Robo de datos en Internet

Un tipo de fraude relativamente nuevo se está haciendo cada vez más fuerte en Internet. El robo de la identidad de una única persona o de un número mayor de ellas puede causar un enorme daño tanto al propio usuario como a las compañías, tanto económicamente como en términos de reputación.

Existen principalmente dos tipos de ataque que se producen a menudo en combinación. Un aspecto que abarcaremos en los ataques combinados es lo que llamamos la ingeniería social, mientras que el otro resulta más técnico. Echémosle un vistazo a la ingeniería social: El término "ingeniería social" se define como "el arte de manipular a la gente para que lleve a cabo acciones o divulgue información confidencial". En la mayoría de los casos, la ingeniería social requiere de una técnica denominada pretexting, que consiste en la creación de un escenario particular (pretexto) utilizado para persuadir a la víctima para revelar información o llevar a cabo una acción. Por ejemplo, esto puede hacerse a través del teléfono, llamando a la víctima y haciéndose pasar por un colaborador, un oficial de policía, la compañía eléctrica o un empleado del servicio de atención al cliente. Al convencer a la víctima de que el que está al otro lado del teléfono es quien dice ser, en muchos casos resulta extremadamente fácil obtener los datos personales de la víctima o de su empresa.

En dicho caso, la víctima revelará bajo su propia voluntad datos que normalmente guarda en secreto, como credenciales de acceso, números de tarjetas de crédito o cualquier otro tipo de información sensible. En otros escenarios, el componente de ingeniería social puede actuar como "puerta de entrada" a un ataque combinado y preparar el camino para el siguiente paso, de carácter técnico. Por ejemplo, el atacante puede decirle a la víctima que es necesario instalar un parche de seguridad urgentemente en su sistema, y que dicho parche le será enviado por correo electrónico. A menudo, otros trucos psicológicos se utilizan para intimidar y convencer a la víctima de que hay que llevar a cabo una acción concreta a cualquier coste. Cuando se le convence y accede a hacer lo que el atacante sugiere, el segundo paso del ataque combinado viene a continuación.

El ataque técnico representa el segundo paso en un ataque combinado de robo de identidad. Aquí entra en juego el uso de software malicioso que se instala en el sistema de la víctima. En muchos casos, este software se camufla como parches, actualizaciones necesarias o generalmente software legítimo a priori que necesita ser instalado con urgencia.

También pueden hacerse pasar por facturas, avisos de entrega o cualquier cosa que haga que el receptor crea que su contenido es real y, por ende, necesite abrirse. En realidad, el software tiene un objetivo malicioso: robar los datos personales. Esto puede hacerse al interceptar las pulsaciones de teclado o el tráfico de la red del sistema escogido, o escaneando de forma activa los datos que pretenden interceptarse. Este tipo de software se considera Spyware. Sin el conocimiento o el consentimiento de la víctima, los datos almacenados o introducidos en el sistema se recopilan y se envían al atacante. Conclusión: los usuarios deberían extremar las precauciones cuando alguien les contacte y les pregunte por datos personales o de su empresa. Si existe el menor atisbo de duda, no deje que el interlocutor le intimide. Si se siente inseguro, consulte a un experto antes de llevar a cabo cualquier acción por sí mismo.

No revele ninguna información sensible si siente que la llamada le coacciona. Antes de abrir cualquier archivo que afirme constituir una importante actualización de seguridad o del sistema, escanee dicho archivo con un antivirus actualizado. Haga caso a su sentido común y, en caso de duda, mejor no actúe de la forma en la que le diga su interlocutor.

Jorge de Miguel 

Responsable de G Data Iberia

El software, factor clave frente a la crisis

La actual desaceleración económica que sufren tanto España como sus vecinos europeos es una realidad innegable. Según los principales analistas, las empresas se encontrarán con problemas de solvencia a largo plazo, además de la consecuente pérdida de confianza en los mercados. Mientras que los más pesimistas comparan esta crisis con el crack del 29 o la del petróleo de 1973 a 1975, otros ven en ella una magnifica oportunidad para mejorar su posición competitiva, incrementando el rendimiento y los estándares de calidad de sus compañías. La evolución en la gestión de las diferentes industrias ha demostrado que las Tecnologías de la Información (TI) son elementos cada vez más críticos para obtener una visión detallada de todos los aspectos clave que afectan a los negocios. En este sentido y según los datos de la consultora IDC, el mercado español de software creció en 2007 cerca del 9,1 por ciento, por encima del segmento de hardware. Esto confirma la tendencia creciente de apoyarse en las TI como elementos optimizadores de gestión de la actividad empresarial, y concretamente en las herramientas de software.

Es así como la implementación de soluciones de gestión empresarial en tiempos de crisis se ha convertido en una necesidad, más aún si tenemos en cuenta que permiten tanto a Pymes como a grandes cuentas reforzar y dinamizar sus procesos internos con un claro objetivo: reducir costes y ganar en productividad. En un mundo globalizado, con un mercado cambiante y en crisis, el éxito de un buen negocio se basa en la gestión de una red de información muy completa, que ayude a mantener la flexibilidad necesaria para dar respuesta a todas las amenazas y oportunidades, a ser posible en tiempo real. Y es que una decisión acertada y a tiempo puede llegar a salvar una compañía en tiempos de crisis. Así, la facilidad para recibir y racionalizar toda la información relevante ayuda a los directivos a controlar en tiempo real la producción, logística, Recursos Humanos, distribución, inventario, facturas y contabilidad de sus empresas, aportándoles una visión detallada y ayudándoles a elaborar una excelente planificación a corto, medio y largo plazo.

Este paradigma de empresa ágil -capaz de hacer frente a la inestabilidad de los mercados globales- es una realidad gracias la posibilidad de acceder a las herramientas adecuadas, las cuales responden a los cambios bruscos de los mercados e identifican con antelación nuevos caminos para mantener la competitividad, o incluso incrementarla en tiempos de crisis. Pero no sirve cualquier software de gestión. A pesar de que en la actualidad la mayoría de las soluciones ERP y CRM se han estandarizado, muy pocas están basadas en componentes, permitiendo una integración sencilla sea cual sea la infraestructura tecnológica de cada cliente. Y aún más importante: la mayoría de los proveedores de soluciones de gestión se han olvidado del concepto de usabilidad, entendido como facilidad de uso: un software que ayude a realizar el trabajo de manera rápida y sencilla.

Esto supone una diferencia esencial, ya que los trabajadores son más eficientes y productivos cuando el trabajo a desempeñar resulta más sencillo. Y al no haber grandes diferencias funcionales entre todas las ofertas disponibles de sistemas de gestión, la usabilidad es el elemento diferenciador para ser realmente productivo. Sin lugar a dudas, nos encontramos frente a una economía de cambios trepidantes, donde las herramientas de software aplicadas a la gestión administrativa de las empresas se convierten en la mejor arma para reorganizar, y optimizar el funcionamiento de los procesos empresariales, ayudando a plantar cara a una temida crisis que podría extenderse hasta el año 2010.

Enrique de Miguel Muñoz 

Director Comercial de IFS Ibérica

El correo electrónico, como el agua: limpio

Se suele decir que cada vez es más frecuente la externalización de servicios en las empresas, pero si nos paramos a pensar, es un sistema de trabajo que ya se ha empleado desde hace mucho tiempo, aunque no se le llamara así. Tareas como la limpieza de las oficinas, el mantenimiento de las instalaciones eléctricas o el suministro de agua potable se han encargado a otras empresas, ya que exigen personal especializado y, en muchos casos, no es posible que se haga por parte de la propia empresa, como el suministro de agua.

A la empresa de suministro de agua corriente ¿qué se le pide? Sencillamente, que el agua sea potable, no se corte y tenga presión suficiente. Pero ¿qué se le pide a un ISP? Que nos dé ancho de banda y que no se corte la comunicación. Curioso, se le pide casi lo mismo que a la empresa de agua; pueden trazarse similitudes: si al ISP le exigimos que tenga unos buenos servidores, al proveedor de agua le suponemos que sus depósitos sean adecuados; si queremos que nos den alojamiento para nuestras páginas web, al de agua le podemos pedir que instale fuentes para que el agua salga fría.

Todo viene a ser casi lo mismo, excepto un punto muy importante: la potabilidad del agua que se le exige (y se le supone, por supuesto) al proveedor de agua, no se le exige al ISP. No nos preocupamos por la calidad de los contenidos de nuestra línea de comunicación, mientras sigan entrando paquetes IP a la velocidad adecuada y mientras no se corte ese flujo de comunicación, estaremos contentos.

Mientras, dentro de esos de Kb o Mb por segundo, están llegando a nuestros servidores grandes cantidades de malware, o de spam, o de timos... mientras que lleguen, estaremos contentos. Eso sí, aunque el agua tenga un ligero color turbio, o huela un poco más a cloro de lo normal, estaremos llamando inmediatamente al suministrador para quejarnos. Y aunque no suponga ningún riesgo para la salud, queremos que todo llegue perfecto.

¿Quién le ha pedido a un ISP que le limpie el tráfico de Internet de malware? Que Internet tiene riesgos nadie lo duda, por eso se asume que en cuanto un usuario conecta su ordenador y empieza a recibir correo electrónico, en su buzón pueden aparecer muchas variantes distintas de malware, spam, engaños, timos... ¿Por qué tienen que llegar hasta los servidores internos esos mensajes?

Los proveedores de Internet tienen una gran responsabilidad en el contenido de la información que suministran a sus clientes. El proveedor de agua tiene ciertos compromisos (contractuales y tácitos) y comprueba que llegue con unos determinados parámetros de salubridad. Ningún cliente aceptaría agua en su empresa que no hubiera sido correctamente depurada, ¿por qué debemos asumir que el correo electrónico llegue plagado de anuncios de extrañas pastillas para incrementar el vigor sexual?

La solución es muy sencilla. Si el ISP ofrece algún tipo de servicio de correo limpio, acójase a él. Pero no busque que le eliminen indiscriminadamente los ficheros adjuntos sencillamente "porque son peligrosos". Los mensajes deben analizarse concienzudamente, y no solo en busca de los contenidos peligrosos clásicos, como virus y demás, sino que cualquier forma de código malicioso debe ser detectada incluso sin ser conocida.

Una vez que tenga contratado el servicio, verá cómo "milagrosamente" su servidor de correo interno alcanza un nuevo status de tranquilidad, y los usuarios de la red notarán que cuando llegue un correo electrónico será limpio, sin amenazas y sin riesgos. Entonces conseguiremos abrir el correo electrónico con la misma tranquilidad que nos tomamos un vaso de agua.

Fernando de la Cuadra
Editor Técnico Internacional Panda Security

¿Cómo tener éxito en los proyectos?

Tiempo y dinero. Los expertos en la gestión de proyectos coinciden en afirmar que los principales factores que influyen en el éxito de los proyectos están definidos por la gestión del tiempo y el control presupuestario sobre los mismos. Más importante y complejos, no obstante, es medir y cuantificar el éxito de cada uno de los proyectos que emprendemos.

Muchos expertos definen este éxito como el valor de negocio que entrega un proyecto en el momento de su ejecución y finalización; otros defienden la idea de que el valor real de éxito se produce en una fase posterior de madurez y consentimiento dentro de la estructura organizativa. En mi opinión, sin embargo, es una combinación de ambos aspectos, ya que el éxito del proyecto se centra en el control, disciplina y rigurosidad del mismo durante el período de ejecución, haciendo énfasis en los cuatro conductores principales del valor del proyecto: ¿reducción de costes?, ¿crecimiento del negocio?, ¿velocidad? y ¿eficacia? Posteriormente, es también fruto de un correcto seguimiento y evaluación que facilite una mejor adaptación y asimilación por parte de la organización de los objetivos del proyecto a medio plazo, a partir del cual se obtendrá el pay back de la iniciativa.

Éxito del proyecto = f (entrega a tiempo, calidad concertada, en presupuesto, valor de negocio)

Finalizar un proyecto en tiempo y presupuesto no conduce necesariamente al acierto y al éxito. De hecho, un proyecto puede haber sido completado a tiempo y bajo el presupuesto pactado y, sin embargo, no ser acertado para la organización al no mejorar la calidad y el crecimiento globales. Una forma más eficaz para determinar la definición verdadera del éxito del proyecto es analizar las carencias asociadas a la realización de un proyecto.

Muchos ejecutivos me comentan que sus proyectos han fallado porque la solución adoptada no era la más correcta; porque la tecnología implementada era la mejor y más avanzada del mercado, pero no era la que mejor se adaptaba a sus necesidades. En estos casos, los procesos analizados no contemplaban la gestión del cambio o los impactos que implicaban cada uno de ellos, con lo que los dueños del proceso no se adherían a las nuevas políticas y procedimientos. Todo ello nos conduce al único elemento de éxito realmente clave: las personas, tanto internas como externas a la organización. Los agentes internos tienen a su favor el conocimiento de toda la empresa, gozan de credibilidad interna, mantienen relaciones con los gerentes y poseen información de cada uno de los departamentos o áreas sobre sus problemas, necesidades, conflictos... En definitiva, están familiarizados con los productos y la tecnología. En su contra figura el hecho de no disponer de una visión objetiva de lo que sucede: están tan involucrados en los sucesos organizacionales que pierden la óptica que se requiere para la identificación minuciosa de factores que representen un riesgo para la empresa. En el lado opuesto están los agentes externos, consultores eventuales con conocimientos especializados en la teoría y los métodos que penetran en la organización a fin de estimular el cambio. La ventaja de su contratación es su perspectiva objetiva y "fresca" (no viciada por su vinculación a la organización) respecto a los problemas que afecten a la empresa. Estos agentes externos utilizan una metodología especial y unas habilidades avanzadas para conocer en detalle los aspectos particulares que afecten a la organización. Sus limitaciones pueden provenir de un escaso o inadecuado conocimiento de la historia, cultura, operación, procedimientos y personal de la organización. Esta desvinculación les facilita una mejor disposición para hacer cambios drásticos, ya que no tendrán que enfrentar las consecuencias que se desprendan del proceso, lo que no sucede con los agentes internos, que cuidan más no herir susceptibilidades. Según mi experiencia en organizaciones de diversa índole y tamaño, lo más recomendable es una combinación de ambos: unos identificarán desde una óptica externa las situaciones o elementos perjudiciales a la organización, y otros ejecutarán y supervisarán el mantenimiento del nuevo modelo definido en el proyecto a realizar.

Por ello, aunque un proyecto esté en tiempo y en presupuesto, si las personas no invierten el suficiente tiempo en la fase de ejecución, los objetivos del proyecto no se alcanzarán y no se obtendrá ningún valor de negocio. En otras palabras, el valor de negocio es un multiplicador que aumenta el éxito total de un proyecto, por lo que, cuanto mayor valor de negocio se alcance, más acertado será el proyecto. Esto significa que aunque un proyecto no esté en tiempo y/o en presupuesto, puede todavía ser acertado si se alcanza el valor de negocio del proyecto, siempre y cuando contemple un mínimo en cuanto a la calidad concertada al inicio del mismo. Las compañías que entregan proyectos sin suministrar valor de negocio alguno perderán en última instancia beneficios, no conseguirán un crecimiento del negocio y perderán competitividad. Por el contrario, la organización que utilice el tiempo, el dinero y los recursos lo más eficientemente posible habrá ganado siempre.

Existen también otros casos en los que se emprende un proyecto con unos objetivos definidos y claros, pero que no han sido correctamente medidos al comienzo. A medida que avanza el proyecto, los objetivos definidos inicialmente se desintegran y son sustituidos por otros, desconociendo de una forma tangible, medible y objetiva si son mejores o peores a los iniciales. Por esta razón es tan necesario catalogar y medir el éxito de un proyecto, así como escribir la memoria del mismo una vez finalizado, ya que favorece el desarrollo de equipos de mejora continua para afrontar los siguientes proyectos. Por último, el responsable de un proyecto debe tener siempre presente sus objetivos estratégicos y no distanciarse de ellos en ningún momento del proceso de ejecución. Tener presente constantemente estos objetivos estratégicos garantizará que la organización no se salga del camino hacia el éxito.

Alfonso Ramos

Director de Seidor Estrategias

Feliz cumple-mes

El RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), ha cumplido un mes desde su entrada en vigor el pasado 19 de abril. ¿Qué interés ha suscitado en las organizaciones, de ámbito público o privado, y en los ciudadanos?.

La Agencia Nacional de Protección de Datos (AGPD) probablemente pueda responder a esta pregunta. Lo cierto es que en su página Web, en la sección "Preguntas mas frecuentes" del "Canal del ciudadano" no aparece ninguna pregunta acerca de la aplicación del nuevo reglamento, si en cambio al antiguo (RD 994/1999). No queremos decir que las preguntas que aparecen no sean de interés en la actualidad, ciertamente no han perdido vigencia y en algún caso los términos usados en la respuesta ofrecida me hace pensar que ha sido tenido en cuenta nuestro reciente y flamante nuevo RD 1720, por ejemplo referencias como "el ejercicio del derecho de cancelación o rectificación es personalísimo", mismo término que se encuentra en el artículo 23.1.

En la Web de la AGPD aparecen constantes referencias al nuevo Reglamento y se ofrecen ayudas a los responsables de los ficheros para su aplicación, pero no se recogen inquietudes acerca de las nuevas obligaciones que impone, o bien no se han suscitado cuestiones acerca de dichas obligaciones o no han tenido tiempo de actualizar el "FAQ" referido en el párrafo anterior.

Han de saber que respecto a los ficheros inscritos con anterioridad al 19 de abril de 2008, en función de quien es el responsable del tratamiento, y en función de la criticidad de los datos, han de ser revisados los documentos de seguridad de los ficheros que los contienen y permiten su tratamiento. También deberán estar implantadas las medidas de seguridad pertinentes y de acuerdo a lo dispuesto en el Título VIII. Así se producirán tres hitos, el 19 de abril de 2009, el 19 de septiembre del mismo año y el 19 de abril de 2010, en los que según el caso, cada cual habrá de haber finalizado esta tarea.

También las organizaciones que tengan inscrito un "código tipo" deberán notificar a la AGPD las modificaciones necesarias en estos, con el fin de adaptar su contenido a lo dispuesto en el Título VII del RD 1720, antes del 19 de abril de 2009. La novedad más importante que trae el RD 1720 es que, al igual que la LOPD, comprende tanto el tratamiento automatizado de los datos de carácter personal como el tratamiento no automatizado, por lo que las organizaciones habrán de realizar nuevas inscripciones de ficheros (además de los que permiten el tratamiento automatizado) y deberán cumplir con medidas de seguridad específicas para ellos.

Por otra parte, aunque el RD 1720 clarifica cosas respecto al RD 994 y recoge la experiencia de los años de vigencia de aquel, es notablemente mas extenso (incorporando disposiciones que extienden varias regulaciones, como los RD 428/93 o el 1332/94, e incluso sentencias que forman parte de la jurisprudencia), y su interpretación está relacionada con la de muchas mas disposiciones legales, reglamentarias y administrativas por lo que permite sopesar la dificultad que adaptarse a la LOPD tiene para las organizaciones. Estas han de pensar en un "sistema de gestión" que les permita valorar el riesgo de incumplimiento legal, implantar las medidas de seguridad necesarias, verificar su funcionamiento para ver si efectivamente el riesgo está siendo paliado, y en consecuencia reactuar sobre las medidas y los sistemas de tratamiento mismos para asegurarse de cumplir con la Ley.

En fin todo esto es solo el principio de lo que nos viene encima, pues por lo pronto lo primero que responsablemente deberemos hacer es leernos y asimilar el RD 1720, que a fuerza ahorcan y a estudiar toca. Pero no obstante "es un hecho que quien cuente con un sistema de gestión de seguridad de la información (SGSI), mas aún si este es conforme a la norma ISO/UNE 27001 y está certificado por una entidad acreditada para ello, aun cuando su alcance sea muy limitado, tiene gran parte del camino andado".

José Antonio Castilla Barea.
Auditor Certificado de Sistemas de
Información y Comunicaciones (CISA).
Consultor en Seguridad de la Información
Grupo Avante

El éxito del "todo en uno"

Hoy en día, ante las restricciones presupuestarias y el control de gasto en las empresas, los grandes fabricantes nos hemos visto en la obligación de ofrecer a los clientes no sólo soluciones tecnológicas que estén alineadas con sus necesidades reales de negocio sino que además maximicen sus inversiones en TI, con la garantía de que no les van a fallar en los momento críticos.

Y en el mundo de los sistemas de impresión esas dos máximas se traducen en una filosofía que impregna a todos los que formamos Kyocera: la promoción de programas de ahorro de impresión (KYOclick) y la apuesta por tecnologías limpias que ayuden a preservar el medioambiente (ECOSYS). Desde sus inicios, Kyocera se dio cuenta de los perjuicios que las actividades comerciales pueden provocar en el medio ambiente y en la vida de las personas. Por ello, hemos puesto todo de nuestra parte para tener siempre presente la necesidad de buscar un equilibrio entre el desarrollo económico y la preservación del entorno natural.

En este sentido, en Kyocera no sólo nos exigimos y aplicamos unas estrictas medidas de preservación medioambiental, entre las que se incluyen la protección de la capa de ozono o la reducción de los residuos; sino que hemos sido capaces de hacer lo que pocos pensaban que era posible. Es decir, desarrollar productos "verdes" que, siendo respetuosos con el cuidado y preservación del planeta, ayudan a incrementar drásticamente la productividad de las empresas. Hay que tener en cuenta que en los próximos años vamos a asistir a la consolidación de tecnologías basadas en materiales y componentes ecológicos. Desde esta perspectiva, la apuesta y el compromiso de Kyocera con el medioambiente son totales.

No ya sólo con equipos de componentes de larga duración, sino que además están fabricados libres de metales pesados (tóner sin selenio o mercurio), materiales para el embalaje totalmente reciclables, entre otras cosas. Un claro ejemplo de esto es nuestra tecnología pionera Ecosys. Una tecnología que permite a las empresas reducir notablemente sus costes, ya que los productos están equipados con componentes de larga duración que aseguran una mayor fiabilidad y ciclos de mantenimiento mucho más duraderos que el de cualquier material convencional.

Uno de esos materiales principales que diferencia a nuestras soluciones de gestión documental, es el silicio amorfo, que garantiza en nuestros equipos un ciclo de vida útil de entre 300.000 y 500.000 impresiones, mientras que los tambores tradicionales no duran más de 60.000 u 80.000 páginas.

Ligado también a un uso eficiente de los recursos, desde Kyocera hemos creído siempre en el modelo de pago por copia, adelantándonos al resto del mercado en la introducción del programa de "pago por uso" KYOclick, convertido en un referente del sector. La ventaja de este programa es que es válido para cualquier tipo de empresa y sector de actividad, y repercute directamente en los presupuestos y control de costes de las empresas, por lo que está teniendo una muy buena acogida en las empresas y goza de una amplia proyección de futuro, dado que el coste de impresión puede suponer en torno al 3% de la cifra de negocio de una empresa.

Para ponerlo en marcha es necesario analizar las necesidades de cada cliente y plantearles una adecuada propuesta que se traduzca en una reducción considerable de sus costes, y que comprenda los equipos, la instalación, el mantenimiento, el servicio técnico, todos los consumibles y la suficiente flexibilidad para adaptarse a las diferentes necesidades de las empresas. Como prueba del éxito del programa, durante los dos primeros años de vida, Kyocera cuenta ya con casi 4.500 contratos y más de 5.500 equipos bajo el sistema KYOclick. Y nuestro compromiso va más allá, pues este año esperamos llegar a 10.000 equipos instalados bajo pago por uso.

Estas cifras, junto a la satisfacción de nuestros clientes -que se traduce en la constante renovación de contratos- demuestran que es posible ofrecer a las empresas una combinación única de innovación, de tecnologías y equipos de gran productividad y respetuosos con el medio ambiente, y un conjunto de servicios profesionales de máxima garantía, al precio más competitivo del mercado. En definitiva, una oferta ganadora todo en uno, que es símbolo de calidad, confianza y garantía.

Jesús Contreras,
Director de Desarrollo de Negocio
Kyocera Mita España

El nuevo reglamento de protección de datos

Ha entrado en vigor el nuevo Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de carácter personal. Es una norma muy esperada, ya que es el primero que se aprueba desde la entrada en vigor de esta Ley. Es mucho por tanto lo que se espera de él, ya que debe aclarar la dispersa normativa en protección de datos, y hacer más fácil su cumplimiento por parte de las empresas y Administraciones Públicas.

Este Reglamento introduce importantes novedades, entre las que destacaremos las siguientes: Se excluye del cumplimiento de esta normativa a los ficheros que traten datos de personas jurídicas, como ya venía ocurriendo, y como novedad también se excluyen los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquellas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono, y número de fax profesionales. Esta medida afecta, entre otros, a ficheros como los de contactos, clientes, y proveedores.

Otro aspecto a destacar es que se regula el bloqueo de datos como paso previo a la supresión de los mismos en el proceso de cancelación de los datos.

En cuanto al consentimiento, eje fundamental del Derecho Fundamental a la protección de datos, obtiene una pormenorizada regulación. Ahora, la carga de la prueba de su captación corresponde al Responsable del Fichero, la empresa que posee el fichero. Por otra parte, cuando el consentimiento se vincule a una relación contractual, se distinguirá el caso en el que el tratamiento del dato se encuentre vinculado a ésta, del supuesto en el que la finalidad no guarde relación directa con el contrato. En este último caso, el consentimiento se prestará de modo independiente y no se permitirán procedimientos como las casillas premarcadas, muy en boga en los formularios a través de páginas web.

También se fija un completo estatuto del Encargado del Tratamiento, imponiendo al Responsable del Fichero un deber de vigilancia que antes no existía, y permitiendo la subcontratación por parte del Encargado.

Respecto a las medidas de seguridad, determinados ficheros de nivel alto pasan a ser de nivel básico, aquéllos que contienen datos especialmente protegidos de manera accidental o para el cumplimiento de deberes públicos, como podrían ser algunos ficheros de nóminas. Por el contrario, otros ficheros, como los que contienen datos de violencia de género, se incorporan al club de aquellos que tienen que establecer medidas de seguridad de nivel alto. Es de destacar también la obligación de incluir en el documento de seguridad, a los ficheros en formato no automatizados, como son los que están en papel.

Todos estos cambios no son fruto del capricho del Legislador, sino que son producto de la experiencia adquirida por la Agencia Española de Protección de Datos, la Jurisprudencia establecida durante estos últimos años, y algo muy importante, el debate social suscitado durante la tramitación de este Reglamento, en donde han participado numerosos colectivos. Por todo ello, cabe esperar que este Reglamento además de para aclarar la normativa y facilitar su aplicación, sirva fundamentalmente para difundir la cultura de protección de datos entre todos nosotros, personas, empresas y Administraciones Públicas.

Pedro Rodríguez López de Lemus
Presidente de la Asociación Andaluza de Comercio Electrónico