AVISO: Las frases de la serie Mentes Criminales ahora se encuentran en:
http://hasmgrupu.blogspot.com/search/label/Mentes%20Criminales

martes, 21 de abril de 2009

Uso del campo CCO en el correo electrónico y la LOPD

Seguro que todos hemos recibido algún correo electrónico que nada más abrirlo ves que tiene 20, 30, 40 o más direcciones de destinatarios incluidas (yo he recibido alguno con 240), y seguro que todos lo hemos hecho alguna vez, bien porque no nos fijamos, bien porque estamos acostumbrados a hacerlo así, bien porque el programa de correo nos ha jugado una mala pasada, bien porque ni siquiera sabemos que existen otros campos distintos a "Para".

Bueno pues esto que parece una simple tontería puede acabar con una multa de 601.01€ (Resolución R./00874/2006) si lo haces cuando mandas un correo electrónico para el trabajo. En dicha resolución se explica que una dirección de correo electrónico es un dato de caracter personal y también que sólo se considera infracción del artículo 10 de la LOPD tipificada como leve.

En este caso la dirección de correo electrónico de la denunciante aparecía en varias páginas web y tal y como dice la resolución "La publicación en Internet de una dirección de correo electrónico por su titular no la convierte en un dato que pueda ser utilizado sin límite alguno por parte del responsable del fichero en el que se encuentren incluida."

Ahora, seguro que no es la primera vez que rellenas un formulario, ya sea en papel o electrónico, con tus datos personales y, al final, en letra muy pequeña aparece que se cumplirá la LOPD, y al cabo de un tiempo recibes, si has incluido tu correo electrónico, un correo con una pila de direcciones de gente que desconoces. Pues, en este caso, la fuente de los datos de carácter personal ya no es pública y por tanto la infracción puede ser mayor, y como comprendes no ha cumplido la LOPD que marcaba en el formulario.

Aunque creas que sacar datos de interés de ese correo que has recibido es algo de ciencia ficción, no es así. Seguro que si te pones a pensar en como obtener alguna información de interés se te ocurre algo. Por ejemplo:
  • Si una dirección de correo es parecida a j9870654@sitio.es, es probable que ese número sea un dni, con lo que si además el correo electrónico se ha guardado en el programa con nombre y apellidos, ya sólo tienes que leer, en el correo recibido, al lado de la dirección para conocerlos. Correos con este tipo de forma existen en bastantes entornos, también es verdad que son correos que deberían usarse de forma interna en ese entorno, pero dado que pueden ser usado en un entorno mayor, no vendría mal que esas organizaciones pensaran en cambiar la forma de crear sus direcciones de correo electrónico.
  • Ahora, imagina que te has inscrito en una asociación infantil-juvenil para recibir una newsletter con información de la misma, y que cuando la recibes te llegan 50 correos electrónicos. Bueno pues ya tienes 50 direcciones de correo de las que sabes que una buena parte pueden ser de menores. No hace falta pensar mucho para saber lo que un pederasta puede hacer con esas direcciones y programas de mensajería, luego de nada sirve llorar.
  • Imagina que se tratase de una asociación de personas con una determinada enfermedad, de autoayuda con respecto algún problema, de personas con una misma tendencia sexual, religiosa o política. Creo que no hace falta explicar los problemas que puede generar el envío de esas cuentas de correo de forma visible para todo el mundo.
  • Y si fuese un correo electrónico de una asociación de mujeres maltratadas a sus asociadadas (es un ejemplo, no quiero decir que lo hagan), no crees que sería bueno pensar un poco antes de mandarlo.
  • Otro caso, es que la dirección de correo sea por ejemplo "administrativo@empresa.com" y al lado aparezca "Juan Pérez Álvarez - Madrid", bueno pues ya se que Juan Pérez Álvarez trabaja de administrativo en "Empresa" y que además es de Madrid. Aunque parezca poca información, ya es información de una persona que yo no debería tener.
Otra práctica bastante habitual, es la del reenvió de correos sin borrar las cabeceras que se incluyen al pulsar el botón Reenviar. En esas cabeceras se ven las direcciones de quienes enviaron el correo anteriormente y, si no se usó el campo CCO o BCC, el de todos los destinatarios. Esto además de engorroso para quien recibe el correo, porque para poder leerlo es posible que tengas que pasar varias ventanas con direcciones de correo y fechas, vuelve a dejar al descubierto direcciones de correo que seguramente quien las cedió no deseaba que fuesen públicas. No cuesta nada, tras pulsar el botón Reenviar borrar la cabecera de información del correo recibido que se incustra en el nuevo correo.

Por otro lado, esas listas de correo seguro que son muy deseadas por aquellas organizaciones dedicadas al envío de spam. No te extrañe que al cabo de un tiempo te empiecen a llegar correos publicitarios de cualquier cosa que tú no has solicitado.

Así mismo, otro frente, aunque no relacionado con la LOPD, que se nos abre es el de la seguridad, porque si quien recibe el correo esta infectado, la verdad, esa lista de correos no es que ayude mucho a la contección de la infección.

Evitar estos problemas y otros es tan sencillo como seguir las siguientes recomendaciones.
  • Si has de enviar un correo electrónico a varias personas nunca debes poner todas las direcciones en el campo "Para", puesto que en ese caso cada uno d elos destinatarios verá las direcciones del resto.
  • Usa el campo "CCO" (Copia de Carbón Oculta), en algunos gestores de correo aparecerá como "BCC" (Blind Carbon Copy). De esta manera los destinatarios recibirán el correo como si sólo hubiese sido enviado a ellos.
    Aunque parece sencillo lo de escribir las direcciones en el campo "CCO", por desgracia algunos gestores o servicios web de correo electrónico no lo tienen a la vista; el masivamente usado hotmail por ejemplo, lo tiene oculto y se ha de pulsar en la opción "Mostrar CC: y CCO:".
  • Cuando reenvies un correo borra la cabecera que introduce tu gestor de correos en el mensaje.
En unas jornadas referentes a la aplicación de la LOPD a las que acudí, uno de los abogados que hablaba dijo que "una decuncia de incumplimiento de la LOPD es un usuario enfadado", si lo piensas es cierto, porque si estoy enfadado contigo o con tu empresa lo más fácil para tocarte las narices es denunciarte por incumplimiento de la LOPD y puede ser que encima acabes multad@.

Ya sé que con todo esto y con los ejemplos anteriores puedo parecer un poco paranoico, pero ¿acaso no es mejor prevenir dichos problemas antes que lamentar los resultados derivados de ellos?, además cuando sólo es necesario cambiar el lugar donde se escriben las direcciones, sencillo ¿no?.

No hay comentarios :

Publicar un comentario