3098210

Els tres pilars de la seguretat

Integritat: El diccionari defineix el terme com a ‘estat de què està complet o té totes les seves parts’. La integritat fa referència a la qualitat de la informació per a ser correcta i no haver estat modificada, mantenint les seves dades exactament tal qual van ser generades, sense manipulacions ni alteracions per part de tercers. Aquesta integritat es perd quan la informació es modifica o quan part d’ella s’elimina, i una garantia per a mantenir-la intacta és la signatura digital.


Un aspecte relacionat amb la integritat és l’autenticació, qualitat que permet identificar al generador de la informació i que s’aconsegueix amb els correctes accessos d’usuari i amb altres sistemes com l’esmentada signatura electrònica. Per a alguns, fins i tot, l’autenticació seria el ‘quart pilar’ de la Seguretat de la Informació.

Confidencialitat: Per confidencialitat entenem la qualitat de la informació per a no ser divulgada a persones o sistemes no autoritzats. Es tracta bàsicament de la propietat per la qual aquesta informació només resultarà accessible amb la deguda i comprovada autorització.

Com es perd aquesta confidencialitat? Generalment, fent cas omís a les recomanacions de seguretat o no implantant un sistema adequat; així, quan compartim equips sense eliminar les contrasenyes, oblidem tancar el nostre usuari, llancem un disc dur sense esborrar abans les seves dades o no xifrem les dades de manera adequada, la informació deixa de ser confidencial i entrem, diguem, en una zona d’alt risc.

Disponibilitat: El tercer i últim pilar de la Seguretat de la Informació és la disponibilitat, i és possiblement el terme que menys apreciacions requereix. Per disponible entenem aquella informació a la qual podem accedir quan la necessitem a través dels canals adequats seguint els processos correctes.

Aquesta característica, la disponibilitat, pot a vegades xocar frontalment amb la confidencialitat, ja que un xifratge complex o un sistema d’arxivat més estricte pot convertir la informació en una cosa poc accessible, per la qual cosa no es tracta en absolut d’un punt menor i marca en gran manera el bon fer del responsable de la seguretat de la informació de l’empresa o organització.

privacitat

Drets de l’interessat

La LQPD – RGPD recull els quatre drets fonamentals coneguts com a drets ARCO:

Accés: el dret que tenen els ciutadans al fet que els responsables del tractament de dades l’informin si estan tractant informació personal que el concerneix i, en cas de resposta afirmativa, quines són aquestes dades i de quina manera s’estan tractant.

Rectificació: és un dret que permet als ciutadans sol·licitar la modificació d’informació falsa o inexacta sobre la seva persona.

Cancel·lació: aquest dret permet l’eliminació de les dades que resultin inadequades o excessives respecte a l’interessat. Com veurem més endavant amb la LQPD aquest dret a passat a anomenar-se dret de supressió (que inclou el dret a l’oblit).

Oposició: els ciutadans poden oposar-se al tractament de les seves dades personals en una sèrie de supòsits com el màrqueting directe o l’elaboració de perfils.

Amb  el nou reglament aquests drets s’amplien amb:

Limitació: aquest dret atorga als interessats ​​el dret a limitar el tractament de dades personals sobre ells en determinades circumstàncies. Això significa que un interessat pot limitar la forma en què una organització utilitza les dades sobre ell. És una alternativa a sol·licitar l’esborrat de dades.

Portabilitat: es refereix a la potestat de l’individu per a rebre les dades personals que hagi facilitat a un responsable del tractament i transmetre’ls a altres responsables sense que l’anterior ho pugui impedir. Les dades li han de ser facilitades en un format estructurat, d’ús comú i lectura mecànica.

Supressió (i oblit): l’interessat té dret a revocar el consentiment prestat anteriorment i d’aquesta manera sol·licitar a les companyies que eliminin les dades personals de les quals són titulars, que obrin en el seu poder. Complementàriament el dret a l’oblit facilita a l’interessat la possibilitat de requerir que les seves dades personals ‘desapareguin’ o ‘no deixin rastre en la Xarxa’. El dret de supressió implica eliminar les dades personals del sol·licitant de qualsevol registre, físic o digital, en el qual puguin constar. Mentre que el dret a l’oblit se circumscriu a eliminar els enllaços o resultats de cerca que relacionin les dades personals del sol·licitant amb una notícia o registre.

Altres millores en la seguretat de les dades personals introduïdes per la LQPD – RGPD:

Aplicació territorial: els usuaris europeus podien trobar problemes quan contractaven serveis d’una empresa establerta fora de la Unió Europea. Amb el Reglament General de Protecció de Dades s’amplia la seva aplicació territorial a qualsevol empresa, independentment d’on estigui establerta.

Polítiques de privacitat: s’han de presentar de forma clara i senzilla, perfectament intel·ligibles per l’interessat. A més als llocs webs s’ha d’incloure una gestió de galetes on l’usuari pugui triar quines accepte.

Consentiment: l’agrupació de consentiments per a diferents tipus de tractament ja no estarà permesa. Cada tipus de tractament necessitarà la seva pròpia autorització. A més, el servei ofert no podrà estar supeditat a l’acceptació de tots els consentiments, si aquests no són estrictament necessaris per a garantir-lo.

El consentiment ha de ser tant fàcil de revocar com de donar-lo. Els interessats han de poder exercir els seus drets de forma fàcil i gratuïta.

privacitat

Per què és important la privacitat?

D’ençà que Edward Snowden va fer saltar la llebre sobre les pràctiques de vigilància per part de les agències estatals l’any 2013, la preocupació de la ciutadania per la seva llibertat ha anat en augment encara que probablement no el suficient. La situació de pandèmia que estem vivint actualment ha tornat a posar al punt de mira l’equilibri entre un control necessari per fer front a la situació i la retallada de drets i llibertats de la població, justificada per aquesta necessitat de fer baixar la corba.
Sense entrar en polèmiques probablement tots poden acceptar que aquest balanç entre els dos extrems és necessari, però no pot servir de precedent per limitar la nostra privadesa.

Però, què és i perquè és important la privadesa? Podríem dir que tenir privacitat és disposar d’una zona lliure d’observadors, sigui físicament o metafòricament, és un element del ciutadà com a individu i com a agent polític. En l’àmbit privat necessitem la privacitat per mantenir relacions socials variades, i tenir segons el context i les persones a qui tractem més o menys intimitat i proximitat. Per al nostre desenvolupament personal ens cal tenir control sobre nosaltres mateixos i sobre el que expliquem als altres. Quant a l’àmbit laboral, permet preservar els secrets corporatius i protegir la competitivitat. En general protegeix les persones de la discriminació i ens dona seguretat i relaxació; ens permet doncs moure’ns en una zona de confort on podem fer allò que no faríem en públic per por al ridícul, al que puguin pensar de nosaltres, per pudor o per qualsevol motiu. Com més informació tenen els altres sobre nosaltres més vulnerables som.

És evident que en determinades circumstàncies la privadesa pot permetre que es comentin crims o males accions (robatoris, assetjaments, etc.), però cal tenir clar que ja existeixen camins per denunciar aquestes casuístiques i no cal convertir en demagògia barata aquest tipus d’argumentari. L’any 2009 Eric Schmidt, en aquell moment director executiu de Google, quan li van preguntar sobre les diferents maneres en què la seva empresa envaïa la privacitat de milions de persones arreu del món va dir això: “Si estàs fent alguna cosa que no vols que l’altra gent sàpiga, potser és que d’entrada no l’hauries d’estar fent”. Potser no tinc dret a anar descalç i en pijama per casa meva el cap de setmana si em ve de gust? Cal que tothom sàpiga que ho faig? Aquest mateix individu va ordenar els treballadors de la seva empresa que deixessin de parlar amb la revista digital CNET, després que aquesta publiques un article ple d’informació personal i privada sobre ell, que van obtenir exclusivament a través del cercador i altres productes de Google. L’assumpte ve de lluny, doncs, però el cert és que sabent com són les coses la UE no va tenir llest el RGPD fins a l’any 2016.

En l’àmbit polític la privacitat protegeix les societats democràtiques, permetent mantenir en secret el vot, les seves associacions o les seves idees. Aquest requisit de privades és especialment important per protegir les veus dissidents i evitar pràctiques com les que ja fan alguns governs utilitzant la vigilància informàtica per impedir protestes o limitar la llibertat d’expressió. Google al seu moment ja va dir que recollia les dades sense saber per què, però que ja anirien trobant utilitat a aquesta informació. Avui sabem que tota aquesta informació acumulada al Big Data està allà, disponible perquè els governs puguin fer vigilància retrospectiva si ho consideren oportú. Sempre hi haurà governs, empreses o individus que tinguin interès a fer callar les veus dels ciutadans que no combreguin amb el seu discurs.

Un món sense privadesa és un món sense llibertat on les persones viuen reprimint tots els seus comportaments o arrisquen la seva seguretat publicant la seva opinió. En una entrevista concedida a la RFI (Ràdio França Internacional) l’ex espia rus Sergueï Jirnov els GAFAM (Google, Amazon, Facebook, Apple i Microsoft) són més poderosos que els serveis d’intel·ligència de qualsevol estat. Avui amb molt poc esforç, qualsevol pot obtenir més informació de nosaltres que qualsevol agència d’informació estatal de fa vint anys. No només els emails, els documents, els dispositius d’emmagatzematge, els mòbils, són vulnerables a les violacions de privacitat sinó que a més les càmeres o els micròfons dels dispositius que tots fems servir (ordinadors, smartphones, tauletes, assistents virtuals) poden ser els ulls i les orelles d’organitzacions o individus que recopilen informació amb finalitats diverses.

Els governs més poderosos del món argumenten que la vigilància massiva és una necessitat fonamental per a la seguretat pública, encara que per exemple de moment aquesta vigilància encara no ha evitat cap cas de terrorisme. Pot ser el rerefons de tot això és que el gruix de les violacions de privadesa tenen a veure amb motius econòmics o polítics.

Per tot això és necessari que prenem consciència de la importància de la privadesa i valorem positivament l’aprovació al seu moment del RGPD i des del 28 d’octubre de 2021 la nova LQPD d’Andorra. És molt important que existeixi una legislació que permeti que siguem cadascun de nosaltres qui triem a qui convidem a entrar en els nostres espais privats.

No ens conformem, però, amb la legislació vigent i estiguem al cas de les novetats que portarà l’evolució natural de l’univers digital, que ja camina amb força cap al Metavers, per mirar de garantir aquest espai de privacitat també al futur que trobaran els nostres fills.

De moment aprofitem per recordar aquí quins són els drets que atorga a les persones el RGPD respecte a les nostres dades personals:

Dret d’accés.
Dret de rectificació.
Dret d’oposició.
Dret de supressió.
Dret a l’oblit en Internet. Dret a la cancel·lació.
Dret a la limitació del tractament.
Dret a la portabilitat de les dades.
Dret a no ser objecte de decisions automatitzades individualitzades.
Dret d’informació.

Sense oblidar altres drets vinculats a la xarxa:

Dret a la desconnexió digital en l’àmbit laboral.
Dret a l’educació digital i protecció de menors.
Dret d’accés a Internet.
Dret a la neutralitat d’Internet.
Dret al testament digital.