Publicaciones de interés – mayo 2009

Dos anotaciones:

1ª.- Microsoft ha publicado el libro titulado “La protección de datos personales. Soluciones en entornos Microsoft. Versión 2″ que supone una actualización de los contenidos de la anterior versión, especialmente adaptada al Reglamento de Desarrollo de la LOPD (RD 1720/2007).
El libro/documento es gratuito y os lo podéis descargar desde el sitio web de Microsoft.

2ª.- Por otro lado, la Agencia Española de Protección de Datos ha publicado su Memoria 2008. Siguiendo con la idea de la edición anterior, la Memoria pretende ser, más explicativa que descriptiva, de las actividades e iniciativas llevadas a cabo durante el pasado ejercicio.

Edito y añado:

3ª.- También está disponible el nuevo número de la revista electrónica de la Agencia de Protección de Datos de la Comunidad de Madrid. Podéis consultarlo aquí.

Espero que ambas sean de vuestro interés. Un saludo.

Portabilidad y consentimiento verbal

 

La Comisión del Mercado de Telecomunicaciones ha aprobado la CIRCULAR 1/2009, DE LA COMISIÓN DEL MERCADO DE LAS TELECOMUNICACIONES, POR LA QUE SE INTRODUCE EL CONSENTIMIENTO VERBAL CON VERIFICACIÓN POR TERCERO EN LA CONTRATACIÓN DE SERVICIOS MAYORISTAS REGULADOS DE COMUNICACIONES FIJAS, ASÍ COMO EN LAS SOLICITUDES DE CONSERVACIÓN DE NUMERACIÓN.

Esa Circular establece el mecanismo a utilizar en todos aquellos supuestos en que los abonados a un número de teléfono puedan conservarlo, sin necesidad de enviar faxes, correos certificados, burofaxes, etc., sino únicamente, mediante la realización de una llamada telefónica.

La citada Circular ahora permite la portabilidad mediante la acreditación de la voluntad del usuario (consentimiento verbal) que se lleva a cabo mediante el procedimiento fijado en esa Circular. A grandes rasgos, el esquema es, en 4 pasos, el siguiente:

1º.- El usuario se pone en contacto con el que quiere que sea su nuevo proveedor.

2º.- El nuevo proveedor se encarga de la tramitación de la portabilidad (le basta con acreditar la voluntad del usuario a través de una “entidad verificadora”).

3º.- La entidad verificadora acredita el deseo del usuario “traidor” para confirmar ese deseo de cambio, bien a través de la llamada de éste a la propia entidad o bien a través del agente de ventas del operador (desviando la llamada hacia el verificador).

4º.- El abonado recibirá entonces una llamada por parte del operador beneficiario, que está obligado a informarle de la verificación positiva y de que tiene derecho a revocar el procedimiento. A partir de entonces el operador beneficiario ya puede iniciar los trámites.

Este nuevo sistema sirve para:

a) Solicitudes  de portabilidad fija;

b) Solicitudes de portabilidad móvil;

c) Solicitudes de cancelación de portabilidad fija/móvil;

d) Alta/traspaso de un servicio mayorista de acceso desagregado o indirecto  con portabilidad asociada;

e) Alta/traspaso de un servicio mayorista de acceso desagregado o indirecto sin portabilidad asociada.

En definitiva, una novedad interesante. La figura de la “entidad verificadora” novedosa.

Esperemos que la efectividad de esta Circular sea inmediata.

La necesidad de establecer un entorno seguro.

Comentando un correo electrónico que me remite un amigo y lector del blog, sobre la dificultad de garantizar un entorno de comunicaciones seguro en su empresa (un centro de salud), me permito realizar algunas reflexiones. Reflexiones que deben partir de la constatación de que  la falta de medidas de seguridad en las redes es un problema que está en crecimiento. La criptografía por sí sola no es suficiente para prevenir los posibles ataques que puedan producirse contra un sistema informático, sino que es necesario establecer unos mecanismos más complejos que utilizan los distintos sistemas criptográficos en sus cimientos. Pero el problema no queda solucionado instalando en una serie de servidores herramientas de seguridad, porque ¿quién tendría acceso a esas herramientas?, ¿a qué aplicaciones se aplicarían?, ¿qué sucedería si sólo uno de los dos interlocutores en una comunicación tiene acceso a herramientas de seguridad? Por lo tanto, cuando se habla de seguridad en redes es necesario definir el entorno en el que se va a aplicar.

El problema se acentúa cuando el contenido de los sistemas informáticos incluye o recopilan datos que pueden afectar a la esfera íntima de los pacientes o que guardan información sobre personas objeto de estudios médicos o epidemiológicos. En estos supuestos y, por definición, son muchos los interesados en conocer o tener acceso a esos datos. Por ello es necesario tomar conciencia de que las posibilidades de acceso a estos sistemas deben ser reducidas al máximo, utilizando el mayor número de barreras de seguridad con el objeto de crear un entorno seguro real.

La definición de un entorno seguro implica la necesidad de estudiar varios aspectos y de establecer una infraestructura que dé soporte a los servicios de seguridad que se quieren proporcionar. Lo primero que hay que establecer es qué aplicaciones necesitan seguridad y cuántos servicios se necesitan.

En segundo lugar hay que determinar cómo se van a proporcionar esos servicios, si van a ser transparentes al usuario, si se le va a dejar elegir el tipo de servicio, etc. También es necesario determinar en qué nivel se van a proporcionar, si en el nivel de aplicación o en niveles inferiores. Y sobre todo, tanto si se utiliza criptografía de clave secreta, como si se utiliza criptografía de clave pública es necesario diseñar un sistema de gestión de claves y definir una política que determine la forma en la que se debe operar.