Ley de cookies en Europa

Llevaba tiempo queriéndote decir esto: estás usando incorrectamente los mensajes de la Ley de Cookies. La primera pregunta que te quiero hacer es: ¿te has leido la ley? ¡Venga ya! Aceptaría que te hayas molestado en visitar la página simplificada de la Unión Europea en la que se explica la parte de cookies y si has de poner ese mensaje y cómo.

Primero vamos a situarnos rápido: una cookie no es una galleta, es un pequeño bloque de información que se guarda en tu navegador de Internet y que ayuda a los sitios webs por los que navegas a saber que eres tú y qué preferencias tienes en un sitio (por ejemplo, cuando seleccionas el idioma del menú de la página y cuando vuelves aparece ese mismo idioma).

Cookies hay de dos tipos, las de sesión (cuando cierras el navegador, se eliminan) y las permanentes (duran hasta la fecha final que se le indica). Por otro lado hay las de first-party (que son las cookies propias, las que genera el sitio por el que navegas) y las third-party (que las genera un servicio externo sobre el que no tienes control). Para acabar tienes la posibilidad de permitir solicitar cookies de forma implícita o explícita.

¿Cuándo NO hay que pedir permiso para las cookies? Cuando las cookies las provee el propio sitio web (first-party) y son para que el sitio funcione correctamente o tenga datos de configuración. Tampoco lo serían aquellas cookies de sesión o las que, como máximo, están un año.

¿Cuándo SÍ hay que pedir permiso para usar cookies? Cuando las cookies las provee un servicio externo que simplemente utiliza esas cookies para almacenar datos de uso o análisis. Ejemplos son Google Analytics, Hotjar y cosas de ese estilo. En definitiva, cosas que si no tuvieras, tu sitio funcionaría y que sólo pones para recopilar datos que se almaenan “por ahí”.

Existe una excepción y son las cookies de “redes sociales”. Por ejemplo, las cookies que Facebook, Google, Twitter ponen en tu sitio para identificar a los usuarios que han accedido a sus redes desde estos sitios.

Entonces ¿he de poner el mensajito que toca los webs en todos mis sitios? Depende. Sólo has de ponerlo cuando utilizas esas cookies de terceros que comentaba. En caso de ponerlo, y aquí es cuando decía al principio “que lo estás haciendo mal”. Voy a internet explicarme muy claramente:

Cuando pones el mensaje de las cookies ha de haber siempre dos opciones: Aceptar o Rechazar. El aceptar permite que incluyas esas cookies de terceros que trackean al usuario, pero el rechazar no puede sacarte de la web y mandarte a Google o Disney (si no dejas acceder a un usuario por no usar cookies loe stás discriminando, y eso es delito), te ha de permitir usar el sitio web, pero como propietario del sitio no puedes incluir los scripts de terceros.

Eso sí, ten presente que además de mostrar ese mensajito “flotante”, cuando lo aceptes o rechaces, igualmente y durante toda la visita del usuario, en cualquier momento el usuario puede decidor aceptar o rechazar de nuevo esto, y ha de estar visible de nuevo. Un ejemplo de este caso es el que se muestra en los puntos 1 y 3 de la imagen siguiente:

¿Cuál es la mejor manera de gestionar todo esto? Usando el sistema de Do Not Track que es una herramienta de los navegadores que automatiza la solicitud de este mensaje de las cookies. Si tu utilizas un sistema que detecte las cabeceras del sitio buscando la DNT y en caso de que esté activo no muestras los scripts de terceros, ya estarías cumpliendo en no tener que mostrar el mensaje de “aceptar las cookies”, ya que al estar activo y tú no mostrarlo, no hay que aceptar nada (ya que no muestras nada).

Eso sí, no olvides que independientemente de lo que hagas con la aceptación o no de las cookies, sí que hay que incluir en los sitios una zona en la que se explique qué tipo de cookies usas (ya sean first o third-party) y qué información almacenas en ellas. Ahora toca ponerse manos a la obra y arreglar lo que tengas mal en tus sitios (que es lo que voy a hacer yo ahora mismo).

Proveedores NS

Cuando hablamos de Internet hemos de hablar de resolución de nombres, principalmente los de dominio. Son las llamadas NS o DNS. Este es un servicio básico ya que lo que permite es convertir un dominio tipo [example.com] en una IP, además de hacer lo mismo con el correo y otras entradas.

Habitualmente los servicios de registro de dominio ofrecen una versión gratuita de este sistema, básico, pero suficiente para funcionar. Aunque si nos vamos a detalles más de tipo Web performance, la cosa cambia y deberíamos elegir un sistema algo más amplio, mundial, con multicast o anycast, que tenga redundancia, intentando tener tiempos altos de TTL.

Y aquí una lista de servicios gratuitos de DNS que existen en la red (ordenados alfabéticamente):

  • 1984: Aunque se centran en dar alojamiento, tienen su servicio de Free DNS para cualquier usuario.
  • ClouDNS: Aunque la versión gratuita no es muy amplia, no deja de ser otra opción distribuida importante y conocida.
  • Cloudflare: Ofrecen varios servicios y parece que ahora mismo tienen cerca del 40% de la gestión de DNS del mundo.
  • FreeDNS: Es de estos servicios que la comunidad pone a disposición de todo el mundo, siempre actualizado y a la última.
  • Geoscaling: Lo interesante de este servicio es que permite distribuir las entradas dependiendo del punto de origen del usuario. Si un usuario está en América, lo mandas a un servidor en US, si está en Europa, a uno en DE…
  • Hurricane Electric Free DNS: Personalmente el que más me gusta y uno de los que utilizo. Es visualmente feo pero funcional y si sabes de DNS te deja hacer prácticamente de todo. Además acaban de añadir soporte a las CAA y tienen servicio dinámico. Ofrecen 50 entradas gratuitas.
  • Namecheap FreeDNS: Aunque se centran en registrar dominios, puedes usar sus servicios de DNS de forma gratuita aunque el dominio no esté con ellos.
  • NS1: Tiene buena pinta, y su servicio de pago parece muy interesante. Ofrecen 50 entradas gratuitas con 500K consultas gratuitas.
  • Rackspace: Tienen el servicio simplemente gratis por darte de alta con ellos. Usan el estándar de BIND9 en modo Anycast.
  • BuddyNS: Aunque sólo ofrecen 300K peticiones/mes, es más que suficiente y tienen una buena infraestructura distribuida.

Como he comentado, personalmente estoy usando los servicios de Hurricane Electric, aunque también uso y he usado algunos otros para distintos proyectos. Al final es siempre escoger lo que a uno le vaya mejor. Y para eso, un par de herramientas interesantes. La primera un comparador (historizado) de velocidad de DNS. La segunda un comparador por zonas y listados de cuota de mercado por proveedor DNS.

Y, como siempre, si necesitas ayuda para montar o usar este sistema o cualquiera de ellos, no dudes en contactar conmigo que te podré ayudar con ello.

Correo gratis con tu propio dominio

Cuando uno empieza en Internet suele hacerlo con una cuenta de correo de tipo GMail, Hotmail o similar. Son grandes servicios pero no muy profesionales. Por ejemplo, cuando entregas tu curriculum en la b´ñusqueda de empleo, al menos yo, es una de las cosas que me fijo, porque un correo personalizad dice mucho de esa persona.

Y es por esto que te propongo algunas opciones a la hora de montar tu propio correo electrónico con tu dominio, el cual ya doy por hecho que tienes. Personalmente te recomiendo un .COM, pero si no es el caso, siempre tienes los .CONTACT, .MAIL, .NAME, .EMAIL, .ABOGADO, .ACTOR… o cualquier cosa que te interese.

A partir de aquí ¿cómo consigo mi cuenta de correo completa y gratis? Pues te propongo algunas opciones (aunque la verdad es que no hay muchas).

  • Zoho: Seguramente es de todas las opciones la más conocida, aunque personalmente para mi no es la más potente. Si visitas su página de pricing tienes la opción de gratis / free que te da hasta 25 cuentas de 25GB de espacio además de otros servicios. vendría a ser una especie de Office o Google Suite. A partir de ahí es cuestión de configurar tu dominio.
  • Yandex: el llamado “Google ruso” ofrece un servicio casi ilimitado -1000 cuentas- de correo (y otros servicios) con tu propio dominio. Para ello puedes usar su servicio de Yandex Domain y que están ampliando con su Yandex Connect en el que también dan espacio en disco y otros servicios.
  • Migadu: Es un servicio con cuentas ilimitadas para un dominio, pero con la restricción de máximo 20 correos salientes al día, algo que considero simplemente irrisorio.
  • Pawnmail: es un servicio sencillo y simple de correo, gratuito por completo pero al que cuesta acceder ya que no siempre está disponible para dar de alta nuevas cuentas.
  • Mailsac: este servicio es interesante ya que es para cuentas “de usar y tirar”, y que te permite usar tu propio dominio, lo que hace que para darte de alta en sitios parezca una cuenta de correo “seria” (sobre todo porque hay sitios donde no se permite el uso de cuentas de GMail o Hotmail).

Sin duda, si vas a comenzar con algo, no te importa que su versión webmail esté en inglés, y vas a usar, por ejemplo, un lector de correo o una App en el móvil, mi mejor opción es la de usar Yandex Mail. he tenido la oportunidad de probarlo y usarlo y es una elección interesante, fácil de usar y que tiene todo lo necesario para un servicio de correo que no te lo acabarás. Y si necesitas ayuda para montar o usar este sistema o cualquiera de ellos, no dudes en contactar conmigo que te podré ayudar con ello.

Porqué no estoy en Redes Sociales

En general tengo fama de anti-social, aunque más que “anti” diría que “a”. Pero el hecho de no estar en Redes Sociales seguramente es más por mi experiencia e historia en Internet que otra cosa.

Pongo por ejemplo como redes sociales las siguientes: Twitter, Instagram, Linkedin, Tumblr, Facebook, Pinterest, Youtube, Flickr, WhatsApp, Reddit, Snapchat, Google+, Periscope, Medium, Meetup, Askfm, Viber, Vine, WeChat…

Si alguien me busca me va a encontrar, eso seguro, porque sólo hay que poner mi nombre en cualquier buscador y aparecerá mi sitio web principal -javiercasares.com-. Allí está mi contacto, teléfono, correo… todo lo necesario para que cualquiera se comunique conmigo. Además está Threema, que es el sistema de mensajería que prefiero; es de pago, pero tiene unos niveles de seguridad que considero mejores en comparación con otros, ya que está descentralizado [parcialmente].

Además, me considero un feeder de Twitter, que más que una red social considero una buena fuente de comunicación y de emisión de conocimiento en tiempo real, probablemente junto a la Wikipedia, a la que cada año dono 12 euros para su mantenimiento (creo que 1 euro al mes para devolver lo que me da es lo mínimo que puedo hacer). Alguna vez incluso he comentado que si Twitter diera un servicio premium para usuarios “normales” de entre 12 y 48 euros al año, seguramente también lo pagaría.

Por último Linkedin, es seguramente más que una red social un lugar de comunicación interesante desde el punto de vista profesional, para cualquier persona que trabaje en cualquier sector. No digo que todos deberíamos estar en Linkedin, pero casi. Si se usa mínimamente bien es un lugar que puede generar muy buenas relaciones.

Como veis, en general todo se centra en información y contactos profesionales. Y es que, como decía al inicio, llevo ya 20 años generando contenidos en Internet (y 23 rondando por aquí) y cada vez aprecio más cierto grado de privacidad, no tanto entendida en cuando a la seguridad de saber dónde vivo o quién soy, sino en lo que hago en el día a día, que creo que no le ha de importar a nadie, excepto a mi familia y amigos cercanos, con los cuales me comunico de otra manera (no de forma pública).

Y es aquí el punto a destacar… ¿hay que ofrecer tu vida de forma pública? Si te dedicas profesionalmente a algo que tiene que ver con “ser conocido” es obvio que sí. Aquí lo que hay que saber es dónde están los límites de lo personal y lo privado. Un ejemplo claro puede ser la política, los actores… pero, por ejemplo ¿yo?. He de reconocer que me considero un personaje público en determinados ámbitos, sobre todos los que tienen relación con Internet. En los eventos a los que asisto, mucha gente me conoce por mi historia en la red, por todo aquello que he hecho, he dicho y he aportado, y me parece correcto que se acerquen a mi y me pregunten y tengamos charlas acordes… no deja de ser un “subidón de ego” cada vez que eso ocurre, y más cuando alguien acaba diciéndote lo de “pensaba que nunca me ibas a contestar o a pasar de mi”. No soy tan famoso como para tener que ignorar a gente a la que puedo ayudar (o al menos eso es lo que espero).

Y esto lleva a “las otras redes sociales”, como Facebook, Instagram, Snapchat, WhatsApp. Por supuesto que doy por hecho que hay un uso profesional en estas redes, aunque considero que la mayoría de veces es extremadamente vendido (ya sea en forma de publicidad o de marketing extremo). Entiendo que haya cuentas de empresas y que la gente las siga “porque quieren”, pero no es ahí donde quiero ir, sino a la parte más personal. Facebook me parece un sitio de chismorreo, de cotilleo extremo en el que uno va ahí simplemente para cuchichear en la vida de los demás. Lo más extremo que me ha pasado es que me entere de que unos amigos han sido padres (hace ya algunos años) y cuando me los encuentro su frase sea: lo dijimos por Facebook. Eeehhhmmm… vale. De toda la vida se ha llamado o se ha informado “de tú a tú” este tipo de información (y creo que es lo suficientemente importante como para informar de forma personalizada).

El caso de WhatsApp y yo es el de una relación de amor-odio. Aunque todo el mundo piensa que no tengo WhatsApp he tenido que acabar volviéndomelo a poner, al igual que Telegram. Ahora mismo tengo 4-5 sistemas de mensajería porque “hay cosas únicas en cada una de ellas”. El caso de WhatsApp y Telegram ha acabado siendo el de algunos grupos. En el caso de Telegram, principalmente los uso para estar al día de temas pastafaris. El de WhastApp por temas más profesionales, como por ejemplo la comunicación con los alumnos del Máster en Mobile Business, y con algún grupo de amigos. Al final todo se resumen en La teoría del bar (al final del post la explico). En general si alguien me habla por WhatsApp acabo pasando de sus mensajes y los grupos acaban silenciados un año porque son ingestionables, excepto en los que la gente se comporta y escribe de forma razonable (en estos casos cuando se desmadra sólo los silencio 8 horas). Últimamente escucho cada vez a más gente decirme que se va a quitar de WhatsApp. Sé que no lo van a hacer, yo lo he hecho varias veces, y la presión social de comunicación que hay bajo este servicio de mensajería es extremo. Lo que más me preocupa es que los datos de quién habla con quién y cuánto, aunque los mensajes sean cifrados, dan tanta información como la que en su día daba (y sigue dando) el correo electrónico; esa información dice mucho más de lo que pensamos y que esté en manos de una corporación como Facebook es preocupante.

Así que, poco más a decir… sólo acabar de explicar La teoría del bar que en su día me explicó Gina Tost:

Imagínate que en una calle hay un montón de bares. En todos hay gente, aunque en algunas más que otras; de la misma forma, algunos bares son más grandes y más nuevos y ofrecen más bebida gratis que otra. Lo bueno de los bares es que puedes cambiarte de uno a otro con cierta facilidad, pero has de tener una pulserita para entrar. ¿Qué pasa cuando no tienes la pulserita para entrar en el bar donde está todo el mundo? Pues que sólo acabas entrando en los bares más pequeños, con menos gente y en los que probablemente nunca te acabes de encontrar y puedas hablar con la persona que quieres hacerlo.

Pues eso son los WhatsApp, Telegram, Threema y demás redes de mensajería instantánea, una especie de bar en los que si no tienes la App instalada simplemente no estás y no puedes hablar con quien quieres. Y por muy bonito que sea el bar en el que tú estás, si no está la gente con la que tú quieres hbalar, de poco te va a servir estar ahí.

Ese soy yo en Threema. Y tan a gusto que estoy.

Proveedores SMTP

Gestionar correo es quizá una de las cosas de Internet más desagradecidas debido al spam y a la dificultad de mantener una limpieza si envías muchos correos. Y es que cuando hablamos de correo siempre hemos de hablar de tres tipos de correo: el corporativo, el de servidor y el de boletines.

Hasta hace un tiempo siempre decía que lo ideal era separar estos tres correos separados, incluso en dominios distintos, aunque con las medidas que se han ido aplicando en estos últimos tiempos ya no haría falta hacerlo. Aún así, hay que tener presente que si mandas poco o mucho correo, el envío ha de hacerse correctamente.

Para comenzar hay que diferenciar el correo de entrada del de salida, es decir, el POP / IMAP -entradas MX en las DNS– de la salida de correo con el SMTP -entradas SPF, DKIM y DMARC-. Teniendo en cuenta esto, hay que trabajar de forma separada para cada uno de ellos.

Normalmente, para la entrada y gestión de correo hay dos grandes opciones: gestionarte tú mismo el correo en tu propio servidor (teniendo en cuenta la carga de trabajo que puede sufrir, la cantidad de usuarios, el anti-spam…) o externalizarlo en un servidio del estilo GSuite, Office365, Yandex.Mail, etcétera.

Pero para la salida de correo (para el corporativo, suele usarse el mismo que te proporciona el servidor de entrada) la cosa cambia, sobre todo si envías correo desde tus servidores a tus clientes o usuarios, o si envías boletines. En estos casos aunque en algunos casos se puede usar el mismo sistema de correo que el corporativo, hay que tener presente que si mandas mucho correo, te puedes bloquear tu cuenta. Para eso existen los servidores SMTO de salida externalizados.

Como el objetivo es enviar correo a través de máquinas externas, voy a focalizarme simplemente en un elemento: el precio. hago esto porque al final todos estos sistemas te permiten enviar correos con la configuración de un usuario, contraseña, servidor (hostname) y puerto.

GRATIS30001000025000100000300000
Activetrail0/total79,00139,00
Amazon SES0/total0,301,002,5010,0030,00
AuthMailer0/total3,323,326,6612,5012,50
Elastic Email150000/mes0,000,000,000,0016,00
InboxRoad0/total1,053,508,7535,00105,00
MailGun10000/mes0,000,007,5045,00145,00
MailJet6000/total7,507,507,5075,00165,00
Mandrill0/total20,0020,0020,0080,00240,00
MNB0/total30,0060,00115,00175,00
Pepipost25000/mes0,000,000,0015,0055,00
PostmarkApp25000/total0,451,503,7515,0037,50
Sarv0/total6,926,926,9217,5045,00
SendGrid40000/total10,0010,0010,0020,00170,00
SendInBlue9000/mes0,006,006,0029,00
SendPulse12000/mes8,008,008,0070,00160,00
SMTP.com0/total15,0015,0070,00160,00500,00
SMTP2GO1000/mes14,0014,0069,0069,00199,00
SocketLabs2000/mes15,0039,0079,00250,00450,00
SparkPost100000/mes0,000,000,000,00199,00
SwipeMail0/total20,0020,0020,0020,0020,00
Tipimail10000/mes0,000,0039,0079,00279,00
TurboSMTP6000/mes9,009,009,0070,00190,00

NOTAS:
– Los precios son aproximados en euros (cambios USD/EUR, etc…)
– Pueden depender del servicio elegido. Habitualmente se elige el menor posible para el caso.

Tras ver la tabla, obviamente la primera elección es clara: Elastic Email; es la que ofrece una mayor cantidad de mensajes de correo gratuitos, y cuando te pasas del límite los precios son muy bajos.

A partir de aquí hay que plantearse opciones, como por ejemplo si llegas a los 100.000 correos mensuales (unos 3.000 correos/día) o si te pasas de ahí. En este caso las opciones podrían ampliarse:

En el caso de enviar menos de 100.000 correos al mes tenemos la opción de SparkPost, de SendGrid, de PostmarkApp y de Amazon SES.

A partir de esta cifra, o de tener mucho volumen la cosa cambia. Sin duda, la mejor opción sigue siendo Elastic Email, aunque tenemos los de Amazon SESo el de SwipeMail, que ofrece un servicio ilimitado de mensajes con una tarifa plana.

Y como siempre, si tienes alguna duda en cómo configurar el correo (ya que no es sólo darse de alta y enviarlo), sino que hay que hacer varias configuraciones para asegurarse de que el correo está certificado y no hay suplantaciones, no dudes en escribirme.

ads.txt como anti-fraude en la publicidad digital

La publicidad programática es la última forma de poder gestionar tus anuncios a nivel mundial de la forma más rápida, pero ¿es posible tener control de dónde aparecen los anuncios? La respuesta es sí, gracias al nuevo estándar propuesto por la IAB en el que se plantea poner una serie de filtros a los sistemas publicitarios decentes.

Para ello, y usando una base similar a la del robots.txt, el sistema de ads.txt también trata de ser un fichero de texto que se encontrará en la carpeta raíz del hostname de la dirección donde llegan los anuncios y que permitiría que las plataformas publicitarias confién en la existencia de dicho control.

La versión 1.0 del sistema ads.txt ya está disponible y básicamente trata de ser un fichero de texto con una serie de reglas, parecido a esto:

#<dominio>, <IDcuenta>, <FormaPago>, <TAG>
dominio1.com, 12345, DIRECT, ABC123
dominio2.com, 45367, DIRECT
dominio3.com, 89012, RESELLER

El fichero ads.txt deberá estar codificado con un MIME Type “text/plain” y en “UTF-8” [Content-Type: text/plain; charset=utf-8], devolviendo un código 200 OK (no se permiten redirecciones). En caso de no encontrar el fichero, el sistema asumirá que no existen limitaciones y por tanto seguirá haciendo lo que deba.

Los campos estarán separados por comas (,) y serán los siguientes:

  1. Dominio de la plataforma publicitaria: Es obligatorio y la plataforma publicitaria debería decir qué dominio es.
  2. Cuenta del publisher: El identificador del publisher en esa plataforma.
  3. Tipo de relación: Si la publicidad que se utiliza es directa o de reventa. para eso se usarán los valores DIRECT | RESELLER.
  4. Authority ID: El identificador del Trustworthy Accountability Group, si se tuviera.

Así que, aunque todavía nadie ha dicho que lo está implementando, siendo una petición formal de la IAB, es probable que en los próximos meses comencemos a ver sistemas publicitarios que lo implementan para verificar la veracidad de los anuncios y también evitar el fraude en la reventa y otros servicios que nunca has contratado.

European Union Public Licence

A mediados de mayo de 2017 se actualizó la licencia EUPL [European Union Public Licence] ahora a su versión 1.2, una licencia para proyectos de código abierto (Open Source) y que tiene algunas ventajas con su uso con respecto a otras opciones del mercado, además de su gran compatibilidad con las licencias habituales de este tipo de código.

Lo primero de todo es que la licencia está disponible en todos los idiomas de la Unión Europea, y descargables, lo que ayuda a su comprensión. La licencia de por sí es bastante sencilla, e incluye un detalle importante, creo, que es la problemática judicial cuando no se aplica la misma y la resolución de conflictos, ya que establece un Tribunal Europeo para estos casos, lo que significa disponer de un lugar en el que se conoce bien la legislación en materia de software y código abierto, con su uso y mal uso. Hay que recordar que todos los programas desarrollados por la Administración Pública en Europa deberían incorporar esta licencia.

Documento en formato PDF y HTML.

Me gustaría hacer mención a algunos fragmentos que creo importantes, en lo que corresponde a la aprobación d ela versión 1.2:

A fin de seguir facilitando el intercambio y la reutilización de los programas informáticos desarrollados por las administraciones públicas en relación con el uso de una licencia de programas informáticos de fuente abierta, debe adoptarse una nueva versión de la licencia EUPL, la EUPL v. 1.2.

Este elemento es importante ya que si las Administraciones Públicas desarrollan código abierto estaría disponible para todos los ciudadanos, que incluso podrían llegar a colaborar en ellos.

Resultan necesarios algunos ajustes en la redacción y simplificaciones para adaptarla a las denominaciones oficiales, a fin de que su ámbito de aplicación sea más amplio, las partes tengan cierta flexibilidad en lo que respecta al Derecho aplicable y se aclare la competencia del Tribunal de Justicia de conformidad con lo dispuesto en el Tratado de Funcionamiento de la Unión Europea.

Como decía antes, está bien que la UE haya puesto a disposición de todos un tribunal que contemple la aplicación y conocimiento de esta licencia.

LICENCIA PÚBLICA DE LA UNIÓN EUROPEA v. 1.2

EUPL © Unión Europea 2007, 2016

La presente Licencia Pública de la Unión Europea (EUPL, por su sigla en inglés), se aplica a la obra (según se define más adelante) suministrada en las condiciones fijadas en la presente licencia. Queda prohibido cualquier uso de la obra distinto del autorizado por la presente licencia (en la medida en que tal uso esté protegido por un derecho del titular de los derechos de autor de la obra).

La obra se suministra en las condiciones fijadas en la presente licencia cuando el licenciante (según se define más adelante) haya colocado la siguiente advertencia inmediatamente después de la mención a los derechos de autor de la obra:

Licencia cedida con arreglo a la EUPL

o haya expresado por cualquier otro medio su voluntad de conceder una licencia con arreglo a la EUPL.

1. Definiciones

En la presente licencia, se entenderá por:

- «licencia»: la presente licencia,

- «obra original»: la obra o el programa de ordenador distribuido o comunicado por el licenciante con arreglo a la presente licencia en forma de código fuente o, en su caso, de código ejecutable,

- «obras derivadas»: las obras o programas de ordenador que pudiera crear el licenciatario sobre la base de la obra original o de alguna de las modificaciones de esta. La presente licencia no define el grado de modificación o dependencia de la obra original necesario para clasificar una obra como derivada; dicho grado se determinará de acuerdo con la legislación sobre derechos de autor aplicable con arreglo al artículo 15,

- «obra»: la obra original o sus obras derivadas,

- «código fuente»: la forma de la obra legible por seres humanos que pueda ser estudiada y modificada más fácilmente,

- «código ejecutable»: cualquier código, en general compilado, destinado a ser interpretado como programa por un ordenador,

- «licenciante»: la persona física o jurídica que distribuye o comunica la obra con arreglo a la licencia,

- «colaborador»: la persona física o jurídica que modifica la obra con arreglo a la licencia o contribuye de cualquier otra manera a crear una obra derivada,

- «licenciatario»: la persona física o jurídica que hace un uso cualquiera de la obra en las condiciones fijadas en la licencia,

- «distribución» o «comunicación»: cualquier acto de venta, donación, préstamo, alquiler, distribución, comunicación, transmisión o cualquier otro acto de puesta a disposición, en línea o fuera de línea, de copias de la obra o de acceso a sus funcionalidades esenciales a otra persona física o jurídica.

2. Ámbito de los derechos otorgados por la Licencia

El licenciante concede al licenciatario una licencia de ámbito mundial, a título gratuito, no exclusiva y que el licenciatario puede subcontratar mientras sigan vigentes los derechos de autor sobre la obra original, y lo autoriza a:

- utilizar la obra en cualquier circunstancia y para cualquier uso,

- reproducir la obra,

- modificar la obra y realizar obras derivadas de la misma,

- comunicar al público la obra o copias de la misma, poner a su disposición o exhibir la obra o las copias y, en su caso, ejecutar públicamente la obra,

- distribuir la obra o copias de la misma,

- prestar y alquilar la obra o copias de la misma,

- subcontratar los derechos relativos a la obra o a las copias de la misma.

Dichos derechos se podrán ejercer a través de cualquier medio, soporte y formato, conocido en el presente o que pueda inventarse en el futuro, en la medida en que así lo permita la legislación aplicable.

En los países cuyo ordenamiento contemple los derechos morales, el licenciante renunciará al ejercicio de los mismos en la medida en que lo permita la legislación, a fin de hacer efectiva la licencia de los derechos patrimoniales anteriormente enumerados.

El licenciante cede al licenciatario, libre de cánones, los derechos de uso no exclusivos sobre cualquier patente de que sea titular, en la medida necesaria para que el licenciatario haga uso de los derechos sobre la obra otorgados por la presente licencia.

3. Comunicación del código fuente

El licenciante podrá suministrar la obra en forma de código fuente o código ejecutable. Si la suministrara en forma de código ejecutable, deberá facilitar además una copia legible automáticamente del código fuente de la obra junto con cada copia de la obra que distribuya, o bien indicar, en una advertencia inserta a continuación de la mención a los derechos de autor adjunta a la obra, un repositorio en el que se pueda acceder al código fuente fácilmente y de manera gratuita durante el período en que el licenciante siga distribuyendo o comunicando la obra.

4. Limitaciones a los derechos de autor

En ningún caso podrá interpretarse la presente licencia de modo que prive al licenciatario de los beneficios de los que pudiera disfrutar como consecuencia de las excepciones o limitaciones a los derechos exclusivos de los titulares de los derechos de la obra, de la extinción de dichos derechos o de cualquier otra limitación aplicable.

5. Obligaciones del licenciatario

La cesión de los derechos en virtud de la presente licencia queda supeditada a ciertas restricciones u obligaciones que habrá de respetar el licenciatario. Dichas obligaciones son:

- Derecho de atribución: El licenciatario deberá mantener íntegramente todas las advertencias y menciones a los derechos de autor, patentes o marcas registradas, así como las que se refieran a la licencia y a la exención de responsabilidad. El licenciatario deberá adjuntar copias de dichas advertencias y menciones y de la licencia con cada copia de la obra que distribuya o comunique. El licenciatario se responsabilizará de que cualquier obra derivada incluya una advertencia bien destacada declarando que se ha modificado la obra, y la fecha de modificación.

- Cláusula de «izquierdo de copia» (copyleft): Si el licenciatario distribuyera o comunicara copias de la obra original o de obras derivadas basadas en la obra original, dicha distribución o comunicación deberá hacerse en las condiciones fijadas en la presente licencia o una versión posterior de la presente licencia, salvo si la obra original se distribuye expresamente solo bajo la presente versión de la licencia (por ejemplo, comunicando «EUPL v. 1.2 solamente». El licenciatario (ahora en su calidad de licenciante) no podrá ofrecer ni imponer condiciones adicionales sobre la obra o las obras derivadas que modifiquen o limiten las condiciones de la licencia.

- Cláusula de compatibilidad: Si el licenciatario distribuyera o comunicara obras derivadas o copias de estas últimas basadas a su vez en la obra y en otra obra licenciada bajo una licencia compatible, la distribución o comunicación podrán efectuarse con arreglo a las condiciones de dicha licencia compatible. A efectos de la presente cláusula, se entenderá por «licencia compatible» cualquiera de las licencias enumeradas en el apéndice adjunto a la presente licencia. En caso de que las obligaciones del licenciatario con arreglo a la licencia compatible estén en colisión con las derivadas de la presente licencia, prevalecerán las obligaciones de la licencia compatible.

- Suministro del código fuente: Cuando distribuya o comunique copias de la obra, el licenciatario deberá facilitar una copia del código fuente legible automáticamente o indicar un repositorio en que se pueda acceder al código fuente fácilmente y de manera gratuita durante el período en que siga distribuyendo o comunicando la obra.

- Salvaguardia de otros derechos: La presente licencia no faculta para utilizar los nombres comerciales, marcas de producto o de servicio o nombres del licenciante, excepto cuando ello, realizado en la medida de lo razonable y conforme a los usos habituales, sea necesario para indicar el origen de la obra y reproducir el contenido de la mención a los derechos de autor.

6. Secuencia de autoría

El licenciante original garantiza ser titular originario de los derechos de autor sobre la obra original objeto de la presente licencia o haberlos adquirido mediante la licencia correspondiente y estar facultado para otorgar licencias sobre tales derechos.

Cada colaborador garantiza ser titular de los derechos de autor sobre las modificaciones que aporta a la obra o haberlos adquirido mediante la correspondiente licencia y estar facultado para otorgar licencias sobre tales derechos.

Cada vez que el licenciatario acepta la licencia, el licenciante original y los colaboradores posteriores le otorgan una licencia sobre sus propias contribuciones a la obra en las condiciones fijadas en la presente licencia.

7. Exclusión de garantía

La obra se encuentra en proceso de elaboración, siendo objeto de continuas mejoras por parte de numerosos colaboradores. No es una obra acabada y, por tanto, puede contener defectos o fallos inherentes a este tipo de desarrollo.

Por este motivo, la obra, en virtud de la licencia, se suministra «tal cual», sin garantías de ningún tipo, en particular, en una enumeración no exhaustiva, en cuanto a su comercialización, adecuación a un propósito determinado, ausencia de defectos o errores, exactitud y ausencia de infracción de los derechos de propiedad intelectual distintos de los derechos de autor según se afirma en el artículo 6 de la presente licencia.

Esta exclusión de garantía forma parte esencial de la licencia y es condición para la cesión de cualquier derecho con respecto a la obra.

8. Exclusión de responsabilidad

Excepto en casos de dolo o de daños ocasionados directamente a personas físicas, el licenciante no será responsable de los daños y perjuicios de cualquier clase, directos o indirectos, materiales o morales, que pudieran derivarse de la licencia o del uso de la obra, en particular, en una enumeración no exhaustiva, de los daños y perjuicios por pérdida de buena reputación, paro técnico, avería o mal funcionamiento de equipos informáticos, pérdida de datos o cualquier perjuicio comercial, incluso si el licenciante conocía la posibilidad de dichos daños. No obstante, el licenciante será responsable, de acuerdo con las normas legales que regulen la responsabilidad por los daños causados por productos, en la medida en que dichas normas sean aplicables a la obra.

9. Acuerdos adicionales

Al distribuir la obra, el licenciatario podrá suscribir un acuerdo adicional que defina obligaciones o servicios compatibles con la presente licencia. No obstante, al aceptar tales obligaciones, el licenciatario actuará únicamente en nombre propio y bajo su exclusiva responsabilidad, y nunca en nombre del licenciante original ni de ningún otro colaborador, y ello a condición de que acceda a indemnizar, defender y amparar a todo colaborador frente a cualquier responsabilidad en que este pudiera incurrir y frente a las reclamaciones que pudieran presentarse contra él por haber aceptado el licenciatario la mencionada garantía o responsabilidad adicional.

10. Aceptación de la licencia

Lo dispuesto en la presente licencia puede aceptarse haciendo clic en el icono «Aceptar» situado en la parte inferior de la ventana en que aparece el texto de la presente licencia o manifestando el consentimiento de cualquier otra forma similar, de conformidad con lo previsto en la legislación aplicable. Haciendo clic en dicho icono, se expresa la aceptación inequívoca e irrevocable de la presente licencia y de todo su contenido.

Asimismo, el licenciatario acepta irrevocablemente la presente licencia y todas sus condiciones por el mero hecho de ejercer cualquiera de los derechos que le otorga el artículo 2 de la presente licencia, tales como el uso de la obra, la creación de una obra derivada o la distribución o comunicación de la obra o de copias de la misma.

11. Información al público

En caso de que el licenciatario proceda a la distribución o comunicación de la obra por medios electrónicos (por ejemplo, ofreciendo la descarga de la obra a distancia), el canal o medio de distribución (por ejemplo, un sitio web) deberá facilitar al público, como mínimo, la información exigida por la legislación aplicable acerca del licenciante, la licencia y la manera en que el licenciatario puede acceder a dichos datos, aceptarlos, conservarlos y reproducirlos.

12. Extinción de la licencia

La licencia y los derechos otorgados a su amparo se extinguirán automáticamente si el licenciatario incumple alguna de las condiciones de la licencia.

Tal extinción no supondrá, sin embargo, la de las licencias de que disfruten las personas que hayan recibido la obra del licenciatario en virtud de la licencia, siempre que dichas personas sigan cumpliendo plenamente las condiciones de la licencia.

13. Varios

No obstante lo dispuesto en el artículo 9, la licencia representará la totalidad del acuerdo entre las partes en cuanto a la obra.

La eventual invalidez o ineficacia de alguna disposición de la presente licencia con arreglo a la legislación vigente no afectará a la validez o eficacia general de la licencia. En tales casos, la disposición se interpretará o reformulará según proceda para hacerla válida y eficaz.

La Comisión Europea podrá publicar otras versiones lingüísticas o nuevas versiones de la presente licencia o versiones actualizadas del apéndice en la medida en que resulte necesario y razonable y sin reducir el ámbito de los derechos concedidos por la licencia. Las nuevas versiones de la licencia se publicarán con un número de versión único.

Todas las versiones lingüísticas de la presente licencia aprobadas por la Comisión Europea tienen idéntico valor. Las partes pueden utilizar la versión lingüística de su preferencia.

14. Tribunales competentes

Sin perjuicio de lo dispuesto en un acuerdo específico entre las partes,

- los litigios relativos a la interpretación de la presente licencia que se planteen entre las instituciones, órganos y organismos de la Unión Europea, en calidad de licenciante, y un licenciatario, se someterán a la jurisdicción del Tribunal de Justicia de la Unión Europea, con arreglo al artículo 272 del Tratado de Funcionamiento de la Unión Europea;
- los litigios relativos la interpretación de la presente licencia que se planteen entre otras partes se someterán a la jurisdicción exclusiva del tribunal que sea competente en el lugar en que resida o ejerza su actividad principal el licenciante.

15. Legislación aplicable

Sin perjuicio de lo dispuesto en un acuerdo específico entre las partes,

- la presente licencia se regirá por la legislación del Estado miembro de la Unión Europea en el que tenga su sede, resida o tenga su domicilio social el licenciante;
- la presente licencia se regirá por el Derecho belga si el licenciante no tiene sede, residencia ni domicilio social en un Estado miembro de la Unión Europea.

Apéndice

Son «licencias compatibles» con arreglo al artículo 5 de la EUPL:

- GNU General Public License (GPL) v. 2, v. 3
- GNU Affero General Public License (AGPL) v. 3
- Open Software License (OSL) v. 2.1, v. 3.0
- Eclipse Public License (EPL) v. 1.0
- CeCILL v. 2.0, v. 2.1
- Mozilla Public Licence (MPL) v. 2
- GNU Lesser General Public Licence (LGPL) v. 2.1, v. 3
- Creative Commons Attribution-ShareAlike v. 3.0 Unported (CC BY-SA 3.0) para obras que no sean programas informáticos
- European Union Public Licence (EUPL) v. 1.1, v. 1.2
- Québec Free and Open-Source Licence — Reciprocity (LiLiQ-R) or Strong Reciprocity (LiLiQ-R+)

La Comisión Europea podrá actualizar el presente apéndice a versiones posteriores de las licencias mencionadas sin presentar una nueva versión de la EUPL, siempre que contemplen los derechos reconocidos en el artículo 2 de la presente licencia y protejan de la apropiación exclusiva el código fuente cubierto.

Cualquier otra modificación o adición al presente apéndice exigirá la presentación de una nueva versión de la EUPL.

Servidores DNS públicos

Los servidorss DNS dan mucha información a sus propietarios (principalmente ahora que las operadoras pueden vender información personal tuya si lo quisieran en Estados Unidos, o de forma agregada en la Unión Europea), de forma que quizá es interesante que te plantees usar sistemas alternativos.

Aquí dejo una lista de algunos proveedores, en algunos casos con IPv4 y otros de IPv6.

ProveedorIPv4IPv6
Alternate DNS*198.101.242.72
23.253.163.53
Comodo Secure DNS8.26.56.26
8.20.247.20
DNS.WATCH84.200.69.80
84.200.70.40
2001:1608:10:25::1c04:b12f
2001:1608:10:25::9249:d69b
Dyn216.146.35.35
216.146.36.36
FreeDNS37.235.1.174
37.235.1.177
Google8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
GreenTeamDNS*81.218.119.11
209.88.198.133
Hurricane Electric74.82.42.42001:470:20::2
Level3209.244.0.3
209.244.0.4
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6
Norton ConnectSafe*199.85.126.10
199.85.127.10
OpenDNS Home208.67.222.222
208.67.220.220
208.67.222.123
208.67.220.123
OpenNIC96.90.175.167
193.183.98.154
puntCAT109.69.8.512a00:1508:0:4::9
SafeDNS*195.46.39.39
195.46.39.40
SmartViper208.76.50.50
208.76.51.51
UncensoredDNS91.239.100.100
89.233.43.71
2001:67c:28a4::
2a01:3a0:53:53::
Verisign64.6.64.6
64.6.65.6
2620:74:1b::1:1
2620:74:1c::2:2
Yandex.DNS*77.88.8.8
77.88.8.1
2a02:6b8::feed:0ff
2a02:6b8:0:1::feed:0ff

Los que tienen un * es porque filtran algunos sitios web de malware, adultos, etc…

Personalmente, si he de quedarme con algunos, elijo primero el de puntCAT (al estar en España) y después buscaría alguno más en España de OpenNIC y posteriormente los de Hurricane Electric. Pero esto va sobre gustos.

Ley de protección de datos europea (General Data Protection Regulation)

A partir de las empresas europeas, que trabajen en europa o aquellos usuarios que lo hagan van a estar sometidos a la nueva regulación de protección de datos aprobada a . Esta nueva regulación, que sustituye la de 1995 y que viene dada principamente por el terrorismo y todos los cambios digitales de estas dos últimas décadas, va a ser aplicada “tal cual”, sin que los países tengan que adaptarla a su legislación propia (creo que es de las pocas vece que esto ocurre).

Esta nueva legislación afecta, por ejemplo, a todas aquellas empresas exteriores a la UE que poeren con usuarios europeos, además, obviamente, de estandarizar la legislación de datos a todos los países miembros. El incumplimiento de esta legislación puede alcanzar un 4%-5% de la facturación mundial de las compañías que la incumplan.

¿A quién afecta?

Este reglamento afecta a todo aquel que recopile datos de residentes en la UE, ya sea el responsable del tratamiento, el procesador de ellos o el titular de los datos, sea de donde sea (o sea, tiene aplicación internacional si afecta a un europeo)

Según la Comisión Europea:

Datos personales son cualquier información relativa a una persona, ya se trate de su vida privada, profesional o pública, que puede ser cualquier cosa, desde un nombre, una dirección de casa, una foto, una dirección de correo electrónico, un banco, información sobre los sitios web de redes sociales, información médica o dirección IP de un ordenador.

Aplicación estatal

Cada estado miembro creará una Autoridad de Supervisión independiente (SA) para conocer e investigar las quejas, sancionar los delitos administrativos… Estos organismos, obviamente, cruzarán datos internamente. En el caso de que una empresa tenga varias sedes, se definirá la SA principal en uno de los países (en principio el principal de la compañía).

Responsabilidad

A la hora de informar, se tendrá que hacer con más datos. Por ejemplo cuánto tiempo se van a almacenar los datos de la persona, la persona responsable del tratamiento de datos y de la protección de datos (que deberá registrarse).

Además, la personalización (o toma de decisiones individualizada automatizada) como podría ser la elaboración de perfiles podrá ser rebatida por los ciudadanos, pudiendo cuestionar las decisiones automatizadas.

Las empresas y organismos deberán tener documentado las medidas que cumplen los principios de protección de datos por diseño y protección de datos por defecto, quedando en manos del responsable del tratamiento. Esto implicará la pseudonimización de datos personales, por parte del responsable del tratamiento.

Consentimiento

La recoipilación de datos deberá ser explícita, lo que significa que en todo momento habrá que informar al usuario de qué datos se disponen. En el caso de los niños, deberá quedar registrado los datos de los padres o tutor legal de manera demostrable y verificable, ya que los controladores de datos deben ser capaces de probar el “consentimiento” (opt-in), pudiendo este ser retirado.

Data Protection Officer – DPO (Director de Protección de Datos)

En el caso de empresas privadas, si la gestión de datos es un elemento principal, se deberá disponer de un director de Protección de Datos que se haga responsable de los mismos. Deberá ser una persona con conocimientos especializados en materia de legislación y prácticas de protección de datos y debería ayudar al responsable del tratamiento o del procesador a supervisar el cumplimiento interno del presente Reglamento.

Además, encontramos la figura del Compliance Officer, que será la persona técnica competente en la gestión de procesos de TI, seguridad de datos (incluyendo el tratamiento de ataques) y otros asuntos críticos de continuidad de negocio alrededor del procesamiento de datos sensibles o personales.

Pseudonimización

Los datos deberán almacenarse de tal manera que no se puedan atribuir a un sujeto en concreto sin información adicional. Un sistema podría ser el cifrado de la información, que requiera una clave externa, y que impida incluso a los propios responsables de los ficheros de su acceso sin ella y de forma controlada.

En caso de que los datos sean pseudonimizados con políticas y medidas internas adecuadas, entonces se considera anonimizado y no sujeto a controles y sanciones del GDPR. Un ejemplo de ello es que los datos deberán pseudonimizarse lo antes posible, encriptar los datos localmente y mantener de forma separada las claves de cifrado.

Hackeos

En caso de que alguien externo consiga hacerse con una fuga de datos, se deberá comunicar en un plazo de 72 horas a la Autoridad Supervisora. En caso de que pueda afectar a los usuarios, también se les tendrá que comunicar. Esto sólo es en caso de datos personalizados, pero no afectaría a los datos anónimos (analítica).

Derecho al olvido

El sistema de derecho al olvido (o borrado) queda sustituido por este reglamento. Un usuario puede solicitar toda su información de la plataforma, ya sea por incumplimiento legal o por uso que sobrepasa los derechos y libertades fundamentales. EJEMPLO: Google Spain v AEPD and Mario Costeja González.

Portabilidad de datos

Una persona puede transferir todos sus datos de una plataforma a otra mediante sistemas de Estándar Abierto estructurados.

Aquí supongo que iremos viendo lo que se consideran estándar, ya que cada sistema, software o concepto puede tener unos requisitos propios.

Privacidad, de facto

Toda plataforma deberá estar diseñada e implementada con la privacidad como punto báse y clave, desde su inicio. Además, sólo se deberá hacer uso de los datos personales en los momentos en los que sea necesario para un propósito específico.

Registro de actividad

Cada vez que se haga un tratamiento en el procesamiento de datos se deberá almacenar un registro que indique qué actividad se ha realizado, con qué fin y qué plazos se han utilizado. En caso de que la Autoridad Supervisora lo solicite, se les deberá entregar.

Si bien es cierto que esta regulación estaba muy pensado para el “cloud”, las “redes sociales” y todo eso, va a generar una serie de problemáticas en muchas empresas, principalmente PYME. Las empresas grandes ya suelen tener a una persona responsable de los datos, pero las empresas pequeñas no. Además, tampoco queda muy claro cuando se habla de la pseudonimización y encriptación de datos si simplemente es mantener la base de datos encriptada (como tener un MySQL con SSL/TLS) o directamente hay que encriptar la información, lo que generaría una complejidad excesida en los sistemas.

La Comisión Europea ha lanzado un sitio web en el que se trata este tema, eugdpr.org, que, como curiosidad, no funciona sobre HTTPS. También la Agencia de Protección de Datos ha lanzado una sección en la que publican bastantes documentos para explicar cada uno de los detalles a cumplir.

Verificar un certificado SSL/TLS

Ya expliqué cómo conseguir un certificado SSL/TLS gratis, pero… ¿está bien configurado? Muchas veces puede parecer que sí, pero en ocasiones aceptamos los errores que nos da en una primera ocasión y después nos olvidamos de ello, por lo que una mala configuración nos lleva al “a mi me va bien”.

Para verificarlo, existen varias herramientas, aunque personalmente me quedo con la de SSL Labs y su SSL Server Test.

Tan solo has de indicar tu sitio web y esperar a que aparezca tu nota. Cualquier nota que aparezca que sea menor de A es preocupante, por la razón que sea. En el propio sitio te indicarán documentación en la que te podrás informar sobre qué problema hay, si es grave o no y qué hacer en cada caso.