European Union Public Licence

Habitualmente usamos licencias abiertas del estilo a GPL, Apache, MIT… pero siempre te queda la duda de ¿qué ocurre si alguien incumple la licencia?

A mediados de mayo de 2017 se actualizó la licencia EUPL [European Union Public Licence] ahora a su versión 1.2, una licencia para proyectos de código abierto (Open Source) y que tiene algunas ventajas con su uso con respecto a otras opciones del mercado, además de su gran compatibilidad con las licencias habituales de este tipo de código.

Lo primero de todo es que la licencia está disponible en todos los idiomas de la Unión Europea, y descargables, lo que ayuda a su comprensión. La licencia de por sí es bastante sencilla, e incluye un detalle importante, creo, que es la problemática judicial cuando no se aplica la misma y la resolución de conflictos, ya que establece un Tribunal Europeo para estos casos, lo que significa disponer de un lugar en el que se conoce bien la legislación en materia de software y código abierto, con su uso y mal uso. Hay que recordar que todos los programas desarrollados por la Administración Pública en Europa deberían incorporar esta licencia.

Documento en formato PDF y HTML.

Me gustaría hacer mención a algunos fragmentos que creo importantes, en lo que corresponde a la aprobación d ela versión 1.2:

A fin de seguir facilitando el intercambio y la reutilización de los programas informáticos desarrollados por las administraciones públicas en relación con el uso de una licencia de programas informáticos de fuente abierta, debe adoptarse una nueva versión de la licencia EUPL, la EUPL v. 1.2.

Este elemento es importante ya que si las Administraciones Públicas desarrollan código abierto estaría disponible para todos los ciudadanos, que incluso podrían llegar a colaborar en ellos.

Resultan necesarios algunos ajustes en la redacción y simplificaciones para adaptarla a las denominaciones oficiales, a fin de que su ámbito de aplicación sea más amplio, las partes tengan cierta flexibilidad en lo que respecta al Derecho aplicable y se aclare la competencia del Tribunal de Justicia de conformidad con lo dispuesto en el Tratado de Funcionamiento de la Unión Europea.

Como decía antes, está bien que la UE haya puesto a disposición de todos un tribunal que contemple la aplicación y conocimiento de esta licencia.

LICENCIA PÚBLICA DE LA UNIÓN EUROPEA v. 1.2

EUPL © Unión Europea 2007, 2016

La presente Licencia Pública de la Unión Europea (EUPL, por su sigla en inglés), se aplica a la obra (según se define más adelante) suministrada en las condiciones fijadas en la presente licencia. Queda prohibido cualquier uso de la obra distinto del autorizado por la presente licencia (en la medida en que tal uso esté protegido por un derecho del titular de los derechos de autor de la obra).

La obra se suministra en las condiciones fijadas en la presente licencia cuando el licenciante (según se define más adelante) haya colocado la siguiente advertencia inmediatamente después de la mención a los derechos de autor de la obra:

Licencia cedida con arreglo a la EUPL

o haya expresado por cualquier otro medio su voluntad de conceder una licencia con arreglo a la EUPL.

1. Definiciones

En la presente licencia, se entenderá por:

- «licencia»: la presente licencia,

- «obra original»: la obra o el programa de ordenador distribuido o comunicado por el licenciante con arreglo a la presente licencia en forma de código fuente o, en su caso, de código ejecutable,

- «obras derivadas»: las obras o programas de ordenador que pudiera crear el licenciatario sobre la base de la obra original o de alguna de las modificaciones de esta. La presente licencia no define el grado de modificación o dependencia de la obra original necesario para clasificar una obra como derivada; dicho grado se determinará de acuerdo con la legislación sobre derechos de autor aplicable con arreglo al artículo 15,

- «obra»: la obra original o sus obras derivadas,

- «código fuente»: la forma de la obra legible por seres humanos que pueda ser estudiada y modificada más fácilmente,

- «código ejecutable»: cualquier código, en general compilado, destinado a ser interpretado como programa por un ordenador,

- «licenciante»: la persona física o jurídica que distribuye o comunica la obra con arreglo a la licencia,

- «colaborador»: la persona física o jurídica que modifica la obra con arreglo a la licencia o contribuye de cualquier otra manera a crear una obra derivada,

- «licenciatario»: la persona física o jurídica que hace un uso cualquiera de la obra en las condiciones fijadas en la licencia,

- «distribución» o «comunicación»: cualquier acto de venta, donación, préstamo, alquiler, distribución, comunicación, transmisión o cualquier otro acto de puesta a disposición, en línea o fuera de línea, de copias de la obra o de acceso a sus funcionalidades esenciales a otra persona física o jurídica.

2. Ámbito de los derechos otorgados por la Licencia

El licenciante concede al licenciatario una licencia de ámbito mundial, a título gratuito, no exclusiva y que el licenciatario puede subcontratar mientras sigan vigentes los derechos de autor sobre la obra original, y lo autoriza a:

- utilizar la obra en cualquier circunstancia y para cualquier uso,

- reproducir la obra,

- modificar la obra y realizar obras derivadas de la misma,

- comunicar al público la obra o copias de la misma, poner a su disposición o exhibir la obra o las copias y, en su caso, ejecutar públicamente la obra,

- distribuir la obra o copias de la misma,

- prestar y alquilar la obra o copias de la misma,

- subcontratar los derechos relativos a la obra o a las copias de la misma.

Dichos derechos se podrán ejercer a través de cualquier medio, soporte y formato, conocido en el presente o que pueda inventarse en el futuro, en la medida en que así lo permita la legislación aplicable.

En los países cuyo ordenamiento contemple los derechos morales, el licenciante renunciará al ejercicio de los mismos en la medida en que lo permita la legislación, a fin de hacer efectiva la licencia de los derechos patrimoniales anteriormente enumerados.

El licenciante cede al licenciatario, libre de cánones, los derechos de uso no exclusivos sobre cualquier patente de que sea titular, en la medida necesaria para que el licenciatario haga uso de los derechos sobre la obra otorgados por la presente licencia.

3. Comunicación del código fuente

El licenciante podrá suministrar la obra en forma de código fuente o código ejecutable. Si la suministrara en forma de código ejecutable, deberá facilitar además una copia legible automáticamente del código fuente de la obra junto con cada copia de la obra que distribuya, o bien indicar, en una advertencia inserta a continuación de la mención a los derechos de autor adjunta a la obra, un repositorio en el que se pueda acceder al código fuente fácilmente y de manera gratuita durante el período en que el licenciante siga distribuyendo o comunicando la obra.

4. Limitaciones a los derechos de autor

En ningún caso podrá interpretarse la presente licencia de modo que prive al licenciatario de los beneficios de los que pudiera disfrutar como consecuencia de las excepciones o limitaciones a los derechos exclusivos de los titulares de los derechos de la obra, de la extinción de dichos derechos o de cualquier otra limitación aplicable.

5. Obligaciones del licenciatario

La cesión de los derechos en virtud de la presente licencia queda supeditada a ciertas restricciones u obligaciones que habrá de respetar el licenciatario. Dichas obligaciones son:

- Derecho de atribución: El licenciatario deberá mantener íntegramente todas las advertencias y menciones a los derechos de autor, patentes o marcas registradas, así como las que se refieran a la licencia y a la exención de responsabilidad. El licenciatario deberá adjuntar copias de dichas advertencias y menciones y de la licencia con cada copia de la obra que distribuya o comunique. El licenciatario se responsabilizará de que cualquier obra derivada incluya una advertencia bien destacada declarando que se ha modificado la obra, y la fecha de modificación.

- Cláusula de «izquierdo de copia» (copyleft): Si el licenciatario distribuyera o comunicara copias de la obra original o de obras derivadas basadas en la obra original, dicha distribución o comunicación deberá hacerse en las condiciones fijadas en la presente licencia o una versión posterior de la presente licencia, salvo si la obra original se distribuye expresamente solo bajo la presente versión de la licencia (por ejemplo, comunicando «EUPL v. 1.2 solamente». El licenciatario (ahora en su calidad de licenciante) no podrá ofrecer ni imponer condiciones adicionales sobre la obra o las obras derivadas que modifiquen o limiten las condiciones de la licencia.

- Cláusula de compatibilidad: Si el licenciatario distribuyera o comunicara obras derivadas o copias de estas últimas basadas a su vez en la obra y en otra obra licenciada bajo una licencia compatible, la distribución o comunicación podrán efectuarse con arreglo a las condiciones de dicha licencia compatible. A efectos de la presente cláusula, se entenderá por «licencia compatible» cualquiera de las licencias enumeradas en el apéndice adjunto a la presente licencia. En caso de que las obligaciones del licenciatario con arreglo a la licencia compatible estén en colisión con las derivadas de la presente licencia, prevalecerán las obligaciones de la licencia compatible.

- Suministro del código fuente: Cuando distribuya o comunique copias de la obra, el licenciatario deberá facilitar una copia del código fuente legible automáticamente o indicar un repositorio en que se pueda acceder al código fuente fácilmente y de manera gratuita durante el período en que siga distribuyendo o comunicando la obra.

- Salvaguardia de otros derechos: La presente licencia no faculta para utilizar los nombres comerciales, marcas de producto o de servicio o nombres del licenciante, excepto cuando ello, realizado en la medida de lo razonable y conforme a los usos habituales, sea necesario para indicar el origen de la obra y reproducir el contenido de la mención a los derechos de autor.

6. Secuencia de autoría

El licenciante original garantiza ser titular originario de los derechos de autor sobre la obra original objeto de la presente licencia o haberlos adquirido mediante la licencia correspondiente y estar facultado para otorgar licencias sobre tales derechos.

Cada colaborador garantiza ser titular de los derechos de autor sobre las modificaciones que aporta a la obra o haberlos adquirido mediante la correspondiente licencia y estar facultado para otorgar licencias sobre tales derechos.

Cada vez que el licenciatario acepta la licencia, el licenciante original y los colaboradores posteriores le otorgan una licencia sobre sus propias contribuciones a la obra en las condiciones fijadas en la presente licencia.

7. Exclusión de garantía

La obra se encuentra en proceso de elaboración, siendo objeto de continuas mejoras por parte de numerosos colaboradores. No es una obra acabada y, por tanto, puede contener defectos o fallos inherentes a este tipo de desarrollo.

Por este motivo, la obra, en virtud de la licencia, se suministra «tal cual», sin garantías de ningún tipo, en particular, en una enumeración no exhaustiva, en cuanto a su comercialización, adecuación a un propósito determinado, ausencia de defectos o errores, exactitud y ausencia de infracción de los derechos de propiedad intelectual distintos de los derechos de autor según se afirma en el artículo 6 de la presente licencia.

Esta exclusión de garantía forma parte esencial de la licencia y es condición para la cesión de cualquier derecho con respecto a la obra.

8. Exclusión de responsabilidad

Excepto en casos de dolo o de daños ocasionados directamente a personas físicas, el licenciante no será responsable de los daños y perjuicios de cualquier clase, directos o indirectos, materiales o morales, que pudieran derivarse de la licencia o del uso de la obra, en particular, en una enumeración no exhaustiva, de los daños y perjuicios por pérdida de buena reputación, paro técnico, avería o mal funcionamiento de equipos informáticos, pérdida de datos o cualquier perjuicio comercial, incluso si el licenciante conocía la posibilidad de dichos daños. No obstante, el licenciante será responsable, de acuerdo con las normas legales que regulen la responsabilidad por los daños causados por productos, en la medida en que dichas normas sean aplicables a la obra.

9. Acuerdos adicionales

Al distribuir la obra, el licenciatario podrá suscribir un acuerdo adicional que defina obligaciones o servicios compatibles con la presente licencia. No obstante, al aceptar tales obligaciones, el licenciatario actuará únicamente en nombre propio y bajo su exclusiva responsabilidad, y nunca en nombre del licenciante original ni de ningún otro colaborador, y ello a condición de que acceda a indemnizar, defender y amparar a todo colaborador frente a cualquier responsabilidad en que este pudiera incurrir y frente a las reclamaciones que pudieran presentarse contra él por haber aceptado el licenciatario la mencionada garantía o responsabilidad adicional.

10. Aceptación de la licencia

Lo dispuesto en la presente licencia puede aceptarse haciendo clic en el icono «Aceptar» situado en la parte inferior de la ventana en que aparece el texto de la presente licencia o manifestando el consentimiento de cualquier otra forma similar, de conformidad con lo previsto en la legislación aplicable. Haciendo clic en dicho icono, se expresa la aceptación inequívoca e irrevocable de la presente licencia y de todo su contenido.

Asimismo, el licenciatario acepta irrevocablemente la presente licencia y todas sus condiciones por el mero hecho de ejercer cualquiera de los derechos que le otorga el artículo 2 de la presente licencia, tales como el uso de la obra, la creación de una obra derivada o la distribución o comunicación de la obra o de copias de la misma.

11. Información al público

En caso de que el licenciatario proceda a la distribución o comunicación de la obra por medios electrónicos (por ejemplo, ofreciendo la descarga de la obra a distancia), el canal o medio de distribución (por ejemplo, un sitio web) deberá facilitar al público, como mínimo, la información exigida por la legislación aplicable acerca del licenciante, la licencia y la manera en que el licenciatario puede acceder a dichos datos, aceptarlos, conservarlos y reproducirlos.

12. Extinción de la licencia

La licencia y los derechos otorgados a su amparo se extinguirán automáticamente si el licenciatario incumple alguna de las condiciones de la licencia.

Tal extinción no supondrá, sin embargo, la de las licencias de que disfruten las personas que hayan recibido la obra del licenciatario en virtud de la licencia, siempre que dichas personas sigan cumpliendo plenamente las condiciones de la licencia.

13. Varios

No obstante lo dispuesto en el artículo 9, la licencia representará la totalidad del acuerdo entre las partes en cuanto a la obra.

La eventual invalidez o ineficacia de alguna disposición de la presente licencia con arreglo a la legislación vigente no afectará a la validez o eficacia general de la licencia. En tales casos, la disposición se interpretará o reformulará según proceda para hacerla válida y eficaz.

La Comisión Europea podrá publicar otras versiones lingüísticas o nuevas versiones de la presente licencia o versiones actualizadas del apéndice en la medida en que resulte necesario y razonable y sin reducir el ámbito de los derechos concedidos por la licencia. Las nuevas versiones de la licencia se publicarán con un número de versión único.

Todas las versiones lingüísticas de la presente licencia aprobadas por la Comisión Europea tienen idéntico valor. Las partes pueden utilizar la versión lingüística de su preferencia.

14. Tribunales competentes

Sin perjuicio de lo dispuesto en un acuerdo específico entre las partes,

- los litigios relativos a la interpretación de la presente licencia que se planteen entre las instituciones, órganos y organismos de la Unión Europea, en calidad de licenciante, y un licenciatario, se someterán a la jurisdicción del Tribunal de Justicia de la Unión Europea, con arreglo al artículo 272 del Tratado de Funcionamiento de la Unión Europea;
- los litigios relativos la interpretación de la presente licencia que se planteen entre otras partes se someterán a la jurisdicción exclusiva del tribunal que sea competente en el lugar en que resida o ejerza su actividad principal el licenciante.

15. Legislación aplicable

Sin perjuicio de lo dispuesto en un acuerdo específico entre las partes,

- la presente licencia se regirá por la legislación del Estado miembro de la Unión Europea en el que tenga su sede, resida o tenga su domicilio social el licenciante;
- la presente licencia se regirá por el Derecho belga si el licenciante no tiene sede, residencia ni domicilio social en un Estado miembro de la Unión Europea.

Apéndice

Son «licencias compatibles» con arreglo al artículo 5 de la EUPL:

- GNU General Public License (GPL) v. 2, v. 3
- GNU Affero General Public License (AGPL) v. 3
- Open Software License (OSL) v. 2.1, v. 3.0
- Eclipse Public License (EPL) v. 1.0
- CeCILL v. 2.0, v. 2.1
- Mozilla Public Licence (MPL) v. 2
- GNU Lesser General Public Licence (LGPL) v. 2.1, v. 3
- Creative Commons Attribution-ShareAlike v. 3.0 Unported (CC BY-SA 3.0) para obras que no sean programas informáticos
- European Union Public Licence (EUPL) v. 1.1, v. 1.2
- Québec Free and Open-Source Licence — Reciprocity (LiLiQ-R) or Strong Reciprocity (LiLiQ-R+)

La Comisión Europea podrá actualizar el presente apéndice a versiones posteriores de las licencias mencionadas sin presentar una nueva versión de la EUPL, siempre que contemplen los derechos reconocidos en el artículo 2 de la presente licencia y protejan de la apropiación exclusiva el código fuente cubierto.

Cualquier otra modificación o adición al presente apéndice exigirá la presentación de una nueva versión de la EUPL.

Servidores DNS públicos

Una de las formas más sencillas de optimizar tu conexión a Internet es mejorar la resolución de dominios, el sistema que convierte example.com en una IP, de forma que se puedan cargar webs, correos y prácticamente todo lo que haces en tu día a día.

Los servidorss DNS dan mucha información a sus propietarios (principalmente ahora que las operadoras pueden vender información personal tuya si lo quisieran en Estados Unidos, o de forma agregada en la Unión Europea), de forma que quizá es interesante que te plantees usar sistemas alternativos.

Aquí dejo una lista de algunos proveedores, en algunos casos con IPv4 y otros de IPv6.

Proveedor IPv4 IPv6
Alternate DNS* 198.101.242.72
23.253.163.53
Comodo Secure DNS 8.26.56.26
8.20.247.20
DNS.WATCH 84.200.69.80
84.200.70.40
2001:1608:10:25::1c04:b12f
2001:1608:10:25::9249:d69b
Dyn 216.146.35.35
216.146.36.36
FreeDNS 37.235.1.174
37.235.1.177
Google 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
GreenTeamDNS* 81.218.119.11
209.88.198.133
Hurricane Electric 74.82.42.4 2001:470:20::2
Level3 209.244.0.3
209.244.0.4
4.2.2.1
4.2.2.2
4.2.2.3
4.2.2.4
4.2.2.5
4.2.2.6
Norton ConnectSafe* 199.85.126.10
199.85.127.10
OpenDNS Home 208.67.222.222
208.67.220.220
208.67.222.123
208.67.220.123
OpenNIC 96.90.175.167
193.183.98.154
puntCAT 109.69.8.51 2a00:1508:0:4::9
SafeDNS* 195.46.39.39
195.46.39.40
SmartViper 208.76.50.50
208.76.51.51
UncensoredDNS 91.239.100.100
89.233.43.71
2001:67c:28a4::
2a01:3a0:53:53::
Verisign 64.6.64.6
64.6.65.6
2620:74:1b::1:1
2620:74:1c::2:2
Yandex.DNS* 77.88.8.8
77.88.8.1
2a02:6b8::feed:0ff
2a02:6b8:0:1::feed:0ff

Los que tienen un * es porque filtran algunos sitios web de malware, adultos, etc…

Personalmente, si he de quedarme con algunos, elijo primero el de puntCAT (al estar en España) y después buscaría alguno más en España de OpenNIC y posteriormente los de Hurricane Electric. Pero esto va sobre gustos.

Ley de protección de datos europea (General Data Protection Regulation)

A partir de las empresas europeas, que trabajen en europa o aquellos usuarios que lo hagan van a estar sometidos a la nueva regulación de protección de datos aprobada a . Esta nueva regulación, que sustituye la de 1995 y que viene dada principamente por el terrorismo y todos los cambios digitales de estas dos últimas décadas, va a ser aplicada “tal cual”, sin que los países tengan que adaptarla a su legislación propia (creo que es de las pocas vece que esto ocurre).

Esta nueva legislación afecta, por ejemplo, a todas aquellas empresas exteriores a la UE que poeren con usuarios europeos, además, obviamente, de estandarizar la legislación de datos a todos los países miembros. El incumplimiento de esta legislación puede alcanzar un 4%-5% de la facturación mundial de las compañías que la incumplan.

¿A quién afecta?

Este reglamento afecta a todo aquel que recopile datos de residentes en la UE, ya sea el responsable del tratamiento, el procesador de ellos o el titular de los datos, sea de donde sea (o sea, tiene aplicación internacional si afecta a un europeo)

Según la Comisión Europea:

Datos personales son cualquier información relativa a una persona, ya se trate de su vida privada, profesional o pública, que puede ser cualquier cosa, desde un nombre, una dirección de casa, una foto, una dirección de correo electrónico, un banco, información sobre los sitios web de redes sociales, información médica o dirección IP de un ordenador.

Aplicación estatal

Cada estado miembro creará una Autoridad de Supervisión independiente (SA) para conocer e investigar las quejas, sancionar los delitos administrativos… Estos organismos, obviamente, cruzarán datos internamente. En el caso de que una empresa tenga varias sedes, se definirá la SA principal en uno de los países (en principio el principal de la compañía).

Responsabilidad

A la hora de informar, se tendrá que hacer con más datos. Por ejemplo cuánto tiempo se van a almacenar los datos de la persona, la persona responsable del tratamiento de datos y de la protección de datos (que deberá registrarse).

Además, la personalización (o toma de decisiones individualizada automatizada) como podría ser la elaboración de perfiles podrá ser rebatida por los ciudadanos, pudiendo cuestionar las decisiones automatizadas.

Las empresas y organismos deberán tener documentado las medidas que cumplen los principios de protección de datos por diseño y protección de datos por defecto, quedando en manos del responsable del tratamiento. Esto implicará la pseudonimización de datos personales, por parte del responsable del tratamiento.

Consentimiento

La recoipilación de datos deberá ser explícita, lo que significa que en todo momento habrá que informar al usuario de qué datos se disponen. En el caso de los niños, deberá quedar registrado los datos de los padres o tutor legal de manera demostrable y verificable, ya que los controladores de datos deben ser capaces de probar el “consentimiento” (opt-in), pudiendo este ser retirado.

Data Protection Officer – DPO (Director de Protección de Datos)

En el caso de empresas privadas, si la gestión de datos es un elemento principal, se deberá disponer de un director de Protección de Datos que se haga responsable de los mismos. Deberá ser una persona con conocimientos especializados en materia de legislación y prácticas de protección de datos y debería ayudar al responsable del tratamiento o del procesador a supervisar el cumplimiento interno del presente Reglamento.

Además, encontramos la figura del Compliance Officer, que será la persona técnica competente en la gestión de procesos de TI, seguridad de datos (incluyendo el tratamiento de ataques) y otros asuntos críticos de continuidad de negocio alrededor del procesamiento de datos sensibles o personales.

Pseudonimización

Los datos deberán almacenarse de tal manera que no se puedan atribuir a un sujeto en concreto sin información adicional. Un sistema podría ser el cifrado de la información, que requiera una clave externa, y que impida incluso a los propios responsables de los ficheros de su acceso sin ella y de forma controlada.

En caso de que los datos sean pseudonimizados con políticas y medidas internas adecuadas, entonces se considera anonimizado y no sujeto a controles y sanciones del GDPR. Un ejemplo de ello es que los datos deberán pseudonimizarse lo antes posible, encriptar los datos localmente y mantener de forma separada las claves de cifrado.

Hackeos

En caso de que alguien externo consiga hacerse con una fuga de datos, se deberá comunicar en un plazo de 72 horas a la Autoridad Supervisora. En caso de que pueda afectar a los usuarios, también se les tendrá que comunicar. Esto sólo es en caso de datos personalizados, pero no afectaría a los datos anónimos (analítica).

Derecho al olvido

El sistema de derecho al olvido (o borrado) queda sustituido por este reglamento. Un usuario puede solicitar toda su información de la plataforma, ya sea por incumplimiento legal o por uso que sobrepasa los derechos y libertades fundamentales. EJEMPLO: Google Spain v AEPD and Mario Costeja González.

Portabilidad de datos

Una persona puede transferir todos sus datos de una plataforma a otra mediante sistemas de Estándar Abierto estructurados.

Aquí supongo que iremos viendo lo que se consideran estándar, ya que cada sistema, software o concepto puede tener unos requisitos propios.

Privacidad, de facto

Toda plataforma deberá estar diseñada e implementada con la privacidad como punto báse y clave, desde su inicio. Además, sólo se deberá hacer uso de los datos personales en los momentos en los que sea necesario para un propósito específico.

Registro de actividad

Cada vez que se haga un tratamiento en el procesamiento de datos se deberá almacenar un registro que indique qué actividad se ha realizado, con qué fin y qué plazos se han utilizado. En caso de que la Autoridad Supervisora lo solicite, se les deberá entregar.

Si bien es cierto que esta regulación estaba muy pensado para el “cloud”, las “redes sociales” y todo eso, va a generar una serie de problemáticas en muchas empresas, principalmente PYME. Las empresas grandes ya suelen tener a una persona responsable de los datos, pero las empresas pequeñas no. Además, tampoco queda muy claro cuando se habla de la pseudonimización y encriptación de datos si simplemente es mantener la base de datos encriptada (como tener un MySQL con SSL/TLS) o directamente hay que encriptar la información, lo que generaría una complejidad excesida en los sistemas.

La Comisión Europea ha lanzado un sitio web en el que se trata este tema, eugdpr.org, que, como curiosidad, no funciona sobre HTTPS. También la Agencia de Protección de Datos ha lanzado una sección en la que publican bastantes documentos para explicar cada uno de los detalles a cumplir.

Verificar un certificado SSL/TLS

Ya expliqué cómo conseguir un certificado SSL/TLS gratis, pero… ¿está bien configurado? Muchas veces puede parecer que sí, pero en ocasiones aceptamos los errores que nos da en una primera ocasión y después nos olvidamos de ello, por lo que una mala configuración nos lleva al “a mi me va bien”.

Para verificarlo, existen varias herramientas, aunque personalmente me quedo con la de SSL Labs y su SSL Server Test.

Tan solo has de indicar tu sitio web y esperar a que aparezca tu nota. Cualquier nota que aparezca que sea menor de A es preocupante, por la razón que sea. En el propio sitio te indicarán documentación en la que te podrás informar sobre qué problema hay, si es grave o no y qué hacer en cada caso.

Certificado SSL/TLS gratis

Hasta hace un par de años la seguridad web era muy básica. Pocas personas que no tuvieran un comercio electrónico se preocupaban de la seguridad de cualquier tipo de información que se transfiere entre el usuario y el sitio web.

Aunque en general una web informativa no necesitaría necesariamente de estar cifrada, es algo que no cuesta nada implemantar y que, por ejemplo, si tu usuario está en una WiFi pública sin cifrar permitiría que su clave no se transfiera abierta a posibles mirones.

Para conseguir un certificado, hasta ahora tenías que pasar por el aro de los grandes como Symantec o Comodo, pero desde hace una temporada existe el proyecto Let’s Encrypt que han empujado la Linux Fundation, Mozilla, Akamai, Facebook, OVH, Google… y que básicamente es un sistema que permite crear servidores de autenticación.

Basado en este sistema nos encontramos un sitio web sencillo que, con esta tecnología, nos permite crear certificados gratuitos. Se llama SSL for free.

Cuando entras, lo primero que recomiendo es registrarte (sino lo tendrás que hacer después). Una vez eso, en la misma página inicial, puedes poner tu dominio (o dominios y subdominios). Por ejemplo, puedes escribir algo como:

example.com www.example.com

Cuando hayamos realizado esto tendremos los 3 bloques de información que necesitamos:

  1. Certificado
  2. Clave SSL
  3. Certificado de Autoridad

Con estos 3 elementos podemos configurar nuestro servidor web o ponerlos en nuestro panel de alojamiento web.

Una vez hecho esto, en el mismo sitio web tenemos la pestaña de Certificates donde podremos renovar, revocar y eliminar los certificados que tengamos activos.

Sin duda, a partir de ahora, tener tu propio sitio web con certificado SSL/TLS ya no será un coste añadido.

Configura GMail de GSuite como un ninja

Cuando vamos a configurar las cuentas de correo de GSuite de Google (dando por hecho de que ya tienes dado de alta tu dominio), nos encontramos con diferencias varias en la documentación de ayuda. En este artículo pretendo dar una explicación resumida de cómo configurar correctamente un dominio y sus entradas DNS para que esté al 100% para GMail.

Lo primero que hemos de hacer es entrar en el panel de administración. para ello hemos de visitar una URL del estilo a:
https://admin.google.com/example.com/

Una vez hayamos entrado con nuestro usuario y contraseña haremos la verificación de varios puntos:

  1. Que nuestro dominio(s) esté dado de alta
  2. Configuración de entradas MX: estas entradas son las que básicamente configuran que tus correos funcionen.
  3. Configuración del SPF: es un sistema que permite que sólo se pueda enviar correo desde GMail con tu dominio. Esto valida que el correo es de un usuario verificado.
  4. Configuración del DKIM: este sistema permite que el destinatario del correo pueda verificar que se ha enviado desde un servidor correcto y por tanto el que recibe el correo sabe que el que lo manda es de fiar.

Para verificar el dominio o dominios que queremos configurar iremos a la opción de Dominios del panel.

Allí tendremos una lista de los dominios a configurar. Se pueden configurar dominios principales y dominios “alias”. En cualquier caso, el sistema es el mismo.

Lo siguiente a revisar es en tu registrador de dominios o donde tengas configuradas las DNS. Las DNS a configurar para el correo (entradas MX) son las siguientes:

example.com MX 10 aspmx.l.google.com
example.com MX 20 alt1.aspmx.l.google.com
example.com MX 20 alt2.aspmx.l.google.com
example.com MX 30 aspmx2.googlemail.com
example.com MX 30 aspmx3.googlemail.com
example.com MX 30 aspmx4.googlemail.com
example.com MX 30 aspmx5.googlemail.com

Esta configuración permite 3 niveles de prioridad (10, 20 y 30) y 7 servidores de recepción de correo. Con este sistema es improbable que GMail deje de recibir correo aunque Google falle mucho.

La siguiente entrada DNS a configurar es la del SPF (Sender Policy Framework):

example.com TXT “v=spf1 include:_spf.google.com ~all”

Depende de tu servicio de DNS, el texto puede ir o no entre comillas.

Cuando las entradas DNS están configuradas correctamente, se puede validar o revalidar el dominio (aunque si ya se ha hecho, no es necesario volverlo a hacer).

Para acabar hay que configurar el DKIM (DomainKeys Identified Mail). Para ello hemos de cambiar de lugar en el panel e irnos a la sección de Apps y allí a las del propio GSuite.

Cuando estemos en la zona de GMail, encontraremos una sección llamada Autenticación de Correo. En esta sección nos aparecerá un menú desplegable con nuestros dominios, así que seleccionaremos el que nos corresponda y pulsaremos en generar la clave correspondiente.

El tipo seguridad intentaremos que sea la máquima posible, actualmente en 2048bits, y este sistema nos dará una entrada DNS a añadir similar a la siguiente:

google._domainkey.example.com TXT “v=DKIM1; k=rsa; p=0000…0000AB”

La clave es mucho más larga y, al igual que antes, al ser una entrada TXT hay que verificar si el texto va o no entre comillas.

Una vez esté la entrada añadida hemos de verificarlo, para que Google compruebe la identidad.

A partir de este momento, GMail para GSuite estará 100% funcionando a su máximo rendimiento tanto en servidores de correo como en verificaciónd e identidad para que nadie puedad impersonarte si ser verificado.

Sobre el Artículo 32.2

Sobre el Artículo 32.2

Artículo 32. Citas y reseñas e ilustración con fines educativos o de investigación científica.

2. La puesta a disposición del público por parte de prestadores de servicios electrónicos de agregación de contenidos de fragmentos no significativos de contenidos, divulgados en publicaciones periódicas o en sitios Web de actualización periódica y que tengan una finalidad informativa, de creación de opinión pública o de entretenimiento, no requerirá autorización, sin perjuicio del derecho del editor o, en su caso, de otros titulares de derechos a percibir una compensación equitativa. Este derecho será irrenunciable y se hará efectivo a través de las entidades de gestión de los derechos de propiedad intelectual. En cualquier caso, la puesta a disposición del público por terceros de cualquier imagen, obra fotográfica o mera fotografía divulgada en publicaciones periódicas o en sitios Web de actualización periódica estará sujeta a autorización.

Sin perjuicio de lo establecido en el párrafo anterior, la puesta a disposición del público por parte de prestadores de servicios que faciliten instrumentos de búsqueda de palabras aisladas incluidas en los contenidos referidos en el párrafo anterior no estará sujeta a autorización ni compensación equitativa siempre que tal puesta a disposición del público se produzca sin finalidad comercial propia y se realice estrictamente circunscrita a lo imprescindible para ofrecer resultados de búsqueda en respuesta a consultas previamente formuladas por un usuario al buscador y siempre que la puesta a disposición del público incluya un enlace a la página de origen de los contenidos.

Como siempre la lectura de estos textos legales deja muchas dudas, pero como siempre las leyes han de interpretarse y eso es lo que voy a intentar resumir de forma práctica.

Lo que yo entiendo es lo siguiente:

  • Cualquiera que “agregue contenidos” (o sea, cualquiera que haga un copia y pega, cita, mención…) de “fragmentos no significativos de contenidos” (o sea, de cualquier cosa, porque quién define qué tiene significado y que no) y que tenga como origen “publicaciones periódicas o sitios Web de actualización periódica y que tengan una finalidad informativa, de creación de opinión pública o de entretenimiento”, es decir, cualquier periódico, blog, red social… es decir, cualquier sitio, porque al final cualquier texto tiene una finalidad, tendrá que pagar por ello.
  • Además, es un derecho irrenunciable que se cobrará por las entidades de gestión. Es decir, que o comenzamos a pedir derechos de mención aunque sea por una palabra y tienes documentado todo… o toca pagar.
  • Cualquier imagen deberá tener autorización para replicarse. Aún esto, los servicios de búsqueda, siempre que no incluyan publicidad, podrán ofrecer el servicio de reproducción sin problema si ponen un enlace al contenido original.

A esta ley se la comenzó a llamar “Tasa Google” y la verdad es que Google sólo podría hacer una cosa en España, que es eliminar toda la publicidad de sus búsquedas web e imágenes para cumplir lo anterior. La parte de noticias, por ejemplo no se vería afectada porque, desde sus inicios nunca ha incluido publicidad. Por supuesto, si Google elimina toda la publicidad, casi es mejor que cierre.

Por otro lado, ¿cómo afecta esto a los usuarios? Pues, a aquellos que no tengan publicidad en sus sitios web, en principio no les debería afectar para nada. Aquellos que tengan publicidad en sus sitios no podrán hacer menciones (prácticamente de ningún tipo) y tampoco incluir imágenes sin derechos porque se arriesgan a que, de forma legal, no te pidan que elimines el contenido, sino que directamente te obliguen a pagar por ello.

Tampoco me queda claro qué ocurre en sitios como las redes sociales, donde en principio no hay publicidad (al menos el usuario no genera ingresos) aunque la red sí que lo hace en base a contenidos de los propios usuarios que pueden incluir todo lo que incluye esta ley. ¿Han de pagar los usuarios? ¿Han de pagar las redes?

Lo que no me acaba de convencer es que no se hable de sistemas opt-in / opt-out de cualquiera de estos servicios de publicación. Por ejemplo, y sirviendo tanto para un Menéame, Google News o Twitter, que si el propietario de los contenidos rellena un formulario y a partir de ese momento se deja de reproducir la información de ese dominio o fuente, esto no se tenga en cuenta; pero no, es un derecho irrenunciable, por lo que estamos tratando ya el tema de la censura al no haber sistemas de exclusión.

Algo de lo que siempre se habla que es el derecho a cita. En general excusarse detrás del derecho a cita es algo que sólo se debe hacer en el caso de la formación (docencia, científica…), por lo que hay que irse al punto de las reseñas o “revistas de prensa”, que tienen consideración de cita.

Lo que no acabaré de entender nunca es que no se aplique lo que los anglosajones llaman el “fair use”, muy similar a nuestro derecho a cita en cuanto a concepto, pero muy distinto en cuanto a fondo, ya que aunque tienen puntos en común (como el que no requiera un uso comercial) tiene en cuenta el valor del trabajo (por lo que una entradilla de un periódico no podría considerarse mal uso)… Sin duda una lectura muy recomendable en la aplicación de algo que creo que, en cualquier caso, habría que aplicar siempre: el Sentido Común, que es algo que creo que no se aplica en España con gran parte de la LPI.

Y, como decía el otro día alguien (recuerdo haberlo leído por twitter), no puede ser que nuestros políticos llamen “nuevas tecnologías” a Internet, algo que lleva entre nosotros ya 20 años.

Deer Park Alpha 1

Bueno, acabo de instalarme la nueva versión de Mozilla Firefox, la supuesta versión 1.1, que han llamado de esta manera para que la gente sin experiencia no se la instale.

Bueno, acabo de instalarme la nueva versión de Mozilla Firefox, la supuesta versión 1.1, que han llamado de esta manera para que la gente sin experiencia no se la instale. Yo, que soy un friki de este navegador y que utilizo desde hace muuucho tiempo, no he podido resistirme a probarlo…

A simple vista, mejoras muy pocas… han cambiado la ventana de opciones y la han hecho más ordenada (podeis ver la foto más adelante) y han incluido una cosa llamada Sanitize que sirve para borrar la caché y hacer limpieza del navegador…

Las descargas en:

También teneis unas capturas 🙂

Deer Park - Opciones

Deer Park - Sanitize

ICANN cede la gestión del .org a una filial de la ”Internet Society”

“Por ejemplo, nuevos registros llegarán a ser operativos en cuestión de minutos, y no en horas o días”

El presidente y director ejecutivo de la Corporación de Internet para la Asignación de Nombres y Números (ICANN), Stuart Lynn, ha firmado un acuerdo con Registro de Interés Público (PIR) para cederle la gestión del dominio ‘.org’. PIR reemplazará el 1 de enero a VeriSign, actual operador responsable de los registros bajo este dominio de primer nivel.

Para asegurar que el cambio en la gestión del ‘.org’ no sea brusco, PIR –filial de la Internet Society (ISOC)– y VeriSign han acordado un período de transición hasta el 25 enero de 2003, con el fin de dar tiempo a los registradores acreditados de ICANN tiempo para adaptarse al nuevo sistema. “Los usuarios de ‘.org’ y los registradores no deberían sufrir ninguna interrupción del servicio”, afirmó Lynn.

PIR ha subcontratado a Afilias, el operador que gestiona el dominio de primer nivel ‘.info’ desde el pasado año, para proveer servicios finales al cliente. El dominio ‘.org’ es el quinto de los genéricos de primer nivel, y en él están registrados 2,6 millones de direcciones web.

PIR está comprometida a activar el registro del citado dominio de forma abierta qu ofrecerá beneficios y aumentar los servicios para organizaciones no comerciales.

“Por ejemplo, nuevos registros llegarán a ser operativos en cuestión de minutos, y no en horas o días”, afirmó Lynn.

A principios de este año, el consejo directivo de ICANN seleccionó PIR/ISOC entre once organizaciones que pujaron para operar con el dominio ‘.org’. ISOC se fundó en 1991, tiene miembros en más de cien países.

durky punto com, de las 18.500 mejores webs del mundo…

Hace un tiempo os comentaba que esta web había crecido en el ranking mundial de páginas web, Alexa

Hace menos de un mes, esta página web se encontraba entre el 800.000 y el 900.000.

Hace cosa de dos semanas, para mi asombro, durky punto com llegó al puesto 23.000, y ahora nos encontramos en el puesto 18.223…

Esto, habrá que celebrarlo, no?

Gracias a todos por visistar esta página… y espero que sigais enviando mensajes de correo electrónico para indicarme que contenidos quereis que cuelgue en la web… ya sabeis, a webmaster@durky.com.