Safe Harbor no es una película de Ben Affleck

rosario-rossi-safe-harbor

Si eres asiduo de los blogs de nuevas tecnologías, estarás al tanto de la anulación del Safe Harbor y probablemente hayas leído todo lo legible e ilegible sobre el tema. Tanto si es así, como si no, deberías seguir leyendo, ya que no todo es tan negro ni todos los que trabajamos con protección de datos nos aprovechamos del alarmismo creado.

Para aquellos que ya lleváis más de un mes escuchando hablar del tema, no pretendo aburrir y seguir diciendo todo lo dicho. Si he escrito ahora y no antes, es porque no he querido ser alarmista y esperar un tiempo prudencial para hablar del tema, especialmente para no asustar a mis clientes.

Sigue leyendo

Pero entre los artículos alarmistas y aquellos que han empezado a recibir las notificaciones de la Agencia Española de Protección de Datos, el pánico está servido. Han sido muchos los lectores que me han escrito interesándose por la eliminación de Safe Harbor, y a todos los he emplazado a un artículo resumen de la situación. Aquí está.

Antecedentes

Safe Harbor o Puerto Seguro, no es otra cosa que como se conoce a la Directiva Europea (95/46/CE) por la que se establecen una serie de requisitos mínimos y garantías en materia de transferencias internacionales de datos. De manera qué, si una empresa de gestión de datos americana (Google o MailGhimp por ejemplo), cumplía esos parámetros, se consideraba una transferencia de datos que no necesitaba una autorización expresa de la Agencia de Protección de datos, ya que se asimilaba a un tratamiento de datos intracomunitario.

Esas aplicaciones o empresas en las que alojamos y gestionamos nuestros datos, son, a efectos de la Ley Orgánica de Protección de Datos, consideradas como ENCARGADOS DEL TRATAMIENTO DE DATOS.

Hasta ahora, bastaba con especificarlo así en nuestro notificación de inicio de tratamiento de datos a la AGPD.

Todos éramos muy felices, hasta que apareció Snowden, y nos contó toda la verdad. Al menos parte. Ya que éste desveló cómo determinadas empresas no cumplían con esos parámetros establecidos, permitiendo el espionaje de los datos alojados en sus servidores, como Facebook.

Fue precisamente a raíz de esto, cuando un consultor tecnológico denunció la situación y consiguió demostrar que datos de Facebook se utilizaban para el espionaje. Su caso llegó hasta el Tribunal de Justicia de la Unión Europea, el cual le ha dado la razón y por sentencia de 6 de octubre de este mismo año ha dejado Safe Harbor en entredicho y prácticamente inaplicable.

¿Y ahora qué?

La desconfianza generada por esos operadores de datos, ha hecho el TJUE no considere justificadas esas transferencias en base al acuerdo del año 2000, en la medida en que los poderes judiciales y políticos tienen acceso a los datos que gestionan dichas empresas.

Aunque la sentencia de 6 de octubre no declara del todo ilegal este acuerdo, sí que abre la veda para que las autoridades nacionales de cada miembro de la Unión Europea establezca si Safe Harbor es suficiente o no. Y la Agencia Española de Protección de Datos ha optado por la segunda.

Para ello ha dado de plazo hasta el 29 de enero de 2016, para restablecer las negociaciones y firmar un Safe Harbor II, y que la sangre no llegue al río. En caso contrario, empezarán a caer sanciones a las empresas. Por ello la Agencia Española de Protección de Datos está enviando comunicaciones a las empresas para que empiecen a regularizar su situación de acuerdo con la nueva situación. Para que si no se llegase al acuerdo y acabamos sancionados, nos puedan contestar con un elegante: “Te lo dije.”

Avanzan las negociaciones

Como decía al principio, he querido ser prudente y no lanzarme a escribir artículos y alarmar a mis clientes, como otras empresas han hecho para intentar sacar tajada de la situación. Y en ello me mantengo.

Siendo consecuente dudo que las grandes multinacionales que gestionan datos dejen perder un trozo del pastel tan jugoso como es Europa, y van a presionar para que el Safe Harbor II sea una realidad. De hecho la prensa cada vez se hace más eco del avance de las negociaciones.

Si fuera así, antes del 29 de enero, en principio, no habría que hacer ningún trámite por parte de las presas que usan esos servicios con sede americana la mayoría.

Aún así, esa es solo mi opinión.

Ni qué decir tiene,  no se trata de una mala noticia. Diría que al contrario. Puesto que si bien es molesta para las empresas que ahora deban adaptarse y empezar a migrar sus datos o solicitar autorización a la AGPD. No es menos cierto de que es positivo que los tribunales dejen de mirar para otro lado en materia de tratamiento de datos, y empiecen a valorar (algo más que monetariamente) los datos personales de los usuarios.

Hasta ahora los grandes operadores de internet han crecido a medida que crecían sus usuarios, que facilitaban sus datos a cambio de una cuenta gratuita. Sin valorar que en esos datos que facilitamos está toda nuestra privacidad. Quizás con este toque de atención, empiecen a considerar que la venta de datos es también la venta de privacidad, si bien los primeros pueden ser cuantificados monetariamente, la segunda tiene un valor incalculable.

¿Me afecta?

Desde el punto del tratamiento de datos, casi todas las empresas utilizamos algún soporte online para almacenar nuestros datos, ya sea un servidor de correo o un gestor de email. 

Especialmente, muchos lectores de esta web que se dedican al mail marketing deberán revisar qué gestores utilizan y dónde tienen sus servidores.

Como usuario o titular de datos, lo cierto es que cuando abres una cuenta en cualquiera de esas empresas, casi siempre gratuitas, estás aceptando que traten tus datos como les venga bien. Esa inseguridad no es nueva, y no va a cambiar en exceso, al contrario, puede que sea un estímulo para que la protección de datos empiece a ser una realidad y no una ficción legal con tantos resquicios.

Si estás suscrito a una lista de newsletter, lo suyo es que el titular de la misma haga los trámites, si no lo hace, siempre quedarán a salvo tus derechos de Acceso, Rectificación, Cancelación u Oposición, dirigiéndote a cualquier dirección que tenga la empresa, o usando el botón al pie de página de los correos de “Dar de baja”.

Soluciones

Pues ahora las soluciones que quedan, para el caso en que no se rubrique en el plazo estimado el nuevo acuerdo son:

  • Regularizar la situación manteniendo al gestor de datos: O lo que es lo mismo, firmando un contrato con el encargado del tratamiento y comunicándolo debidamente a la AGPD. Mailchimp, por ejemplo, ha preparado un formulario a tal efecto, el mismo hace las veces de acuerdo entre las partes y que hay que remitir a la AGPD para su aprobación. Es decir, que enviado el comunicado, tendremos que esperar a que la Agencia lo apruebe y acepte la modificación.

Ni qué decir tiene, que hablamos de un proceso lento y que no acaba de responder a las necesidades de empresas que no se dedican a la gestión de datos. Hablamos de comunes mortales, como tú y como yo, que tenemos una web y/o una empresa que manejamos los datos de nuestros clientes con el único fin de poder prestar nuestros servicios. Con un fichero de clientes y proveedores y otro para la newsletter.

  • Traernos nuestras listas de correo a empresas de gestión de datos que tengan sus servidores en la Unión Europea. MailChimp o Dropbox no lo son todo, existen empresas que prestan servicios similares pero con sede Europea. De hecho no es de extrañar que muchas de estas empresas ya han empezado a plantear colocar servidores en sede europea para no quedarse fuera de juego.

 

En cualquier caso, se abre el turno de palabra, así que os invito a que comentéis vuestra experiencia al respecto y solucionar las dudas que surjan.

¡Cuidado! ¡Timo a la vista en marcas y patentes!

rosario-rossi-marcas

Ya he hablado en otras entradas de la importancia de registrar una marca para evitar que alguien te prive de su uso por la vía del registro previo.

Pues bien, esa actividad de registro está dando lugar a nuevas formas de negocio que rozan la estafa, y que son de dudosa moralidad.

Sigue leyendo

Me explico. Los últimos clientes con los que he trabajado en cuestiones de marca, han recibido una serie de comunicaciones con apariencia de oficiales, pero que no lo son.

Os cuento cuales han sido los casos para poder detectar estas cartas con rapidez y acudir a un profesional antes de efectuar ningún pago:

1) La primera de ellas era de un despacho internacional de abogados especializados en gestión de marcas. Pero camuflaba su carácter publicitario, y es que en el sobre solo se podía leer “Patentes y Marcas”, sin ningún membrete oficial. Para alguien que no esté acostumbrado a recibir comunicaciones oficiales de la Oficina de Patentes y Marcas, no tiene porque detectar el carácter no oficial de dicha comunicación. Con lo cual crea una situación de confusión en el cliente, que recibe una publicidad que desde luego no ha solicitado.

2) La segunda de las comunicaciones, era una carta con apariencia de factura que reclama una cantidad desorbitada. La aparente factura determina el concepto del registro o renovación de marca y asevera de su pago. Evidentemente crea gran alarma en quien la recibe (espero que todos llamen a un abogado antes de acceder al pago). Porque resulta que la factura no es real, y en la letra pequeña dice que es la oferta del servicio, no el pago del servicio ya realizado, y que si se hiciese el pago, el mero hecho del ingreso constituye una aceptación de su contrato y sus condiciones, por lo que para entonces sería tarde cualquier devolución o cancelación del contrato.

¿Quién está detrás de estas cartas?

Se trata de bases de datos de marcas, totalmente ajenas a registros oficiales, y de suscripción voluntaria, por lo que en principio sería legal. Y que por cierto, no tienen validez ninguna en temas de protección de marca, puesto que en caso de conflicto no tendría valor probatorio, puesto que son registros privados y con muy pocas suscripciones.

También llama la atención, y denota que no es algo muy normal, el hecho de que las empresas que nos reclaman ese pago, tienen sedes en países muy alejados, que no tienen competencia directa en las marcas registradas en España (Australia, Rusia…).

¿Y de dónde sacan los datos?

Ahí está su truco. No hacen nada ilegal. Los datos los toman de fuentes accesibles al público, como es el Boletín Oficial de la Propiedad Industrial (BOPI), donde se publican todos los registros que se efectúan, y los datos de quienes las registran. Por lo que no  compran listas de datos a terceros, ni los consiguen de ninguna manera fraudulenta.

Podríamos entender que vulnera la Ley Orgánica de Protección de Datos por el hecho de que nos están enviando información comercial sin solicitarla ni consentir el tratamiento de nuestros datos. Pero no, esa protección es solo para los datos de carácter personal, y se entiende que una marca es para una cuestión comercial, por tanto, pierden ese carácter de datos personales. Aunque quien registre sea una persona física.

 

Como vemos, solo envían una oferta de un producto, el problema es el malintencionado diseño de la oferta, que le da apariencia de factura oficial, y que si no deparamos en la letra pequeña nos puede dar un buen disgusto.

Por eso, antes de hacer cualquier pago, es mejor que hables con un especialista, y dejes en sus manos las gestiones necesarias antes de tener que lamentarnos.

AQUÍ tienes el contacto de una bastante buena 😉

¡Feliz verano!

 

MailChimp y privacidad

 

rosariorossi (1)

Tener una gran lista de suscriptores a nuestra newsletter es un gran reto. No solo para los blogger, sino para cualquier empresa que ofrezca sus servicios en Internet. Si en la calle repartir publicidad es tan fácil como echar folletos de buzón en buzón, en Internet la única forma de hacerlo legalmente es con una lista en que el destinatario haya prestado su consentimiento a recibir esa publicidad de manera expresa.

Sigue leyendo

La diferencia entre el suscriptor y el destinatario de otro tipo de publicidad, es que expresamente ha solicitado recibir esa información, por eso su valor publicitario es mayor, ya que las ofertas que se hagan a través de una newsletter van directamente a clientes potenciales, lo cual supone un gran ahorro económico y de energías.

Tener una lista considerable para enviar Newsletter no es fácil, pero cumplir con la Ley Orgánica de Protección de Datos sí, aunque muchos blogger y empresas no se den por aludidos. Partimos del hecho de que un nombre y una dirección de email ya son datos de carácter personal, y por tanto requieren de la aplicación de los requisitos y obligaciones que la ley exige para cualquier tratamiento de datos y que ya vimos en esta entrada sobre la adaptación a la ley de protección de datos.

Para realizar una campaña de manera sencilla, lo más habitual es recurrir a un gestor de correos, la mayoría de ellos con  sede internacional, por lo que deberemos estar atentos a la regulación sobre transferencias internacionales de datos, que entre otras cosas requieren de una autorización de la Agencia Española de Protección de datos.

Evidentemente, tener que cumplir con esos requisitos haría casi imposible mantener una lista de correo. Por ello, a nivel internacional se han creado herramientas para simplificar el proceso y hacerlo más accesible. La solución es SAFE HARBOR o PUERTO SEGURO, se trata de una serie de principios que se adaptan a la normativa europea, y que se utiliza para simplificar las transferencias entre países con distintas legislaciones. Así las empresas americanas adheridas a Safe Harbor establecen unas garantías mínimas, y por ello están exentos de autorización de la Agencia. Veámos en que se traduce esto.

Para ver  cómo se cumple con la ley, vamos a tomar el ejemplo MailChimp, ya que es el gestor más fácil de utilizar y también el más utilizado, y que precisamente es una de las empresas adheridas al sistema SAFE HARBOR.

 

REQUISITOS PARA CREAR UNA LISTA DE CORREO

1.- NOTIFICAR FICHERO

Como ya hemos indicado, requiere de la inscripción de un fichero ante la Agencia de Protección de Datos. Para ello accederemos al Formulario Nota establecido a tal fin.

Si es nuestra lista de correos, pondremos nuestros datos en el apartado referente a la responsabilidad del fichero, pero al llegar al apartado 4.- Encargado del tratamiento los datos que deberemos facilitar serán los de MAILCHIMP, veámos como:

FORMULARIONOTA4

 

(Especifica que es Estados Unidos porque si no sitúa el C.P. 30318 de Atlanta en un pueblo de Murcia. En serio)

Al rellenar este apartado, el propio formulario nos advierte de que deberemos rellenar el apartado 10.- Transferencias Internacionales, que por lo general no se rellena, y que está previsto para estos supuestos:

ficheronota10b

 Una vez enviemos el formulario, en un par de semanas la AGPD nos remitirá la información correspondiente y ya habremos cumplido el primer requisito de inscripción de ficheros. Siempre y cuando estemos ante un gestor adherido a Safe Harbor, si no es así, necesitaremos una autorización del Director de la AGPD para poder llevar a cabo esa gestión. Seguimos.

2.- DEBER DE INFORMAR

Deberemos informar en nuestra web sobre la recogida, tanto del fin de esos datos (en este caso para comunicaciones comerciales), indicar si se van a ceder esos datos y facilitar los datos en los que los titulares de los datos pueden ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Para ello lo más recomendable es establecer una POLÍTICA DE PRIVACIDAD, bien en una página visible y accesible o bien incorporarlo a nuestro aviso legal como un apartado más. Para el caso de las newsletter, a esa política de privacidad deberemos incorporar una cláusula informando de que esos datos van a ser gestionados por MailChimp:

SUSCRIPTORES NEWSLETTER: Los datos que usted facilite para suscripción a la newsletter de (su web) , serán almacenados en el fichero “SUSCRIPTORES NEWSLETTER”, cuya finalidad es mantenerle informado de nuestras ofertas y facilitarle contenido relacionado con los productos y servicios que prestamos, inscrito en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos. Los datos serán almacenados en el datacenter de MailChimp en Estados Unidos (EE.UU), el cual actúa como encargado de tratamiento en la recogida y almacenamiento de sus datos, hemos escogido a MailChimp por estar adherido a los principios de “Puerto Seguro” (Safe Harbor), lo que se traduce en que está obligado a cumplir principios similares a los europeos en materia de protección de datos,  si desea más información al respecto, le facilitamos la política de privacidad de MailChimp:  http://mailchimp.com/legal/privacy/

3.- CONSENTIMIENTO

Para cada dato que recopilemos necesitamos el consentimiento de su legítimo titular. Por ello en cada formulario por el que recopilemos datos lo más recomendable es informar directamente al pie de ese tratamiento de datos o bien establecer un botón de bloqueo, el clásico he leído y acepto que redirige a la política de privacidad, y que si no se marca no deja enviar los datos.

MailChimp, además tiene un sistema de confirmación extra, por lo que el consentimiento a la suscripción queda directamente recogido por la plataforma. Y permite ejercitar los derechos ARCO de manera automática y muy sencilla, ya que sus email contienen un botón para darse de baja de las suscripciones, funciona de manera automática y garantiza que el usuario pueda ejercer su derecho de Cancelación conforme a la LOPD.

 

MAILCHIMP Y LA PRIVACIDAD

Lo bueno de esta compañía es que ofrece la garantía de que no va a ceder esos datos a terceros, y se adapta a la normativa europea (o eso dice).

Ellos mismos avisan de que no se trata de un servicio de mensajería confidencial, sino que aleatoriamente revisan los contenidos. Tal es así que su premisa es “No enviar nunca nada en un correo electrónico que no pondrías en una postal”.

Si quieres más información al respecto, aquí tienes su política de privacidad en un perfecto inglés

 

 

e-Legal: Derecho para webs

 

El pasado día 4 de octubre, tuve la suerte de que me invitaran a participar como ponente en las IV Jornadas Meetup de WordPress de Córdoba. Algo que me hacía  ilusión, porque ya había acudido en otras ediciones como público. Esta vez me lo pasé aún mejor, además me trataron muy bien, tanto organización como asistentes.

¡Gracias!

rosariorossi_wp

Sigue leyendo

Como vi que el interés por los temas a tratar era alto para los desarrolladores y curiosos en general que asistieron, he pensado que no hay mejor manera de continuar con el tema, que escribiendo un artículo aquí, ampliando lo que ya tratamos allí, ya que el tiempo se quedó corto para todas las dudas que tenían los asistentes. Y si el artículo se sigue quedando corto, siempre nos quedará un formulario de comentarios, o  de contacto para los casos más extremos, desde el que podéis plantear las dudas que tengáis sin ningún tipo de compromiso.

Vamos entrando en faena.

Los aspectos legales que pueden darse en una web son tantos como pueden darse en cualquier acto de nuestra vida. Es decir, que en una web, aparte de la normativa específica, le es de aplicación toda la legislación que existe: Código Civil, Código Penal, normativa Administrativa, de Consumidores…

Como abarcar todo eso en un artículo es imposible, mejor nos centramos en tres requisitos legales específicos que deben cumplir las webs: Aviso Legal, Privacidad y Cookies.

 

AVISO LEGAL

¿Todos tenemos que tener un “Aviso Legal” en nuestra web?

Todos no, pero casi todos sí.

La Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico, dice que los Prestadores de Servicios de la Sociedad de la Información deben cumplir con un deber de información e identificación.

 avisolegal

Podrás pensar “yo no soy nada de eso”. Puede que sí.

  • ¿Eres una empresa o profesional y utilizas tu web para tu propia difusión, aunque no vendas productos o servicios directamente? Debes tener aviso legal.
  • ¿Tienes una tienda online? Aviso legal.
  • ¿Tienes un blog personal sin publicidad? En este caso NO es obligatorio cumplir con este deber.
  • ¿Tienes un blog personal y le has colocado AdSense (o similar) para ganarte unos eurillos? Aviso Legal obligatorio.
  • ¿Desarrollas APP que implican algún tipo de transacción económica? Aviso Legal.

En definitiva, todo aquel que realice una actividad económica con su web, ya sea de la web para fuera, o ya sea de la web para dentro como es el caso de la publicidad.

 

Ya que estamos, ¿qué contenido mínimo debe tener un Aviso Legal según la ley esa?

El artículo 10 de la LSSI-CE establece:

– Datos identificativos: Nombre, Dirección, Correo electrónico..

– Datos de inscripción en el Registro Mercantil.

– Si se trata de una actividad sujeta a autorización administrativa (por ejemplo una farmacia o un laboratorio)

– Si se trata de una profesión reglada: Colegio, núm, título… (abogados)

– Nº de Identificación fiscal: DNI ó NIF

– Si está suscrito a algún código de conducta.

 

Además de una referencia a la propiedad intelectual de los contenidos (en mi caso Cretive Commons By), así como responsabilidad y condiciones de uso de los usuarios web.

Si  tenemos una tienda online, habrá que tener las condiciones generales de la contratación, precio (con o sin impuestos), cuestiones relativas a los gastos de envío… Os remito al artículo sobre aspectos legales de una tienda online si queréis profundizar.

Además de condiciones de privacidad y cookies (ahora veremos detalladamente)

 

Pero yo tengo el hosting en Arkansas.

Da igual, si prestas tus servicios en España, aunque tú mismo residas en Arkansas City, debes cumplir con la LSSICE.

 

POLÍTICA DE PRIVACIDAD.

 

No me voy a detener mucho en esto. Va en relación con la Ley Orgánica de Protección de Datos, sobre la que ya escribí un artículo para adaptarse a la misma en caso de ficheros de nivel básico, así que me remito a aquel artículo.

Debemos informar sobre fichero y responsable del mismo en el aviso legal, para que los usuarios puedan hacer valer sus derechos de Acceso, Rectificación, Cancelación u Oposición.

En el caso específico de una web, debemos cumplir con el deber de notificar un fichero a la Agencia Española de protección de Datos si tenemos alguna o algunas de estas cosas: un formulario de contacto, un sistema de registro de usuarios, newsletter, “trabaja con nosotros”, tienda online…

 

COOKIES

 

Aquí llega la madre del cordero.

No voy a hacer otra guía de Cookies, en internet puedes encontrar cientos, y más completas y mejores que yo lo podría hacer. Lo que a continuación voy a hacer es plantear problemas y soluciones.

“Ley de Cookies”, ni siquiera es una ley, es un apartado de un artículo (art.22.2 LSSICE), empieza mintiendo desde su  nombre.

Y una ley que llega tarde y mal. En otros países existe normativa similar, de hecho esta es una transposición de normativa europea, pero aquí le hemos dado una vuelta de tuerca haciéndola más restrictiva y casi inaplicable. Además tecnológicamente, está bastante atrasada, en el sentido en que la mayoría de archivos verdaderamente invasivos (de los que se supone viene el legislador a prevenir a los usuarios) no se instalan por cookies.

Y por supuesto, no ha existido una difusión acorde con su dimensión. Es verdad que desconocer la ley no excusa de su cumplimiento, pero no está mal poner las cosas fáciles. De lo contrario podría parecer que tiene un fin recaudatorio…

rosariorossi_cookies

¿Qué es una cookie? (esta parte me la salté en la charla originaria por tener un público experto)

Ficheros pequeños que las webs dejan en tu ordenador para recopilar datos, bien para mejorar tu experiencia, bien para elaborar sus estadísticas.

No son necesariamente malos.

¿Entonces qué pasa?

Que dice la ley que tienes que avisar cuando recopilen datos, pero no basta con informar, sino que no se pueden instalar en el ordenador de tus usuarios hasta que estos acepten, bien expresamente, bien tácitamente si has informado debidamente.

¿y cómo lo hago?

Puedes incluir toda la información en el primer acceso, pero lo más normal y lo recomendado es que se haga por capas. Es decir, que en la primera navegación salte un banner, pop up… con la información de uso  de cookies y este a su vez contenga un enlace que redirija hacia una “política de cookies” que contenga la información detallada.

Pero no vale cualquier información

No.

Sobre las cookies técnicas y necesarias no es necesario informar (las necesarias para que la web funcione sin que recopile casi ningún dato más que el de reconocer el dispositivo y poco más)

Si utilizamos por ejemplo Analytics, Adscense, WordPres… hay que informar.

Para estos casos la información mínima es:

– Qué es y tipos de Cookies (técnicas y necesarias no precisan información)

– Para qué usamos esas cookies

– Si son propias o de terceros (detallar y facilitar dónde podemos conseguir más información)

– Mecanismo de desactivar cookies según navegador

 

Yo no tengo nada de eso.

Bueno, si tenemos en cuenta que las sanciones van desde 30.000 euros hasta 150.000, por si acaso, hazte un chequeo con estas aplicaciones para el navegador que te dicen que cookies contiene cada web: ADVANCE COOKIE MANAGER 5.7, y Chrome además tiene su propio gestor, bastante útil, tanto para conocer las cookies que tienes como para gestionar las de terceros.

 

Cookies en WordPress

Parece muy fácil cumplir con la ley, pero lo cierto es que no lo es.

Hablo de WordPress porque es el gestor de contenidos que mejor conozco, no sé si se dan los mismos problemas en otras plataformas, pero intuyo que sí.

Para empezar debemos saber que WordPress, ya deja cookies de las que se deben informar. Son las de los comentarios, se pueden desinstalar, aquí te dejo una herramienta bastante eficaz.

Cuidado si usas JETPACK, contiene cookies de las que hay que informar. Chequea la web e informa.

 

Pero yo tengo un plugin y ya voy bien.

Pues no. La inmensa mayoría de plugins, por no decir todos salvo excepciones contadas, no se ajustan a la ley española, que exige que no se instalen las cookies hasta su aceptación informada.

Ni COOKIE LAW INFO, ni COOKIE CONTROL, ni COOKIE WARNING, COOKIE LEY ESPAÑOLA…, cumplen con las exigencias españolas.

Tal es así, que en las primeras resoluciones sancionadoras de la Agencia Española de Protección de Datos, se dan casos de sanciones a webs que tienen estos plugins y que son como si no tuvieras nada.

Después de mucho probar he llegado a la conclusión de que COOKIES PRO es uno de los que más se acercan a los requisitos de la ley, pero no es efectivo en todos los casos. Tras recomendarlo en la charla como un plugin efectivo, lo cierto es que algunas se le escapan, y me han escrito asistentes que  lo han probado y han visto como algunas cookies se le cuelan.  Ahora estoy probando CARTOGRAF COOKIE FILTER, también parece que funciona, habrá que ver en cada caso y en cada navegador.

Si encontráis el plugin o solución técnica no invasiva a nuestros males, os lo agradecería con toda mi alma. Y el resto del mundo también.

Buscando en otras webs y foros no he encontrada tampoco una solución convincente.

 

Declararse objetor de conciencia de la ley puede ser muy bello, pero una faena si te cae un multón de los que están cayendo. Y no hablamos de enormes empresas que gestionan datos a gran escala. No. Hablamos de gente como tú y como yo que tenemos una pequeña web para trabajar.

Como decía uno de los asistentes a la charla: “El mejor plugin es Virgencita que no me pillen”.

Suerte.

Y si alguien quiere la presentación en PDF con la que ilustré la charla por ser útil para una consulta rápida, que no dude en pedirla. It’s free.

 

La nube al desnudo

ROSARIO ROSSI - jennifer lawrence

 

Hace unos días Jennifer Lawrence era TT y no precisamente por su última película. Se habían filtrado unas fotos de ella y otras famosas desnudas. Habían sido tomadas del iCloud.

 

¿Otra vez? Sí, otra vez.

Parece ser que tras el similar percance que le ocurrió hace un par de años a Scarlett Johansson nadie ha tomado precauciones.

Y no es que Scarlett fuese la primera, esto ocurre desde  que la nube es nube. Son fallos en la seguridad de los sistemas que llevan afectando a los usuarios de estas herramientas desde el principio, pero sólo se hacen notar cuando es un famoso el afectado.

Sigue leyendo

Tras conocerse los debilitados sistemas de seguridad de este tipo de servicios, me sigue sorprendiendo que la gente suba ahí sus imágenes e información más privada si no quieren que se hagan públicas.

No me causa menor estupor que se centre la atención en los desnudos y no en tratar de evitar esos fallos en los sistemas de multinacionales en los que depositamos toda nuestra vida. Es ahí donde se deberían centrar las energías en lugar de escandalizarnos por el desnudo de una famosa.

En cambio, ese defecto, que permite el acceso a cualquiera con conocimientos informáticos, ha pasado a ser anecdótico, tanto que los titulares van por el desnudo, más que por lo fácil que es acceder a nuestra vida privada en estas herramientas.

A veces el propio hacker pretende justo eso, señalar los fallos del sistema. Entrando en la nube ha podido robar la información que hubiese querido y hacerse inmensamente rico, pero no, ha optado por unos desnudos, porque es lo que despertaría más atención.

Ya ocurrió a principios de verano en Madrid, con las nuevas instalaciones de las bicicletas públicas, durante unas horas en la pantalla de los puertos de retirada de bicicletas se podía ver un pene, cuando el hacker ahí dentro pudo tomar  los datos de las tarjetas de 10.000 madrileños, optó por dejar un pene porque crearía más revuelo y ayudaría a mejorar el sistema.

 

No creo que a nadie se le ocurra reprocharle nada a ellas, pero es verdad que conocer los riesgos de este tipo de plataformas es básico para evitar estas desagradables sorpresas, más cuando eres un personaje público y sabes que tu desnudo correría como la pólvora en internet.

Y nada, nada, nada, justifica los ataques que pude leer en Twitter los días siguientes hacia las afectadas, incluso cuestionando su moralidad por existir estas fotos. Esto no va de moralidad, al menos no de las afectadas. Va de inseguridad.

Las leyes vienen protegiendo a los afectados por estos ataques, faltaría más, si bien, en el año 2014, cuando nuestra vida pasa por internet, existe cierto componente de responsabilidad. A ninguna de ellas, ni de nosotras, se les ocurriría ir con un álbum de fotos  desnudas debajo del brazo a cada evento, o salir directamente así. Nuestro móvil sincronizado con la nube es justo eso. Considerar este tipo de herramientas como algo privado y alejado a la realidad es desconocer del todo su funcionamiento.

 

De hecho, son conocidos los fallos de seguridad de iCloud, Dropbox o Google Drive . Y no sólo eso, hay cosas que no sólo responden a fallos de seguridad, sino que, como ya indiqué en una entrada anterior, está bien leer antes de dar a “He leído y Acepto las condiciones de uso”, ya que algunas de estas aplicaciones pasan a ser dueñas del contenido desde el mismo instante en que lo subimos allí.

 

Cualquiera puede ser víctimas de una situación así, en el momento en que enviamos una foto, ya sea a otra persona, o sincronizamos nuestro móvil con nuestras cuentas, desde ese mismo instante estamos vendidos a todo tipo de prácticas. La más conocida es el Sexting, que no es otra cosa que difundir imágenes comprometidas con el ánimo de perjudicar a la otra persona.

No eximo con ello la responsabilidad de quien las difunde, pero sí que la concienciación ayuda a prevenir.  Esperar que el resto del mundo sea prudente y nos respete es mucho esperar, por ello, evitar esta exposición ayudará a ahorrar disgustos en el futuro.

Aquel que osó publicar las imágenes de Scarlett acabó entre rejas, por 10 añitos ni más ni menos.

Aquí también podría pasar, ya que este tipo de supuestos caen bajo el manto del artículo 197 del Código Penal que contempla penas de privación de libertad.  Este artículo, con numerosos apartados, trata de encajar los supuestos que pueden darse, si bien no fue concebido para la situación actual, sí que se ha intentado adaptar en varias reformas y dar respuesta a esas nuevas necesidades.

Ese artículo protege la intimidad, en su vertiente de inviolabilidad de las comunicaciones (art. 18.3 CE).

Y no sólo el que ejecuta ese acceso a los sistemas puede ser responsable, en la medida en que existen tipos penales agravados para supuestos en los que existe publicidad, esa publicidad necesita de alguien más que el autor para llevar a cabo la difusión. Es la polémica si el retuit de un delito puede ser a su vez delito también, si bien no como autor sí como colaborador, ya sea como cómplice, cooperador necesario…

Aún así, es prácticamente imposible poder reparar el daño causado a la persona afectada.

 

Consejos

Si algo he repetido hasta la saciedad en esta página es que más vale prevenir que pagar, pues en estos casos especialmente. Por ello os dejo una serie de recomendaciones técnicas y no tan técnicas para evitar estos problemas:

 

–          Procurar hacer las copias de respaldo, o directamente guardar los originales, en soportes físicos, y de utilizar alguna de estas herramientas online, hacerlo en aquellas que garanticen que la información queda encriptada (sistema de seguridad que cifra la información de tal manera que si  accede un extraño será ininteligible para él). Y no te lo digo yo, te lo dice Snowden, haz siempre caso a Snowden. Un saludo Edward.

 

–          Evitar la sincronización de cuentas. Esta práctica puede acarrear que a través del acceso a una cuenta puedan entrar a la información de todas nuestras cuentas, y con ello a toda nuestra información.

 

–          Y no, no te voy a decir que no envíes fotos a extraños, envía fotos a quien tú quieras, pero con las condiciones de seguridad mínimas y conociendo las consecuencias.