BoletındivulgativodeInnovacionyNuevasTecnologıasPublicadoporelGabineteTecnológico

DireccióndeInformáticayTelecomunicaciones

Todoslosejemplaresestandisponiblesenwww.euskadi.eus/informatica Enviadvuestrassugerenciasa:aurrera@euskadi.eus

D esde 2002, el Gobierno Vasco ha venido desarrollando distintosPlanesparaimpulsarenEuskadilaSociedaddelaInformacion.Alolargode los ultimosmeses,porejemplo,hapuestoenmarchaunaserie de ayudas denominadas PEBA, cuyo objetivo es acelerar la

expansiondelabandaanchaenaquellaszonasdeEuskadiqueporunmotivouotroaunnodisponendeella.Alolargodeesteartıculo,conoceremoscualessuorigen,susantecedentesyelpapeldelaAdministracion.

El25demayode2018seconvertiraenotrafechaimportantedesdeelpuntodevista de los derechos de las personas, ya que ese dıa entrara en vigor elReglamento 2016/679 del Parlamento Europeo y del Consejo, relativo a laproteccion de las personas fısicas en lo que respecta al tratamientodedatospersonales.Estanuevanormativatraeraconsigonumerosasnovedades,porloqueconvieneconocercadaunadeellasparairadaptandonuestraorganizacionypoder ası cumplir los nuevos requisitos legales. En el segundo tema de esteboletın, por tanto, haremosunaprimera aproximacion a esteReglamento y ospresentaremossusprincipalescaracterısticas.

En el apartado «Alboan», os presentamos un interesante proyecto que hanpuesto en marcha las Direcciones de Atencion a la Ciudadanıa, Innovacion yMejora de la Administracion (DACIMA) y la de Relaciones Laborales paramejorarelserviciodelcomedorubicadoenlasededelGobiernoVascoenLakua;setratadeunsistemaquenospermitiratramitarlospedidosdelmenúdeldíasin necesidad de utilizar los tickets en papel que eran imprescindibles hastaahora.Trasunperiododepruebas,apartirdeahoralaspersonasquehaganusodel serviciodelcomedordeberan realizar el encargo a traves de esta nuevaaplicacion. Si quereis conocer sus caracterısticas, no os perdais el artıculo quehemospreparado.

Paraacabar,enlaseccion«Breves»,incluiremosunareferenciaalacuerdoquerecientementeha irmadolasociedadinformaticadelGobiernoVasco,EJIES.A.,con Mondragon Unibertsitatea, donde detallaremos cual es su objetivo y lasaccionesquesetienenprevistollevaracabodentrodelmismo.Ycomosegundopunto,hablaremosdelrobodedatospersonaleseninternet.

ÍNDICE 

Plan PEBA: Banda 

Ancha para toda 

Euskadi 

 Pág. 2 

Reglamento 

Europeo de 

Protección de Datos 

Pág. 6 

Alboan: 

Tickets Jantoki 

Lakua 

Pág. 10 

Breves: 

Acuerdo entre EJIE 

y Mondragon 

Unibertsitatea 

Robo de datos en 

internet 

Pág. 12 

URRERA! Nº 61 

sep embre 2017 

2 sep embre 2017 

bole n AURRERA!   nº 61

Plan PEBA: Banda Ancha para toda Euskadi 

Disponerdeunasbuenastelecomunicacionesesfundamentalparaqueunpaıspuedasercadadıamascompetitivo.ConelobjetivodequetodaslasregionesdeEuropaestenen igualdaddecondiciones, lasAdministracionesPublicasestan impulsandodistintosPlanesparaextenderlaBandaAncha1,yEuskadinosequedaatras.

Q ue una persona o empresa(independientemente de donderesida o donde este establecida)disponga de una conexion a

Internetrapidaysegura,seconsiderahoyendıa un elemento clave para una sociedadmoderna, ya que ello le permitira realizaractividades cotidianas o cualquier tramitecon laAdministraciondeunamanera facil ycomoda,locualiraenaumentodebido,entreotras cosas, a la Ley 39/2015, de 1 deoctubre, del Procedimiento AdministrativoComundelasAdministracionesPublicas,quepretende impulsar el uso de los mediostelematicosporpartedelaciudadanıa.

Sin embargo, y aunque parezca extrano,algunaszonasdenuestroentornotodavıanodisponendeunabuenaconexionaInternetnide las infraestructuras adecuadas. Laprincipal razon es economica, ya que parauna companıa de telecomunicaciones o ISP2puede serle muy costoso ofrecer el servicioen esas zonas. Instalar y con igurar toda lainfraestructura necesaria le puede suponeruna gran inversion y el numero de clientespotenciales (personas o empresas) es muyreducido, por lo que al ISP puede que no lesearentablehacerlainversion.

OBJETIVO 2020 

Para lograr que todas las personas esten en

igualdaddecondicionesydispongande losmismos recursos, independientemente de sulugarde residencia, a lo largode los ultimosanos las Administraciones Publicas hanpuesto en marcha distintos Planes. En estaocasion,noscentraremosenel«PEBA»,siglasde «Programa de Extension de la BandaAncha (PEBA)», cuyo objetivo es preci‐samente acelerar la implantacion de lasinfraestructurasnecesariasparaquetodaslaspersonas/empresasdeunazonadeterminadadispongandeaccesoalaBandaAncha.

A diferencia de otros Planes anteriores osimilares a este, las ayudas o subvencionesPEBA van destinadas a las empresasoperadoras de telecomunicaciones, ya queson ellas quienes se encargaran, en ultimainstancia, de instalar la infraestructura quepermitiraampliarlacoberturadelasredesdetelecomunicaciones, lo cual impulsaraademas la sociedad de la informacion y elconocimiento en cualquier territorio de laUnionEuropea.

En de initiva, con esta iniciativa lasAdministraciones pretenden apoyar a laszonas mas remotas y en riesgo dedespoblacion de cada uno de los paısesmiembrosde laUnionEuropea,yaque, talycomo sea irmaenvarios informesde laUE,«losdatosde2014indicanquelosciudadanos

1Bandaancha:losserviciosdeaccesodebandaanchasonaquellosquepermitenaunapersona,usandounterminal(ordenador,movil,etc.)disponerdeunaconexionaInternetpermanenteyconunacapacidaddetransmi‐sionelevada.

Lasvelocidadessemidenporbitsporsegundo,porejemplo,kilobitsporsegundo(kbit/s)omegabitsporsegundo(Mbit/s).

Elconceptodebandaanchahaevolucionadoalolargodelosanos.Lavelocidadquepropor‐cionaba,porejemplo,elRDSIerade128Kb/s,despuessepasoalADSLconunavelocidadde256Kb/s,yactualmentesehablade25Mb/ssimetricos.

Losserviciosdebandaanchasuelencomerciali‐zarseempaquetadosconotrosserviciosdetele‐comunicaciones,comoelserviciotelefonico ijoy/omovil,asıcomoserviciosdetelevision.

2ISP:elsigni icadodeestassiglases«InternetServiceProvider»(encastellano,«ProveedordeServiciosdeInternet»).

nº 61  bole n AURRERA!

sep embre 2017 3

y las empresas de la UE se conectan más,compran más por internet, tienen mayorcon ianzaymanejanmejor las tecnologíasdela información y las comunicaciones. […] Losdatos señalan también que en la UE,especialmenteenlaszonasrurales,haymuchagente que no usa la banda ancha de altavelocidad para satisfacer sus necesidadesdigitalesyeldé icitdecompetenciasdigitalessiguesiendoungranproblema.»

Ya en 2010, la Comision Europea, en la«AgendaDigitalparaEuropa2020» indicabalosiguiente:

«Aunque250millonesdeeuropeossesirvendeinternetadiario,aúnhaymillonesquenuncalo han utilizado. Las personas con disca‐pacidadtienenespecialesdi icultadesalahorade disfrutar de los nuevos contenidos yservicios electrónicos. Cada vez más tareascotidianas se hacen en línea: para participarplenamente en la sociedad todos necesitamosunamayorcapacitacióndigital.»

En dicha Agenda Digital, que incluıa 101acciones agrupadas en 7 pilares, uno de los

cuales (en concreto, el cuatro) hacıareferencia al «AccesorápidoyultrarrápidoaInternet», se establecıan los siguientes dosgrandesobjetivospara2020:

Que toda la poblacion tenga acceso alservicio de Banda Ancha de NuevaGeneracion(30Mbpscomomınimo).

Quealmenosel50%delapoblaciontengaacceso al servicio de Banda Anchaultrarrapida (velocidad superior a 100Mbps).

Se considera que alcanzar estos objetivos«abrirá el camino a servicios innovadorescomo la sanidad electrónica, las ciudadesinteligentesylaeconomíadelosdatos.».

Desde el punto de vista tecnologico se haoptado por potenciar las conexiones deBanda Ancha o NGA3. [ver cuadro titulado«RedesNGA»]

Sinembargo,yantesderealizareldesplieguetecnologico, se han elaborado distintos

3NGA:sonlassiglaseninglesde«NextGenerationAccessnetworks»,queencastellanosetraducirıacomoRedesdeaccesodeNuevaGeneracion.

4ADSL:siquereissabermassobreestatecnologıaysusprincipalescaracterısticas,podeisconsultarelartıculotitulado«ADSL»publicadoenelboletınAurreranº3(marzode2001)

Redes NGA 

La cobertura de banda ancha básica a 1 Mbps 

está disponible desde el 1 de enero de 2012 

para  cualquier  persona  que  la  solicite  a 

Telefónica de España (Movistar), en su calidad 

de operador designado para  la prestación del 

servicio universal,  independientemente de su 

localización geográfica. 

Sin  embargo,  las  Tecnologías  siguen  avan‐

zando y ahora  se  trata de extender  las  redes 

de  acceso  de  nueva  generación  o  NGA,  es 

decir,  son aquellas que permiten velocidades 

de banda ancha de más de 30 Mb/s.  

La tecnología que permite ofrecer ese  po de 

servicios  de  banda  ancha  engloba  las  redes 

ADSL4  («Asymmetric Digital Subscriber Line»; 

en  castellano,  Línea  de  Abonado  Digital 

Asimétrica de abonado digital sobre pares de 

cobre)  y  VDSL  («Very high‐bit‐rate Digital

Subscriber Line»,  línea de  abonado digital de 

muy alta  tasa de  transferencia);  las de cable, 

con  soluciones  híbridas  de  fibra  y  coaxial 

(HFC);  las  FTTH  (del  inglés  «Fiber To The

Home»,  en  castellano  Fibra  óp ca  hasta  el 

hogar);  las radioeléctricas basadas en WiMAX 

y  las  redes móviles 3,5G  (UMTS  con HSPA)  y 

4G (LTE). 

Según  el  úl mo  informe  elaborado  por  la 

CNMC  (Comisión Nacional de  los Mercados y 

la Competencia),  tulado «Análisis Geográfico

de los servicios de banda ancha y despliegue

de NGA en España»  (publicado  en  abril  de 

2017),  se  es ma  que  a  junio  de  2016  los 

accesos  instalados de banda ancha de nueva 

generación  han  aumentado  en  España  un 

29,5%, alcanzando los 37,2 millones. 

4 sep embre 2017 

bole n AURRERA!   nº 61

estudios sobre cada territorio para conocercualessusituacionactualysaberquepasossonnecesariosrealizaracortoymedioplazo.Para ello, se han tenido en cuenta lasinfraestructuras de telecomunicaciones quecadazonao localidadtieneactualmenteysehanestablecidotrescategorıas:

ZonaBlanca:enestacategorıaseenglobanlaszonasohabitantesquenotienenredesde Banda Ancha de nueva generacion y,ademas, es poco probable que dispongandeellaenlosproximos3anos.EnelcasodeEuskadi,porejemplo, alrededorde86.000personas viven en una de estas zonas, esdecir, aproximadamente el 7% de lapoblacion.

ZonaGris: en esta zona solo hay una redde telecomunicaciones (o se preve que enlos proximos 3 anos se despliegue una) yno se preve que otro operador despliegueotraredNGA.EnelcasodeEuskadiel23%de lapoblacion,aproximadamente,viveenunadeestaszonas.

Zona Negra: en esta zona ofrecen susservicios como mınimo dos empresas detelecomunicaciones (o sepreve que en losproximos3anoshayadosoperadoras).Porlo tanto, se considera que habra ciertacompetencia entre ambas. En el caso deEuskadi, se calcula que aproximadamenteel70%delapoblacionviveenunadeestaszonas.

EN EUSKADI 

Desde 2002 y hasta la fecha, el GobiernoVasco,porsuparte,hadesarrolladodistintosPlanes para impulsar la Sociedad de laInformacion. Cada uno de ellosha puesto el enfasis endiferenteselementosenfunciondelasprioridadesdelasociedady la economıa vasca, perotambien de la evolucion tecno‐logicadelmomento.Repasamosa continuacion algunos de ellosysusprincipalescaracterısticas:

Euskadi2000tres. Se tratadeunplanpioneroque,sinserunplanespecı icodeSociedadde

la Informacion, incorporo por primera vezel fenomeno digital a las polıticas delGobiernoVasco.

Plan Euskadi en la Sociedad de laInformación 2002‐2005 (PESI). Estruc‐turo los ambitos de la Administracion, laEmpresa y, especialmente, la Ciudadanıa,poniendo especial atencion en laincorporaciondeordenadoresconaccesoainternet de la mayor parte de los hogaresvascos y en la alfabetizacion de laciudadanıa. Y es aquı cuando surge lainiciativaKZgunea5.Sepretendıa,conello,poder activar la demanda de serviciosdigitalesque,tantolaadministracioncomolas empresas, ya empezaban a desplegar atravesdeinternet.

Plan Euskadi en la Sociedad de laInformación 2010 (PESI 2.0). Posee unenfoque mucho mas inalista, poniendo elfoco en el uso que la ciudadanıa y lasempresas hacıan de estas tecnologıas. Deahı que se considerara a las TIC comopalanca para la innovacion empresarial,

para la creacion de unaciudadana activa e incluso parala difusion de contenidos en lared.

AgendaDigitalEuskadi2015(AD@15).Esteplanmantiene laestructura de Administracion +Empresa+Ciudadanıa+Infraes‐tructuras, poniendo un especialenfasis en la extension de laAdministracion electronica y lamodernizacion de los servicios

5KZgunea:bajoelamparodelPlanEuskadienlaSociedaddelaInformacion(PESI)2002‐2005sepusieronenmarchaunaseriedeacciones,comopuedenserentreotras,«KonektaZaitez»,quesubvencionolacompradeordenadoresconconexionaInternetoel«carnédeconducirordenadores»(masconocidoscomoITTxartela).

PerounadelasiniciativasmasambiciosasencuantoalaintegraciondelaciudadanıaenlaSociedaddelaInformacionfueelproyectoKZguneapor

elquesecrearıaunareddetelecentrospublicosgratuitosparalaformacionyelusodelasTecnologıasdelaInformacionylaComunicacion(TIC).

http://www.kzgunea.eus

«Estas inicia vas  enes como 

obje vo acelerar la implantación 

de las infraestructuras necesarias 

para que todas las 

personas/empresas dispongan de 

acceso a la Banda Ancha.» 

nº 61  bole n AURRERA!

sep embre 2017 5

publicos, introduciendo el componentesectorialdeestos,comosonlasanidadolaeducacion. Tambien aparecen por primeraveznuevosparadigmas, comoel«Gobiernoabierto».

Agenda Digital de Euskadi 2020(AD@2020). Este es, precisamente, el Plandel Gobierno Vasco para impulsar laSociedad de la Informacion y elConocimiento en Euskadi, Para ello, se haestructurado en 4 ejes, 11 retosestrategicos y 62 iniciativas, como puedenser, entre otras, mejorar la conexion (lastelecomunicaciones) de cualquier zonadonde viva gente o se ubiquen empresas(polıgonosindustriales).Elobjetivo inaldeesta medida es conseguir un territoriointeligenteycohesionado.

Tal y como se ha indicado al principio, enmuchas ocasiones la razon por la que unazona o region no dispone de una buenacobertura se debe a que para las empresasoperadoras de telecomunicaciones no les eseconomicamente rentable ofrecer BandaAncha. En el caso de Euskadi, por ejemplo,existen mas de 800 barrios dentro de las

llamadas «ZonasBlancas», lamayorıa de lascuales estan en Araba y abarcan zonasrurales.

Conobjetoderompero,almenos,disminuiresta«brechadigital»ymejorarel«equilibrioterritorial»entrelaszonasbiencomunicadasy las que no disponen de la infraestructuranecesaria, y cumplir ademas lo establecidopor Europa, se estan promoviendo distintosPlanesPEBA.

Paraello,elGobiernoVasco,porejemplo,haelaboradoesteanounPlanPEBA(gestionadopor el Departamento de Desarrollo Eco‐nomico e Infraestructuras6 y cuya dotacioneconomica asciende amas de 8millones deeuros) para dar servicio a los polıgonosindustriales, y en breve publicara otro PlanPEBA (en este caso, gestionado por laDireccion de Informatica y Teleco‐municaciones), el cual estara dirigido a darservicio a distintas zonas o nucleos depoblacion. El importe asignado a esteprograma de ayudas, que estara en vigordurante los ejercicios 2017, 2018 y 2019,asciendeenestecasoa10millonesdeeurosarepartirentretodaslasZonasBlancas.

En este caso, se ha designado a ITELAZPI7como Entidad Colaboradora, es decir, seraesta sociedad publica quien se encargue deexaminar y evaluar las ofertas que sepresenten.

Todas estas iniciativas, en de initiva, tienencomo inultimoelimpulsarlasociedaddelainformacion y el conocimiento, ası como demejorar la calidad de vida y la economıa delas personas y territorios de la UnionEuropea.

6DepartamentodeDesarrolloEconómicoeInfraestructuras:paramasinformacionsobreestaayudapodeisconsultalaOrdende27dejuniode2017,delaConsejeradeDesarrolloEconomicoeInfraes‐tructuras,porlaqueseregulayconvoca,paraelejercicio2017,elprogramadeayudasalaextensionderedesdebandaanchadenuevageneracionenpolígo‐nosempresarialesdeEuskadi.

(BOPVnº130,de10dejuliode2017)

7Itelazpi:eslasociedadpublicadetelecomuni‐cacionesdelGobiernoVasco(creadaen2003)quegestionaunaredterrestredemasde240centros,siendosuprincipaltareagestionarlareddetransporteydifusiondelassenalesdetelevisionyradio.

ParamasinformacionpodeisconsultarelboletınAurreranº13(marzode2004)

http://www.itelazpi.eus

CoberturaenelPaísVasco(2016)

Velocidad: Cobertura:

>=2Mbps 99%

>=10Mbps 96%

>=30Mbps 93%

>=100Mbps 92%

Fuente:MinisteriodeEnergía,TurismoyAgendaDigital(MINETAD)

6 sep embre 2017 

bole n AURRERA!   nº 61

A partirdemayode2018,ydebidoa las novedades legislativas(sobretodoalnuevoReglamentoEuropeo sobre proteccion de

datospersonales),nuestraorganizacionvaatenerqueadaptarsealanuevalegislacion,loque implicarevisarsupolıticadeprotecciondedatosdecaracterpersonalydeseguridadde la informacion, y, como no, tambien susprocesosasociados.

Este nuevo Reglamento General de Pro‐teccion de Datos (RGPD, en adelante), seadopta, no se traspone (es decir, esdirectamenteaplicable,comosenalamosmasadelante).

Si bien elRGPDentro envigor el pasado25demayode2016,sedeberaaplicaralcabodedos anos de su entrada en vigor, es decir, apartirdel25demayode2018.Enestosdosanos losEstadosmiembrospuedenadoptaroiniciarlaelaboracióndedeterminadasnormasqueseannecesariasparapermitirofacilitarlaaplicacióndelReglamento,peroestasnormasnopuedensercontrariasalasdisposicionesde

lavigenteDirectivanitampoco irmásalládelos poderes de actuación normativa que elpropioReglamentoprevéde formaexplícitaoimplícita(fuenteAEPD8).Estosigni icaqueesdirectamente aplicable a todos los estadosmiembro, y que se deberan de eliminarsituacionesdeincertidumbrederivadasdelaexistencia de normas nacionales incom‐patibles con el RGPD (el Reglamento es unanormajurıdicaconalcancegeneralye icaciadirecta).

¿A que organizaciones se aplica el RGPD? ElReglamento se aplicará a responsables oencargados de tratamiento de datos esta‐blecidos en laUniónEuropea, ampliándose aresponsablesy encargadosno establecidos enla UE siempre que realicen tratamientosderivados deuna oferta de bienes o serviciosdestinados a ciudadanos de laUnión o comoconsecuencia de una monitorización y se‐guimiento de su comportamiento (fuenteAEPD).

SITUACIÓN ACTUAL  

A dıa de hoy la políticadeproteccióndedatosdecarácterpersonal enel ambitodela administracion publica de la ComunidadAutonoma de Euskadi (que engloba a losDepartamentosyOrganismosAutonomos)sebasa enunAcuerdodeConsejodeGobierno(ACG) de 16 de julio de 2002, sobre laorganizacion de la seguridad de los icherosautomatizadosdedatosdecaracterpersonalde la administracion de la ComunidadAutonoma del Paıs Vasco. (Expte. Num.:20020062A710244).

LOPD Y RMS  

Hayquetenerencuentaqueenelano2002

Reglamento Europeo de Protección de Datos 

A partir del proximo 25 de mayo de 2018 se debera aplicar el Reglamento (UE)2016/679delParlamentoEuropeoydelConsejo,de27deabrilde2016,relativoalaproteccion de las personas fısicas en lo que respecta al tratamiento de sus datospersonales.

8AEPD:AgenciaEspanoladeProtecciondeDatos,eslaautoridadpublicaindependienteencargadadevelarporlaprivacidadylaprotecciondedatosdelaciudadanıa.

https://www.agpd.es

nº 61  bole n AURRERA!

sep embre 2017 7

estabanvigenteslaLeyOrganica15/1999,de13 de diciembre de Proteccion de Datos decaracter Personal (LOPD, en adelante) y elReglamento deMedidas de Seguridad de losicheros automatizados que contengan datosde caracter personal, aprobado por RealDecreto 994/1999, de 11 de junio (RMS, enadelante); este Reglamento solo hacıareferencia a los icheros automatizados (ensoporte magnetico), y no a los icheros noautomatizados(ensoportepapel).

RD 1720/2007 Y ROLES ASOCIADOS 

Posteriormente,enelano2007,sepublicoelRealDecreto1720/2007,de21dediciembre,por el que se aprueba el Reglamento dedesarrollodelaLeyOrganica15/1999,de13de diciembre, de proteccion de datos decaracterpersonal,queabarcatantoa icherosautomatizados como a icheros no auto‐matizados,yderogaelRMS.

Actualmente existen tres igurasimportantes respecto a la legislacion deproteccion de datos de caracter personal: lapersonaResponsableoEncargadadeFichero,la entidad responsable de Tratamiento y lapersona Responsable de Seguridad. El ACGatribuye una serie de competencias a laspersonas Responsables de Fichero y a laspersonas Responsables de Seguridad,asimismo dice que «todos los icherosautomatizados que contengan datos decarácter personal deberán estar adscritos auna unidad orgánica con rango deDirección» (Direcciones Sectoriales comoResponsables de Fichero con datos decaracter personal), de modo que sea esta laque asume la posicion de Responsable deFichero o Tratamiento, y recomienda que lapersona Responsable de Seguridad de todoslos icheros con datos de caracter personaldeunDepartamentosealamisma.

ENCARGADO DE TRATAMIENTO 

La Sociedad Publica Eusko Jaurlaritzaren

Infornatika Elkartea A.B./Sociedad Informa‐tica del Gobierno Vasco, S.A. (en adelante

EJIE9)es laqueseocupade laprestaciondeserviciosinformaticosalaAdministraciondela Comunidad Autonoma del Paıs Vasco

(segun la disposicion adicional segundaDecreto 35/1997, de 18 de febrero, por elque se regula la plani icacion, organizacion,distribucion de funciones y modalidades de

gestion en materia de sistemas de infor‐macion y telecomuni‐caciones), por lo queactua como encargado del tratamiento, porcuenta del responsable del ichero (segun el

ACG «el responsable del ichero podráencargarel tratamientodedatosaEJIE,que,comoencargadodeltratamiento,actuaráporcuentadelresponsabledeéste,deacuerdocon

lo estipulado en el contrato‐programa quevincula a lamercantil con la Administraciónde laComunidadAutónomadelPaísVasco(o,en su caso, en el correspondiente convenio) y

conlasinstruccionesdadasporelresponsabledel ichero»). No obstante, pueden existirotros encargados de tratamiento distintos aEJIE.

DIRECCIONES SECTORIALES, RF Y RS 

Luego tenemos que el ACG marca que losResponsables de Fichero (RF) son lasDireccionesSectoriales,conResponsablesdeSeguridad (RS) Departamentales (abarcan aun conjunto de Direcciones Sectoriales, lasque tengacadaDepartamentoen sucaso), ycon almenos unEncargadodeTratamiento,queesEJIE.

RGPD Y RESPONSABILIDAD ACTIVA 

El nuevo Reglamento Europeo (RGPD) antetodo espreventivo, basandose en lo que sedenominaresponsabilidadactiva;paraellocontempla una baterıa de medidas a traves

9EJIE:eslaSociedadInformaticadelGobiernoVasco,unaempresapublicadeserviciosdelasTecnologıasdelaInformacionylasComunicaciones(TIC),cuyamisionescontribuirdemanerae icazalaconsecucióndeunSectorPúblicoVascomodernoye iciente,enelMarcoLegalestablecidoporelGobierno,conlaseguridadycalidad

establecidas.

8 sep embre 2017 

bole n AURRERA!   nº 61

de las cuales las organizaciones y empresasaseguran que estan en condiciones decumplir con los derechos, obligaciones ygarantıas que el propio Reglamento esta‐blece.Lasmedidassonlassiguientes:

Proteccion de datos desde el diseno(«privacybydesign»10)

Protecciondedatospordefecto

Medidasdeseguridad

Mantenimiento de un registro de acti‐vidadesdetratamientos

Realizacion de evaluaciones de impactosobrelaprotecciondedatos(PIA11)

Nombramiento de una persona quedesempene el puesto de delegado deproteccióndedatos(DPD)

Noti icaciondeviolacionesdelaseguridadde los datos (gestion de incidentes) a laautoridaddecontrol

Promocion de codigos de conducta y es‐quemasdecerti icacion.

RGPD Y ROLES ASOCIADOS 

Como hemos senalado en el apartadoanterior, aparece una igura nueva, lapersonadelegadadeproteccióndedatos(DPD) (desaparece el rol de personaResponsable de Seguridad), junto con las

iguras de responsable de tratamiento yencargado del tratamiento. Cabe destacarqueelconceptode icheroessustituidoporelde tratamiento, y por ende, el anteriorresponsablede icheropasaaserresponsablede tratamiento (habra que establecer larelacionentreel icherocondatosdecaracterpersonal actual y las actividades detratamiento asociadas con este ichero).Asimismo, al no existiricheros, deja de sernecesarioelregistrodeicheros con datos decaracter personal, queen nuestro ambito serealiza ante la AgenciaVasca de Proteccion deDatos(AVPD12),sibien,a partir de mayo de2018, cada organizacion debera llevar unregistrodelasactividadesdetratamiento(elresponsable o el encargado del tratamientodebemantenerregistrosdelasactividadesdetratamientobajosuresponsabilidad).

RGPD Y ANÁLISIS  DE RIESGOS  

Paradeterminarquemedidasaplicarycomohacerlo todas las personas responsables detratamiento deben de realizar análisis deriesgos de los tratamientos (utilizacionsistematicadelainformaciondisponiblepara

10Privacybydesign:paramasinformacionverelartıculotitulado«Seguridaddesdeeldiseño(privacybydesign)»delboletınAurreranº43(marzode2013)

11PIA:acronimodePrivacyImpactAssessment,evaluacionesdeimpactoenlaprivacidad.Herramientaquepermiteconocerunproductooserviciodesdeelpuntodevistadelaprotecciondedatospersonales.ParamasinformacionverboletınAurreranº43(marzode2013).

12AVPD:AgenciaVascadeProtecciondeDatos.LaLey2/2004,de25defebrero,deFicherosdeDatosdeCaracterPersonaldeTitularidadPublicaydeCreaciondelaAgenciaVascadeProtecciondeDatos,con iguraaestacomounentedederechopublico,conpersonalidadjurıdicapropiayplenacapacidadpublicayprivada,queactuaconplenaindependenciadelasAdministracionesPublicasenelejerciciodesusfunciones.

www.avpd.euskadi.eus

Consen miento según el RGPD 

El consen miento debe darse mediante un

acto afirma vo claro que refleje una

manifestación de voluntad libre, específica,

informada, e inequívoca del interesado/a de

aceptar el tratamiento de datos de carácter

personal que le conciernen, como una

declaración por escrito, inclusive por medios

electrónicos, o una declaración verbal. Esto

podría incluir marcar una casilla de un si o

web en internet, escoger parámetros técnicos

para la u lización de servicios de la sociedad

de la información, o cualquier otra declaración

o conducta que indique claramente en este

contexto que la persona interesada acepta la

propuesta de tratamiento de sus datos

personales. Por

tanto, el silencio,

las casillas ya

marcadas o la

inacción no deben

cons tuir consen‐

miento. El consen miento debe darse para

todas las ac vidades de tratamiento

realizadas con el mismo o los mismos fines.

Cuando  el  tratamiento  tenga  varios  fines, 

debe  darse  el  consen miento  para  todos 

ellos. Si el consen miento del interesado/a se

ha de dar a raíz de una solicitud por medios

electrónicos, la solicitud ha de ser clara,

concisa y no perturbar innecesariamente el

uso del servicio para el que se presta.

nº 61  bole n AURRERA!

sep embre 2017 9

identi icar peligros y estimar los riesgos, eneste caso, desde el punto de vista de lostratamientosquecontengandatosdecaracterpersonal). Paralelamente, el Esquema Na‐cionaldeSeguridad(ENS13),dentrodeunodesusprincipiosbasicos,artıculo6.Gestióndelaseguridad basada en los riesgos, tambienestablece el analisis y la gestion de riesgoscomo aspecto clave en el ambito de laAdministracion Electronica, que tiene lainalidad de poder dar satisfaccion alprincipio de proporcionalidad en elcumplimiento de los principios basicos yrequisitos mınimos para la proteccionadecuadadelainformacion.Pararealizarestanueva tarea se puede utilizar unametodologıa ya conocida, como puede serMAGERIT14.

CONSENTIMIENTO DE LA PERSONA 

INTERESADA: EXPRESO VS TÁCITO 

La LOPD exige el consentimiento inequıvocode la persona intere‐sada para el trata‐miento de sus datospersonales, salvo quenos encontremos bajoalgunosde los supues‐tos que eximen de esepermiso (Administra‐ciones, amparo legal,fuentes accesibles alpublico, por motivoscontractuales…). En cualquier otro caso lonormal es que lo hayamos conseguidodurante la recogida de los datos. Esteconsentimiento estara limitado al trata‐mientocuyas inalidadessehanincluidoenlaclausuladeinformacionalinteresado/a.Pero¿que ocurre si queremos ampliar lasinalidades del tratamiento o cederlos? AquıelReglamentoquedesarrollalaLOPDnosda la posibilidad de obtener el llamadoconsentimiento tácito (no dicho formal‐mente, sino que se supone e in iere); encontraposicion a esta norma, para el RGPDuna de las bases para tratar los datospersonales es el consentimiento, y pide queeste, con caracter general, sea libre,informado, especı ico e inequıvoco, es decir,elconsentimientonopuedededucirsedel

silencioode la inacciónde laciudadanía.Por ello, y a excepcion de algunos casosconcretos, este consentimiento debe serexplıcito. Tambien debe de tener el caracterde revocable (con lamisma facilidad que seda para prestarlo), asimismo, es valido elconsentimientodadoporunapersonamenorquetenga16anosomas.

RGPD Y NUEVAS DEFINICIONES  

En el RGPD aparecen nuevas de iniciones,entre las cuales podemos destacar lassiguientes:

Datos personales: todainformaciónsobreuna persona ísica identi icada o identi‐icable («el interesado»); se considerarápersona ísica identi icable toda personacuyaidentidadpuedadeterminarse,directaoindirectamente,enparticularmedianteunidenti icador,comoporejemplounnombre,un número de identi icación, datos delocalización,unidenti icadorenlíneaounoo varios elementospropiosde la identidadísica, isiológica, genética, psíquica,económica, cultural o social de dichapersona.

Tratamientos: cualquier operacion u ope‐raciones (automatizadas o no) realizadassobre los datos personales o conjunto deestos.

Seudonimizacion: el tratamientodedatospersonalesdemaneratalqueyanopuedanatribuirse a un interesado sin utilizarinformación adicional, siempre que dichainformaciónadicional igureporseparadoyesté sujeta a medidas técnicas y organi‐zativas destinadas a garantizar que losdatos personales no se atribuyan a unapersona ísicaidenti icadaoidenti icable.

RGPD Y NUEVAS CATEGORÍAS Y 

NUEVOS DERECHOS  

ElnuevoreglamentoEuropeoincluyenuevascategorıas de datos: genéticos y biomé‐tricos;asimismo,regulanuevosderechosdela ciudadanıa, como son el derecho desupresion,olvidoyderechoalaportabilidadde los datos de un sistema de tratamientoelectronicoaotro.

13ENS:sonlassiglasdeEsquemaNacionaldeSeguridad.Paramasinformacionconsultarelartıculo«PlandeadecuaciónalEsquemaNacionaldeSeguridadyalManualdeSeguridaddePLATEA»,publicadoenelboletınAurreranº40(diciembrede2010).

14MAGERIT:eslametodologıadeanalisisygestionderiesgoselaboradaporelConsejoSuperiordeAdministracionElectronicaqueestimaquelagestiondelosriesgosesunapiedraangularenlasguıasdebuengobierno.

10 sep embre 2017

bole n AURRERA!   nº 61

ALBOAN: 

 

Tickets Jantoki Lakua 

E l proyecto «Tickets JantokiLakua», lideradopor laDireccionde Atencion a la Ciudadanıa,Innovacion y Mejora de la

Administracion (DACIMA), junto con laDireccion de Relaciones Laborales (respon‐sable del servicio de comedor en la sede deLakua), tiene como objetivo inal ladigitalización del ciclo de vida de losticketsde comidadel comedordeLakua,es decir, digitalizar la emision del ticket, suposterior consumo y, inalmente, su con‐tabilizacion como ingreso, lo que se traduceenunmejorservicioa laspersonasusuariasdel comedor, la eliminacion del dinerometalico, y la automatizacion de lacontabilizaciondelosingresos.

Se pretenden evitar las siguientes si‐tuaciones: las colas para adquirir tickets, eluso de dinero en metalico y su posteriorcustodia, el mantenimiento de la maquinaexpendedora, y el arqueo de caja diario queactualmenteserealiza.

WALLET (MONEDERO) DE TICKETS 

Las personas usuarias dispondran de unwalletdetickets (monedero) en la «nube» deEJIE, donde pueden acumular tickets que secompran utilizando mipago (pasarela depagosdelaadministracionvasca);asimismo,pueden gestionar su monedero utilizandotanto una aplicación web de escritorio(disponible en euskadi.eus,para ser utilizadaa traves de un navegador web), como unaapp móvil que se puede instalar endispositivosconsistemasoperativosAndroideiOS.Graciasaellolapersonausuariapuede:

Consultar informacion general sobre elservicioysobrelosmenus.

Adquirir tickets que se podran presentar

enelcomedor.

Consultarelhistoricodecompradeticketsy el historico de consumo (utilizacion) detickets.

PRESENTACIÓN DE TICKETS EN EL 

COMEDOR 

La persona usuaria del sistema puede haceruso de uno o varios tickets de su wallet(monedero)personaldedosformas:

Utilizando la aplicacion web de escritorio(en el ordenador personal selecciona losticketsaimprimir,losimprimeyrecorta)

Utilizando la appmovil instalada ensudispositivomo‐vil. Basta con quelapersonausuariaseleccione el tipode ticket quequiere utilizar yeste aparecera enla pantalla deldispositivo movil(noesnecesarioniviable imprimir elticket, este seA

LBO

AN 

«Este proyecto 

pretende 

proporcionar 

una mejor 

experiencia de 

servicio a las 

personas 

clientes del 

comedor» 

nº 61  bole n AURRERA!

sep embre 2017 11

disponibleensuhistoricodecompras (sı eneldeconsumos).

APLICACIÓN INTERNA DE GESTIÓN  

A traves de esta aplicacion las personasresponsables del servicio de comedorpueden:

Gestionarlainformaciondelmenudiario

Obtener informacion estadıstica agregadadelusodetickets(optimizaelservicio)

Gestionarlacontabilizaciondelostickets

ASPECTOS TÉCNICOS 

Todo lo anterior se basa en un complejonucleoinstaladoenla«nube»deEJIEyque:

ProporcionaserviciosWebalasinterfacesde usuario (Web publica, app movil ygestion interna) y a los dispositivos delecturadecodigodebarras.

Encapsula la logica del negocio einteractua con otros sistemas externos(mipago: pasarela de pagos, SistemaIntegral de Pagos y Cobros de la Ad‐ministracion —SIPCA—; plataformas decorreo;mensajerıa…)

La seguridaddel wallet (monedero) es unaspecto clave del sistema de manera que elaccesoalmismoestaracontroladopor:

El sistema de seguridad corporativoXLNets(infraestructuradeautenticacionyseguridad comun para todas lasaplicaciones o iniciativas del GobiernoVasco)enlaaplicacionWeb.

Unsistemacriptogra icodeclavepublica/privada en el caso de la aplicacionmovil,que impide el acceso al monedero desdecualquierotrodispositivoquenoseaaquelenelqueseinstalolaaplicacion(remarcarque todas las transmisiones deinformacion utilizan el protocolo seguroHTTPS).

Otrascaracterısticastecnicas:

Disponible tanto en euskera como encastellano.

La appmovil es una aplicacion nativa decadaplataforma(AndroideiOS).

Permite personas usuarias sin identi‐icadorXLNets.

presentara a traves de la pantalla deldispositivomovil).

LECTURA DE TICKETS  

El personal del servicio de comedordisponedeunosdispositivosdelecturadeticketsqueescanean el codigo del ticket (QRCode) y lovalidan. Las personas del servicio decomedor, a traves del dispositivo de lecturadetickets,puedenverlosticketsleıdos.

Tambien, al estar estos dispositivos delectura permanentemente conectados ysincronizadosconelsistemacentral,detectansielticketyahasidoutilizado(encuyocasonopuedevolverautilizarse);encasodequeno hubiese conexion con el sistema central,dichos dispositivos pueden operar de formaautonoma, puesto que tienen una replica detodoslosticketsenunabasededatosinterna(funcionamientoenmodocontingencia).

Una vez leıdo el ticket por el personal delcomedor(consumido),esteseracanceladoenlabasededatoscentral,ycuandosevuelvaaconsultarporpartedelapersonausuariadelserviciodecomedor,este ticketyanoestara

ALB

OA

N 

«Permite 

automa zar la 

contabilidad, 

hasta ahora 

manual, de los 

ingresos» 

Acuerdo entre EJIE y 

Mondragon Unibertsitatea 

L a Sociedad Informatica del Gobierno Vasco(EJIE) y Mondragon Unibertsitatea (MU)acabande irmarunacuerdoparaimpulsareldesarrollo de talento y proyectos rela‐

cionados con las tecnologıas de la informacion y lascomunicaciones(TIC).

Mediante este acuerdo ambas entidades secomprometena«compartir conocimiento y desarrollartalento en el nuevo paradigma digital», siendo losobjetivosdelmismolossiguientes:

Promoverlacolaboracionenambi‐tos tecnologicos y no tecnologicosfomentando la generacion, elintercambioy la transferencia deconocimiento.

Puesta en marcha actuaciones yprogramas para la gestion deltalentoenelmundodigital.

Paraello,elconveniofomentaraaccionescomo: Actividadesdeformacionygestiondeltalento,tantoenelambitoprofesionalcomoeneluniversitario.

Desarrollodeproyectosdeinvestigacioncooperativa. Realizacion de tesis doctorales conjuntas, co‐dirigidas por personal de EJIE y de MondragonUnibertsitatea.

ColaboraciondeprofesionalesdeEJIEenactividadesdeformaciónenMondragonUnibertsitatea.

Participacion de estudiantes de MondragonUnibertsitatea en Trabajos Fin de Master, Fin deGradooenpracticasenEJIE.

Puesta en marcha de proyectos conjuntos conempresas, tanto de investigacion como detransferenciadeconocimiento.

En de initiva se trata de mejorar la e iciencia ycompetitividad de ambas entidades, abordando latransferenciadetalentoUniversidad‐Empresa.

https://www.ejie.eus

http://www.mondragon.edu

Robo de datos en internet 

E lrobodedatospersonalesenInterneteshoyen dıa uno de los grandes problemas quepodemossufrirenInternet.Elultimoejemplolo tenemos con el robo que ha sufrido

Equifax, laentidadquemonitorizaelhistorialcrediticiode millones de personas de los Estados Unidos, se haconvertidoenelmayorde lahistoria.Secalculaqueelnúmero de personas afectadas puede superar los140millones.Estohasidoposibleporqueunequipodeciberatacantes ha explotado una vulnerabilidad en elsitioWebdeestacompanıadelsector inanciero.

Aunque la companıa Yahoo! sufrio, a traves de dosataquesseguidos,elrobodedatosde1.500millonesdepersonas usuarias, el sufrido por Equifax es de mayorcalado, no por el volumen de personas afectadas, sinoporlacalidaddelosdatosrobados:nosolocontrasenasotarjetasdecredito,sinoquetambienseincluyentantonumeros de la seguridad social como numeros depermisosdeconducir;estosnumerossonequivalentesaldocumento nacional de identidad (DNI) que utilizamosnosotros, por lo que la mayoramenaza que se cierne sobre laspersonas de las que se haconseguido dicha informacion es lasuplantación de identidad. Porello, algunos analistas de seguridadcitan a este robo de datos como elpeor incidente de la historia. Losdatos robados no provieneunicamente de personas de losEstados Unidos, sino que tambienhaypersonasclientesdeCanadaydelReinoUnido.

Sibienelciberataquesedescubrioelpasado29dejulio,sehahechopublicoaprincipiosdelmesdeseptiembre.

Para las personas que puedan verse afectadas serecomienda suscribir un seguro contra el robo deidentidad, estar muy atentos a sus movimientosinancieros, y activar la autenticación en dos pasos(algoquesetiene,porejemploeldispositivomovilountoken,masalgoquese sabe); aunası las consecuenciasdeesterobopodrıantenerrepercusionalargoplazo.

¡¡BREVES!! Nº 61 sep embre 2017