Archivo de la categoría: datos personales

Trazabilidad de personas por el rastro del teléfono móvil: un ejemplo real

Hay cosas que sabemos que suceden, pero que si no las vemos con nuestros propios ojos no las tenemos en cuenta. Es la versión moderna del “ojos que no ven, corazón que no siente”. Una de ellas es la tremenda capacidad de realizar un seguimiento de personas, un mapeo de la ubicación minuto a minuto, de la que disponen las compañías de teléfono móvil (si tienes teléfono móvil, tienes la costumbre de llevarlo encima y además encendido). Todos sabemos que nuestros teléfonos están constantemente “hablando” con las torres de telefonía móvil, que a medida que nos alejamos de una torre y nos acercamos a otra nuestro teléfono cambia de “interlocutor”. Todos sabemos que las compañías deben de tener por ahí una basecita de datos que contiene toda esa información, es decir: la ubicación de nuestro teléfono (y por ende, la nuestra) en todo momento. Pero se nos antoja simple información almacenada “por ahí” y con la que no se puede hacer gran cosas: ¿quién se va a tomar la molestia de trazarme? ¡Si yo no tengo nada que esconder!

Bueno, pues Malte Spitz, un político alemán (partido verde), decidió investigar un poco este asunto. Ejerciendo su derecho de acceso a un fichero con sus datos personales, el de Deutsche Telekom, obtuvo un listado con todos sus movimientos durante 6 meses. Mäs de 35.000 coordenadas espacio-temporales. Se las llevó a un periódico, el Zeit Online, que con poco esfuerzo (un par de programadores, unos días) montó unos mapas interactivos que muestran los movimientos de Malte Spitz durante esos seis meses (vía Electronic Frontier Foundation, en inglés).

Miradlo, mirad sus desplazamientos, porque es algo que pone los pelos de punta. Debido a esa información sabemos dónde vive, dónde come, dónde toma café, con qué amigos se reúne, qué bibliotecas, oficinas, tiendas frecuenta…

Un periódico, un par de programadores, un par de días. Imaginad lo que puede hacer Deutsche Telekom, lo que puede hacer Google, lo que puede hacer una corporación cuyo trabajo es obtener rendimiento monetario de información personal (anonimizada o no) con esa información.

Origen del derecho a la privacidad en temas médicos

El juramento hipocrático escrito en papiro con forma de cruz
El juramento hipocrático escrito en papiro con forma de cruz

Este asunto que parece tan novedoso, en realidad está considerado un derecho de los pacientes desde hace muchos siglos. Está documentado al menos desde el siglo V antes de Cristo, cuando Hipócrates escribió su ultra famoso juramento, que enumera los principios básicos según se rigen los médicos desde entonces y hasta la actualidad.

En él podemos leer:

Guardaré silencio sobre todo aquello que en mi profesión, o fuera de ella, oiga o vea en la vida de los hombres que no deba ser público, manteniendo estas cosas de manera que no se pueda hablar de ellas.

Esperemos que en esta época de bits y bytes, los médicos puedan seguir garantizándonos este punto.

Certificación ISO27001 en 9 sencillos pasos

ISO27001 paso 1: entender que NO es un proyecto de informática.

ISO27001 paso 2: nombrar un SIRO (senior Information & risk officer) que ya esté reportando al CEO o director general de la organización.

ISO27001 paso 3: obtener e interiorizar el ISO27002 (recomendaciones para 272001). Hacer un gap analysis: ¿qué hago yo y qué dicta 27002?

ISO 27001 paso 4: entender los ciclos PDCA (planifica, haz, comprueba o valida, actúa). Crear sendos asset y risk registers.

ISO 27001 paso 5: curra para solventar todos los gaps detectados. Cubre toda la org: RRHH, finanzas, office facilities, business mgmt, IT…

ISO 27001 paso 5bis: si alguna área no tiene gaps, busca mejor 🙂

ISO 27001 paso 6: contrata a un consultor cualificado para una prueba de auditoria que harán los certificadores. Corrige todos los errores.

ISO 27001 paso 7: paga las fees de certificación y recibe a los auditores. Cruza dedos y sonríe! Si has hecho el trabajo, irá bien.

Iso 27001 paso 8: una vez certificado, no te duermas en los laureles. Lo difícil es mantener el nivel de seguridad. Imprescindible un buen ISMS.

ISO 27001 paso 9: si quieres hablar con alguien con experiencia positiva reciente, estoy a un email de distancia 🙂

Datos médicos en UK: de Guatemala a Guatepeor

Alguna vez he hablado en el blog sobre el proyecto de la sanidad británica, la NHS, sobre la creación de una base de datos con registros de pacientes que fuesen accesibles por cualquier proveedor concertado de servicios médicos. Este proyecto no cuaja, es cuestionado por la sociedad por lo intrusivo y por lo caro. Pero a pesar de esto se está implementando.

Pues ojo al dato de lo que acabo de leer en el número de septiembre de Health Informatics Now, página 5, artículo «Tories promise change» (los conservadores prometen cambios):

The Conservative party pledged to abolish the NHS national database of electronic patient records following the publication of the ‘Independent Review of NHS and Social Care IT’. However, they went on to say that firms such as Google and
Microsoft would be allowed to host patient controlled records accessed online.

Es decir:

El partido conservador ha prometido abolir la base de datos nacional de registros electrónicos de pacientes siguiendo la publicación de la «revisión independiente de la informática de la NHS y servicios sociales. No obstante, dijeron que se permitiría a empresas como Microsoft o Google almacenar registros de pacientes controlados para acceso en línea.

Para echarse a temblar. Si no gustaba que la NHS tuviese ese registro único por el uso que se le pudiera dar, ¡qué tal dárselos a una empresa privada cuyo objetivo es mercadear y hacer dinero con cualquier activo a su alcance! Salvaje, de verdad. Sobre todo porque los conservadores van a ganar de paliza las siguientes elecciones en UK.

Emiratos Arabes Unidos. recogiendo el ADN de toda la población

Brutal. Leemos en Bug Brother que el gobierno (dictadura) de los Emiratos Arabes Unidos están creando un banco de muestras de ADN con el objetivo explícito de tener fichada a toda la población: nacionales, extranjeros y hasta visitantes.

Antes de pensar que estas barbaridades solo se hacen en otras partes del mundo, que sepáis que lo mismo se está haciendo en todas partes, pero allá donde los mandamases son elegidos se están guardando de expresar su verdaderas intenciones.

Nace Connectivity, el primer directorio de teléfonos móviles, en el Reino Unido

Connectivity es una empresa británica que está a punto de sacar unas «páginas amarillas» de teléfonos móviles. 15 millones de números aparecerán en su primera versión. Dicen que esos números los han sacado de las bases de datos comerciales y publicitarias, ya sabéis, las que recogen los detalles personales de todos aquellos que rellenan un papelito con la esperanza de que les toque una Wii o un «perrito piloto de feria».

Ante las críticas, los responsables del nuevo servicio dicen que se podrá pedir la exclusión. Dicen que enviarán 15 millones de SMS y solo pondrán en su sistema los números de las personas que acepten ser incluidos. Yo creo que eso es una medida de relaciones públicas y que en la práctica no lo harán, o lo harán de manera que tengas que hacer un esfuerzo o perder dinero si quieres que te excluyan.

Lo leimos en The Independent.

Google AdSense nos espía un poco más “por defecto”

Acabo de leer que AdSense evoluciona y para decidir qué anuncios muestra a través del navegador en cada momento, no solo tendrá en cuenta la información de la página que se está viendo en ese momento, también utilizará el historial de navegación previo del “usuario” a la hora de tomar dicha decisión. Para capturar esta información, se instala automáticamente en el ordenador una “cookie” llamada Double Click. A este proceso parece ser que le llaman “retargeting” y lo explican clarito en el blog de Google.

Es muy importante destacar que a todos los que tengan cuenta con Google (por ejemplo, si usas Gmail) el retargeting se les ha activado “por defecto”, o sea, que a menos que lo desactives ahí está. Para desactivarlo solamente hay que visitar la página de Ads Preferences Manager. Esto lo que hace es “decirle a Google que no tenga en cuenta la información de la cookie DoubleClick a la hora de servir anuncios”, pero la cookie sigue trabajando, que conste.

Para tranquilizar a los que griten “violación de privacidad” la gente de Google ha creado un “plugin” o complemento para Firefox y otro para el Internet Explorer que ayudará a deshabilitar la cookie. Y para los que griten “trampa”, porque cómo me voy a fiar de que Google me ayude a desactivar algo que les da dinero, dicen que el “plugin” es de código abierto y accesible en el sitio de código de proyectos.

Todo muy mono, muy aparentemente ético y muy “don’t be evil”. ¿Dónde está la falacia?

Pues obviamente en que solamente seremos 4 los frikis con tiempo que matar los que cambiaremos las preferencias de anuncios o instalaremos el “plugin” que deshabilita la “cookie”. La inmensa mayoría de los mortales no hará ni lo uno de lo otro y por lo tanto Google hará una pasta a costa de sus datos personales… porque el historial de navegación de una persona, señores, es un “dato personal”. Y valga la redundancia, uno que dice bastante sobre la persona.

Privacidad de datos en la vida cotidiana

Lunes, 9 am. Abro una carta de Motorola en la que me informan que su filial Symbol sufrió un ataque a sus sistemas informáticos y que mis datos personales y de tarjeta de crédito fueron robados en 2006. La tarjeta de crédito caducaba en 2005 así que no hubo problema con eso. Supongo que algo del spam que recibo diariamente sí tiene algo que ver con que mi nombre y correo electrónico pululen por ahí.

Martes, 2pm. Recibo un email de Recursos Humanos pidiéndome que rellene una encuesta «para un proveedor de servicio de confianza». Lo primero que me preguntan, nombre, edad, sexo, estado civil, correo electrónico. Lo segundo, si como carne y si compro en el super y si pago con tarjeta de crédito. Se me activa el sentido arácnido «vigi». Le escribo un email a la directora de Recursos Humanos exigiendo que nos haga llegar a todos los empleados que debemos rellenar la encuesta la política de privacidad de esa empresa y el uso que se le va a dar a tales datos. Prácticamente me llaman loca, está claro que esa señora no tiene ni idea de las implicaciones de lo que nos ha pedido hacer, claro que a ella no le llegó una carta el día anterior diciéndole que le han robado los datos personales cedidos a una empresa de confianza a través de su página Web. Conclusión: de la promoción ya me puedo ir olvidando 😉

Jueves, 10 pm. Organizamos una pequeña cena de cumpleaños a una amiga en casa. Tras hacer unas cuantas fotos, nuestra amiga nos pide permiso para colgar las fotos en Facebook. ¡Todo un detalle!

Es curioso como estas tres situaciones hace 10 años serían tan ajenas a nuestro día a día como entrar en contacto con los alienígenas, mientras que a mí me sucedieron todas ellas en el transcurso de una semana.