El Consejo Nacional Consultor Cyber-Seguridad (CNCCS) se ha reunido este medio día con un reducido grupo de expertos en seguridad de la información con el fin de crear canales de comunicación con el usuario final que permitan mejorar y ampliar el alcance de la plataforma.
El CNCCS es una iniciativa privada del sector empresarial español que pretende constituirse como grupo de referencia internacional en Cyber-Seguridad (o seguridad en la Red). El equipo fundador, compuesto por las empresas Panda Security, S21sec, Hispasec Sistemas y Secuware, aspira a convertir, por medio de esta plataforma, Internet en un medio más seguro de comunicación y comercio, por medio del apoyo a la innovación, la potenciación del uso responsable de la web y la sensibilización ciudadana. Consecuencia de este trabajo en equipo sería la situación de esta plataforma a medio plazo al nivel de otras instituciones homólogas existentes en países como Estados Unidos, que ya cuenta con un Plan para el diagnóstico de la Seguridad en el ciberespacio y espacios como el de la UE, en el que existe la Agencia Europea de Seguridad (ENISA). Con el fin de lograr estos objetivos, el CNCCS cuenta con el apoyo de instituciones públicas y privadas, habiendo hecho partícipe a INTECO del proyecto.
Asimismo, el Consejo ha querido demostrar su perfecta comprensión del concepto 2.0 convocando este medio día a 9 de los bloggers más representativos del sector de la cyber-seguridad a nivel nacional para abrir canales de comunicación entre la plataforma y el usuario final y compartir de forma directa y personal opiniones sobre el proyecto y las iniciativas planteadas. A la reunión han asistido Sacha Fuertes (Gen Beta), Javier Sainz (ADSLzone), Antonio Ortiz (Error500), Marcos Morales (Pixel y Dixel), Fernando Tellado (Open Security), Ignacio de Miguel (Loogic), Benito Castro (Asociación Evento Blog España), Paloma Llaneza (bitácora) y el que escribe (PabloBurgueno.com). Estuvimos acompañados por Javier Villacañas (periodista de la COPE), Miguel Guardia (iProspect), Bernardo Quintero (Hispasec) y varios de los responsables de Panda: Juan Santana (CEO), Yolanda Ruiz (responsable de PR del Grupo Panda a nivel global), Carlos Arias (responsable de PR del Grupo Panda en España) y Luis Corrons (director técnico de Panda Labs). El encuentro tuvo lugar en la penúltima planta de la torre SyV, que aparece en la imagen.
La creación del CNCCS mantiene a España a la cabeza de la Unión Europea en sistemas de seguridad de la información y a nivel mundial en Cyber-Seguridad. Esta posición privilegiada, junto con la iniciativa 2.0 planteada, permitirá al Consejo mejorar de forma sustancial la protección de identidad de los consumidores, de las infraestructuras críticas y de la información corporativa.
A lo que respecta a este blog, el CNCCS parece que pretende constituirse como grupo de presión social y política con el fin de impulsar la aprobación de leyes nacionales contra el cyber-crimen (aquí explico lo que se entiende por cyber-crimen). Sin embargo como ya he explicado en otras ocasiones, el concepto de red global y el paso del PC a la cloud hacen que la proliferación de preceptos penales que tipifiquen conductas convirtiéndolas en ciberdelitos no deje de ser una medida temporal y manifiestamente ineficaz. Situaciones como la sufrida hace unos meses por Error500 a raíz de un ataque DDos transnacional ponen de manifiesto que ningún tipo de normativa nacional puede evitar o perseguir de forma eficaz este tipo de conductas; por eso se hace necesaria el desarrollo y la innovación en tecnologías de la seguridad de la información que cubran el vacío legal dejado (e imposible de cubrir) por el sistema establecido de leyes estatales.
Quizá la progresiva digitalización del comercio sea el detonante, a largo plazo, que haga imprescindible la adopción de una única norma internacional sobre la materia. Mientras tanto, y ante la progresiva implantación del sistema operativo en la nube y los programas de ejecución remota, un servidor propone el desarrollo de una norma nacional que haga imprescindible (incluso obligatoria) la adopción de estándares de seguridad o la obtención de credenciales para la prestación en España de servicios de hosting y similares.
Los usuarios de FeedBurner son, a efectos de la Ley de Protección de Datos (Ley Orgánica 15/1999) “Responsables del Tratamiento” respecto de los e-mails y las IPsde los lectores suscritos a sus blogs; Google es tan solo el “Encargado del Tratamiento” de los mismos.
Si, además, el blog hace uso de Feedburner como gestor de suscripciones, el propietario del Sitio Web está obligado legalmente a inscribir un fichero en la Agencia Española de Protección de Datos, a redactar un Documento de Seguridad y a informar a sus usuarios de la recogida de datos y el tipo de tratamiento al que éstos van a ser sometidos, así como de los derechos que les amparan y pueden ejercitar en cualquier momento.
La manera de cumplir (al menos formalmente) esta obligación legal es bastante sencilla. Una vez se ha inscrito el fichero en la AEPD y se ha elaborado el Documento de Seguridad (siguiendo, por ejemplo, este modelo), tan sólo haría falta incluir este párrafo en el aviso legal:
El Sitio Web utiliza FeedBurner como gestor de suscripciones al feed, bajo la presente política de privacidad y la de Google. La única finalidad con la que los datos serán utilizados será la de gestionar la suscripción del usuario al feed, enviarle las actualizaciones del Sitio Web y llevar a cabo análisis estadísticos del uso del Sitio Web por los usuarios. El usuario suscrito vía e-mail al Sitio Web, puede darse de baja en cualquier momento pulsando el enlace que le aparece al final de cada mensaje de actualización del feed que reciba en su e-mail, escribiendo a “[INCLUIR AQUÍ EL NOMBRE EXACTO DEL FEED (NO LA URL)], c/o FeedBurner, 20 W Kinzie, 9th Floor, Chicago IL USA 60610″ o ejercitando sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación dirigida al propietario del Sitio Web a la dirección de correo electrónico [INCLUIR AQUÍ TU DIRECCIÓN DE CORREO ELECTRÓNICO O POSTAL].
Con motivo de la International Week of Technological Innovation, la Universidad Europea de Madrid me invitó a dar una ponencia sobre las licencias de Software y, en particular, las libres y de código abierto, en el marco de las Jornadas de Conocimiento Libre 2009. Os resumo las ideas principales:
Como sabéis, el solo hecho de creación de un programa de ordenador confiere derechos de propiedad intelectual al autor sobre su obra (al informático sobre su software), sin que sea necesario llevar a cabo registro alguno. El derecho que se le confiere es doble: por un lado, se le otorgan derechos morales; y por otro, derechos patrimoniales.
El autor no puede decidir sobre sus derechos morales (son irrenunciables y no los puede ceder), pero sí tiene plena disposición sobre los patrimoniales, que son los que generan beneficios económicos. El autor tiene reconocido un derecho exclusivo a explotar la obra, pudiendo decidir sobre si quiere o no sacarle rendimiento económico y en qué forma. Para ello se utiliza un tipo especial de contrato denominado licencia.
A través de las licencias el autor cede algunos derechos al usuario y se reserva el resto. En la licencia también se incluyen restricciones y prohibiciones que impiden al usuario llevar a cabo determinados actos, así como las garantías que ofrece el autor sobre el funcionamiento del programa de ordenador. No suele faltar nunca la legislación aplicable y la jurisdicción competente, que nos indicarán qué ley se aplica en caso de conflicto y los tribunales que deberán decidir sobre el caso.
Si un programa de ordenador carece de licencia, se presume que el autor ha decidido reservarse todos los derechos. En estos casos se dice comunmente que el programa está protegido por Copyrigth, aunque la expresión no sea jurídicamente correcta, y menos en España. De cualquier forma, tendríamos un programa de ordenador sobre el que el autor se ha reservado, entre otros, los derechos de reproducción total o parcial (incluso para uso personal), la transformación del programa (traducción, adaptación, arreglo…) y su distribución.
En cambio, la existencia de una licencia implica que no todos los derechos están reservados. Básicamente, podemos encontrar 4 tipos de licencias: privativas, semi-libres, libres recíprocas y libres (a secas). Las privativas suelen ser usadas para fines comerciales debido a que son aquellas que no permiten hacer prácticamente nada con su código. Las semi-libres contienen ciertas restricciones como, por ejemplo, la imposibilidad de crear obras derivadas pero permitiendo la libre distribución de copias del original. Libres recíprocas son aquellas que obligan a que las obras derivadas queden también libres. Y las las libres (a secas) son las que permiten incluso licenciar las obras derivadas como privativas y utilizarlas con fines comerciales.
Las cuatro libertades en las que deben basarse todas las licencias libres son, según la Free Software Foundation: la de poder usar el programa para cualquier fin, la de estudiar como trabaja, la de poder redistribuir copias y, por último, la de poder modificar el programa y publicar sus mejoras. Necesariamente el código tiene que estar abierto para que puedan cumplirse algunas de estas libertades, no siendo suficiente la mera liberación de los binarios. Una licencia que las cumpla todas, podrá ser reconocida como libre por la FSF. Por otro lado, la licencia tendrá que cumplir la definición de la OSI (Open Source Iniciative), para poder ser reconocida como Open Source. La diferencia principal entre la FSF y la OSI es su fundamento ideológico, siendo la primera más partícipe de la libertad como aspiración filosófica y la la segunda como elemento de utilidad.
Licencias libres y de fuente abierta hay decenas debido principalmente a su espectacular proliferación en la década de los 90. Actualmente, su número tiende a estabilizarse por una razón práctica: a mayor número de licencias diferentes, mayor complejidad en su combinación. Las principales son
GNU GPL: Licencia oficial del Proyecto GNU con Copyleft fuerte; lo cual implica que las distribuciones y versiones modificadas tienen que estar bajo GNU GPL
GNU LGPL: Licencia similar a la GNU GPL pero con Copyleft débil que permite enlazar a software privativo siempre que no se haga con fines comerciales
BSD: Licencia originaria de la Universidad de Berkeley; carece de Copyleft y es fuertemente criticada por la FSF por permitir que las versiones modificadas puedan ser privativas
X11: Licencia simple y permisiva originaria del MIT y usada también por Xfree86. No tiene Copyleft pero es compatible con GNU GPL
MPL: Licencia de control para el navegador Mozilla pero muy usada por los desarrolladores de software en general. Cumple con la definición de OSI y las 4 libertades de FSF, aunque es incompatible con GNU GPL.
CDDL: Licencia basada en MPL 1.1, producida por Sun Microsystems, que cumple con la definición de OSI y las 4 libertades de FSF, pero es incompatible con GNU GPL.
Licencia de la Fundación Apache: Exige incluir un permiso de uso de patentes por lo que su aplicación práctica en España es cuestionada. Únicamente su versión 2.0 es software libre y su compatibilidad con GNU GPL es dudosa
En caso de liberar un programa de ordenador bajo una de las anteriores licencias, puede resultar conveniente liberar también la documentación aneja al mismo. En principio, la documentación preparatoria se tienen como parte del software y los manuales de uso reciben la misma protección que los programas de ordenador, sin embargo, es posible optar por una licencia GNU FDL, FreeBSD o, incluso, Creative Commons o Color Iuris, que, además, incluye la posibilidad de registrar la obra.
La aplicación de una licencia libre a un programa de ordenador resulta bastante sencilla, una vez se ha decidido la que se desea aplicar. Tan sólo se debe añadir una remisión a la licencia en la cabecera de cada uno de los archivos que contengan código fuente, junto con el nombre del titular y el año de liberación, incluyendo el texto íntegro de la licencia -en su idioma original- en un archivo de texto plano ubicado en la carpeta raiz.
Los usuarios de Google Adsense hemos recibido un e-mail en el que se nos notifica que el popular servicio de publicidad va a comenzar a usar la cookie de DART de DoubleClick y que, por tanto, debemos actualizar nuestra política de privacidad antes del próximo 8 de abril de 2009. A raíz de la comunicación de la noticia que he realizado a través del Twitter de mi despacho (@abanlex), me han llovido consultas sobre si es obligatorio tener un Aviso Legal y cómo debe actualizarse la política de privacidad.
- ¿Es obligatorio tener un Aviso Legal?
No siempre es obligatorio tener un aviso legal. Únicamente deben tenerlo estos tipos de webs y blogs:
- Páginas web de empresa y blogs corporativos.
- Web de comercio elecrónico; en las que se ofrezcan productos o servicios profesionales;o en las que se informe sobre productos o servicios profesionales propios.
- BLOGS y webs personales que muestran publicidad o enlaces/imágines/banners patrocinados.
Por tanto, los blogs personales sin publicidad, en el que no se ofrecen ni se informa sobre productos o servicios profesionales, no tienen obligación de contar con un aviso legal.
- ¡Pero si prácticamente no gano nada con la publicidad!
Pues mejora tu posicionamiento o cambia de sitio los banners, pero la ley te afecta igual.
- ¡Me parece ridículo! No pondré ningún aviso legal en mi blog.
Bien, vale. Para el resto, sigo escribiendo:
- ¿Qué debo incluir en mi aviso legal?
Legalmente, poca cosa:
- Los datos registrales de la empresa; o los datos de contacto profesional si eres persona física. En caso de ser colegiado, tendrás que incluir tu número de colegiado (yo aún no me he atrevido a poner mi número de colegiado por miedo a que otro suplante mi identidad profesional, pero debería ponerlo).
- Política de Privacidad: Debes informar de que se están recabando datos personales de los usuarios (al menos, siempre se recaba la IP) y la finalidad para la que serán tratados. También debes informar al usuario de sus derechos.
- Otros apartados: Si lo deseas, puedes incluir cláusulas de propiedad intelectual, propiedad industrial, responsabilidad, condiciones de uso de la web… Éstas no son obligatorias.
- ¿Puedo copiar y pegar un aviso legal de otra web?
Los avisos legales son obras literarias con derechos de propiedad intelectual así que no deberías copiarlo. Algunos autores apoyan la teoría de que al no ser ORIGINALES no se protegen.
Para evitarte problemas he dejado mi Aviso Legal bajo licencia Creative Commons de sólo reconocimiento, así que puedes copiarlo y modificarlo a tu gusto libremente.
- Mi sitio web usa Google Analytics
Copia y pega este párrafo en tu aviso legal y problema resuelto:
Google Analytics, un servicio analítico de web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). Google Analytics utiliza “cookies”, que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar el uso que hacen los usuarios del sitio web. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta nuestra con el propósito de seguir la pista de su uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet. Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google. Google no asociará su dirección IP con ningún otro dato del que disponga Google. Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionabilidad de este website. Al utilizar este website Usted consiente el tratamiento de información acerca de Usted por Google en la forma y para los fines arriba indicados.
- Mi sitio web usa Google Adsense
Igual que antes, copia y pega este párrafo:
Google, como proveedor asociado, utiliza cookies para publicar anuncios en este sitio web. Los usuarios pueden inhabilitar el uso de la cookie de DART a través del anuncio de Google y accediendo a la política de privacidad de la red de contenido. Google utiliza empresas publicitarias asociadas para publicar anuncios cuando visita nuestro sitio web. Es posible que estas empresas usen la información que obtienen de sus visitas a este y otros sitios web (sin incluir su nombre, dirección, dirección de correo electrónico o número de teléfono) para ofrecerle anuncios sobre productos y servicios que le resulten de interés. Si desea obtener más información sobre esta práctica y conocer sus opciones para impedir que estas empresas usen esta información, haga clic aquí.
Por lo demás, igual de fácil; copia y pega este párrafo (personalizando los dos campos en mayúsculas):
El Sitio Web utiliza FeedBurner como gestor de suscripciones al feed, bajo la presente política de privacidad y la de Google. La única finalidad con la que los datos serán utilizados será la de gestionar la suscripción del usuario al feed, enviarle las actualizaciones del Sitio Web y llevar a cabo análisis estadísticos del uso del Sitio Web por los usuarios. El usuario suscrito vía e-mail al Sitio Web, puede darse de baja en cualquier momento pulsando el enlace que le aparece al final de cada mensaje de actualización del feed que reciba en su e-mail, escribiendo a “[INCLUIR AQUÍ EL NOMBRE EXACTO DEL FEED (NO LA URL)], c/o FeedBurner, 20 W Kinzie, 9th Floor, Chicago IL USA 60610″ o ejercitando sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación dirigida al propietario del Sitio Web a la dirección de correo electrónico [INCLUIR AQUÍ TU DIRECCIÓN DE CORREO ELECTRÓNICO O POSTAL].
- Comercio electrónico, Redes Sociales y demás
El Aviso Legal es necesario para una web que ofrezca comercio electrónico, que informe sobre servicios propios, que tenga formularios de contacto o en casos de redes sociales, etc. el aviso legal es un poco más complejo y debería ser siempre redactado por profesionales. No obstante, si tienes un blog personal con publicidad, te animo a que lo hagas por tí mismo. ¡Además, puedes publicar un post con la hazaña!
Siéntete libre de consultar o fusilar mi Aviso Legal, bajo licencia CC de sólo reconocimiento.
Los usuarios de Google Adsense hemos recibido un e-mail en el que se nos notifica que el popular servicio de publicidad va a comenzar a usar la 
