Seguro que se acuerdan que tras el 11-M, ningún telediario mostró imágenes del atentado por respecto a las víctimas y cuestiones de sensibilidad. Estoy convencido de que no obstante, todas las cadenas estaban deseando sacar por televisión los cadáveres y cuerpos mutilados de las personas asesinadas.
Hace tan sólo diez minutos en las noticias de la Sexta han mantenido durante casi quince segundos un plano de un birmano muerto desnudo flotando boca abajo en un río. Entre otras cosas.
Ya saben aquello de "Todos somos iguales, pero algunos somos más iguales que otros", ¿verdad?
(Esta mañana, en Security Art Work)
Ayer, mientras volvía de Madrid, recibí una llamada de una amiga en la que me decía algo alarmada que su empresa, con sede social en otra provincia, les había mandado una carta que debían firmar y a través de la cual autorizan a la empresa a investigarles y obtener todo tipo de datos médicos y sindicales sobre ellas. He de reconocer que dicho de esa forma, pensé en cualquier barbaridad, así que le dije que no firmase nada hasta que le echase un vistazo a la carta en cuestión.
Una vez "analizada", ésta no es en realidad más que el formalismo de informar al trabajador de que se están tratando sus datos; seguramente el clima algo tenso de la oficina y algunas expresiones poco afortunadas ha provocado que su propósito se malinterprete. El texto en cuestión entra en finalidades, ejercicio de derechos ARCO, "cesión" de datos a empresas vinculadas accionarialmente, solicitud de consentimiento y otros. Básicamente, mi impresión es que la empresa de esta chica está abordando un proyecto de adaptación a la LOPD, y éste es un paso más que hay que dar. No obstante, caben varios peros a la comunicación realizada, que deberían servir de ejemplo para todo aquel que esté pensando en realizar una comunicación de tratamiento de datos a sus empleados.
En primer lugar, el lenguaje y las expresiones son en algunos casos muy desafortunadas. Frases como "la empresa recabará a lo largo de la relación laboral todos los datos de carácter personal que sean necesarios" o "el trabajador presta su consentimiento expreso [...] para que cualquiera de sus datos de carácter personal, incluidos los sujetos a especial protección, puedan ser almacenados y utilizados por la Empresa" no son tranquilizadoras, y menos para personas que desconocen la LOPD y sus límites. Probablemente la expresión "aquellos datos estrictamente necesarios" hubiese sido igual de válida, y proporciona una mayor seguridad a quien lo ha de firmar. Para que se hagan una idea, el uso de "recabar" y la mención de datos de salud o afiliación sindical de los trabajadores, hacían que ella y sus compañeros pensasen que se estaba autorizando a la empresa a investigar al empleado por todos los medios necesarios.
En segundo lugar, hablar de cesión de datos a empresas vinculadas accionarialmente con la empresa tampoco tranquiliza, aunque sea para las mismas finalidades descritas. Sería deseable especificar qué empresas, o al menos a qué se dedican éstas; en mi opinión, si se trata de un grupo de empresas, lo más probable es que sea para la realización de la nómina y almacenamiento de los datos en los sistemas de la empresa (si fuese así, se trataría de un tratamiento de datos y no una cesión, por lo que tampoco sería necesario informar al empleado, pero puesto que existen otras finalidades, no está de más recabar consentimiento expreso), pero es mejor dejar las cosas claras, porque para personas que no tienen relación con el contenido de la LOPD, puede dar la sensación de que sus datos se van a vender, o a proporcionar a vaya usted a saber quién para vaya usted a saber qué.
Por último, al parecer nadie en la empresa se ha puesto en contacto con ellos para aclarar qué quiere decir exactamente este escrito; ni por qué deben firmarlo, ni qué pasa si no quieren firmarlo, ni qué es la LOPD ni para qué sirve; ni qué quiere decir todo eso de los datos de salud y afiliación sindical. Ni siquiera la persona que gestiona su delegación ha podido obtener explicaciones de la central. Aparte de que es necesario en muchos casos realizar formación sobre la LOPD (tanto para informar al empleado de qué se hace con sus datos, como para formarle en la gestión de datos de terceros a los que tiene acceso), no hubiese estado de más una circular alternativa, o una simple presentación por email, con formación sobre la LOPD. Eso hubiera evitado que mi amiga viese esto como una amenaza, en lugar de una comunicación de derechos y una obligación de la empresa, que es lo que en realidad es.
Resumiendo. Sin prescindir del necesario contenido formal, es muy importante que esa comunicación se realice de la manera adecuada, pero también que transmita las sensaciones e ideas que se pretenden: "Yo soy la empresa, y para poder pagarte la nómina, descontarte la cuota sindical, gestionar tu formación, o prevenir los riesgos laborales, necesito tener acceso a algunos de tus datos personales; datos que tendré que almacenar, y utilizaré para eso y para nada más. Que sepas que me comprometo legalmente a velar por su seguridad y que tienes una serie de derechos que puedes ejercer en todo momento".
No hay que olvidar que, por muchas medidas de seguridad, normativas, y políticas que queramos implantar, el empleado es al fin y al cabo el eslabón más importante de la cadena: es el que utiliza, accede, modifica y gestiona los datos de clientes, de personal interno, de proveedores, etc. Así que sería muy importante que no fuese el más débil.
(Esta mañana, en Security Art Work)
Hace un par de días, leía en el blog de Enrique Dans que al parecer, Microsoft ha proporcionado a más de 2,000 policias en 15 paises un pequeño dispositivo USB llamado COFEE (Computer Online Forensic Evidence Extractor) que contiene unas 150 herramientas, y que conectado a un equipo Windows en funcionamiento permite obtener fácil y rápidamente datos para un análisis forense: datos de actividad en Internet, registros, y contraseñas y datos cifrados con BitLocker, el programa de cifrado de Windows Vista (entiendo que obtendrá datos y contraseñas residentes en memoria volátil sin cifrar, aunque Internautas afirme sin más que "permite a los investigadores acceder a todos los documentos, incluso aunque hayan sido cifrados").
Esto ha levantado al parecer un pequeño revuelo en Internet, y aunque no es mi estilo, he de afirmar que la ignorancia es muy atrevida. Personalmente, no soy ni amigo íntimo ni enemigo acérrimo de Microsoft; tiene sus cosas buenas, y sus cosas malas, básicamente como cualquier gran empresa; aquello de Don´t be evil pasó a la historia. Pero esta me parece, al contrario de lo que muchos opinan, una buena noticia, por mucho que algunos se hayan llevado las manos a la cabeza y hayan puesto el grito en el cielo invocado las libertades civiles.
No me extenderé demasiado porque este es un tema que me parece obvio. El dispositivo proporcionado es una herramienta de análisis forense para un sistema (Windows) que resulta opaco en muchos sentidos, y más para personal policial no siempre especializado en delitos tecnológicos. No es, por supuesto, una puerta trasera que pueda ser utilizada indiscriminadamente sin conocimiento del usuario. Tampoco permite hacer cosas que no se puedan hacer en otros sistemas, simplemente las aglutina y las facilita. Es simplemente algo que, utilizado bajo una orden judicial y presencialmente, permite obtener información del sistema rápida y sistemáticamente; como utilizar una cámara de fotos en el lugar de un asesinato, antes de que limpien la sangre.
Nada más y nada menos. ¿Ustedes qué opinan?
[Fuentes originales en NYT y Seattle Times]
Hace unos meses les hablé de Nivea. Hoy vengo con algo de Unilever, la empresa de la que salen productos tan diferentes como Dove por la belleza real y Axe por la belleza sexista (¿?). Este es un post sobre la hipocresía, y sobre cómo vender una estrategia comercial como ética empresarial.
Habla con tu hija antes de que la industria de la belleza lo haga
(Spot oficial Dove)
* * *
Habla con tu hija antes de que Unilever lo haga
* * *
Habla con Dove antes de que sea demasiado tarde
Vía eTc.
Lo ha vuelto a hacer. Tras contratar una línea ADSL más llamadas con una promoción que incluía el alta gratis, Telefónica nos carga en cuenta una factura de 110 euros por los conceptos de alta de línea y alquiler de un terminal DOMO inexistente. Y me recomienda que no devuelva la factura, ya que en ese caso quedaría como importe pendiente. Cuenten mil clientes a cien euros el cliente, a un 5% de interés anual durante dos, tres o cuatro meses, que es lo que tardarán en devolver el dinero. Ahora sumen los que no se dan cuenta del error y pagan sin rechistar.
Si sirviese de algo, me acercaría a la tienda de Telefónica más cercana y la quemaría. O me sacaría la chorra y mearía en medio de la tienda. O me subiría al mostrador y cagaría encima. O haría las tres cosas juntas. Ya sé que eso no arreglaría nada, pero me haría sentir mejor. Mucho mejor.
Pasen buen fin de semana. Yo intentaré mantenerme dentro de la legalidad.
(Esta mañana, en Security Art Work)
Imaginen la siguiente escena, no sacada de ningún ejemplo real pero que seguro que podría aplicarse fácilmente a muchas empresas. Una mañana cualquiera, suena el teléfono en un Departamento de Sistemas cualquiera, y lo coge Miguel, un técnico cualquiera:
—Sístemas, ¿dígame?
—¿Sí? Hola, soy Juan Tévez, de Recursos Humanos. Verás, acaba de entrar una persona nueva al Departamento de Contabilidad y necesito que le déis algunos accesos.
—Aquí no hemos recibido ninguna solicitud.
—Ya, ya lo sé. Lo cogieron ayer y acaba de entrar, y el tema corre algo de prisa, por la auditoría financiera de la semana que viene. Tengo al director del Departamento Financiero dándome la brasa toda la mañana, así que qué quieres que te diga.
—Ya, pero ya sabes cuál es el procedimiento...
—Mira, te juro que te mando la solicitud dentro de un rato, pero necesito esos accesos ahora para que esta persona pueda ponerse a trabajar esta tarde.
—Bueno, no sé... Bien, vale, ¿qué necesita?
—Supongo que para empezar un PC y una cuenta de correo; se llama Andrés Martínez. En principio, de momento dale también acceso al módulo de Contabilidad de SAP y a las carpetas departamentales; Cristina López es de Contabilidad así que con que le des acceso a las mismas carpetas que ella, va sobrado para empezar. Como supongo que el PC tardará algo más, mándame las contraseñas de su usuario a mi email, que esta tarde se ponga en el equipo de María, y así vamos adelantando.
—¿A tu cuenta?
—Sí, Juan Tévez; imagino que habrá sólo uno. Dentro de un rato te mando el formulario con la firma del responsable y los accesos que necesita.
—Bien, que no se te pase, por favor.
—No te preocupes y muchas gracias.
—De nada, hasta luego.
—Hasta luego.
Click...
Por supuesto, esa auditoría financiera y las constantes reuniones del Responsable de Andrés Martínez hacen que Juan Tévez nunca consiga que le firmen ese formulario de petición de acceso, y por tanto que éste no llegue nunca a Sistemas. Además, como Miguel, que es la persona de comunicaciones que ha cogido el teléfono, le ha pasado el trabajo a Luis, que es el técnico de micro, en una hoja de libreta: "Crear cuenta de Andrés Martínez: usuario, plataformar PC, email, SAP y darle perfil de clopez, de contab. Mandar claves a jtevez, de rrhh", nadie pide nunca más los formularios de alta; unos por otros, la casa sin barrer.
Sin tener en cuenta que Andrés es un becario de empresariales que no necesita acceso a SAP, y mucho menos a las carpetas departamentales de Cristina López, que maneja información confidencial del comité de empresa. Pero eso no lo sabe ni Miguel ni Juan Tévez ni Luis. Sólo lo sabe el Responsable de Andrés Martínez y de Cristina López, que no ha firmado ninguna solicitud de acceso y que no sabe que un becario dispone de acceso a información financiera de carácter confidencial...
En realidad, durante un tiempo nadie lo sabe... hasta que un día, por mera casualidad, se descubre, pero esa es otra historia.
(Para los más paranoicos hay otra opción: ¿es Juan Tévez quien dice que es?)
Me despediría de todos ustedes si no supiese que es muy posible que vuelva en un plazo relativamente corto de tiempo: mañana, una semana o un mes. Así que aquí les dejo de momento, y hasta nuevo aviso, con esta maravillosa canción y este video incalificable. Mejor que cierren los ojos. De verdad.
Hasta entonces, sean buenos.
Si les interesa la gestión de datos de carácter personal, he escrito una "pequeña" reseña de la intervención que el Sr. Rubí, Director General Adjunto de la Agencia Española de Protección de Datos, realizó en la jornada de Seguridad de la Información que organizó mi empresa, S2 Grupo, ayer jueves. Pueden encontrarla aquí, en el blog de seguridad del que soy editor y colaborador, Security Art Work.
Si no les interesa, piensen la cantidad de datos personales suyos que circulan por las empresas; estarán de acuerdo conmigo en que es como para pensárselo. En otras palabras: si no les interesa, debería (claro que entiendo que no a un nivel profesional).
Nada más por el momento; espero estar más prolífico la semana que viene, pero sobre todo más animado, aunque ya saben que no les puedo prometer nada. Como siempre, buen fin de semana a todos.
Hace tres meses no sospechaba que por estas fechas estaría totalmente enganchado a series de ficción en lugar de películas: Californication, Dexter, Anatomia de Grey, Life on Mars, Los Soprano, The Office, A dos metros bajo tierra o Mad Men son algunas de las que he visto o estoy pendiente de ver, y la lista es cada vez más larga; los representantes nacionales reseñables son pocos aunque suelen dar la talla, siempre en mi opinión: Cuestión de sexo, Aída, La que se avecina, y para de contar. Justo en este momento nos encontramos en el capítulo 17 de la segunda temporada de Anatomía de Grey, serie que imagino devoraremos en un par de semanas, a pesar de que jamás me había atraído lo más mínimo, e inconscientemente casi podría decir que me negaba a verla. Pero ya ven, ahora la consumo como si fuese un yonki (sí, Laura más).
Eso significa que ayer me acosté viéndola. Y esta noche, por cómo me he levantado, intuyo que he soñado algo relacionado con ella, o me ha provocado algo que me ha dejado mal sabor de boca. Es decir, que me he levantado jodido. Sé reconocer una estupidez cuando la digo, y lo que viene a continuación es una bien grande, pero esta serie —algo que no me había pasado con ninguna otra hasta ahora— hace que mi vida me deprima. Porque a través de la comparación, me hace ser consciente de mi rutina diaria, de mi monotonía vital, pero además me lleva más allá y me machaca, exagerándola y enseñándome una realidad que no existe: me muestra mi vida como un encefalograma plano y me hace pensar cosas que aún sabiendo que no son reales, no son reconfortantes.
La acabaré, pero no me gusta esta serie. Es una cuestión personal; me divierte pero me hace sentir miserable; muy miserable. Sí, culpa mía y de mis estados de ánimo. Y ya sé que últimamente cuento lo que me viene en gana. Igual que antes, pero ahora se nota más. ¿Pero saben qué? Supongo que de momento esto es lo que hay y blogs los hay a millones. Literalmente.
