Foros:
21/05: Una excuñada del ministro del Interior, detenida en la red de tráfico de datos.
12/05: Vaya; al final, para variar, la culpa va a ser de unos "hackers", según este nuevo artículo.
11/05: Nuevos detalles en este artículo.
"Directivos de las principales operadoras de telefonía de España y funcionarios de Hacienda han sido detenidos en el marco de la Operación Pitiusa, que, según el Ministerio del Interior, ya ha provocado más de 70 detenciones, principalmente de detectives privados que traficaban con datos confidenciales de ciudadanos y empresas...
Según han confirmado fuentes del sector de la telefonía a El Confidencial, cargos de Vodafone, Movistar y Orange de diversos puntos de España fueron imputados en la operación. Una de las implicadas es Beatriz F., responsable de Orange en Madrid. También figura como implicado Cristian O., responsable de Atención al Cliente de Vodafone en el País Vasco. Otro detenido es Javier A., titular de una tienda oficial de Movistar en Andalucía. “Ahí se sacaban facturas detalladas, a quién llamaba el investigado o quién le llamaba, identificación de números de teléfono...”, señala a El Confidencial uno de los detectives que había utilizado alguna vez los servicios de la red y que reconoce que tiene “varios amigos” implicados en la misma..."
Ahora nos dirán que "se trata de un caso puntual", que "son garbanzos negros sobre los que caerá todo el peso de la justicia" (sí, "justicia" con minúsculas, a propósito), etc, pero uno teme morir ahogado entre tanta mierda como tenemos que metabolizar a diario.
LPD = Ley de Protección de Delincuentes
Según la nota de prensa de la policía (vía bandaancha.eu):
En la noticia se habla de curritos de mayor o menor nivel pero, ¿qué pasa con la responsabilidad de las empresas en cuanto a cumplimiento en protección de datos? ¿Qué pasa con los "clientes" que compraban esos datos?
Menuda farsa de país.
---
Piensa lo que has de decir, pero que nadie te diga lo que has de pensar.
¿Directivos?
¿Dónde han publicado que fueran directivos? ¿Un responsable territorial de atención al cliente o un responsable de tienda son "directivos"?
Respecto a la responsabilidad de las empresas, con el nuevo código penal la responsabilidad es de la persona, salvo que demuestre que actuaba bajo las directrices de la empresa (ojo, de la empresa, no de otro empleado).
Y respecto a las leyes de retención y protección de datos, que los cuerpos y fuerzas de seguridad hayan dado con los autores es una prueba de que esas leyes se estaban cumpliendo ¿no?
Cómo diferenciamos....
Cómo diferenciamos "actuar bajo las directrices de la empresa" y "actuar bajo las directrices de otro empleado"?
Si la orden viene de arriba se considera "directriz de empresa"?
Un saludo.
No es tan complicado
Las empresas deben adoptar (elaborar, comunicar, implantar...) políticas relativas a estos asuntos. Por ejemplo, políticas de confidencialidad, de seguridad, éticas, etc.
Si la política de seguridad de tu empresa dice explícitamente que los usuarios y contraseñas son de uso exclusivamente personal e intransferible y tú vas y se lo das a un compañero, eres responsable. Y si en lugar de ser un compañero es tu director bajo amenaza de echarte y aún así se la das, también eres responsable del uso que se haga.
Te pongo un ejemplo: seguro que tú o gente de tu entorno ha recibido llamadas de Jazztel para que te cambies de operadora, y en algunos casos conocen los datos del titular de la línea a la que llaman. La persona que llama, normalmente recibe un listado de clientes potenciales para que los intente captar. Esa persona no estaría cometiendo ningún delito si todo sigue el procedimiento establecido. Sin embargo, esos datos han podido ser obtenidos ilegalmente. Habría que tirar del hilo hasta llegar al responsable.
Lo fácil podría ser poner una multa a Jazztel, pero eso no impediría que se siguieran robando datos, si Jazztel como empresa no es la responsable. La forma de acabar con el problema es pillando a la persona o personas que lo están haciendo.
¿Responsabilidad solo del empleado? ¿¿¿???
Lo relevante para mí no es solo que lo hayan hecho, sino que hayan podido llegar a hacerlo. Porque el que hayan dado con los autores no implica que la empresa esté cumpliendo. ¿Acaso informaron por iniciativa propia ante la detección? No. Solo facilitaron el dato, como es su deber, cuando se les requirió en la investigación.
El problema de todo esto es que la LPD queda muy bien en el papel y en el certificado expedido por la auditora de turno. Pero luego, en el día a día, muchas empresas se lo pasan por el forro.
---
Piensa lo que has de decir, pero que nadie te diga lo que has de pensar.
Eso es ingénuo
"Ni todos los caballos ni todos los hombres del Rey
pudieron a Humpty recomponer."
Nada impedirá que la gente cometa delitos.
El cómo pueden llegar a suceder estas cosas es muy sencillo y no me explico que no lo entiendas: imagina que vas al médico de la Seguridad Social y tiene todo tu expediente delante, normal (o al menos deseable) ¿no? El acceso se lo ha proporcionado la Seguridad Social, tiene su clave, sus permisos, etc. Todo en regla y todo correcto porque lo requiere para su trabajo.
Ahora va ese médico y hace una copia de toda esa información (digitalmente, analógicamente o de memoria) y se la vende a un detective privado para que lo use en un informe.
¿Cuéntame qué puede hacer la Seguridad Social para evitar esto?
Te pongo otro ejemplo: vas a la tienda de telefonía de tu barrio para hacer algún cambio (una nueva tarifa, un renove, etc). Te identificas el empleado mete tus datos de identificación y accede a la información. Ahora en lugar de identificarte tú es un detective que le da tu nombre y DNI ¿Cómo evitas eso?
¿Quieres un ejemplo de Hacienda? ¿O del Ayuntamiento?
Lo bonito y fácil es echar la culpa a la empresa de que tenga empleados chorizos, que digo que puede tener una responsabilidad subsidiaria, pero no culpa. Y si han podido coger a los chorizos, seguro que en parte es porque esas empresas cumplieron las normas y las leyes. Si no, es muy difícil que los hubieran pillado.
Precisamente por este motivo la ley ha cambiado, para que la gente no se ampare en su empresa cuando comete delitos.
si y no
No se trata de impedir que quien conscientemente quiere cometer un delito lo haga, para eso ya está la parte sancionadora de la norma. Se trata de impedir que la gente cometa delitos inconscientemente, por falta de información o exceso de confianza.
Teniendo en cuenta que se sancionaron a no sé cuantos empleados de una clínica donde no hace tanto cierto famoso que no recuerdo se realizó una intervención quirúrgica, por acceder indebidamente a datos sensibles, creo que hay medidas bastante buenas al respecto. No serán perfectas, pero algo hay.
Dejándole claro a la sociedad que un detective NO es una figura de la autoridad y que hay unas normas que hay que respetar. Un detective es ni más ni menos que alguien a quien se le ha encargado que realice ciertas averiguaciones. El quién, cómo, cuándo, por qué y para qué no se conocen a priori y podrían ser más que discutibles. Saltarse la ley para ayudarle puede quedar muy bien en las películas pero no es beneficioso para la sociedad.
La pregunta es ¿son sólo unos pocos empleados chorizos o es una empresa choricera? Porque digo yo que igual que aceptamos que puede haber empleados criminales también podremos aceptar que hay empresas que se dedican a tareas criminales, tal vez no como actividad única, pero unos ingresos extra "sin hacer daño a nadie" nunca vienen mal...
Con lo cual, si el caso es el de una empresa choricera, el empleado honrado se encuentra entre la espada y la pared: O sigue las indicaciones y delinque (haciéndose cargo de que si lo pillan a quien empluman es a él, la empresa se irá de rositas) o dice que no y se va a la calle.
Y respecto a otro comentario tuyo, quería puntualizar una cosa:
En estas cosas se suelen aplicar analogías con situaciones anteriores referidas a objetos reales. ¿Por qué no usarlas aquí también?
Si a ti te cogen con mercancía robada tienes dos opciones:
- Dices de dónde la has sacado (defensa "yo adquirí esta mercancía de buena fe, no sabía que fuera robada"), con lo cual se puede ir a por el siguiente paso de la cadena.
- No lo dices, se asume que tú la has robado y se actúa contra ti.
Si Jazztel ha recibido esos datos en buena fe, podrá indicar a quién se los compró, tendrá factura, resguardo de pago, etc. y se podrá ir contra quienes se los vendieron. Si no es así, entonces que se haga responsable. Pretender que quien cargue con el mochuelo sea el empleado (la persona que llama) es injusto.
Las respuestas no te van a satisfacer
¿Son sólo unos cuántos empleados chorizos o toda la empresa es choricera?
Pues digo que si ha habido una operación a escala nacional con decenas de detenidos y éstos no han sido dueños ni altos cargos (ni siquiera cargos medios) digo yo que la respuesta está clara:
Para mí: que son unos cuantos garbanzos negros
Para otro: que es toda la empresa y que ha extendido sus tentáculos hasta las altas cúpulas policiales y que los detenidos son pobres cabezas de turco y que qué asco qué mal está todo y vaya mierda .... bla... bla...bla....
Otra: ¿que tu empresa te quiere obligar a hacer algo ilegal? pues sí, tienes las opciones de denunciar e irte a la calle, no denunciar e irte, colaborar o - la mejor de todas - que venga el hada madrina protectora y que lo arregle todo.
Mas: si yo le pregunto al señor de Jazztel por el origen de los datos y le digo que son robados tiene dos opciones: creerme o no creerme ¿tu qué harías?
Aún mas: lo dejar claro a la Sociedad que tal y cual es de coña ¿no? el que cobra del detective por sacar unos datos ¿que te crees? ¿que no sabe que lo hace está mal? ¡Despierta, coño! Ahora resulta que los delitos se evitan dejando claro a la sociedad que los delitos son malos, caca... ¿Es que no está claro desde hace siglos? ¡Que hablamos de gente que cobraba por eso!
Las cosas son así por muy poco que te gusten: las empresas y las organizaciones no cometen delitos, es imposible que lo hagan, lo mismo que ni los animales ni las máquinas pueden delinquir. El que comete el delito siempre siempre siempre es una persona física, no hay vuelta de hoja. Otra cosa es que las empresas tengan responsabilidades, directas o subsidiarias y puedan ser multadas, o castigadas de alguna forma administrativa y económica, pero el delito siempre será cometido por un ser humano.
Por eso, hasta ahora en muchas empresas la gente podía mirar a otro lado sin miedo (pagará la empresa) y ya no, si la haces, la pagas (junto con tu empresa o no). Esto es mucho mas disuasorio ¿no crees? Desde ahora, el que quiera vender un dato, se arriesga a la multa de la Agencia (algo que salía sólo de las cuentas de la empresa), e incluso a cosas peores...
..pero sirven para seguir debatiendo
No discuto el caso particular. Que en esta operación se haya detenido a unos cuantos garbanzos negros no implica que sean los únicos, o que las organizaciones en las que trabajan no sean también garbanzos negros. A lo mejor, simplemente, no se han podido obtener pruebas al respecto. Aunque suene conspiranoico, la ausencia de pruebas no implica ni mucho menos demuestra ausencia de delito.
Y desde luego, que en este caso particular no las hubiera, no implica que no haya empresas que se dedican a traficar con datos robados.
Eso no es lo que he dicho. Quien tiene intención de delinquir lo va a hacer igual, se les diga o no que está mal. Por eso existe el componente punitivo de las leyes. Pero también hay gente que no tiene esa intención, pero sin esa indicación lo hará de buena fe, porque quiere ayudar, pero desconoce que lo que hace está mal. Si quieres que un delito deje de cometerse, el primer paso es dar a conocer que es delito. Y como ya he dicho, no hablo del caso concreto, porque desde el mismo momento en que cobran por ello está claro que no se trata de gente que actúa de buena fe.
No estoy de acuerdo. Las empresas, como personas jurídicas pueden delinquir igual que cualquier persona física. De hecho, podría buscarte un ejemplo en el que un cúmulo de acciones no delictivas de empleados diera lugar a un comportamiento delictivo de la empresa, pero creo que si ya de entrada niegas la mayor entonces no vale la pena intentarlo.
Ni de acuerdo ni en desacuerdo
No se trata de opiniones sino de códigos penales, civiles, laborales, etc.
Por favor, búscame una sentencia en la que se condene penalmente a una empresa. O dime de alguna empresa que esté o haya estado en la cárcel. Si crees que las empresas pueden delinquir y ninguna de ellas está o ha estado en la cárcel... hay sólo dos lecturas: que ninguna empresa ha cometido nunca ningún delito porque son intachables o que ningún juez ha condenado nunca a ninguna empresa por haber cometido un delito pese a que lo merecieran.
Ahora en serio: no es sano ir por la vida confundiendo conceptos legales, porque - como sabes - "el desconocimiento de la ley no exime de su cumplimiento" y cierto grado de ignorancia puede ser peligroso.
[Privacidad] Interesante debate espontáneo
Gracias, todo este debate es interesante y me ayuda a objetivar mis propias reflexiones al respecto. Cuando intento comprender que es la corriente eléctrica me inspiro en el agua líquida porque, como puedo observar su comportamiento con mis propios ojos, puedo establecer un socorrido paralelismo visual entre ambos fluídos que me resulta muy útil para entender la Ley de Ohm: la intensidad es directamente proporcional a la tensión existiendo, además, una constante de proporcionalidad inversa a la resistencia eléctrica. Amperios, voltios y ohmnios se me hacen así mucho más inteligibles y, sorprendentemente, incluso he conseguido ahondar algo más sin estar -según me han dicho otras personas más versadas- muy descaminado... claro que luego corre de mi cuenta razonar que no es lo mismo y que sólo sirve para que mi mente primaria lo asimile de forma que pueda realizar tareas básicas o de andar por casa. Del mismo modo, cuando se trata de datos personales muchas dudas al respecto me quedan bastante claras si los comparo con dinero en metálico... no es lo mismo pero, para mi propio entendimiento y mi propia intimidad, me ha servido hasta ahora bastante bien.
Los médicos tienen un código deontológico o ético muy avanzado e imbricado con su profesión... ellos saben bien cuando algo está bien o algo no está bien y suelen demostrar muy buen criterio porque se someten a sí mismos y a los pacientes -están entrenados para ello- a juicio o razón crítica constantemente; para ellos lo primero es no hacer más daño del que son honestamente capaces de identificar, etc. y, aunque como personas pueden fallar, la experiencia secular ha demostrado que su refinado código ético les ayuda a practicar su oficio con mayor precisión. El problema es que un código ético debe ser consensuado y cumplido por las personas desde dentro de las personas; no porque esté escrito en un papel o en un fichero electrónico firmado digitalmente y, lo más importante: mantenerlo. Y es que hay cosas que no son demostrables científicamente como, por ejemplo, la afirmación: Es malo infligir daño gratuitamente y a sabiendas a otra persona. Así que no creo que sea buena idea establecer criterios comparativos en los que interviene una preparación profesional y vocacional... pero creo que está bien hablar de ello. Gracias y
Saludos cordiales,
Pedro Fernández
--
Ingenuo es creer que el lobo come verduras
Implantar más y mejores medidas de seguridad. ¿Acaso crees que el médico mete su pinza USB y se graba tu ficha? O igual se la zipea y envía por email, o la sube a su "nube" particular. ¿Quizás podría emplear 200 folios y llevarse los impresos en carpetas pequeñas en etapas para que no llame mucho la atención? Me sorprende que alguien aquí me haga esa pregunta: "¿Qué se puede hacer?" Evidentemente, el médico siempre podrá llevarse la handicam y montar un miniestudio en la consulta que apunte a su pantalla. O liarse a sacar fotos cual peli de espías. ¿Que qué se puede hacer? Mucho más de lo que se hace. Y aun así, habrá robos, seguro, pero menos.
Al de la tienda de teléfonos, se le mete un palo gordo por bobo y no pedir el DNI, cuya obligación tiene. ¿Cómo evitar eso? Estableciendo una política estricta. Control de accesos e información de ello a la plantilla. ¿El empleado la lía? Se toman medidas, se le denuncia y que decida el juez.
Pero no, quita quita. Que eso trae mala publicidada la empresa. Cuanto menos se sepa, mejor. Luego ya, si alguien denuncia, ya veremos a quién le encaromamos el muerto o nos cargamos. ¿Te suena?
No. Mejor del churrero de mi barrio. Que desde que salen estos casos de robos de datos, le pago con guantes no sea que me vaya a tomar las huellas y luego me saque una vida laboral desde el analizador dactilar que tiene bajo la freidora.
La ley ha cambiado sí. Maravilloso. Pero lo que no cambia es que muchos siguen mirando hacia otro lado cuando vienen torcidas. La culpa del empleado que es un mangui. Yo no, señor juez, yo me dejé la caja abierta porque confío en mi plantilla.
Estamos plagados de leyes, pero nadie se preocupa de que se cumplan debidamente. ¿Por qué? Ah, eso se lo preguntas también al empleado. Y cuando salpica la mierda, entonces, nada, saquemos otra ley más dura aun, que se ve que la anterior no la han entendido bien. Y vuelta a empezar.
---
Piensa lo que has de decir, pero que nadie te diga lo que has de pensar.
tenemos un problema con la legislación
el problema es que la legislación no garantiza mecanismos que garantizen la privacidad.
Ejemplo: me consta (soy testigo) de que la mayoría de las empresas con base de datos de usuarios acaban vendiendo esa base de datos al mejor postor. Es ilegal, pero no hay (de momento) forma de impedirlo.
Lo mismo pasa para darte de baja de una base de datos, que luego realmente no te dan. Las bases de datos de usuarios deberían estar gestionadas y bajo la autoridad de un tercero (imparcial, del estado).
Mientras las bases de datos cada uno las gestione como le de la gana, esto será un cachondeo.
Un problema de imprecisión e incumplimiento
No creo que a ninguna empresa le haga mucha gracia que un tercero, ajeno a la misma, tenga acceso a sus bases de datos.
Un solución podría estar quizás, en vez de dejar la aplicación de la ley a la interpretación de la empresa, enunciar unas directrices más precisas en cuanto a los mecanismos y medios a adoptar, así como realizar auditorías para comprobar el correcto cumplimiento y eficacia de las mismas.
---
Piensa lo que has de decir, pero que nadie te diga lo que has de pensar.
Eso tiene un grave inconveniente
Las directrices precisas suelen ser aplicables sólo a casos muy precisos. Te cambia un poquito la tecnología y las directrices se van a freir espárragos.
Denuncialo
Si te consta que una empresa ha hecho eso y no lo denuncias...
Una cosa es impedir y otra castigar.
La norma no falla; fallamos las personas
Las normas son medios o instrumentos de los que se dotan las sociedades de forma consensuada, si seguimos pensando que lo que falla es el instrumento ¿por qué no se toman las medidas necesarias por parte de las personas responsables para su adecuación? La respuesta es clara; fallan -o fallamos, para que nadie se nos ofenda- las personas... siempre fue así... otra cosa es que nos quieran hacer creer que, debido a su complejidad u otros ignotos motivos, no se puede hacer. Si necesitan ayuda no tienen más que decirlo; si no son competentes que, por favor, dejen a otros más capaces hacer la tarea. Es así de sencillo pero, como tantas otras cosas no se hace... ¿por qué? porque hay personas muy ocupadas en que las cosas sigan siendo así; no hay otra. Ya en la primera época de Kriptópolis (de 0 a 7 años, más o menos) se identificó testimonialmente el problema; no recuerdo tan bien como para enlazar dichos testimonios que luego, por desgracia, se fueron extendiendo vertical y horizontalmente hasta demostrarse probados, consumados e incluso habituales:
Con testimonios así en el pasado lejano y hechos como los que ahora nos ocupan no sería de extrañar que, si las personas no ponemos remedio, esto haga implosión u otra cosa peor que no podemos imaginar... aunque, como comentaba un contertulio recientemente, es obligación de quienes piensan pensar también los imponderables; ¿alguien sabe si el pueblo español tiene en nómina este tipo de "personal subalterno"? Si es así que, por favor, dejen de escaquearse y hagan algo que beneficie al General Interés que es quien, en definitiva, les paga. ¿Falta personal? En ese caso que llamen urgentemente al INEM que allí están sobrados.
Saludos cordiales,
Pedro Fernández
--
P.S. Estos asuntos son universales y coetáneos a las tecnologías de la información, están bien descritos desde que, allá por la década de los sesenta o setenta del pasado siglo XX se empezaran a automatizar tareas con relativa seriedad, al principio, y una dedicación cada vez menor y una dramática proporcionalidad inversa a su popularización. Siempre a la orden del día de quienes a ello se dedican; más vale que los tengamos en consideración a nivel personal si en algo valoramos nuestra propia seguridad e intimidad o privacidad. Un ejemplo de hace un par de meses escasos que recordé sobre la marcha por su mediático interés:
http://economia.elpais.com/economia/2012/03/11/actualidad/1331503620_185...
En el enlace proporcionado se explica, en resumen, una investigación de la Fiscalía francesa a una conocida empresa gigante sueca-rama francesa por espionaje masivo de empleados, colaboradores y clientes con ayuda de otra empresa de detectives que le proporcionaba acceso al mayor fichero policial de Francia (STIC) desde el año 2.003 hasta el año 2.009 que se sepa. Al parecer, pagaban por consulta unos 80 euros.
Mi opinion
Para mi cualquiera que venda datos confidenciales o privadas de personas, sean quien sea deberia de ser castigado, de la forma más dura posible.
Por ejemplo, Google y sus tratos con una agencia de seguridad de EE.UU, me parece sospecho e indignante. Facebook, Tuenti, ... deverian de ser ilegales por ley, animan a registrarte para sacar tus datos personales y despues venderlos. ¡Una vergüenza!.
Indignandome aun más por momentos, me despido.
opinar