Andalucía Emprende, Fundación Pública Andaluza y el Instituto Andaluz de la Mujer, organismo autónomo adscrito a la Consejería para la Igualdad y Bienestar Social, organizan el 30 de noviembre y 1 de diciembre en Málaga la primera Conferencia Internacional de Empresarias en el marco de los programas conjuntos Red de Cooperación de Emprendedoras y Servicio de asesoramiento a emprendedoras y empresarias.
El objetivo de esta conferencia es fomentar las redes internacionales de mujeres en el ámbito empresarial y las oportunidades de negocio entre empresarias, así como debatir sobre diferentes claves de éxito en el emprendimiento de mujeres.
No dudes en ponerte en contacto con nosotros para conocernos en Málaga!
Visita la página web del evento: http://www.generadoradelazos.es
Los pasados días 3 al 5 de Noviembre de 2009 se celebró la novena edición de Internet Identity Workshop. Aunque la agenda estaba llena de temas muy interesantes, con numerosas sesiones que había en relación a OpenID, destaca la que se llamaba OpenID v.Next, que coordinaba Dick Hardt y David Recordon, donde se terminó de perfilar los principales aspectos de la próxima especificación de OpenID 3.
La principal característica de OpenID 3 es que no será compatible 100% con la actual especificación de OpenID 2. No habrá que asustarse, la base será la misma pero al igual que hay problemas de interoperabilidad entre OpenID 1 (¿todavía lo usa alguien?) y OpenID 2, habrá algunos ajustes en el protocolo con la nueva versión. Además de esta evolución, han publicado una lista con las novedades en las que se trabajará y cuántos votos obtuvo en la sesión:
- Integrar la extensión UX (User eXperience), 12 votos. Parece que el punto más importante para OpenID 3 será la usabilidad, como podemos ver en este prototipo.
- Evolucionar la etapa de descubrimiento (o discovering), 10 votos, para que llegue a admitir nuevos formatos para el identificador de OpenID, como el correo electrónico.
- La extensión de atributos pasa a integrarse dentro de la especificación base, 9 votos.
- La extensión OAuth hybrid pasa a integrarse dentro de la especificación base, 8 votos.
- Integración de clientes externos a la hora de elegir proveedor de OpenID y también integración con clientes que no son aplicaciones web, 8 votos.
- Mejorar la seguridad, incluso mayor soporte para LoAs (Level of Assurance), 8 votos.
- Mejorar la integración con móviles, 8 votos.
- Resolver la problemática de URLs muy largos, 6 votos, ya que hay algunos navegadores que las limitan a 256 caracteres.
La foto es propiedad de Silverisdead tomada mientras asistía a la sesión.
Sería comprensible que si nos suscribimos a un servicio voluntariamente, no tendría mucho sentido que preguntásemos al responsable del servicio sobre que datos tiene. Es obvio, los datos que nosotros mismos dimos.
Pero esta simplicidad no exime ni responsabilidades ni la posibilidad de preguntar por parte del usuario.
Partamos del siguiente escenario: el usuario U_Pedro se da de alta al servicio S_Reja que la empresa E_Beige dispone de forma on-line a través de su página web. Para darse de alta, utiliza un formulario on-line que le solicita su nombre y su correo electrónico.
A través de ese momento, existen ciertas obligaciones y responsabilidades de E_Beige sobre los datos de U_Pedro.
E_Beige deberá tener inscrito en la Agencia Española de Protección de Datos un fichero con la finalidad del servicio S_Reja. No entraremos en este post sobre las medidas de seguridad que necesitaría el fichero, así como otros conceptos vinculantes.
Imaginemos que llegado un momento, el U_Pedro decide realizar una petición de acceso a sus datos. Derecho que la LOPD le otorga.
La ley describe que las peticiones de acceso deben ser personales, por lo que uno debe identificarse al realizar la petición.
TÍTULO III Derechos de acceso, rectificación, cancelación y oposición
CAPÍTULO I Disposiciones generales
Artículo 23. Carácter personalísimo.
1. Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado.
2. Tales derechos se ejercitarán:
a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente.
…
Artículo 25. Procedimiento.
…
1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.
….
Entonces la vía correcta sería a través del correo ordinario con una copia de nuestro DNI o a través de un correo electrónico firmado con nuestra firma reconocida y con el documento de petición también firmado electrónicamente. Siempre dirigido al responsable del fichero.
Como habíamos dicho, U_Pedro decide realizar un acceso a sus datos sobre el servicio S_Reja. Como quiere hacerlo correctamente, se prepara el modelo de petición de acceso de la AEPD y busca en la página web de
E_Beige su política de Privacidad, y esto es lo que encuentra: «Si es usuario de nuestros servicios puede ejercer los derechos de acceso, rectificación, cancelación y oposición poniéndose en contacto con nuestro administrador web». ¿El administrador del sitio web es el responsable del fichero? Puede ser 
Y un link hacia un formulario…
Sorprende como algunas organizaciones han entendido los artículos citados: un formulario web que nos da la oportunidad de realizar una petición de nuestros derechos. Imaginemos que esas peticiones acabarán llegando al responsable del fichero. ¿Pero como garantizamos nuestra identidad si el formulario sólo nos deja ingresar nombre, apellido y comentario? Sin comentarios… De todas formas, ellos han especificado esa vía gratuita, así que nosotros podemos utilizarla. En otro post veremos que soluciones ofrece PRiSE para empresas y organizaciones para resolver este problema.
Aún así, U_Pedro quiere hacer las cosas correctamente, así que busca en las agencias competentes los ficheros declarados por E_Beige para buscar el responsable del fichero y poder traspasar su petición. Otra sorpresa para U_Pedro, ninguno de los ficheros declarados hace referencia a la finalidad del servicio S_Oreja. Legalmente no existe tal responsable del fichero. Menos mal que nos queda utilizar ese formulario de la web. También veremos en otro post qué hacer si nuestros datos acaban en un fichero no declarado en ninguna de las agencias competentes.
Así que a U_Pedro no le queda otra opción que utilizar el formulario. Envía un comentario solicitando que datos tienen sobre él y en que fichero de la Agencia está inscrito. Sorpresa positiva: sólo tardan un día en responderle desde E_Beige. Sorpresa negativa: le contestan a través de un correo electrónico: «Usted mismo fue quien solicitó darse de alta. Si quiere le podemos dar de baja.» Y en otro correo: «Los datos que tenemos son los que facilitó a través de nuestro formulario».
CAPÍTULO II Derecho de acceso
Artículo 27. Derecho de acceso.
1. El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.
U_Pedro no cree conveniente tal respuesta a su petición, por lo que así se lo hace saber a E_Beige, y como ésta no le ofrece ninguna otra respuesta que darse de baja, decide ponerse en contacto con la Agencia para comenzar el trámite de tutela de derechos, en particular, el de acceso.
Así que se descarga documento de tutela que la Agencia tiene publicado
- Rellena todos los datos necesarios: sus datos de contacto, los datos de la empresa E_Beige (haciendo referencia al servicio S_Reja)
- Marca la documentación aportada
Imprime una copia y la firma manualmente, e imprime también los correo de la respuesta de la empresa E_Beige.
Envía la documentación junto a una fotocopia de su Documento de Identidad a través de correo ordinario, para que su firma manual sea válida.
CAPÍTULO II Procedimiento de tutela de los derechos de acceso, rectificación, cancelación y oposición
Artículo 117. Instrucción del procedimiento.
…
2. Recibida la reclamación en la Agencia Española de Protección de Datos, se dará traslado de la misma al responsable del fichero, para que, en el plazo de quince días, formule las alegaciones que estime pertinentes.
Esperaremos la resolución de la Agencia sobre la tutela de U_Pedro.
En otro post veremos cómo realizar la tutela de derechos a través de un canal totalmente telemático.
Atentos a PRiSE, que un simple acceso da mucho de que hablar…
Si eres el responsable de una empresa o organización y al leer este post te han surgido dudas sobre tu gestión de datos personales, ponte en contacto con nosotros para que te ayudemos.
La VI Jornada Internacional de ISMS Forum Spain, bajo el título: «Impactos de la Transformación Económica y Social en la Seguridad de la Información – El desafío de proteger los nuevos ámbitos y hábitos de trabajo», tendrá lugar en Sevilla el próximo 24 de noviembre.
En esta jornada se tratarán de analizar los efectos de la crisis económica mundial, pero también de la profunda transformación en el uso de las TIC que se está viviendo en los últimos años.
Visita la web del evento para más información.