Los mensajeros de los dioses (VI). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Cuando el Servicio de Atención Telefónica recibe una llamada con el objeto de solicitar información personal, una vez identificado y autenticado el interlocutor y el tipo de información al que se pretende acceder, se debe recabar del solicitante los datos necesarios para poder satisfacer su petición. Parece lógico pensar que el registro de estos datos y de cuantos comentarios de interés se produzcan durante la conversación se lleve a cabo en una base de datos al efecto donde se hayan trasladado los atributos originalmente contenidos en los formularios papel habilitados.

Disponer de una base de datos de atención telefónica donde documentar todas las llamadas permite establecer un registro de lo sucedido, anotar comentarios, acceso a la información por terceros a los que se escalen las llamadas, y por supuesto, puede servir como prueba en caso de problemas. Podría mejorarse la seguridad aún más agregando un campo a la base de datos de registro de llamadas que permitiera marcar la llamada como una alerta de seguridad (usuario no autenticado, intento de violación de la política de seguridad, …) . Con la adición de este campo, la base de datos de llamadas se convierte en una poderosa herramienta para monitorizar y evaluar la política de seguridad.

La información solicitada no siempre podrá proporcionarse en el acto o incluso aunque así fuera tal vez se requiera documentalmente. El sistema de información puesto a disposición del Servicio de Atención Telefónica dará respuesta a ciertas peticiones de modo que esta pueda ser trasladada al usuario, en otras recomendará llevar a cabo una validación de la información por determinadas áreas o servicios (p.e. Documentación), en otras las información no estará disponible por precisar de elaboración (caso de solicitud de informe a medida por parte del responsable de una Unidad), también habrá ocasiones en que la descentralización de la información requerida implique un proceso de localización y composición. En definitiva, debe hacerse un análisis de cada caso y determinar el sistema de respuesta en base al nivel de disponibilidad de la información y del formato solicitado por el interesado. Pero sea cual sea el sistema siempre se habrá de tener presente los plazos marcados por la normativa de aplicación o la política interna de la organización, considerando especialmente los casos en los que se esté atendiendo un derecho reconocido del solicitante y las consecuencias del incumplimiento de los mismos.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Dando por hecho que la lista anterior es meramente enunciativa y no enumerativa, y que el orden de sus puntos no necesariamente ha de ser el expuesto, el siguiente paso es tratar un poco más en profundidad cada uno de ellos.

Respecto del proceso de alta de los interesados en la activación del servicio de solicitud de información por vía telefónica, sería lógico pensar en el contexto sanitario que éste se llevara a cabo por el paciente durante su solicitud de alta en la Base de Datos de Usuarios o mediante un trámite al efecto presencial o telemático en cualquier momento posterior. No debemos olvidar que al igual que es posible el alta en el servicio, también debe ser posible darse de baja o en otras palabras oponerse a la recepción de información por esta vía.

La gestión de la clave/contraseña es una fase de trascendental importancia pues de ello depende en gran medida la confidencialidad de los datos que se proporcionarán por vía telefónica. Esta gestión no debería de divergir demasiado del procedimiento del Documento de Seguridad de la Información relativo a la gestión de accesos a los sistemas de información, más bien debería basarse en él.

“Trust, but verify”, este era el lema de Ronald Reagan para la seguridad durante la década de los años 80. En Seguridad de la Información hay que tener muy presente la Ingeniería Social, se trata de una situación de riesgo donde la vulnerabilidad explotada es la confianza. Por tanto, es razonable pensar que para asegurar un servicio de atención telefónica frente a un Ingeniero Social, se debe eliminar el elemento de confianza explotable. Para hacer esto posible se debe hacer una política de autenticación de la identidad de la persona que llama por teléfono antes de ofrecerle la información solicitada. Esto puede ser una tarea difícil pues pedir poca información aún hará vulnerable al servicio de atención telefónica, y en cambio, pedir demasiada información lo convierte en impopular y hará que los usuarios lo vean como un interrogatorio.

Cuando se elabora la política de seguridad, debe aplicarse la práctica conocida como “defensa en profundidad”. Al igual que una empresa no debe depender únicamente de un cortafuegos para proteger la red, el servicio de atención al usuario no debe depender sólo de un método básico para la verificación de las personas que llaman. Para ayudar a detectar los intentos de ingeniería social han de ubicarse varios niveles de protección, cada uno con un nivel de alerta.

Parece pues interesante realizar un ajuste de los niveles de autenticación en base al tipo de información a la que se pretende acceder, pudiendo diferenciarse por ejemplo entre datos administrativos y datos de salud.

Ya se trate de una única clave o de un conjunto de datos existentes vinculados específicamente al ciudadano, estos dispondrán de un proceso de generación, un lugar de almacenamiento, un método de distribución para hacerlos llegar al interesado y como no, un sistema de “reseteo” o inicialización que permitirá volver a disponer del servicio en caso de olvido.

En todo sistema de información, como su propio nombre indica,  existe una información accesible, en este caso se trata de partir de un pequeño catálogo e ir incrementando el mismo paulatinamente en línea con la tecnología y recursos disponibles. Las fuentes de información que generalmente se ha implantado en los centros tienen una orientación a profesionales y no a la provisión de información a los titulares de la misma. Si la calidad de la información es importante para el correcto proceder profesional y la seguridad del paciente, esta nueva orientación debe nacer con vocación de transparencia por lo que la calidad de la misma, en su más amplio sentido de la palabra[1]  debe tenerse aún más presente si cabe.

Típicamente se suelen contemplar dentro del servicio las peticiones de información que se ajustan a la moda estadística o a la regla del 80-20 (principio de Pareto), teniendo también en consideración el criterio basado en la sensibilidad de la información y por supuesto las restricciones del medio de comunicación empleado.

A modo de ejemplo, un tipo de información accesible vía telefónica ya implantado, es la fecha de una cita para el médico de cabecera. No obstante, sería posible ofrecer otra clase de información del tipo: resultado de una prueba diagnóstica, de una analítica, un diagnóstico o tratamiento de un episodio clínico, etc.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] LOPD 15/1999, artículo 4 “Calidad de los datos”

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Ante este panorama, y con el objeto de no convertir este artículo en una guía de adecuación, sólo incidir en que las medidas de seguridad a considerar desde un punto de vista meramente legal estarán a lo dispuesto en la normativa de protección de datos y el esquema nacional de seguridad como garantes de un procedimiento de comunicación con los ciudadanos basado en la utilización del teléfono.

Llegados a este punto, y decididos a implantar el procedimiento que convertirá al Servicio de Atención Telefónica en un activo más de seguridad, habrá que sustanciar el mismo. Existen trabajos, proyectos, donde se ha pretendido llevar a cabo la autenticación mediante la verificación del locutor empleando la biometría[1] como mecanismo de control de acceso. No la biometría física, claro está, sino la biometría de comportamiento, aquella que usa características que reflejan la conducta de un individuo como por ejemplo la voz o la firma. Ello conlleva un proceso de recogida de muestras para crear una base de datos contra la que se va a efectuar el reconocimiento (matriculación), un chequeo de una muestra contra la citada base de datos (reconocimiento) y una aceptación o rechazo de la identidad en base al resultado del chequeo (decisión).

Actualmente también es posible que la tarjeta sim de los dispositivos móviles, ordenadores portátiles, tabletas electrónicas y por supuesto teléfonos móviles, contenga el certificado digital del propietario, en otras palabras, el documento de identidad electrónica. Esta tecnología permite acceder a las páginas web que requieren identificarse antes de entrar en ellas (entidades bancarias, empresas de servicios e instituciones públicas), emplear el móvil para validar la identificación o la edad a la hora de acceder físicamente a edificios (discotecas, oficinas o páginas para adultos) y claro está, en línea con este capítulo, acreditar la identidad del locutor durante una llamada telefónica combinando la red de voz y de datos.

No obstante, las alternativas antes mencionadas requieren de infraestructuras tecnológicas al efecto y ciertas habilidades y conocimientos en los usuarios por lo que aún no gozan de un nivel de implantación generalizado. En cambio, la autenticación basada en conocimiento, esto es una contraseña o clave que a su vez puede ir acompañada de un token (el teléfono), sí parece corresponderse con una solución más al alcance de los usuarios por su analogía con otros mecanismos globalmente implantados (por ejemplo la tarjeta de débito/crédito y el pin).

Esta propuesta aún tiene que resolver varios aspectos, técnicos, de procedimiento y legales,  que dependerán del nivel de servicio que se pretenda ofrecer, como pueden ser:

  • El proceso de alta de los interesados en la activación del servicio.
  • La generación, almacenamiento, distribución y desbloqueo/reseteo de la clave.
  • El catálogo de información que será accesible.
  • La informatización de los formularios de recogida de datos para su cumplimentación por el Servicio de Atención Telefónica.
  • Determinación del sistema de respuesta en base al nivel de disponibilidad de la información.
  • Tiempos de respuesta objetivo según el sistema elegido.
  • Implementar el mecanismo de grabación y registro de llamadas.
  • Definición de controles y evaluación de resultados.
  • Adecuar a la normativa el nuevo tratamiento de datos. Modificar la inscripción de los ficheros en el registro de la AEPD.
  • Etc…

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] Técnica utilizada para autenticar o identificar a un individuo basada en su fisiología o en las características de su comportamiento.

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Por tanto, si un incidente de seguridad sobre los canales de atención telefónica pudiera tener repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos, nos encontraríamos con que tales canales estarían dentro del ámbito contemplado en el ENS.

Siguiendo con la Ley 11/2007, también resulta de interés el artículo 27 que establece lo siguiente:

“1. Los ciudadanos podrán elegir en todo momento la manera de comunicarse con las Administraciones Públicas, sea o no por medios electrónicos, excepto en aquellos casos en los que de una norma con rango de Ley se establezca o infiera la utilización de un medio no electrónico. La opción de comunicarse por unos u otros medios no vincula al ciudadano, que podrá, en cualquier momento, optar por un medio distinto del inicialmente elegido.

  1. Las Administraciones Públicas utilizarán medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos.
  2. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.
  3. Las Administraciones publicarán, en el correspondiente Diario Oficial y en la propia sede electrónica, aquellos medios electrónicos que los ciudadanos pueden utilizar en cada supuesto en el ejercicio de su derecho a comunicarse con ellas.”[1]

Así pues, para que el teléfono pueda ser utilizado como un medio de comunicación con los particulares, deberá haber sido así habilitado como tal por el Organismo, reuniendo los requisitos a que se refiere el artículo transcrito y demás señalados en la normativa de desarrollo de dicha Ley.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1]El subrayado es de la Agencia de Protección de Datos.

Los mensajeros de los dioses (IV). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Sin embargo, y a pesar de lo expuesto, lo cierto es que existen otras fórmulas más correctas para asegurar que se facilita a la persona interesada (y no a otra) información sensible por teléfono (consentimiento por escrito al efecto y declaración de un número clave o identificador –por ejemplo, número de historia clínica- previo a decir cualquier información), por lo que se recomienda al Hospital que implemente medidas complementarias para asegurar la identidad del interlocutor en una llamada telefónica, medidas que, previamente, se adviertan al paciente.”[1]

La normativa sectorial, la mencionada Ley 41/2002, precisamente en el mismo artículo 7 relativo al derecho a la intimidad, también deja una puerta abierta para habilitar el servicio de información telefónica cuando en su apartado 2 dice así:

“2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.”

No podemos pasar por alto las implicaciones que tiene la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en este sentido viene a colación el artículo 8 que señala lo siguiente:

“1. Las Administraciones Públicas deberán habilitar diferentes canales o medios para la prestación de los servicios electrónicos, garantizando en todo caso el acceso a los mismos a todos los ciudadanos, con independencia de sus circunstancias personales, medios o conocimientos, en la forma que estimen adecuada.

  1. La Administración General  del  Estado  garantizará  el  acceso  de  todos  los ciudadanos a los servicios electrónicos proporcionados en su ámbito a través de un sistema de varios canales que cuente, al menos, con los siguientes medios:
  • a) Las oficinas de atención presencial que se determinen…
  • b) Puntos de acceso electrónico…
  • c) Servicios de atención telefónica que, en la medida en que los criterios de seguridad y las posibilidades técnicas lo permitan, faciliten a los ciudadanos el acceso a las informaciones y servicios electrónicos a los que se refieren los apartados anteriores.”[2]

Por tanto, la atención telefónica “segura”, está comprendida dentro de los canales que podrán ser utilizados por los ciudadanos para el ejercicio de sus derechos.  Esto significa que habrá que tener presente el Real Decreto 3/2010 de Seguridad de la Información en la Administración Electrónica Española, más conocido como Esquema Nacional de Seguridad o ENS, cuyo objetivo fundamental es eliminar o minimizar el impacto que un incidente de seguridad tendría en el desenvolvimiento del organismo. Así, el artículo 43.3 del ENS se refiere al impacto, cuando señala:

“3. La valoración de las consecuencias de un impacto negativo sobre la seguridad de la información y de los servicios se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.”

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1]El subrayado corresponde al autor, no está presente en el informe original de la AEPD.

[2]El subrayado corresponde al autor, no está presente en la Ley referida.

Los mensajeros de los dioses (III). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Procedamos con la caída del mito, la destrucción de la leyenda. La propia Agencia Española de Protección de Datos, en su informe jurídico 411-2010 relativo a la comunicación de datos de accidentes de tráfico a compañías aseguradoras, reconoce la posibilidad de proporcionar información por vía telefónica bajo ciertas condiciones:

“En este sentido, esta Agencia ha señalado la posibilidad de facilitar datos por vía telefónica cuando el sistema utilizado para acreditar la identidad de la persona que llama impida que terceras personas no autorizadas puedan acceder a la información referida al afectado, procedimientos que normalmente exigen la existencia de una clave de acceso como mecanismo de identificación del interesado.

En el presente supuesto, habrá que estar igualmente a si el Organismo en el que presta servicios el consultante ha habilitado, con carácter general, un procedimiento de acreditación que permita, con la utilización de las claves que se establezcan y guardando las debidas medidas de seguridad, facilitar datos personales por esta vía.”

En esta línea también se pronunció la extinta Agencia de Protección de Datos de la Comunidad de Madrid en una Resolución contra el Hospital Universitario Puerta del Hierro respecto de la aplicación de las medidas de seguridad (artículo 9 LOPD). La Resolución concluía lo siguiente en su Fundamento de Derecho II:

“De acuerdo con la información obrante en los precedentes Antecedentes de Hecho, la denunciante comunicó a esta Agencia de Protección de Datos de la Comunidad de Madrid una presunta vulneración de la normativa sobre protección de datos por parte de personal del Servicio de … del Hospital Universitario Puerta de Hierro Majadahonda, al haberle comunicado por teléfono resultados de una prueba médica, sin comprobar la identidad del interlocutor, pudiendo haber ocurrido que dichos resultados hubieran sido dados a otro sujeto distinto de ella, la paciente.

El Hospital indica que, si bien existen instrucciones precisas para no facilitar información de resultados de pruebas médicas por teléfono, el médico de la paciente indica que se acordó en consulta previa con la interesada hacerlo así para decidir cuanto antes qué tratamiento seguir; estando conforme ésta en que ello se hiciera así, facilitó su número de teléfono para tal fin.

En la descripción de la llamada en cuestión queda claro que se habló con la paciente y que fue a ésta a quien se facilitó la información de los resultados. Así lo indica la propia interesada en la denuncia. En este caso el doctor que llamó a la paciente adoptó ciertas cautelas (no hablando de resultados sobre la prueba médica hasta que, por el curso de la conversación, comprobó que era la interesada directa). Por lo tanto, no hubo en este caso una vulneración del deber de secreto del médico o un quebranto de las medidas de seguridad.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez