Unidades lógicas
  • Variables de entorno
  • Recursos Compartidos
  • Actualizaciones
  • Servicios y Procesos en Ejecución
  • ActiveX
  • Drivers
  • Aplicaciones que se ejecutan al inicio
  • Archivo de Hosts
  • Políticas de Seguridad
  • Páginas de inicio y búsqueda, extensiones, prefijos, zonas de confianza y opciones agregadas de IE
  • Plugins
  • Browser Helper Objects

Informe de ConAn

Como podéis comprobar es muy completo, quizá lo único que he echado de menos es la posibilidad de que los informes se generen y almacenen en local ya que éstos son almacenados y consultados bajo identificación en el sitio web https://conan.cert.inteco.es/ que se encarga de mantener todos los informes generados por la aplicación. No he evaluado si las conexiones que se realizan para el envío de la información van cifradas. Tampoco he localizado el código hash para comprobar la autenticidad del archivo.

La descarga está disponible a partir de la web: https://conan.cert.inteco.es/analizador.php