Esto es lo que pienso cada vez que me siento a recoger especificaciones en el trabajo.
Ya hasta se ha hecho famoso mi grito de guerra (pero siguen sin hacerme caso):
¡Una PDA no es un PC!
Archivo por meses: marzo 2008
Los chicos del CCC obtienen la huella dactilar del ministro de interior alemán,
Lo leemos en El Mundo, supongo que ya estará por toda la red.
Los chicos del Chaos Computer Club han hecho públicas las huellas dactilares del ministro de interior alemán, Herr Schauble, como protesta por la inclusión de datos biométricos, entre ellos la huella dactilar, en el fácilmente crackeable pasaporte electrónico (en mi casa: con RFID).
La respuesta del ministro, digna de un terminator cualquiera:
No me importa, total, el registro con las huellas dactilares es de acceso público.
¡Los hay obcecados!
Versión «Asimov» del Informe Caldicott
Seis principios y dieciséis recomendaciones que se resumen en:
- Acceder o transmitir información identificable de paciente solo cuando sea indispensable, y hacerlo de manera que se garantice la confidencialidad de esa información.
- Documentar y auditar regularmente el acceso y transmisión de información identificable de paciente.
- En cada organización que utilice información identificable de paciente, nombrar a una persona responsable de que se cumplan 1, 2 y “la legislación vigente”.
En este informe hay algunos «gaps» fenomenales, por ejemplo, una definición unívoca de lo que es «información identificable de paciente». El resto de cosas se pueden completar. Por ejemplo, por «legislación vigente», si cuentas con un abogado a tu lado, puedes averiguar que las leyes que rigen en este aspecto del tratamiento de datos médicos son:
- Common Law Duty of Confidentiality
- Access to Health Records Act 1990
- Computer Misuse Act 1990
- The Data Protection Act (DPA) 1998
- Data Protection (Processing of Sensitive Personal Data) Order 2000
- The Electronic Communications Act 2000
- The Freedom of Inofrmation Act 2000
- The Privacy and Electronic Communications Directive 2003
Si alguien tiene insomnio y se quiere leer todas estas leyes, están incluídas (¡hay más!) en este documento de la NHS (fichero PDF, 267 Kb).
En la próxima entrega de esta fascinante saga, hablaremos de Caldicott 1.0 y Caldicott 2.0.
Recomendaciones del Informe Caldicott
Tras mencionar los principios básicos de comportamiento de las organizaciones que tratan con datos médicos en Inglaterra, el informe Caldicott continúa con una generosa (y vaga) lista de recomendaciones que esas organizaciones deben seguir.
1. Todos los flujos de datos, actuales o futuros, deberán ser probados contra principios básicos de buenas prácticas. Los flujos que sigan en uso deben ser re-probados regularmente.
2. Se debe instaurar un programa de trabajo para reforzar la concienciación de la confidencialidad y seguridad de datos para todo el personal de la NHS (Seguridad Social).
3. Un empleado senior, peferiblemente un profesional del sector médico, será nominado en cada organización para que actúe como guardián, y sea responsable de asegurar la confidencialidad de la información de paciente. (nota: este es el Caldicott Guardian al que nos referíamos en el anterior post)
4. Se debe dar claras directrices a las personas u organismos responsables de aprobar usos para la información identificable de paciente.
5. Se deben desarrollar protocolos para proteger el intercambio de información identificable de paciente entre la NHS (Seguridad Social) y otras organizaciones.
6. Se debe comunicar claramente la identidad de las personas responsables de monitorizar la compartición y transferencia de información mediante protocolos locales acordados.
7. Un sistema de acreditación que reconozca las organizaciones que siguen buenas prácticas en lo que respecta a confidencialidad deberá ser considerado.
8. El número de la seguridad social (NHS number) debe sustituar a cualquier otro método de identificación siempre que sea posible, teniendo en cuenta las consecuencias de los errores y los requerimientos particulares de otros identificadores.
9. Se deben establecer protocolos estrictos que definan quién está autorizado a acceder a la identidad del paciente cuando el número de la seguridad social (NHS number) u otro identificador codificado se está utilizando.
10. Donde se esté transfiriendo información especialmente sensible, se deberían utilizar tecnologías que potencian la privacidad (por ejemplo, encriptar identificadores o “información que identifique a pacientes”).
11. Las personas involucradas en el desarrollo de sistemas de información de la salud deben asegurar que los principios de mejores prácticas se incorporan en la etapa de diseño.
12. Donde sea aplicable, la estructura interna y la administración de bases de datos que contengan información identificable de paciente deben reflejar los principios identificados en este informe.
13. El número de la Seguridad Social (NHS Number) debe sustituir al nombre del paciente en los formularios de petición de pago de servicio (Items of Service Claims) que envían los médicos de familia (General Practitioners) tan pronto como sea posible.
14. El diseño de nuevos sistemas para la transferencia de datos de prescripción deberán incorporar los principios desarrollados en este informe.
15. Negociaciones futuras sobre pagos y condiciones para los médicos de familia (GP’s) deberán, siempre que sea posible, evitar sistemas de pago que requieran la transmisión de detalles identificadores de paciente.
16. Se deben considerar procedimientos para que las peticiones de pago de servicio realizadas por el médico de cabecera (GP) que no requieran la transferencia de información identificadora de paciente, y se deben hacer pruebas piloto al respecto.
¿Verdad que algunas cosas suenan francamente mal y otras suenan a equipo de aficionados? ¿Verdad que parece que si Versvs, Félix Haro y yo nos fuéramos de cañas y garabateásemos nuestras ideas en una servilleta grasienta el resultado sería más profesional?
En el próximo post informaremos de lo que NO se ha estado haciendo desde el año en que este informe se creó, y qué SÍ se está haciendo desde apenas principios de este año.
Continuará…
Informe Caldicott: cómo velar por los datos personales de pacientes «a la inglesa»
La sanidad en el Reino Unido es algo extraño y fascinante. De una heterogeneidad alucinante. Que a veces genera “perlas” como esta…
Resulta que en el Reino Unido hay cuatro Chief Medical Officers, cada uno de ellos es el consultor en temas médicos para los respectivos gobiernos (el inglés, galés, escocés y norirlandés). En Inglaterra esta persona ha de ser médico especializado en medicina comunitaria, forma parte de la mesa de directores de la NHS (National Health Services, la Seguridad Social inglesa) donde le acompaña la Chief Nursing Officer. Hay cuatro “officers” más, los máximos consultores de: temas dentales, farmacéuticos, científicos y de profesiones médicas.
Pues resulta que en 1997 el Chief Medical Officer inglés comenzó a preocuparse por la privacidad de datos médicos dado el auge de las tecnologías de la información y el potencial que éstas ofrecen para la diseminación descontrolada de todo tipo de datos. Ni corto ni perezoso montó un grupo de trabajo bajo las órdenes de la Dama Fiona Caldicott, jefa de un college de prestigio en Oxford, y les encargó que crearan una directiva para el manejo de datos personales en el entorno médico.
El resultado fue el informe Caldicott (Caldicott Report). En él se enumeran seis principios y dieciséis recomendaciones, de obligado cumplimiento para todos los departamentos del NHS (y socios que proporcionen servicios médicos a la NHS, o sea: outsourcers).
Los principios son los siguientes:
1. Justificar los motivos
Cualquier uso o transmisión de información identificable de paciente dentro de o entre organizaciones debe estar claramente definido y escrutinizado, su uso continuo revisado regularmente, por un “guardián” (ya veremos más adelante qué son los guardianes).
2. No usar información identificable de paciente a menos que sea absolutamente necesario
Información identificable de paciente no debería ser incluida a menos que sean esenciales para los propósitos de ese flujo de información. La necesidad de identificar a los pacientes debe ser considerada en cada paso tomado para cumplir con el propósito.
3. Usar la mínima cantidad necesaria de información identificable de paciente
Cuando el uso de información identificable del paciente es esencial, la inclusión de cada unidad de información debería ser justificada para que la mínima cantidad de información identificable de paciente sea transferida o accesible para que una función concreta se realice.
4. Acceso a la información identificable de paciente debería ser solo cuando sea estrictamente necesario
Solo las personas que necesiten acceder a la información identificable de paciente deberían tener acceso a ella, y solamente deberán acceder a las unidades de información que necesitan ver. Esto puede implicar la creación de mecanismos de control de acceso o la separación de los flujos de información cuando un flujo de información se usa por varios motivos.
5. Todas las personas con acceso a la información identificable de paciente debería ser consciente de sus responsabilidades al respecto
Se deben tomar acciones para asegurar que todas las personas que manejen información identificable de paciente –ya sea personal clínico o no clínico- conozcan perfectamente sus responsabilidades y obligaciones con respecto a la confidencialidad de datos de paciente.
6. Comprender la ley y cumplirla
Todos los usos de información identificable de paciente debe estar dentro de la ley. Una persona en cada organización que maneje información de paciente debe ser responsable de que su organización cumpla con los requerimientos legales.
(La persona mencionada en 1 y 6 se conoce como el “Caldicott Guardian” y todas las unidades funcionales que traten con pacientes o sus datos deben dar formación a una persona para que ejerza de ello.)
Continuará…
Referencias:
Caldicott Report en la Wikipedia
Caldicott Guardians en Connecting For Health
Cámaras en el Lidl, servicios secretos quieren saber quién viaja en el metro.¿Alguien se extraña?
Rápidamente, dos noticias de las que llaman la atención. En Alemania se denuncia que la cadena de supermercados Lidl espía a sus empleados mediante cámaras de videovigilancia. Se toma nota incluso de las idas y venidas al lavabo (vía El Periódico de Aragón). Y en el Reino Unido, los servicios secretos (MI5) exigen que se les dé toda la información de utilización del metro de Londres registrada mediante el sistema de tarjeta RFID «Oyster Card» (vía Versvs, él proporciona los links a la fuente original).
Y yo me pregunto, ¿alguien se extraña? Está claro que cuando hay información, por muy personal que sea, a alguien se le ocurrirá la manera de sacarle partido. ¡Por eso necesitamos leyes modernas que velen por nuestros derechos!
Tarjetas, carnets o pasaportes con RFID: ¡no, gracias!
Hace tiempo que no escribo sobre este tema por no parecer pesada (ver el disclaimer abajo). Pero es que lo del uso del RFID está cada vez peor. Se cumplen los pronósticos que decían que 2008 sería el año en que «rompería» esta industria. Ya tenemos el chip en el pasaporte. En el bonobús. En la tarjeta de alquiler de bicis urbanas. En otros países ya les han llegado las tarjetas de crédito con RFID. Debido a grupos de presión como CASPIAN en Estados Unidos, a asociaciones como Privacy International, EDRi (y en mucha menor medida a blogeros como yo, que ponemos un granito de arena) el nombre RFID tiene connotaciones negativas y por lo tanto ha empezado la gran búsqueda del eufemismo para esta tecnología: contactless (sin contacto), over the air (a través del aire) son mis favoritos.
Hay otra razón por la que parece que esta industria «rompe». Si ya estaba demostradísimo que el chip RFID del pasaporte se podía clonar, así como que debido a una malísima elección de claves de encriptación, era fácil de crackear… ahora resulta que el gobierno holandés (¡al fin un gobierno que se preocupa por sus ciudadanos!) denuncia que uno de los modelos de chip RFID más extendido para todo tipo de aplicaciones (tarjetas bonobús, pero más preocupante, tarjetas de crédito) se puede crackear sin problema.
Y para hacerlo más visual, aquí vienen los de boing boing y publican este video en que se muestra cómo se hace esto con la ayuda de material electrónico que se puede comprar por eBay al módico precio de ¡ocho dólares!
Por si no ha quedado claro: alguien con ocho dólares y un poco de tiempo y habilidad para seguir cuatro instrucciones es capaz de acceder a los datos de tu tarjeta de crédito, clonarla, hacer lo que le dé la gana con ella.
Yo tengo claro que mi pasaporte vive dentro de una funda protectora para pasaporte RFID, y mi tarjeta del bicing en mi cartera con jaula de Faraday. No tengo tarjeta de crédito con RFID ni espero tenerla nunca. Que no me dejen escoger la versión con banda magnética será para mí razón suficiente para cambiar de banco.
Seré feliz cuando pueda cerrar ProteccionRFID cuando nuestros gobiernos escuchen a los expertos y comprendan de una puñetera vez que por mucho que insistan los fabricantes, esto de usar RFID para temas que requieren un mínimo de seguridad es una auténtica estupidez, y debería ser abolido.
(Disclaimer: ProteccionRFID es una pequeña iniciativa personal para promocionar carteras y fundas con jaula de Faraday en España)
Todo lo que siempre quisiste saber sobre censura en Internet… pues ya lo puedes leer
En El Mundo han publicado un artículo del abogado Carlos Sánchez-Almeida en el que explica de manera muy detallada, pero comprensible para no-abogados, las leyes que aplican al asunto de la censura o control de contenidos publicados en Internet.
Pone de manifiesto que las leyes vigentes son obsoletas, pues solo tienen sentido para ediciones en papel. Lo único vigente es la trasposición en nuestra legislación de la directiva europea 2000/31/CE (cubierta por la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
Me quedo con estas dos ideas:
- La censura solamente la puede ejercer un organismo público. Así que si yo borro comentarios de este blog (o La Vanguardia Digital hace lo mismo), no es censura, es «aplicar la línea editorial».
- Un contenido fuera de lugar es responsabilidad del administrador del Web donde se publicó solamente si es consciente de que el comentario está rompiendo alguna ley vigente y no hace nada al respecto.
Interesante artículo. Incluso diría que debería ser lectura obligada para los que tenemos un blog con comentarios abiertos.
El enlace al artículo: Libertad de expresión: todo tiene un límite.
Retroinformática: buscando vocaciones
Paseando por el centro comercial «L’Illa» me encontré con una muy interesante exposición de «retroinformática» organizada por la Facultad de Informática de Barcelona de la UPC (la FIB para los amigos). Un buen paseo por la historia de esta disciplina que va desde el ábaco hasta el último Mac Book Air (nooooo, que esa vitrina no es de la exposición, ¡¡es de la tienda de al lado!!). Resulta muy recomendable ver todos esos dispositivos, ver válvulas de vacío junto a los wafers (obleas) de silicio más miniaturizados. Ver calculadoras con punzón de principio de siglo, ver la placa base del 8088, la del 8086, y así hasta el último QuadCore, y también comprobar en las especificaciones que ese pedazo de ZX Spectrum no le llega ni a la suela del zapato al móvil 3G que llevo en el bolsillo. También fue muy curioso descubir a ex alumnos de la FIB. No había más que aguzar el oído y observar a todos aquellos que tras gritar «¡¡Jodeeer!! ¡¡El ISIS!!» Se abrazaban a algo con aspecto de armario ropero que en realidad era un VAX (nota: yo también abracé a ISIS, yo también pregunté por OSIRIS).
Luego me encontré con un papelito que de primera vista parecía un anuncio de empleo de los que se cuelgan en los tablones (o en las farolas)
No creo que requiera traducción: «empresa pionera de las nuevas tecnologías necesita ingenieros/as en informática con el siguiente perfil…» y para finalizar: «¿sabías que la sociedad requiere más ingenieros en informática de los que se titulan? ¿Sabías que no hay desempleo en el sector? ¿Sabías que los egresados de la FIB se titulan apenas dos meses después de haberse titulado?»
La parte trasera del folleto es apoteósica:
«Si quieres ser ingeniero/a en informática. Si quieres trabajar en empresas del sector TIC. Si quieres participar en la mejora de los procesos de las empresas y de la sociedad. Si quieres continuar creando y liderando el futuro… ¡LA FIB ES TU FACULTAD!»
¿¿Tan mal están las «vocaciones» para que tengan que acudir a semejantes tácticas de captación??
Yo desde luego tengo mi opinión al respecto. Continuará…
Exposición Retroinformática de la FIB, hasta el 29 de marzo en L’Illa: http://www.fib.upc.edu/retroinformatica
El voto electrónico: ¿avance o retroceso para la democracia?
Artículo publicado en la edición del 15 de marzo de 2008 de «El Azotador de Xochimilco».
En la anterior edición de El Azotador les hablamos de la historia de la democracia y de cómo, pese a estar muy lejos de la perfección, no ha habido mejor sistema político hasta el momento, ya que ha sido el único que ha tenido en alguna consideración el bienestar general de la población. Después les explicamos que en la Declaración Universal de los Derechos Humanos se reconoce el derecho de los ciudadanos a participar en su gobierno, ya sea directamente o participando en la elección de los gobernantes, y que en esa elección el voto ha de ser libre y secreto, es decir, cada ciudadano debe poder escoger su opción sin sufrir presiones ni temer represalias.
Explicamos que el método de voto actual se adapta bastante bien a los requerimientos expresados en la Declaración Universal de los Derechos Humanos, al permitir al votante emitir su voto en secreto y a introducir él mismo su voto en la urna. Se garantiza que el recuento en la caseta es correcto gracias a la presencia de observadores externos e interventores de cada uno de los partidos. Se sabe que hay irregularidades en ciertas casetas, pero argumentamos que para tener un efecto en el resultado final, deberían ser tantas esas irregularidades que no podrían pasar inadvertidas. Le dimos cifras al lector para que viera cuántos votos habría que manipular para cambiar siquiera el resultado de una elección en el 1%: si el censo electoral consta de 10 millones de personas, se tendrían que manipular 100.000 votos. Se trata de un sistema de emisión de voto bastante seguro y que permite, en caso de que sea necesario, comprobar el resultado, ya que mientras no se destruyan las boletas, es factible realizar un recuento de todos los votos en todas las casillas.
Invitamos al lector a comparar esto con un sistema de voto electrónico o por computadora. ¿Cómo se puede garantizar que si un ciudadano escoge la opción A, la máquina no va a registrar la opción B?
Más que hablar de voto electrónico, manejemos el término más amplio de voto multicanal. El único modo de votar en México es acudiendo a una caseta. Eso sería un canal. El segundo canal abierto para los mexicanos residentes en el extranjero es el voto por correo, estrenado para las elecciones presidenciales del 2006. Ese es otro canal. En la actualidad, políticos de todo el mundo están intentando ampliar el número de canales estableciendo nuevos mecanismos de voto. Algunos ejemplos son el voto desde el teléfono celular, las máquinas de votar electrónicas instaladas en las casetas electorales, y el voto por Internet.
Hay que preguntarse por qué, si el sistema actual es sencillo y eficaz, hay necesidad de añadir esos canales nuevos. Nos dan varias razones: para abaratar el proceso electoral. Para que la gente vote más. Para dar la impresión de ser un país moderno que sabe manejar las nuevas tecnologías. Pero sobre todo, dicen que va a servir para evitar fraudes ya que esos nuevos canales limitarán la intervención humana. Veamos qué hay de cierto en esas afirmaciones.
Desde que surgieron con éxito los concursos televisivos que requieren que el espectador “vote” o “nomine” a los participantes del programa, se dice que en el Reino Unido, más gente vota en “Gran Hermano” que en las elecciones nacionales. Dicen que la diferencia es que para participar en las elecciones hay que desplazarse hasta la caseta, mientras que para votar a tu concursante favorito solo tienes que pulsar unas cuantas teclas en tu celular. Argumentar esto es demagógico. En primer lugar, comparar el decidir quién sigue concursando en un programa de la tele (asunto sin ningún tipo de importancia) con el expresar tu derecho a escoger a las personas que van a gobernar tu país es una auténtica frivolidad. En segundo lugar, intentar que se incremente la participación ciudadana en las elecciones haciéndoles más cómodo el ir a votar, es confundir las razones para la abstención. Excepto en casos muy contados, la gente se abstiene porque ha perdido la confianza en los políticos y la ilusión por la democracia o porque no ha comprendido la importancia del asunto, pero no por la incomodidad de acudir a la caseta, sobre todo en países de climas benignos como México o España. Y en tercer lugar, esta afirmación es falsa: en la edición de 2005 de la versión británica de “La Academia” el número de votos emitidos fue de 8.500.000, mientras que en las elecciones generales de ese mismo año los electores que acudieron a votar fueron más de 27 millones.
La razón del coste es totalmente ridícula: la única manera en que se reducirían costes sería si se pudiese evitar ese gran reto logístico que supone montar casetas electorales por todo el país, dejando solamente abiertos los canales que permiten el voto a distancia, es decir, el voto por Internet y por celular. Eso hoy por hoy no es factible, ya que ni en México, ni en ningún país del mundo, se puede garantizar que absolutamente todos los ciudadanos son capaces de manejarse con esos medios telemáticos de manera tan avanzada como para ejercer el voto a través de ellos. Recuerden que el voto ha de ser libre y secreto. Alguien con dificultades para utilizar herramientas tecnológicas dependería de terceras personas que le ayudaran a emitir su voto, y en ese caso no sería secreto, y probablemente tampoco libre: sea por coacción, por gratitud o porque le engañan, ese ciudadano acabaría votando lo que le dijese quien le está ayudando. Y si hay que montar máquinas de voto electrónico en todas las casetas, pues imagínense el gasto. Si hoy en las escuelas solamente hay que sacar las urnas y las cabinas que han guardado polvo durante seis años, esté seguro que la máquina de voto electrónico habrá que comprarla nueva cada vez. Esta es una de las claves de por qué insistir en voto electrónico: para que ciertas empresas se lleven unos jugosos contratos a costa del erario público.
Todavía no hemos enumerado las áreas que más problemas plantea este asunto del voto electrónico, aunque hemos mencionado el primero: el votante no puede estar seguro de que su voto no está siendo manipulado (conscientemente o debido a un “error informático”) por el sistema. Si en las democracias actuales ya hay un alto nivel de apatía entre los votantes y poca confianza en los políticos, imagínense qué pasaría si ni siquiera se pudiese emitir el voto y salir de la caseta con la seguridad de que al menos en esa urna está nuestro voto. El segundo problema, también muy importante, es que nadie nos puede asegurar que el sistema no está guardando nuestro nombre (o número de credencial de elector) junto con nuestro voto. Esto acaba con el secreto de voto y cabe recordar que en muchos países que se hacen llamar democracias, como Rusia, han acabado en la cárcel o incluso han llegado a desaparecer personas con base en su apoyo a partidos de la oposición. En un ambiente de ese estilo, las personas contrarias al partido en el poder no votarían libremente. Y el tercer problema es que si votamos por Internet o por mensaje de celular no queda constancia física del voto emitido. En caso de que se diera un problema con el sistema central de conteo (y no sería la primera vez que pasa en México) sería imposible volver a realizar el recuento. En el mejor de los casos los comicios se deberían repetir, y es un proceso logísticamente complicado y costoso económicamente.
No obstante, el voto electrónico está pisando fuerte en el mundo. Hay lugares donde se llevan varios años utilizando máquinas de voto, como en Estados Unidos. Es precisamente en el vecino país del norte que más se dieron a conocer los problemas de fiabilidad de estos sistemas, al provocar en el año 2000 que ganase George W. Bush las elecciones debido a una “mala calibración” de las máquinas de voto electrónico (o según malas lenguas, una manipulación totalmente intencionada por parte del fabricante) en los colegios electorales de Florida. Brasil va a tener el dudoso honor de ser el primer país del mundo que celebra elecciones 100% electrónicas. Aunque sus sistemas han sido desarrollados íntegramente en Brasil y proporcionan cierta garantía de transparencia, éstos no proporcionan al votante un resguardo del voto emitido, por lo que resultaría imposible realizar un recuento manual en caso de sospecha de manipulación del conteo automatizado. Bélgica y Estonia son otros países donde las pruebas del sistema están muy avanzadas. Y prácticamente todos los países, presionados por las empresas proveedoras, están considerando el tema.
Por supuesto, a excepción quizás de Brasil, cuyos sistemas han sido creados con código abierto y por lo tanto auditables por ciudadanos con conocimientos informáticos avanzados, ningún gobierno se preocupa del recelo que los electores puedan tener hacia un sistema de este estilo. Parecen demasiado emocionados ante un contrato tan jugoso para sus socios tecnológicos, y ante la capacidad de poder modificar a voluntad el voto e incluso poder obtener listados de simpatizantes y detractores de su partido. Y por supuesto, cuando se ponen a defender las bondades del sistema de voto electrónico, ninguno menciona el derecho a voto libre y secreto que estipula la Declaración Universal de los Derechos Humanos.