5 sept. 2013

De terminales y Derechos

Hace tiempo que tenía en mente una entrada sobre esta cuestión, por ello, quiero hacer especial mención a Gontzal Gallo, ya que era una entrada que se quería plantear desde dos puntos de vista, el suyo y el mío.

No obstante, por mi parte, aquí lanzo mis conclusiones, sobre el uso de programas o aplicaciones para "Smart Phone" desde un punto de vista de protección y control de nuestro dispositivo. Estas aplicaciones, actúan como un "troyano, El término troyano proviene de la historia del caballo de Troya mencionado en la Odisea de Homero. En el entorno informático, un troyano es en principio, un tipo de software malicioso que se presenta al usuario como un programa aparentemente legítimo e inofensivo pero al ejecutarlo le brinda a un atacante acceso remoto al equipo infectado. Es en este último punto donde podemos nosotros mismos desde nuestro PC controlar nuestro dispositivo, dependiendo de la aplicación instalada, podremos enviar distintas ordenes a ejecutar por parte de nuestro dispositivo, tales como sacar fotografías, grabar vídeos, localización exacta vía GPS, realizar copias de seguridad, eliminar archivos etc. Este tipo de aplicaciones, resultan de gran utilidad en el caso de sustracción o perdida del dispositivo. En mi caso en concreto, hace tiempo que aposté por Cerberus para Android, pero existen muchas aplicaciones de este tipo y además muchas de ellas gratuitas.

En este sentido, quisiera destacar un tipo de conflicto de derechos que pudieran generarse en el uso de las citadas aplicaciones de seguridad, también denominadas como aplicaciones espía que a los efectos actúan como ya he comentado anteriormente como los conocidos Troyanos. En la actualidad incluso se plantea el posible uso de este tipo de herramientas por parte de las fuerzas de seguridad del Estado con el objetivo de investigar a sospechosos, por medio de este tipo de herramientas, para la obtención de pruebas de cara a una posterior imputación, no obstante a día de hoy se encuentra en debate parlamentario por lo que la utilización de este tipo de herramientas sin autorización judicial en principio es ilegal. Dejando a un lado este supuesto hipotético del cual realizaremos una entrada en mayor profundidad, la cuestión que nos ocupa, es si es lícito o no el uso de aplicaciones móviles por ejemplo en el dispositivo que es propiedad del propio usuario y por tanto en principio es el legitimo tenedor de la cosa mueble, a la cual podrá dotar de cuantos accesorios quiera siempre que no se límite por Ley.

Como decía anteriormente, este supuesto planteado, sobre este tipo de aplicación espía, serviría para en caso de extravío del Terminal, por medio de la activación del GPS (sistema de posicionamiento global) del Terminal desde un ordenador por medio a su vez de la ejecución de determinados comandos vía remoto, la ubicación del terminal en todo momento y con bastante precisión. En este sentido, la licitud o ilicitud sobre este tipo de aplicaciones radica en si se pudieran vulnerar derechos de terceros como por ejemplo al activar capturas de vídeo o de audio para conocer al poseedor del Terminal sustraído o extraviado, ya que ello pudiera vulnerar su derecho a la intimidad, dado que no debemos olvidar que el derecho a la intimidad y a la protección de datos de carácter personal se trata de un derecho fundamental el cual en este supuesto, se encontraría en ponderación con el derecho a la propiedad privada y su uso y disfrute regulado en el Código Civil Español.

Dicho lo cual y dado que actualmente no se ha producido ninguna reclamación ni proceso judicial en esta materia, en mi opinión se debería de algún modo informar previamente al usuario no propietario de la posible captura de material audio-visual y demás información desde el propio dispositivo. Otra posible interpretación es que en el caso de determinadas herramientas Cloud, las cuales no son herramientas propiamente de seguridad, ni aplicaciones espía o troyanos, tales como pueden ser Google Drive, Dropbox, Sky Drive o Ubuntu one, y que pudieran encontrase activas y vinculadas a cuentas en la nube del propietario del terminal, las cuales enviarían el material capturado por el propio presunto poseedor ilegítimo del terminal a las cuentas titularidad del legítimo propietario del terminal, facilitando la posible recuperación del mismo por su legítimo propietario. Supuesto en el que en mi opinión sin ningún genero de dudas no habría conflicto de derecho alguno y sería plenamente legal, no así en el anterior supuesto, ya que a día de hoy no se ha regulado ni existen al menos a mi entender y conocimiento una resolución o informe en contrario.

Por otro lado, ante la generalización del empleo de aplicaciones en dispositivos móviles, que implican el tratamiento no sólo de una gran cantidad de datos personales sino también de gran cantidad de información desde el punto de vista de las entidades. Dispone de gran relevancia,  el llamado Grupo de trabajo europeo sobre protección de datos del artículo 29, Article 29 Data Protection Working Party (órgano asesor independiente formado básicamente por las autoridades nacionales en la materia, el cual a su vez está siendo el encargado del futuro Reglamento de protección de Datos de la UE) de su Dictamen 2/2013, titulado en su versión en inglés (la única de momento disponible) “Opinion 02/2013 on apps on smart devices”. 

El documento proporciona un valioso análisis de los elevados riesgos en materia de protección de datos, dada la cantidad de creadores de aplicaciones (con gran frecuencia particulares o entidades de reducido tamaño carentes de conocimientos acerca de la legislación en materia de protección de datos), los fabricantes de los dispositivos móviles y sus sistemas operativos, las tiendas que comercializan aplicaciones (App Store, Google Play) y ciertos terceros, como las redes publicitarias.

Así mismo, se abordan en el dictamen, cuestiones como aquellos referentes a la ley aplicable, en concreto, en lo que al ámbito de la legislación europea se refiere. Para ello hace mención de la vigente Directiva 95/46/CE y a nivel nacional a su artículo 4 (Art. 2 LOPD 15/1999).

Para más información respecto al dictamen, del denominado GRUPO 29, recomiendo la lectura del mismo, “Opinion 02/2013 on apps on smart devices” o en su defecto el completísimo análisis realizado por parte de Pedro A. de Miguel Asensio, Catedrático de Derecho internacional privado de la Universidad Complutense de Madrid en su blog.

Actualización1: Gracias a Eduard Blasi (@eduardblasi), he sabido vía Twitter que el dictamen se encuentra ya en castellano, "Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes".

 Actualización2: Zapa Zaparl ha escrito en su blog el siguiente artículo que creo que es una buena combinación de este que escribí yo hace algún tiempo, por lo que me ha parecido buena idea vincularlo :) "Cómo recuperar tu Móvil robado con Cerberus" (basado en un caso real) 


6 abr. 2013

Whistle Blowing Policy

Hace no mucho que me he encontrado con este término en la red, con gran tradición en el mundo anglosajón. Aunque cabe destacar, que tiene gran arraigo en el entorno de entidades públicas. es muy usual en países como EEUU, Inglaterra así como en muchos países nórdicos, son políticas muy extendidas, también se utilizan y existen en muchas corporaciones, no sólo en administraciones públicas, corporaciones que habitualmente son entidades de un tamaño bastante considerable. Pero ¿Qué significa esto de whistle blowing policy?

"Según Wikipedia: A whistleblower (whistle-blower or whistle blower), is a person who tells the public or someone in authority about alleged dishonest or illegal activities (misconduct) occurring in a government department or private company or organization. The alleged misconduct may be classified in many ways; for example, a violation of a law, rule, regulation and/or a direct threat to public interest, such as fraud, health/safety violations, and corruption."

"Como ejemplo: http://www.lancashire.gov.uk/  What is Whistleblowing? Whistleblowing encourages and enables employees to raise serious concerns within the Council rather than overlooking a problem or 'blowing the whistle' outside. Employees are often the first to realise that there is something seriously wrong with the Council. However, they may not express their concerns as they feel that speaking up would be disloyal to their colleagues or to the Council."

Visto y entendido así, con la que está cayendo en Españistan, no sería nada desdeñable este tipo de política pero de una manera real y eficaz en la Administración Pública en todos sus niveles, a juego y en concordancia claro está con la futura Ley de Transparencia.

No obstante, lo que me llama la atención sobre esta política, es el hecho de cual es el límite para dar cuenta de un acto o situación en la que un empleado revele lo que entiende una amenaza o un perjuicio en una entidad y sobre todo dónde quedan los derechos de protección de datos de carácter personal y el derecho a la intimidad del presunto "traidor" a los intereses de la entidad.

Lógicamente la casuística en este sentido puede ser muy variable y amplia, afectando a bienes jurídicos muy distintos e igualmente variados. Pero en mi opinión, una cosa está clara, pueden darse auténticos conflictos entre derechos de diversas naturalezas, tal y como ocurre en supuestos similares en lo que concierne a las últimas sentencias y distinta jurisprudencia respecto al derecho de los responsables de las entidades en cuanto al acceso a los recursos de los sistemas de información propiedad de las mismas, los cuales están a disposición de los empleados, habiendo ponderado como decía, en distintas sentencias, el derecho a velar por el negocio y buen funcionamiento de las entidades y los derechos a la intimidad y a la protección de datos de carácter personal de los empleados.

Una cosa tengo clara, siempre, absolutamente siempre será preferible y altamente recomendable la información de este tipo de políticas a los empleados así como su consentimiento previo para evitar de un lado y otro lado sorpresas y efectos indeseados, estableciendo claramente cuales son los derechos de unos y otros así como los límites de este tipo de políticas.

Seguiremos viendo este tipo de políticas con más detenimiento.

Actualización: Gracias a los aportes de varios compañeros en twitter, en especial de @jcampanillas, me han hecho llegar la existencia de un informe del año 2007 de la AEPD.