Archivo de la categoría: datos personales

El periódico británco Daily Mail pierde un portátil con datos personales de miles de empleados

El viernes este periódico sensacionalista tuvo que tragarse la vergüenza y confesar que habían sufrido una seria pérdida de datos personales de sus empleados. Parece ser que les robaron un portátil que los contenía.

Nada nuevo bajo el sol… pura incompetencia de una organización que no se preocupa por los datos personales. La gracia es que aquí aplica aquello de la paja en el ojo ajeno y la viga en el propio etc etc, porque el Daily Mail es uno de los periódicos que más se regodean cada vez que en la administración pública se sufre un robo de datos.

Su último titular al respecto: «MIND-BLOWING INCOMPETENCE», o sea, incompetencia que no te cabe en la cabeza de tan incompetente que es 🙂

Pues ahora… que se apliquen también el titular.

Lo explican muy bien en The Guardian (que es la competencia y por lo tanto «saca partido» de la situación… Esperemos que estos sí sean «más competentes»…)

Miles de empleados de Google afectados por un robo de datos personales

Leemos en CNet News que una empresa de outsourcing, Colt Express Outsourcing Services, ha sufrido un robo de datos personales de sus clientes corporativos. Estos clientes, entre los que se encuentra Google, subcontrataban a Colt los servicios de Recursos Humanos.

Parece  ser que todos los empleados de Google cuya antigüedad en la empresa se remonta a antes del 2006 están afectados. Los datos son los habituales: nombre, dirección, número de seguridad social. Suficiente como para poder ser afectados por casos de robo de identidad, y desde luego con todos los números para entrar en todas las listas de spam y publicidad no deseada. Pobres tipos.

La cosa es triste, porque Google ya había rescindido el contrato de servicios con esa entidad. El problema es que no se aseguró de que todos los datos acumulados por Colt durante sus años de servicio hubiesen sido eliminados en el momento en que se acabó la relación entre ambas empresas. ¿O estaban esos datos sujetos a algún tipo de retención de datos por requerimiento legal? En las fuentes consultadas no se informa de ello.

Bueno, todos podemos aprender lecciones de este desagradable incidente: en todas partes cuecen habas, incluso en la empresa pionera en tratamiento de información, Google.

El Estado de California cuestiona la legalidad de las empresas de análisis genético por Internet

Hace unos meses hablamos de la incipiente industria de análisis genéticos por menos de 1000 dólares cuando comentamos el lanzamiento de la empresa 23andMe, en especial enfocándonos en todos los claroscuros que lanza esta nueva posibilidad al alcance del ciudadano a pie y denunciando que no se estaba realizando ningún tipo de debate, comentario o evaluación al respecto.

Bueno, pues ya está pasando. En MIT Technology Review hemos leido que el Estado de California acaba de contactar con 23andme y otras empresas similares para recordarles cual es la legislación al respecto, y amenazarles con cerrarles las operaciones si no la cumplen.

Dicha ley dice, en pocas palabras, que dichos análisis genéticos son pruebas médicas y por lo tanto no solamente los tienen que llevar a cabo laboratorios médicos, sino que para realizarse tiene que existir la prescripción de un médico. Es decir, de la misma manera que la gente no se puede hacer en California análisis de sangre «por diversión», lo mismo aplica a los análisis genéticos.

No dicen nada al respecto de los riesgos de que la información personal más «personal» que existe, tu propio análisis genético, esté en poder de una empresa, y además «colgada» en Internet. Ni el debate sobre lo ético (o no) que resultarían los casos de discriminación en base a dicha información, «a la Gattaca«.

Pero al menos el debate está comenzando.

Phorm se alía con BT Broadband para robar lo datos de actividad de sus clientes

La empresa de marketing Phorm tuvo la brillante idea de aliarse con BT para obtener los registros de actividad en Internet de los clientes de la empresa de telecomunicaciones británica con el objetivo de conocer mejor sus hábitos interneteros y por lo tanto poder bombardearlos con anuncios a su medida cuando visiten ciertos sitios Web.

Esto le pega 20.000 patadas a todas las leyes habidas y por haber en la Unión Europea sobre privacidad de los ciudadanos.

Algunas buenas personas (como los reporteros de The Register – este link está vivo, lo van actualizando) se han puesto a investigar fuertemente y han averiguado varias cosas:

1. BT no es la única. Los proveedores de Internet The Carphone Warehouse y Virgin Media también están en el ajo.

2. Esto también pasa en otros países, así que ojito.

Un grupo de ciudadanos ha creado una protesta popular/recogida de firmas para el parlamento para que los legisladores investiguen si esto es legal o ilegal, y en caso de que lo segundo sea cierto, pues que prohiban la actividad.

Si (como yo) estás buscando un proveedor de Internet en el Reino Unido, aquí está la lista completa… cruza dedos para que alguno que no sea BT, Virgin o Carphone Warehouse tenga presencia en tu área.

El banco favorito de todo el mundo pierde los datos personales de 375.000 clientes

Leemos en El País que HSBC, el autodenominado por sus mercadólogos «el banco favorito del mundo», acaba de perder un diskette con información personal de 375.000 clientes. Lo enviaron por mensajería, y se traspapeló.

Adivina adivinanza: ¿en qué país sucedió? Evidentemente, en el Reino Unido, que ya nos tiene acostumbrados a este tipo de desaguisados.

(Nota: estamos bajo un ataque de la artillería pesada del spam porno ruso. ¡Ni se les ocurra pinchar en el link de ningún comentario que lean en este blog, por inocente que parezca, si es que está escrito en inglés!)

Jefe de seguridad de Google: «Los datos personales son necesarios para el buscador»

En la revista Público hicieron una entrevista a Moti Young, jefe de Seguridad de Google (¡Gracias por la referencia, Artesano!)

Una perla:

En España, hay polémica con la política de privacidad de Google. ¿De verdad es necesario guardar tantos datos del usuario?

Primero, algunos datos como la dirección IP son necesarios por seguridad, para evitar un ataque al sistema, por ejemplo. Además, los necesitamos para un buen resultado de búsqueda. Hay una tendencia hacia el anonimato pero saber qué se busca permite mejorar el buscador. Pero a nadie le interesa la información concreta de un individuo. Este no es un problema matemático puro. Hay razones de usabilidad, obligaciones legales… por eso es que me vine a trabajar aquí.

Mi comentario sobre el texto marcado en rojo:

No es el anonimato, estimado señor. A mí me parece muy bien que en el momento de procesar mi búsqueda se conozca puntualmente mi dirección IP, ni me parece mal que ésta se guarde para producir estadísticas «anonimizadas» del estilo «visitas totales en esta franja horaria o desde este país» . ¡No estamos abogando por la cancelación de los ficheros de log producidos por cualquier servidor Web! Es la privacidad, estúpido (*). Lo que no es de recibo es que Google cree un registro que me identifica unívocamente a mí para compilar el historial de mis búsquedas. Eso es lo que no quiero. Y si debido a ello no mejoras tu buscador, pues me da igual, porque está claro que esas mejoras que usan «profiling» no son las mejoras que yo espero de un buscador… de hecho es por eso que ya cada vez uso menos Google y cada vez más Clusty.

(*) Yo estoy segura de que este señor no es estúpido, ni mucho menos, es probablemente una de las mentes más privilegiadas de Estados Unidos. Solamente estaba imitando el lema de la campaña electoral de Bill Clinton con la que dio en el clavo y consiguió alcanzar la presidencia de su país: «It’s the economy, stupid!»

Informe Caldicott: cómo velar por los datos personales de pacientes «a la inglesa»

nhs

La sanidad en el Reino Unido es algo extraño y fascinante. De una heterogeneidad alucinante. Que a veces genera “perlas” como esta…

Resulta que en el Reino Unido hay cuatro Chief Medical Officers, cada uno de ellos es el consultor en temas médicos para los respectivos gobiernos (el inglés, galés, escocés y norirlandés). En Inglaterra esta persona ha de ser médico especializado en medicina comunitaria, forma parte de la mesa de directores de la NHS (National Health Services, la Seguridad Social inglesa) donde le acompaña la Chief Nursing Officer. Hay cuatro “officers” más, los máximos consultores de: temas dentales, farmacéuticos, científicos y de profesiones médicas.

Pues resulta que en 1997 el Chief Medical Officer inglés comenzó a preocuparse por la privacidad de datos médicos dado el auge de las tecnologías de la información y el potencial que éstas ofrecen para la diseminación descontrolada de todo tipo de datos. Ni corto ni perezoso montó un grupo de trabajo bajo las órdenes de la Dama Fiona Caldicott, jefa de un college de prestigio en Oxford, y les encargó que crearan una directiva para el manejo de datos personales en el entorno médico.

El resultado fue el informe Caldicott (Caldicott Report). En él se enumeran seis principios y dieciséis recomendaciones, de obligado cumplimiento para todos los departamentos del NHS (y socios que proporcionen servicios médicos a la NHS, o sea: outsourcers).

Los principios son los siguientes:

1. Justificar los motivos

Cualquier uso o transmisión de información identificable de paciente dentro de o entre organizaciones debe estar claramente definido y escrutinizado, su uso continuo revisado regularmente, por un “guardián” (ya veremos más adelante qué son los guardianes).

2. No usar información identificable de paciente a menos que sea absolutamente necesario

Información identificable de paciente no debería ser incluida a menos que sean esenciales para los propósitos de ese flujo de información. La necesidad de identificar a los pacientes debe ser considerada en cada paso tomado para cumplir con el propósito.

3. Usar la mínima cantidad necesaria de información identificable de paciente

Cuando el uso de información identificable del paciente es esencial, la inclusión de cada unidad de información debería ser justificada para que la mínima cantidad de información identificable de paciente sea transferida o accesible para que una función concreta se realice.

4. Acceso a la información identificable de paciente debería ser solo cuando sea estrictamente necesario

Solo las personas que necesiten acceder a la información identificable de paciente deberían tener acceso a ella, y solamente deberán acceder a las unidades de información que necesitan ver. Esto puede implicar la creación de mecanismos de control de acceso o la separación de los flujos de información cuando un flujo de información se usa por varios motivos.

5. Todas las personas con acceso a la información identificable de paciente debería ser consciente de sus responsabilidades al respecto

Se deben tomar acciones para asegurar que todas las personas que manejen información identificable de paciente –ya sea personal clínico o no clínico- conozcan perfectamente sus responsabilidades y obligaciones con respecto a la confidencialidad de datos de paciente.

6. Comprender la ley y cumplirla

Todos los usos de información identificable de paciente debe estar dentro de la ley. Una persona en cada organización que maneje información de paciente debe ser responsable de que su organización cumpla con los requerimientos legales.

(La persona mencionada en 1 y 6 se conoce como el “Caldicott Guardian” y todas las unidades funcionales que traten con pacientes o sus datos deben dar formación a una persona para que ejerza de ello.)

Continuará…

Referencias:

Caldicott Report en la Wikipedia
Caldicott Guardians en Connecting For Health

El Wall Street Journal denuncia el auge del totalitarismo gracias al control ciudadano

Creeping totalitarism (totalitarismo en auge) es el título del artículo de ZDNet que me ha llevado hasta las páginas del Wall Street Journal. En este prestigioso diario estadounidense de actualidad económica se hacen eco del aumento de la actividad de espionaje interno (a ciudadanos estadounidenses) que está llevando a cabo la NSA (Agencia de Seguridad Nacional).

Hablan de esto ahora mismo porque la Patriot Act, que regulaba (o desregulaba, según se mire) las acciones de vigilancia, supervisión y espionaje que podían llevar a cabo las agencias de seguridad gubernamentales caducó hace unos meses, y en la actualidad se está debatiendo en el congreso.

Si el Wall Street Journal entiende que una renovación tal cual de esas leyes, que prácticamente daban carta blanca al gobierno de Estados Unidos a espiar hasta el último movimiento y la última comunicación del último ciudadano del país en nombre de la «amenaza terrorista» lo que hace es poner en serio peligro el sistema democrático del país que más se jacta de ser libre, mal tiene que estar la cosa.

Análisis genéticos, al alcance del ciudadano (y el debate que no está teniendo lugar)

Hace ya algunos meses (noviembre del 2007) me enteré a través del blog de Martin Varsavsky del lanzamiento de 23andMe, la empresa californiana que ofrece, por 999 dólares, un análisis genético y una serie de servicios «estilo 2.0» de información de interés según los resultados de dicho análisis.

(No puedo no mencionar el «dato rosa»: la empresa la cofundó Anne Wojcicki, flamante esposa de Sergei Brin, el pelirrojo creador de Google. Así se demuestra que Sergei Brin no solo es un chico listo, sino que también es un chico listo)

Esta semana, Enrique Dans se hace eco de la existencia de la empresa a raíz de la experiencia de un editor de Tech Crunch, usuario del servicio, que ha tenido a bien compartir con nosotros su experiencia con 23andMe.

A mí todo esto me parece muy bien. Me parece realmente útil conocer a fondo el genoma de uno mismo, saber cuáles son las taras genéticas con las que andamos cargando y que nos pueden deteriorar a medio o largo plazo la salud si no hacemos algo al respecto, como cambiar algunos hábitos de conducta, o realizar controles periódicos. Un propenso a enfermedades cardiacas podría decidir perder peso y hacer algo de deporte. Un propenso al cáncer de colon podría decidir buscar un gastroenterólogo y consultarlo periódicamente. Hasta aquí todo bien.

Ahora viene la parte del problema.

Si habéis contratado un seguro médico privado alguna vez, sabréis que antes de aceptaros como clientes os harán rellenar unos cuestionarios sobre vuestro estado de salud y enfermedades y dolencias que sabéis que tenéis. Luego al firmar el contrato veréis que en muchas ocasiones se reservan el derecho de cubrir o no enfermedades y dolencias preexistentes. En idioma de aseguradora: condiciones preexistentes.

El problema con los análisis genéticos en este contexto es que nuestros genes son condiciones preexistentes y si las cosas no cambian, con un análisis de estos en la mano, la empresa aseguradora podría reservarse el derecho de no tratar nuestras dolencias detectadas en el análisis (que, aparte de accidentes y temas del ambiente en que vivamos y trabajamos, es casi seguro que van a ser de las que enfermaremos), con lo cual quedaríamos excluidos de facto de recibir asistencia sanitaria.

Podríamos argumentar que esto solamente sería así en los países que no disponen de sanidad pública, notoriamente en Estados Unidos, el único país de los llamados desarrollados que no ofrece cobertura sanitaria universal a sus ciudadanos y residentes, porque siempre nos queda acudir a la sanidad pública.

¿Estamos seguros de esto? Lo digo porque en noviembre del 2006, el anterior primer ministro británico, Tony Blair, anunció que se necesitaba en ese país un nuevo contrato social, una nueva relación entre ciudadano y gobierno, para que problemas o dolencias evitables, o causados por un comportamiento irresponsable del ciudadano, no resultasen una carga económica para el Estado. Para que quede más claro: nada de atender la dolencia cardiaca de un obseso, nada de tratar el cáncer de un fumador. Y estoy hablando de la sanidad pública. Siguiendo con esa lógica, ¿para cuándo el negar un tratamiento costoso porque total, según tu historial médico y análisis genético te vas a morir de infarto dentro de 3 meses?

Estamos de campaña electoral en España, estoy harta de ver políticos en la tele hablando de temas que importan a los españoles (y a una niña imaginaria), pero no he visto a ninguno de ellos hablar de este asunto. Es preocupante. Que en la agenda de la Organización Mundial del Comercio está el privatizar todos los servicios está claro, para eso sus miembros firmaron el GATS (acuerdo general de comercio y servicios) en el año 1995. Que nuestros países occidentales hacen lo que dicta la OMC también es cierto (hasta el ambulatorio de al lado de mi casa está privatizado, es decir, el Institut Català de la Salut lo ha dado en outsourcing a una empresa privada). Pero en ningún sitio oigo mencionar (aparte de en las películas de Michael Moore) lo inmoral que es convertir un derecho tan indiscutible como la salud en un negocio donde los beneficios y el precio de la acción de la empresa en bolsa es lo único que cuenta. Y si las empresas de seguros médicos privados encima tienen mecanismos para saber de qué nos vamos a enfermar para excluir esas enfermedades de nuestra cobertura, pues estamos realmente enfrentándonos al colmo de la perversión.

¿Por qué no se habla de esto antes de que sea demasiado tarde?

Sigue el escándalo de los datos personales en Gran Bretaña

http://www.lavanguardia.es/lv24h/20071203/53415427566.html

Tras la pifia del trasiego de datos por mensajería entre Hacienda y Auditoría, los periodistas están tirando del «hilo» de los datos personales y se están encontrando con unas perlas… la posibilidad de comprarlos a la carta, por ejemplo.

Filtra que te filtra… tralalá…

La privacidad es importante. La retención de datos por ley, una mierda. Porque los sistemas son incontinentes, y una vez distribuidos los datos, es imposible meterlos de nuevo al redil.

Un poco como la entropía. Desordenar es natural. Ordenar requiere tanto esfuerzo, que es imposible.

(si el profe de Dinámica de Sistemas que tuve cuando era joven leyese semejante banalización, menudo suspenso…)