Esta claro que cada día que pasa nos acercamos a una revolución en el entorno económico y financiero, esto nos llevará a dar un nuevo sentido a las entidades financieras y sobre todo a sus servicios.
Desde hace tiempo se está hablando de las criptomonedas y los problemas que serían para las economías y el control de los estados, y este fue uno de los motivos por los que Libra de Facebook no ha logrado, o al menos de momento, salir al mercado. Hasta ahora las criptodivisas se tomaban como algo con lo que inversores de alto riesgo jugaban y especulaban, pero que pasaría si un banco central decidiera utilizar una criptodivisa controlada por él?
Esta claro que los grandes cambios cuestan y suelen tardar, pero poco a poco se posicionan y se vuelven imparables, y en la era de lo digital no podemos olvidar el marco del dinero digital.
Hasta ahora se hablaba de dinero digital a las transacciones y los pagos con tarjetas, pero poco más, pero ¿y si rediseñamos todo a través de un sistema de criptodividas? ¿Cuántos servicios nuevos aparecerían y cuantos desaparecerían? La respuesta es clara, mucho por no decir todos. Si tengo mi «cartera digital» y puedo pagar con mi móvil ¿para qué necesito una tarjeta de Visa o MasterCard de debito? ¿Un cheque o pagaré que me entrega una empresa sería necesario o me valdría con un pago aplazado digital? ¿podría ceder el cobro de este pago? ¿cómo lo tendría que hacer?
Como veis las preguntas serían muchas, ya que estas solo serían algo básico y sin profundidad, pero no solo afectaría a la banca, si ya hemos adoptado un sistema de criptomonedas ¿Cuándo compre algo quedará registrado a mi nombre de forma automática? y si es así ¿qué sentido tiene un registrador?
Lo único que queda claro es que el cambio afectaría al dinero «B» del mercado, ya que si las transacciones en papel físico desaparecen, mucho de esta economía sumergida se vería obligada a salir, ayudando a que todos los ciudadanos paguemos impuestos de igual manera y evitemos fraudes.
¿Pero que problemas tenemos? La seguridad, el dinero es uno de los elementos que más miedo tiene, las personas siempre tenemos miedo a perder lo que entendemos que es nuestro y un fallo de seguridad, una caída del sistema o un incidente de cualquier tipo, hace que la gente se vuelva miedosa y busque refugios que consideran seguros. Lo vemos todos los días en los mercados financieros, una noticia hace que suba o baje un valor, un guerra hace que una moneda valga más o menos, un incidente de seguridad tumba una empresa. Por eso es difícil que veamos un servicio de estás características de forma inmediata.
Con todo esto hay dos cosas que nos quedan claras, «SERA RÁPIDO» la respuesta es no, hay muchos factores complejos que estudiar y los actores en el mercado se tendrán que actualizar, «ES IMPARABLE» desde mi punto de vista SI, como hemos empezado diciendo hay tendencias que nacen y mueren y otras que nacen para quedarse y creo que esta es una de esas, no se va a ir.
En una discusión sobre las monedas virtuales y hablando con una persona que invierte en ella, nos pusimos a comentar la nueva moneda de Facebook, esta persona ya no veía la moneda por estar controlada por una corporación, y por tanto, sería fácil de manipular.
En ese apartado estábamos todos de acuerdo, una empresa como Facebook sería capaz de manipular una moneda a su antojo, creando oferta y demanda de forma virtual y sin un control similar al que tiene cualquier moneda de uso legal no sería bueno que existiera.
Pero, en el transcurso de la conversación hablamos del BITCOIN, la madre de todas las monedas virtuales, esta persona defendía a capa y espada la validez de esta moneda virtual, pese que el Tribunal Superior de Justicia ha declarado que no es una moneda de curso legal. Insistía en que es algo real y que no hay marcha atrás y aquí mi pregunta
Cuándo en el año 2140 aproximadamente todos los bitcoin estén en circulación ¿ quién va a minar las transacciones? Hoy esta claro el objetivo de minar, conseguir eso bitcoins por cada reto que gano, pero cuando todo esté en el mercado seguiremos siendo altruistas y minaremos los desafíos de forma gratuita.
Miramos por internet y no encontramos una respuesta al respecto, así que aquí os dejo la pregunta a todos por si alguien puede aportar algo de claridad al asunto.
No me vale que digamos que será dentro de muchos años y para entonces tendremos alguna tecnología nueva o que los procesadores serán tan potentes que el consumo de energía actual ya no será un problema, la pregunta sería ¿ qué pasaría en condiciones similares a las actuales si ya no hay recompensa?
Un saludo a todos y espero que alguien nos de una solución.
Muchas veces te encuentras desarrollando trabajos y con grupos de gente que son poco colaborativas o simplemente miran por si mismos. Otras veces simplemente hay una persona que destaca por encima de las demás y coge el protagonismo del trabajo y solo te queda realizar el «trabajo basura» que te van asignando del cual sacas poco o nada.
Pero algunas veces te encuentras un grupo de personas que no es que te enseñen, es que disfrutas trabajando con ellos, no porque sean muy buenos y tengan un conocimiento avanzado del tema que tratas (David ha sido el «Jedai» del gurpo), no porque corrijan el trabajo y aportan opiniones de como mejorar (Oscar el persistente y perfeccionista y Antonio el hombre que siempre tiene una visión positiva de las cosas) y yo mismo que he intentado comprender lo que me transmitía y solo aportar lo que podía, sino por el ambiente de aprender y mejorar que se demuestra cuando todos empujan hacia un lado.
Por eso es tan importante los grupos de trabajo, porque cuando encuentras gente que tienden a implicar a todo el mundo el trabajo mejora, los proyectos no se desvían y el resultado es excelente.
No escribo esto para intentar convencer a nadie del famoso «cúmbaya» ni de que todos debemos ser felices pase lo que pase, solo lo escribo para dar gracias por encontrarte por el camino con personas con las que después de terminar un proyecto tienes ganas de empezar otro o simplemente tomarte una cerveza para ver que tal están.
Todo responsable debería, al menos, intentar crear los entornos de trabajo que sean colaborativos, comprender las necesidades de cada uno e implicar dada sus características a las personas en las tareas que mejor se adapten a ellos, pero sin separar los grupos ya que hay una gran diferencia entre colaborar y separar para más tarde intentar unir.
Así que solo me queda decirles, espero encontrarnos pronto en otro proyecto y
Desde hace relativamente poco tiempo, el mundo del
blockchain ha aparecido como una tecnología disruptiva que está llamada a
realizar cambios en el sistema de seguridad en gestión de transacciones.
Todo sistema de seguridad informático, o al menos la gran
mayoría, se basan en problemas matemáticos de difícil solución, y blockchain no
iba a ser menos, así que vamos a tratar de explicar la relación de una base de
datos y los algoritmos matemáticos.
Para empezar diremos que blockchain como su propio nombre
indica es un sistema de cadena de bloques consecutivos que todos asimilan a un
libro contable tradicional, ya que los bloqueas van “contabilizando” las
transacciones que se van realizando.
Supongamos que tenemos una cadena de bloques con la
siguiente situación y cada bloque tiene una información independiente pero
consecutiva
Y tenemos una red donde la base de datos está distribuida en
tantos nodos como aquellos que participan en los retos matemáticos que existen
en blockchain. En este caso y para simplificarlo vamos a crear una red mayada
de 6 nodos
En esta red, todos los nodos están conectados con todos de
forma bidireccional, con lo que podemos calcular el número de conexiones (aristas)
de los nodos con la siguiente fórmula matemática nodos(nodos-1)/2, en este caso sería 6(6-1)/2 = 15
En esta situación vamos a suponer que hay varios usuarios
utilizando la cadena de bloques y quieren realizar una transacción nueva donde
el usuario A tiene 10 botellas, el B 5 y el C solo 1
El usuario A quiere traspasa 4 botellas al usuario C y
queremos que esta transacción se guarde, esto representa algunos problemas que
podemos expresarlo en preguntas (hay que aclarar que aunque en este caso solo
vamos a guardar una transacción, en un bloque de datos se pueden guardar varias
transacciones seguidas).
1.- ¿Cómo garantizamos el orden de los bloques?
2.- ¿Cómo garantizamos la integridad de los datos?
3.- ¿Cómo evitamos la colisión de información?
Vamos a ir contestando estas preguntas explicando el
funcionamiento de una red de blockchain.
Lo primero que tenemos que saber para ello es que es un
HASH, un HASH es una cadena de datos que han sido transformadas mediante un algoritmo,
si quisiéramos hacer referencia al sistema más famoso que utiliza blockchain como base
donde se guarda la información, hablaríamos de Bitcoins, esta red utiliza el
algoritmo SHA256 para securizar sus transacciones.
El algoritmo SHA256 fue diseñado por la NSA en los años 2001
como estándar federal de procesamiento de la información.
Una de las características del algoritmo SHA256 es que convierte todo un texto en una cadena de caracteres de una misma longitud, esta cadena de caracteres es el HASH.
Por lo que podríamos comprobar sin problema si se ha variado
un texto o mensaje inicial comprobando si el HASH coincide con el texto o
mensaje.
Pero ¿es seguro este algoritmo? La respuesta es sí, ya que
no es reversible y aunque capturen el HASH no podrían ver la información
original con solo esa información, esto hace que solo se pueda atacar por
fuerza bruta.
Hoy en día, la mayoría de los lenguajes de programación tienen implementado este algoritmo con una función directa sin necesidad de programar demasiado
Pero si alguien se pregunta si se puede realizar el cálculo
a mano podéis ver este video donde se demuestra cómo se realiza el algoritmo SHA256
a mano
EXPLICAR EL RETO
MATEMÁTICO
Una vez que sabemos que es un HASH, podemos decir en que
parte se componen un bloque de la base de datos
La cabecera está compuesta por un HASH que se calcula con el
valor del anterior nodo, en el ejemplo
que hemos puesto tendríamos que escribir el bloque número 7 y se calculará el
HASH de la cabecera con el HASH que sale de utilizar el algoritmo SHA256 sobre
los datos del bloque 6 (todos los datos contenidos en el bloque), y esto da
contestación a la primera respuesta, se
lee el último bloque escrito y se obtiene la siguiente cabecera.
De esta forma si un nodo quisiera modificar los datos del
bloque 2 por ejemplo, el HASH de los bloques siguientes no sería válido, ya que
tendríamos que aplicar el algoritmos SHA256 a todos los siguientes bloques, en
este caso del 3 al 6, y se demostraría que los datos han sido manipulados, como
la base de datos está distribuida en todos los nodos y ha sido solo un nodo el
que lo ha modificado, el resto de los nodos rechazará esta modificación y
volverá a re-escribir los datos del nodo modificado con el consenso del resto
de los nodos.
Para romper el consenso hay que manipular la mitad de los
nodos +1 o à
(nodos/2) + 1 esto es la regla del 51%, en una red de 6 nodos sería viable un
ataque, pero si imaginamos una red de 1.000 nodos ya sería muy complicado
atacar a la mitad de ellos simultáneamente, y así exponencialmente a 10.000,
100.000 o más.
Para entenderlo de forma rápida, la red blockchaing asume el
siguiente principio “si el 51% de los
nodos de la red toman algo por cierto, el recto de los nodos lo toman como
cierto”
Aunque en teoría este ataque podría ser cierto, veremos como
en la práctica el coste real de realizar un ataque en este sentido tiene un
coste tan elevado que no merece la pena.
Con lo que ya hemos respondido a las dos primeras preguntas
y ahora vamos a por la tercera y quizás la más interesante de todas, como
evitamos la colisión de la información.
Hay varios sistemas, pero en este caso vamos a explicar el
que utiliza bitcoins que se denomina Proof Of Work (POW) o prueba de trabajo
En que consiste la prueba de trabajo propuesta por bitcoins, pues en un reto matemático que de forma sencilla nos dice que si tenemos un algoritmo SHA256, donde es un dato de 256 bits, queremos que halles el HASH de la cabecera del siguiente bloque que empiece por n número de 0
En este ejemplo solicitamos un HASh que sus primero ocho
números sean ocho ceros, y ¿cómo podemos calcularlo? Pues la respuesta es que
no se puede, simplemente empiezan a
realizar prueba error añadiendo datos a la 3 parte del bloque hasta que por
casualidad uno de los nodos que están haciendo los cálculos de forma simultáneamente
lo encuentra y se lo comunica al resto de los nodos, se verifica que sea cierto
y así se pasa a escribir el bloque número 7 que es retransmitido a todos los
nodos para que se pueda crear el bloque número 8 con el HASH que se volverá a
calcular gracias al anterior bloque que acabamos de escribir.
Por si alguien le parece fácil o sencillo podemos mostrar el
gráfico donde se ver el nivel de dificultad y las transacciones de un día
Cuantos más nodos están realizando cálculo más nivel de
dificultad se añade al HASH.
Por este último punto, realizar el ataque del 51% no tiene
sentido por el coste, no solo por modificar un dato en un momento dado, sino
porque habría que recalcular todos los demás datos de la red siguientes al dato
modificado, y con el coste computacional, aparte de convencer al 51% de los
nodos para realizar una modificación, habría que recalcular todos los HASH.
Vamos a ver el mapa de nodos aproximadamente que hay
Si realizamos el cálculo veremos que actualmente hay una red
con conexiones increíble, apliquemos la formula nodos(nodos-1)/2 à
10.339(10.338)/2=53.442.291, de esta cifra de conexiones (aristas) se puede
comprobar la maravilla tecnológica y de interconexión que es la red blockchain
y lo difícil que sería romper la seguridad del bitconint en este caso.
BIBLIOGRAFÍA
Todas las direcciones web ya mencionadas en el documento y
las siguientes fuentes de información
Hemos tenido una divertida discusión sobre los contenidos de RGPD en la cual la discusión principal era la vida de los datos.
Como muchos de vosotros sabéis, uno de los principios del RGPD son la limitación de conservación de los datos, donde quedan claramente marcada la temporalidad de los datos y debe estar definida al fin de los mismos y una vez finalizado el fin se deberían eliminar de forma automática.
Esto queda supeditado a leyes, como puede ser la ley que obliga a los bancos a conservar los datos durante 10 años por prevención de blanqueo de capitales, o el historial médico de un paciente con 5 años de duración (salvo que la comunidad autónoma diga lo contrario) y así un largo listado de supuestos.
Y aquí llegamos a la discusión en concreto, ¿una red social que he dejado de usar y no he tenido actividad durante un largo periodo (digamos 2 años) debería borrar de forma automática mis datos?
Pues después de muchas discusiones todos coincidimos en los mismo, SI se deberían borrar como una buen practica, pero aquí también nos hemos encontrado con la pregunta ¿y si luego quiero algo que había en esta red social?
La verdad es que no es fácil decidir si sería o no una buena práctica, desde mi punto de vista si, ya que una vez que ha trascurrido una tiempo prudencial esos datos ya carecen de importancia en si y, esta claro, que para realizar estudios de mercado donde ofrecernos productos ya no tendrían validez alguna.
Así que os dejo la pregunta ¿sería una buena práctica?
Hoy he recibido una llamada de un amigo que hacia tiempo que no hablaba con él, trabaja en el sector financiero y por lo que me ha contado va a ser el encargado de la protección de datos, ¡pero aún andamos así!
Bueno, después de una buen charla dando unas pequeñas recomendaciones, le he encaminado a que su departamento legal le eche una mano, pero aquí viene la pregunta clave
¿Debo realizar una evaluación de impacto? Ufff que buena pregunta, si somos realistas y seguimos lo que dice el reglamento mi respuesta sería SI, pero voy a dar uno de los motivos claros que aparece en varios artículo de reglamento
Una entidad financiera realiza perfilados de clientes –> SI
Una entidad financiera puede llegar a excluir automáticamente de financiación sin intermediación humana –> SI
Excluye a clientes por su condición o nacionalidad –> SI (esto último no es racismo, simplemente que los datos demuestran que unas nacionalidades son más propensas al impago que otras, por lo que, insisto, no es racismo ni ningún tipo de discriminación, son estadísticas puras y duras)
Pues si todas o alguna de estas preguntas han sido respondidas de forma positiva deberíamos realizar una evaluación de impacto, ya que así lo indica el RGPD.
Que yo conozca, pocas son las empresas que lo han realizado, sobre todo porque no es sencillo realizar la evaluación y sobre todo poner contra medidas para evitar el posible impacto, ya sea por temas económicos, por temas tecnológicos o bien porque la empresa no esta lo suficientemente concienciada.
Si bien, todo esto, como bien se explica en el RGPD «NO te obligo a nada, pero si te pillo o te denuncian y no tienes echos los deberes te vamos a multar»
Ya queda menos tiempo para ver las primera sanciones, y seguro que a partir de este momento, las empresas se tomarán más en serio la protección de datos.
PD: os dejo el que parece que va a ser el Informe definitivo RGPD mejorado que se presentará en el Congreso de los Diputados de España.Informe_definitivo_Ponencia_PLOPD
Actualmente en la universidad estamos dando el tema de la Redes Neuronales Autónomas, algo apasionante, sencillo y a la vez increíblemente complicado de desarrollar con precisión.
Pero, lo que queda muy claro, es que cualquier Big Data real, hoy en día sería muy difícil de explotar sin esta técnica de aprendizaje automático.
Y por qué es así, bueno, digamos que si analizamos la situación de los datos y si queremos aprender y predecir cuales son los resultados antes de que se produzcan deberemos conjugar los datos con el análisis de datos, pero claro, si hablamos de unos pocos datos podríamos utilizar técnicas mas convencionales, pero claro, si queremos manejar la cantidad de datos que actualmente somos capaces de almacenar y con ello dar un resultado, las técnicas tradicionales ya no son suficientes.
Al combinar las entradas de datos y generar un perceptrón multicapa nos dará como resultado lo que estamos buscando, a mayor cantidad de datos, mayor precisión lograremos, ya que nuestro proceso de aprendizaje será mayor, mejor y más fiable.
Os recomiendo ver los vídeos de Javier Garcia, ya que ayudan a comprender muy bien el funcionamiento, deducir poco a poco los pasos que hay que dar y al final, entender las posibilidades de lo que hoy en día llamamos «inteligencia artificial» que no es más que comprender nuestras costumbre para proporcionarnos automáticamente una respuesta fácil.
Esto no se si es bueno, ya que dejamos de pensar por nosotros mismos para que piense algo por nosotros 😉
Una de las conclusiones que he sacado, es que sin una cantidad de datos suficientes, todos los modelos de Redes Neuronales sería poco precisos, y cuanto más datos mucho mejor, así que la pregunta es clara ¿sería efectiva una Red Neuronal sin Big Data? Como no soy un experto os lo dejo en el aire, pero desde mi punto de vista diría que no.
Por el contrarío, ¿seríamos capaces de analizar los datos sin una red neuronal? creo que ya he me repito, pero diría que no.
Así que inevitablemente vemos como estos dos mundos se han unido y será muy difícil separar lo que la necesidad de análisis juntó 😉
Otro día intentaré explicar los conceptos de «Machine Learning y Deep Learning» ya que conviven con todo lo que os he escrito hoy.
Por cierto, ¿veremos ataques informáticos con Redes Neuronales Artificiales? yo creo que sí, esté artículo es muy interesante, ya que como siempre el hombre busca lo bueno y lo malo, y en este caso lo malo ha llegado
Esta puede ser la gran pregunta que se deberían haber realizado muchas empresas antes de empezar a implementar un protocolo para TOD@S sus clientes indiscriminadamente.
La verdad es que el RGPD recoge que debes de tener el consentimiento explicito para poder tratar los datos, pero yo os pregunto, si un cliente con el que mantengo diariamente relación comercial, aunque nos vemos físicamente 2 veces al año, ya que me hace todos los pedidos vía teléfono, ¿le voy a dejar de servir por no tener firmado su consentimiento?
La respuesta es clara, NO, seguiré trabajando con este cliente sin problema alguno, ya que anteriormente ya tenía su consentimiento y se puede demostrar la relación previa, y por supuesto, que el uso de sus datos se realiza por necesidad.
Con todo esto, podríamos discriminar un poco por sectores o servicios, si bien podría pasar que si mando correos con publicidad a 1000 clientes y no tengo recogida el nuevo consentimiento explicito de 250 ¿sería adecuado dejar de mandarles publicidad? Hombre, en este supuesto yo creo que sería adecuado dejar de enviar publicidad, pero si un cliente de estos 250 es el que llama siempre por teléfono, aplicaríamos la lógica del caso anterior.
Con todo esto, habréis visto que muchas páginas solo han informado del cambio de legislación y otras ha obligado a que firmes el consentimiento, son elecciones que dependiendo del abogado o consultor al que hayas acudido, o a la charla que te hayan impartido, has optado por una o por otra.
Pero, ¿os sigue llegando publicidad sin haber dado el consentimiento a pesar de que os lo han solicitado? Supongo que la gran mayoría responderá que si, la verdad es que a pesar de todo el ruido que se ha formado por el nuevo RGPD las empresas aún no tienen la sensibilidad o responsabilidad para aplicarla de forma estricta.
Eso si, si tenéis un cliente nuevo, no olvidéis que os firme el consentimiento.
En este artículo se detalla un poco lo que está pasando actualmente con el miedo de las empresas al RGPD y la falta de profesionalidad de algunas consultoras a la hora de vender un supuesto «asesoramiento»
Casi todo lo que estoy viendo, y por las consultas que me están llegando, se están solo en 1 de los 6 principios de RGPD, «EL CONSENTIMIENTO DE DATOS», y la frase que más he oído es «una vez que tengas esto ya tranquilo», bueno pues a esto vamos a decir a esta persona que se equivoca y mucho, si bien se puede considerar que el consentimiento de datos es la base sobre la que pivota el resto, no es la única que tenemos que tener en cuenta, por ello os dejo una imagen donde podéis ver los 6 principios del RGPD y a lo que nos enfrentamos como empresa.
Registro de actividad, Evaluación de impacto, Transparencia, Principio de privacidad, Delegación de protección de datos y Notificación de violaciones de seguridad
Se pueden desglosar en muchos apartado y quizás se me pase alguno importante, pero desde mi punto de vista, estos 6 puntos englobarían el nuevo Reglamento General de Protección de Datos.
Y lo mejor de todo es que la Agencia de Protección de Datos española ha puesto a disposición de todo el mundo una herramienta donde podemos ver el impacto y nuestras necesidades
Así que os animo a utilizarla y ver si verdaderamente os están vendiendo algo que cubre todas tus necesidades o se queda corto, en el portal de la Agencia Española de protección de datos también podréis encontrar toda la documentación necesaria donde se explica fácilmente todo lo necesario para el cumplimiento de la normativa.
Dos cosas más, primera el seguro de responsabilidad civil de una empresa, y a no ser que el clausulas estipulen lo contrario, no cubre el incumplimiento de una normativa, ya que las aseguradores podrán aludir a una mala práctica o dejadez de funciones, y la segunda, buscad profesionales de apoyo si vuestra empresa tiene tratamiento especial de datos o más de 250 trabajadores, ya que os ayudarán a evaluar el verdadero impacto en vuestra empres.
Estos días por distintas causas he estado ayudando a algunos compañeros a aclarar un poco la implicación del RGPD que llegará el día 25 de mayo.
Pero lo más curioso es que sigo viendo artículos que solo relacionan el RGPD con los sistemas TI única y exclusivamente, y aunque si que están muy relacionados, no solo abordan estos entornos, sino cualquier entorno que contenga datos, digamos un listado en papel o una pizarra escrita con tiza que publique datos y por supuesto un cartel de publicidad.
Como la mayoría de la gente sabe, uno de los cambios más importantes, o por lo menos así lo veo yo, es el cambio de seguridad pasiva, que es lo mismo que decir «hasta que no me suceda nada no tengo que hacer nada», a ser una norma pro-activa, o lo que es lo mismo decir «tengo que estar preparado por si me sucede algo»
He leído post y comentarios en varias redes sociales que comentaban que esta norma no ayudaría a la seguridad informática, y yo estoy en total desacuerdo con ello, puede que inicialmente la gente no sea consciente de los problemas que pueden llegar a tener si son denunciados con la nueva normativa, y como es típico en casi todo el mundo, hasta que no haya un caso sonado, las empresas no se darán cuenta y empezarán a actuar, pero yo creo que si que puede ayudar mucho a mejorar los servicios y seguridad IT esta normativa (ya que la mayor fuga de datos está claro que puede venir de estos entornos) así como la organización de una empresa, y me explico.
Si partimos de la base, que el RGPD esta en gran medida basado en la normativa
ISO 27001 que es la que aplica a la Seguridad de la Información, creo que es una buena base para empezar a trabajar y mejorar la seguridad y los procedimientos.
Con el RGPD las empresas tienen que tener catalogada su información, dónde esta, que uso se hace de ella y que haremos en caso de un incidente, algo que, en la mayoría de los casos, a día de hoy no son conscientes, quizás el dónde si, pero el resto …….
Si ya tenemos el dónde y el uso, podremos ser conscientes de las necesidades de aplicar seguridad a los datos, ya que al menos tendremos un estudio de su nivel de confidencialidad, así podremos determinar si tenemos que aplicar más medidas de seguridad a estos datos.
También deberemos tener por escrito un pequeño documento donde describamos que protocolo vamos a seguir en caso de un incidente, y esto de nuevo nos puede llevar a determinar como hago las copias de seguridad, dónde las hago, cómo las puedo recuperar y dónde las guardo, y claro esta, las famosas 72 horas que tenemos para comunicar el incidente una vez seamos conscientes del fallo.
Por último, y excluyendo a las empresas de tamaño grande que ya se especifica que deberán realizar una evaluación de riesgos siguiendo alguna metodología adecuada, digamos por ejemplo MAGERIT, las pequeñas-medianas empresas (si no me equivoco son las menores de 250 trabajadores) al menos se deberán preguntar estas cuestiones
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo
tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
Si alguna contestación es positiva, yo les recomendaría contactar con una persona especializada para evaluar sus riesgos, y aunque no sea obligado, sería bueno que designen a una persona como responsable o encargado para la gestión del riesgo.
Para terminar decir que las medidas que se estaban aplicando con la LOPD pueden ser validas, pero se deberá realizar una evaluación del impacto sobre la protección de datos con el nuevo esquema RGPD para comprobar que sigan siendo validad y cumplan con la nueva normativa ¿lo realizarán las empresas?
Sinceramente, creo que esta normativa mejora lo que había.
Como muchos de vosotros sabéis, uno de los principios del RGPD son la limitación de conservación de los datos, donde quedan claramente marcada la temporalidad de los datos y debe estar definida al fin de los mismos y una vez finalizado el fin se deberían eliminar de forma automática.
Esto queda supeditado a leyes, como puede ser la ley que obliga a los bancos a conservar los datos durante 10 años por prevención de blanqueo de capitales, o el historial médico de un paciente con 5 años de duración (salvo que la comunidad autónoma diga lo contrario) y así un largo listado de supuestos.
¿Debo realizar una evaluación de impacto? Ufff que buena pregunta, si somos realistas y seguimos lo que dice el reglamento mi respuesta sería SI, pero voy a dar uno de los motivos claros que aparece en varios artículo de reglamento
son los resultados antes de que se produzcan deberemos conjugar los datos con el análisis de datos, pero claro, si hablamos de unos pocos datos podríamos utilizar técnicas mas convencionales, pero claro, si queremos manejar la cantidad de datos que actualmente somos capaces de almacenar y con ello dar un resultado, las técnicas tradicionales ya no son suficientes.
como resultado lo que estamos buscando, a mayor cantidad de datos, mayor precisión lograremos, ya que nuestro proceso de aprendizaje será mayor, mejor y más fiable.
de legislación y otras ha obligado a que firmes el consentimiento, son elecciones que dependiendo del abogado o consultor al que hayas acudido, o a la charla que te hayan impartido, has optado por una o por otra.
persona como responsable o encargado para la gestión del riesgo.