Tu SmartTV Samsung te escucha y puede compartir lo que dices frente a ella, ¡cuidado con el Internet de las cosas!

smarttv_pd

Por Joel Gómez Treviño

Apenas hace unos días una noticia cimbró a los activistas de privacidad en el mundo entero. A alguien se le ocurrió revisar la “Política Global de Privacidad – Sumplemento SmartTV” de Samsung y se percató de que, entre otras cosas, dice lo siguiente:

Reconocimiento de Voz

Usted puede controlar su SmartTV, y utilizar muchas de

sus características, con comandos de voz.

Si habilita el reconocimiento de voz, usted puede interactuar con su Smart TV usando su voz. Para proporcionarle la función de reconocimiento de voz, algunos comandos de voz pueden ser transmitidos (junto con información sobre el dispositivo, incluidos los identificadores de dispositivos) a un servicio de terceros que convierte voz en texto o en la medida necesaria para proporcionarle a usted las características de reconocimiento de voz. Además, Samsung puede recopilar -y su dispositivo puede capturar- comandos de voz y textos asociados, con el fin de ofrecer no solo funciones de reconocimiento de voz, sino también evaluar y mejorar sus características. Tenga en cuenta que si sus palabras habladas incluyen información confidencial personal u otro tipo de información sensible, dicha información será parte de los datos capturados y transmitidos a un tercero a través de su uso del reconocimiento de voz. 

Si no activa el reconocimiento de voz, usted no será capaz de utilizar las funciones de reconocimiento de voz interactiva, aunque es posible que pueda controlar su televisor utilizando ciertos comandos de voz predefinidos. Aunque Samsung no almacenará su palabra hablada, Samsung podría recolectar textos asociados y otros datos de uso para que podamos evaluar el desempeño de la función y mejorarla.

Usted puede desactivar la recopilación de datos de reconocimiento de voz en cualquier momento visitando el menú “Ajustes”. Sin embargo, esto puede impedir el uso de todas las funciones de reconocimiento de voz.

Este hecho puede analizarse desde muy diversos puntos de vista. Antes que nada, hay que ser objetivos, esta noticia no salió de un cable de wikileaks, ni era información oculta o secreta que accidentalmente se hizo del conocimiento del público. Esta información forma parte de las Políticas Globales de Privacidad de Samsung, que están publicadas en este enlace: Políticas Samsung. Dicho de otra manera, es información pública.

Además de lo anterior, cada vez que instalamos un Smart TV nuevo en nuestro hogar u oficina, tenemos que pasar por una serie de pantallas como las que abajo se muestran, en donde el dipositivo claramente solicita nuestra lectura y aceptación, tanto de los Términos y Condiciones del Servicio, como de las Políticas de Privacidad.

00001

00002

El problema que tenemos en México, y tal vez en muchas partes del mundo, es que no estamos a acostumbrados a leer nada. Cuando vamos al banco a sacar una tarjeta de crédito o cuenta de ahorro, ¿cuántas veces hemos leído con detalle el contrato y demás documentos que se nos pasan a firma? Si no lo hacemos en un banco, ¿por qué razón habríamos de leer los términos y condiciones o política de privacidad de un teléfono, tableta o smart TV? El problema es nuestro, no del vendedor, del banco o de la empresa que nos vende algo. Si nosotros no nos preocupamos por leer y entender lo que se nos pasa a firma (o aceptación), nadie más lo va a hacer.

Las noticias que circularon ayer por internet siembran en los usuarios la preocupación de que una TV pueda estar “escuchando” y compartiendo nuestras conversaciones a terceros responsables de coadyuvar en la prestación de la función de reconocimiento de voz. Este hecho, es indudablemente cierto. También es cierto que nos diéramos a la tarea de leer lo que firmamos o aceptamos antes de hacerlo, nos enteraríamos de muchas cosas de primera mano, y no a través de noticias sensacionalistas. También sabríamos que la funcionalidad que reconocimiento de voz puede desactivarse en cualquier momento con un par de clics.

No hay espacio suficiente en la columna para tratar todos los temas legales derivados del “Internet de las Cosas”, prometo dedicar un espacio para tratar este tema. Por ahora solo me resta concluir que cada vez son más los dispositivos que no solo se conectan a internet, sino que interactúan entre sí sin la intervención de un humano. Estos dispositivos son capaces de intercambiar información del uso que le dan “sus dueños” a otros dispositivos, que a su vez envían esta información a fabricantes o intermediarios. Este es el mundo de Internet de las Cosas, un mundo en el que la privacidad es un derecho más vulnerable que nunca.

Disculpe Señor, ese es un Dato Sensible

dsen_uru

Por Matías Jackson

Muchas veces escuchamos que tal o cual información es “Sensible” pero no siempre sabemos qué es. Esto lleva a muchos a considerar (erróneamente) que toda información que no queremos dar a terceros es sensible.

Nuestra ley específicamente determina qué datos son sensibles y cuáles no, por lo que vamos a analizar un poco esta distinción. La ley 18.331 de agosto de 2008 es denominada de “Protección de Datos Personales y Acción de Habeas Data”. En su artículo 4 se enumeran estos datos especialmente protegidos, entendidos como Datos Sensibles:

  • Revelen origen racial y étnico,
  • Preferencias políticas,
  • Convicciones religiosas o morales,
  • Afiliación sindical,
  • Informaciones referentes a la salud o a la vida sexual.

¿Qué implica la “Sensibilidad” de la que habla este artículo?

Importa porque si seguimos con la lectura de la ley, estos datos sólo pueden ser entregados con consentimiento expreso y escrito del titular.

El consentimiento debe ser libre, que no deje lugar a dudas, específico e informado.

Destacamos informado por tratarse de un principio no siempre respetado. El sujeto debe saber con certeza de antemano, qué se va a hacer con sus datos y si tiene obligación de brindarlos o no.

Estos datos sólo podrán ser recolectados cuando haya razones de interés general que lo justifiquen o cuando la ley expresamente se lo permite a determinada institución.

A su vez, se prohíbe la creación de bases de datos que contengan esta información, a no ser, claro está, la que tengan los sindicatos, hospitales, fundaciones, partidos políticos e iglesias, de sus miembros.

La justificación de que estos datos y no otros sean especialmente protegidos, radica para gran parte de la doctrina, en que su divulgación puede generar discriminación hacia la persona o su entorno. Recordemos que la protección de los datos debe tener siempre como esencia la protección de la persona en sí misma de acuerdo a los principios que marca la Constitución.

Era del conocimiento y privacidad: Difícil equilibrio entre Derecho objetivo y subjetivo

equilibrio

Por José Luis Colom Planas

El principio de consentimiento informado individual

La privacidad se ha venido planteando hasta nuestros días como un derecho basado esencialmente en el principio de consentimiento, entendido éste como el control y la libre disposición individual de los propios datos personales.

No obstante,  como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012, se le atribuye al citado principio un poder conformador de la realidad que de hecho no tiene.

Si analizamos el mecanismo de tutela, basado en el consentimiento informado individual, vemos que:

  • Ha dado buenos resultados en la anterior era, denominada “de la información”,  basada en la informática tradicional en la que  simplemente se trataba la información contenida en bases de datos clásicas de tipo estructurado.
  • Es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data sobre bases de datos desestructuradas con información procedente incluso de sensores (IoT) y las redes sociales…

Así las cosas, confiar en modelos basados en el derecho de habeas data  como autodeterminación individual sobre la propia información personal, a día de hoy y en un futuro parece poco realista, o al menos cuestionable, y se corre el riesgo de que nos auto-engañemos como sociedad.

Si bien el propósito de que el interesado otorgue su consentimiento previo al recabado y demás tratamientos de sus datos personales se erige como mecanismo jurídico de defensa de sus derechos, en la práctica, por desgracia, su función real es la de simplemente legitimar la renuncia a la autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas funcionalidades en el uso de Apps.

En otras palabras, el consentimiento puede llegar a ser contrario al interesado sustentándose esta tesis en al menos dos motivos:

  • Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado del consentimiento, para tratar los datos personales. La complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu,no puede hablarse de consentimiento informado.
  • Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y enlaces de datos entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.

Trasladar el consentimiento fuera del individuo

Una alternativa que empieza a oírse es la de trasladar el consentimiento desde el propio individuo aislado, hasta la sociedad. La principal crítica recibida ha sido la de anticonstitucionalidad.

El hecho de que los derechos de las personas partan todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede dar a entender como necesario que el objeto de protección jurídica de éstos derechos se encuentre situado en el ámbito de la persona misma. No obstante, no debemos entender la vida solo como una cuestión biológica, sino hacerlo en sentido amplio partiendo del reconocimiento del hombre como un ser libre que necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo por la pertenencia de éste a la sociedad.

En consecuencia, considero que no debería juzgarse anticonstitucional el hecho de que pueda limitarse a un individuo su disponibilidad a otorgar consentimiento, esté o no informado, en base a lo dispuesto en nuevas normativas de interés general legisladas para regular determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla, como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la sociedad, en lo sustantivo se estaría protegiendo al propio individuo.

Para fijar conceptos diré que el Derecho objetivo es el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual puede realizar un acto o exigir que se realicen determinados actos.

El desarrollo tecnológico, y el desarrollo social asociado, parece que nos obligan a desplazarnos desde una garantía de la privacidad basada en el individuo y como derecho subjetivo, a la regulación mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría desplazar el centro de gravedad legislativo en materia de privacidad desde la autodeterminación subjetiva del individuo titular de los datos hacia la tutela objetiva del estado o la unión supranacional.

Conceptos como Privacidad por Defecto, que se disponen en el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador del RGPD/UE,  son un ejemplo de la tendencia en esa dirección ya que obligan a los responsables de los tratamientos a implementar unos niveles mínimos de seguridad de partida, basados en un análisis real de los riesgos para con la privacidad.

La PbD (Privacy by Design – Privacidad desde el Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue Comisionada de información y privacidad de Ontario) y parece el camino a seguir en los nuevos proyectos que sean susceptibles de incorporar datos personales. El borrador del Reglamento dispone en su art. 33 la obligación de que los Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact Assessment – Evaluación de Impacto en la Privacidad) en la fase de diseño de cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y tratamientos asociados. Recordaré que uno de los siete principios de la Privacidad desde el Diseño es la Privacidad por Defecto.

El principio de limitación de finalidad

En otro orden de cosas, existe un principio de la privacidad denominado “limitación de la finalidad”. Es el único capaz de limitar los tratamientos con independencia del consentimiento otorgado inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden como la consecuencia de aplicar los principios de transparencia y responsabilidad, que sí lo son.

Pese a ser un principio incardinado en el modelo de protección actual, su campo de aplicación más inmediato es el relacionado con Big data y las técnicas analíticas asociadas que nos están adentrando en el futuro. En consecuencia no es pretensioso llamarle el “principio de transición” hacia el nuevo modelo que se vislumbra.

Ante la preponderancia que está obteniendo este principio frente a los demás, es que las autoridades europeas de protección de datos lo clarifican, reconociendo que protege a los interesados mediante el establecimiento de límites en el recabado y posterior tratamiento de sus datos.

Cuando una persona proporciona sus datos personales a una empresa u otra organización, usualmente tiene ciertas expectativas acerca de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a estas expectativas que es la preservación de la confianza y la seguridad jurídica. Por ello, según el GT29, el principio de limitación de la finalidad es una piedra angular de la protección de datos.

Debemos considerar que los datos que ya han sido recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites cuidadosamente equilibrados, un cierto grado de uso adicional.

El principio de limitación de la finalidad está diseñado para ofrecer un enfoque equilibrado:

  • Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
  • Por otro lado, la necesidad pragmática de proporcionar flexibilidad.

En consecuencia el principio de limitación de la finalidad tiene dos componentes fundamentales:

  • Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
  • No ser ‘Tratados posteriormente de manera incompatible con dichos fines (uso compatible).

El tratamiento adicional para un propósito diferente no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3 RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las Autoridades de Control en materia de privacidad y de los diferentes órganos judiciales, desplazándolo al plano de lo subjetivo en función de las circunstancias concretas.

Debe tenerse en cuenta que el resultado de la evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva europea,  el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español.

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:

  • La necesidad de satisfacer un interés legítimo.
  • Que no prevalezcan derechos y libertades fundamentales del interesado.

Como el conocido, la colisión entre derechos fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.

Epilogo

El análisis de dos principios fundamentales de la protección de datos, el principio de consentimiento y el principio de limitación de la finalidad, ha puesto de manifiesto las muchas dificultades para su concreción.

Esto significa lo complejo que puede llegar a ser dar cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza para la innovación”.  A futuro, tenemos un largo y motivador camino por delante.

La Evaluación de Impacto en materia de Protección de Datos

evaluacion_pd

Por María González Moreno

La evaluación o análisis de impacto en materia de protección de datos de carácter personal es una obligación que se incluirá en el Reglamento de Protección de Datos Comunitario, que se encuentra actualmente en fase de aprobación, si bien se trata de una práctica que cada día más es implantada en las organizaciones para gestionar la privacidad desde el diseño (Privacy by Design) y al suponer una herramienta más de valoración de los riesgos corporativos.

La evaluación de riesgos en materia de protección de datos o PIAC – Privacy Impact Analysis-  es una obligación que se prevé se incluya en el futuro Reglamento Comunitario de Protección de datos Personales que se encuentra actualmente en tramitación, y que refuerza el principio de Privacy by Design (o privacidad desde el diseño), cuya implantación actual en las entidades se ha convertido en una nueva herramienta para la valoración de los riesgos corporativos.

¿En qué consiste la Privacy Impact Analysis (PIAC) o Evaluación de Impacto en materia de Protección de Datos (EIPD)?

Realizar un Privacy Impact Analysis o Evaluación de Impacto en materia de Protección de Datos no es más que prever desde el diseño de un determinado producto, servicio o sistema de información, y los tratamientos de datos personales que vayan a efectuarse, los impactos y riesgos que los mismos pueden suponer en la privacidad de los interesados. Para ello se trata de realizar un análisis de los riesgos derivados de los citados sistemas de información, productos o servicios en relación con la privacidad de los interesados cuyos datos personales son tratados, y el impacto que dichos tratamientos tienen en relación con el cumplimiento de la normativa sobre protección de datos personales por parte de la entidad así como los riesgos que suponen para esta en términos económicos, reputacionales, etc.

Así entendemos por riesgo, la probabilidad de que ocurra un incidente que cause un impacto con un determinado daño en los sistemas, o dicho de otro modo, la probabilidad de que una amenaza se materialice aprovechando una vulnerabilidad de los sistemas.

La realización de una Evaluación de Impacto en materia de protección de datos cobra especial importancia en los casos en que se prevean la realización de tratamientos de datos personales como;

  • Enriquecimiento de Datos.
  • Tratamiento de datos de menores de edad, sobre todo si estos son menores de 14 años.
  • Tratamiento destinado a la evaluación o predicción de aspectos personales relevantes.
  • Monitorización del comportamiento de las personas, por ejemplo a través del análisis de la navegación por Internet.
  • Cuando se vayan a tomar decisiones que afecten a determinados colectivos y que puedan suponer algún tipo de discriminación.
  • Cuando se vayan a utilizar tecnologías especialmente invasivas con la privacidad; video-vigilancia a gran escala, biometría, técnicas genéticas, RFID …
  • Cuando el tratamiento afecte a un número elevado de personas y/o se produzca una acumulación de gran cantidad de datos.
  • Cuando existen riesgos específicos de seguridad que puedan comprometer la confidencialidad, integridad o disponibilidad.
  • Cuando se vayan a realizar tratamientos de datos personales en los que el responsable deje de tener control sobre ellos, como por ejemplo en la contratación de servicios Cloud.

Igualmente, en el caso de prever la realización de cesiones de datos, comunicaciones a terceros, transferencias internacionales de datos, tratamiento de datos especialmente sensibles, tratamientos con fines estadísticos, históricos o de investigación científica se hace recomendable la ejecución de un Análisis de Impacto.

El alcance y profundidad de las Evaluaciones o Análisis de Impacto realizados variarán en función de las características del proyecto así como del tipo y tamaño de la organización.

En la Evaluación de Impacto deberán abordarse y documentarse al menos los siguientes aspectos:

  1. Resumen del proyecto / tratamiento, y sus características.
  2. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
  3. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
  4. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
  5. Diagramas que incluyan los flujos de datos personales.
  6. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

En las Evaluaciones de Impacto también deberán incluirse consulta a las partes afectadas (personal interno, proveedores, afectados, etc…). Estas consultas pueden efectuarse de diversas formas; entrevistas /reuniones de trabajo, cuestionarios, encuestas, etc…

Como consecuencia de la realización de dicho análisis se ejecutará un plan de gestión de los riesgos identificados a través de la adopción e implantación de las medidas necesarias para mitigar o eliminar el riesgo.

Tanto la Evaluación de Impacto como el Plan de Gestión de riesgos derivado, deberá ser revisado y auditado periódicamente al objeto de analizar su eficacia, la disminución o eliminación del riesgo derivado de la implantación de medidas, así como en su caso, proceder a la reevaluación de impacto y del riesgo y la previsión de medidas adicionales.

La Evaluación de Impacto en la práctica. Fases

La ejecución de una Evaluación de Impacto se llevará a cabo a través de la ejecución de 3 fases: Preparación, Desarrollo y Documentación, a las que habrá que sumar una Revisión y Reevaluación periódica a lo largo de la vida del proyecto.

Durante la Fase de Preparación será evaluada la necesidad de realizar la evaluación de impacto, se recabará la información previa sobre el proyecto, se definirá un grupo de trabajo y la estrategia de ejecución.

En la Fase de Desarrollo, se llevarán a cabo, tras el análisis de información previa, las entrevistas y auditorias de los puntos de control que sean necesarios para llevar a cabo un análisis con la profundidad requerida (que dependerá de la sensibilidad que se haya determinado en el alcance), en la que se evaluarán aspectos claves como:

  1. Legitimación de los tratamientos y cesiones de datos personales. Se deberán analizar los aspectos relativos al consentimiento obtenido y requerido en función de las finalidades de tratamiento y la categoría de datos tratados.
  2. Transferencias Internacionales de Datos. Si en el proyecto se prevé la realización de este tipo de comunicaciones, deberán analizarse la legitimidad de las mismas, los requisitos para su legitimidad, etc.
  3. Transparencia de los tratamientos – Información a los afectados. Un aspecto clave en todo tratamiento de datos personales es la información clara y transparente al afectado acerca de los mismos, dando cumplimiento además a lo establecido en el art. 5 LOPD. En este punto deberá analizarse y evaluarse la información facilitada a los usuarios en la obtención de datos, o la información que habrá de facilitarse si estos datos aún no han sido obtenidos.
  4. Calidad de Datos. En relación con las categorías de datos tratados deberá evaluarse su adecuación al principio de calidad de datos; que los datos obtenidos y tratados no sean excesivos en relación con la finalidad de tratamiento; que los datos son actuales y puestos al día; que se hayan definido plazos de conservación, etc.
  5. Datos especialmente protegidos. Si para el proyecto se prevé la obtención y tratamiento de datos especialmente protegidos deberán evaluarse los requisitos que acrediten su legitimidad, así como las medidas de seguridad que serán requeridas para su protección.
  6. Encargados de tratamiento. Si en el proyecto se prevé la participación de terceras entidades en el tratamiento de los datos personales por cuenta del responsable del fichero deberán regularse convenientemente estas relaciones con los encargados de tratamiento, a través de los correspondientes contratos de prestación de servicios donde se establezcan de forma clara y concreta las instrucciones a seguir por el encargado en el tratamiento de datos personales, las medidas de seguridad a implantar, así como otras cautelas a tener en cuenta.
  7. En función de la tipología de datos tratados, la finalidad del tratamiento, y los sistemas de información, y la determinación del nivel de seguridad (básico, medio y alto) deberán implantarse y evaluarse las medidas de seguridad técnicas y organizativas necesarias para la protección de los datos personales tratados.
  8. Otros aspectos a tener en cuenta; el deber de secreto de todos los intervinientes en el proyecto, la correcta Inscripción de ficheros en la Agencia Española de Protección de Datos y la adopción de procedimientos específicos para la atención de los Derechos ARCO.

Dentro de la fase de desarrollo también, y en el caso de estimarse conveniente, se llevará a cabo la consulta a las partes afectados por el proyecto. Las consultas se extenderán tanto al personal de la organización implicado en el desarrollo del proyecto, como a los terceros afectados por el tratamiento y que puedan tener un impacto en su privacidad. La realización de estas consultas, sobre todo a los titulares de los datos, deberá ser realizada por la entidad llevando a cabo de forma previa una estrategia de comunicación que permita la obtención de los resultados obtenidos por la organización.

Evaluados los aspectos relativos al cumplimiento normativo, determinados y analizados los riesgos del proyecto, se desarrollará un Plan de Gestión de Riesgos Identificados donde se establecerán las acciones a ejecutar en función de si el riesgo quiere ser evitado, eliminado, mitigado (siempre en el caso de que el riesgo suponga un incumplimiento normativo), o cuando el mismo quiera ser transferido o aceptado.

Por último y durante la Fase de Documentación, se desarrollarán los documentos requeridos para garantizar que la evaluación de impacto ejecutada que no sólo permitirá su conocimiento en el momento determinado de su ejecución, sino que permitirá también su reevaluación periódica.

Como ya comentamos, en la Evaluación de Impacto deberán documentarse, por tanto, al menos los siguientes aspectos, en base a las informaciones, datos y riesgos analizados durante las fases precedentes:

  1. Descripción detallada de los aspectos que tengan que ver con; generación de perfiles, tratamiento de datos especialmente protegidos, toma de decisiones o acciones, etc… Es decir, de las acciones que puedan suponer un impacto en la privacidad de los afectados por suponer tratamientos especialmente intrusivos.
  2. Descripción detallada de las categorías de datos personales incluidos en los tratamientos evaluados.
  3. Descripción detallada de quien accederá a cada categoría de datos personales y los motivos y justificaciones para ello.
  4. Diagramas que incluyan los flujos de datos personales.
  5. Información y diagramas adicionales para ilustrar aspectos como el control de acceso o la conservación o destrucción de datos personales objeto de tratamiento.

Elaborado el Plan de Evaluación de Impacto, ¿qué debemos hacer?

Siguiendo lo establecido en la Evaluación de Impacto y el Plan de Gestión de Riesgos, la entidad deberá proceder a la Implantación de las Recomendaciones en función de la prioridad que se haya establecido que vendrá determinada por el riesgo identificado. Las recomendaciones podrán consistir en la ejecución de medidas o acciones y la implantación de sistemas, pudiendo ser éstas de carácter tecnológico, organizativas, contractuales, etc.

Por último, es de vital importancia, siguiendo el ciclo de mejora continua que se exige en el abordaje de sistemas gestión de seguridad y cumplimiento normativo, la Reevaluación y Revisión periódica tanto de la Evaluación de Impacto como del Plan de Gestión de Riesgos durante toda la vida del proyecto.

Recursos:

Guía para una Evaluación del Impacto en la Protección de Datos Personales, disponible a través del siguiente enlace

(http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf .

Artículos originalmente publicados en Microsoft Pymes y Autónomos http://sppilotco1.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=650 y http://sppilotco1.microsoft.com/business/es-es/Content/Paginas/article.aspx?cbcid=653

Televisora peruana expuso datos e imágenes de casi 6000 adolescentes

tvperu

Por Cynthia Tellez Gutiérrez

Durante casi medio día, en el sitio web de una conocida empresa televisora se expusieron con acceso libre los datos personales de casi  6000 adolescentes que habían realizado su inscripciones al programa Esto Es Guerra Teens, y cuya recolección de datos ha sido sin brindar la información para la autorización y gestión de esto datos personales que son es especial protección en el Perú.

La empresa televisora América TV está realizando casting para su nuevo programa  “Esto Es Guerra Teens”, según anuncios del programa la inscripción es para menores de edad entre los 15 y 17 años. Las inscripciones se realizan previo llenado y envío de un formulario en el cual los adolescentes deben llenar datos como: nombres, edad, talla, estudios, deporte que practica, números de teléfono, correo electrónico, y fotos de  rostro y cuerpo entero.

Exposición de datos de menores de edad

El día de ayer se iniciaron las inscripciones y antes que del medio día ya se registraban más de 5000 inscripciones en línea, pero, ¿cómo sabemos esta información?, pues en el portal de inscripciones se podía acceder al listado de todos los inscritos y con todos sus datos brindados, en el cual se podía  corroborar incluso la participación de menores con 13 años de edad.

Luego, que el hecho fuese denunciado en la redes, el listado desapareció del sitio web de la empresa, sin embargo el archivo (descargable con los datos de identificación y contacto) aún son visibles mediante búsqueda en internet.

Recordemos que la Ley de Protección de Datos Personales, que ya tiene plena vigencia, obliga a quienes son responsables de los bancos de datos (titular del banco de datos personales) a guardar la confidencialidad y seguridad de los datos personales que administre  a fin de evitar tratamientos y accesos no autorizados, entre otros fines; además el principio rector de la Ley, el de seguridad, exige que se tomen medidas adecuadas y necesarias según el tipo de dato personal tratado, en este caso, el de menores de edad se reconocen como uno de especial protección, no cumplir con un principio rector es considerado una infracción grave  que es castigada hasta con 150 UIT .

Existen casos en los cuales se puede dar publicidad de datos personales como cuando se tenga la debida autorización del titular del dato o cuando la Ley establezca alguna excepción al respecto, supuestos que no son aplicables en este caso como mencionamos en el siguiente punto.

No hay información del tratamiento

Cuando se recopilen datos personales de cualquier persona natural, se le debe informar sobre quién utilizara sus datos, con qué fines, procedimientos del tratamiento, qué datos son obligatorios a dar en el formulario, entre otros requisitos mínimos; información que debe ser brindada  de manera previa  a la recopilación para que el titular del dato pueda brindar una autorización previa,  expresa  e informada, que son requisitos fundamentales para dar su consentimiento al  titular del banco de datos.

Por un lado,  en el formulario expuesto por la empresa televisora, no se cumple con el deber de información sobre  los términos de tratamiento de los datos personales recolectados, ni mecanismo alguno para autorizar el tratamiento de estos.

Por otro lado, entendamos que los datos de menores de edad  tienen medidas especiales para su protección atendiendo el interés superior del niño y del adolescente, la regla principal es que los datos de estos no pueden tratarse sin la autorización del padre salvo en caso excepcional para los mayores de catorce años si se brinda información clara sobre las condiciones del tratamiento, que no de restringidos a mayores de edad y que la ley no prevea condición expresa para solicitar el consentimiento de los padres.

En el caso de “Esto es Guerra Teens” como mostramos en imágenes la empresa está recolectando datos de menos que tienen incluso 13 años, de los cuales se debió obtener una autorización escrita de sus padres o tutores legales, si no era intención recolectar datos de estos menores se debió poner algún mecanismo para validar la edad.

Sea que haya sido intención de la empresa publicar el listado de los participantes esta debió obtener una autorización expresa de los padres, en todos los casos, dado que para el uso de imagen, en  caso de menores de edad el código civil exige una autorización escrita por parte de los padres o tutores legales; medida que no es prevista luego de la inscripción. En una publicación del sitio web de “La Mula” se visualizan imágenes de la exposición de las fotos de los participantes menores de edad (https://rincondelinsomnio.lamula.pe/2015/01/13/todo-por-el-raiting-datos…).

Como vemos la creación de este banco de datos no ha cumplido para su creación lo estipulado ni en la Ley de protección de datos personales ni en su Reglamento, lo cual es considerado como una infracción  muy grave que puede ser sancionada hasta con 100 UIT (S/. 385000 o USD  128333 aprox.).

Hasta el momento la empresa no se ha pronunciado sobre el caso, ni tomado medidas correctivas para la obtención del tratamiento de datos personales, ni para  la adecuada desaparición de los datos en la internet, salvo que el listado ya no es accesible a través de la parte visible de su portal.

¿Qué hacer?

Para el tratamiento de datos personales, se debe obtener de manera libre, previa, informada, expresa e inequívoca del titular del dato. Solo en caso de los menores de edad que son mayores de catorce años, estos pueden brindar su autorización de manera directa  siempre que no se exijan datos sensibles o se usen los datos para fines en los cuales la ley exija la autorización de los padres o responsables legales  (como el caso de derecho a la imagen).

Además, se deben cumplir las medidas de seguridad previstas en la Directiva de Seguridad de la información dada por la Autoridad Nacional de protección de datos personales  y registrar el banco de datos en el Registro Nacional de Protección de Datos Personales.

Artículo publicado orginariamente por la autora en Privacy Perú.

Desde México … censura y espionaje en puerta

spy_mexicoPor Viridiana López Ávila

Estamos despidiendo el año 2014, un año importante para nuestro país en materia de telecomunicaciones, porque esta ley representa la apertura de la competencia en el sector, pero también puede ser la que ponga en riesgo la libertad de expresión en México y promueva de forma indirecta la censura de periodistas, blogueros, ciber activistas, y usuarios de redes sociales en internet.

La nueva Ley de Telecomunicaciones y Radiodifusión logró despertar un amplio debate nacional, desde su génesis un año antes con las reformas constitucionales, a través de las que se visualizaba un México comprometido con el sistema democrático, sin embargo nos pusieron una trampa con el contenido de los artículos 189 y 190 de la citada norma.

Esto porque el tema de rastreabilidad y acceso a datos personales de los usuarios de telecomunicaciones serán efectivos a partir de enero, induciendo de forma indirecta a la censura y censura previa, porque “Los concesionarios de telecomunicaciones y, en su caso, los autorizados deberán: 1.  Colaborar con las instancias de seguridad, procuración y administración de justicia, en la localización geográfica, en tiempo real, de los equipos de comunicación móvil, en los términos que establezcan las leyes. Cualquier omisión o desacato a estas disposiciones será sancionada por la autoridad, en los términos de lo previsto por la legislación penal aplicable”. (El subrayado es propio)

Otorgar este poder a las instancias de procuración de justicia y seguridad es riesgoso porque las instituciones podrían abusar de esta facultad, sobre todo considerando el escenario adverso de la política y el reclamo social hacia el presidente Enrique Peña Nieto. Y es que estos instrumentos legales pueden ser utilizados para callar voces.

Organizaciones y activistas de derechos humanos promovieron amparos y han advertido del riesgo que supone la entrada en vigor de este punto de la Ley Telecom, toda vez que vulnera otros derechos humanos a parte de la libertad de expresión.

En México, 2014 se caracterizó por el hartazgo social generalizado hacia la ejecución del poder, tanto las calles como la red de internet han sido los espacios para manifestar el descontento del sistema de gobierno y político del país.

Este año cierra con nuevas batallas que pelear, y es que un Estado que no apuesta por el respeto a los derechos humanos condena a su población a continuar en la marginación, pobreza y subdesarrollo.

Riesgos derivados de una insuficiente monitorización de los empleados

monitorizacion_elm

Por Eduardo Lagarón Martín

La monitorización de los empleados por parte de los empresarios es una cuestión de rigurosa actualidad. Actualmente, la jurisprudencia parece inclinarse a favor de considerar que existe una vulneración de la intimidad del trabajador sino se le informó sobre cómo se ha de usar, por ejemplo, Internet en el ámbito laboral. Sin embargo, en el supuesto de que un trabajador lo utilice para usos privados habiéndosele advertido expresamente sobre la prohibición de hacerlo, no constituirá una vulneración de la intimidad del trabajador, al no considerarse una intromisión ilegítima cuando haya sido informado expresamente de que va existir un control para garantizar la efectiva utilización de los instrumentos informáticos.

¿Qué consecuencias legales implica para la empresa un uso indebido de Internet por parte de los trabajadores?

Entre los posibles, analizaremos cuatro supuestos fundamentales:

1. Accesos a páginas web inadecuadas. Una navegación inapropiada por parte del empleado puede dar lugar al acceso a páginas con malware, comprometiendo información de la empresa. El delito se encuentra tipificado en el art. 278 y siguientes del Código Penal tanto para aquel que voluntariamente envía software malicioso para acceder a información careciendo de la correspondiente autorización, como para el empleado que debe guardar reserva del secreto (esto es, la información confidencial de la empresa).

2. Uso de correo electrónico sin las diligencias debidas. El uso incorrecto del correo electrónico sin tener en cuenta las medidas de seguridad necesarias puede dar lugar a que los empleados envíen involuntariamente información de la empresa a páginas web que imitan ser legítimas cuando en realidad no lo son, con el propósito de realizar un fraude (“phising”, “spoofing” o “pharming”). Dicho acto es considerado como un delito de estafa tipificado en el Código Penal en los artículos 248 y siguientes, además de constituir, en su caso, una usurpación del Estado Civil recogido en el artículo 401 del Código Penal.

3. Uso inapropiado de mensajería instantánea. Un uso inadecuado y sin control de este tipo de servicios puede dar lugar a una transferencia de datos de los empleados de la empresa eludiéndose los controles internos sobre protección de datos, e incurriéndose en una infracción del artículo 44.3 de la LOPD. Además, puede ser víctima de un ataque de denegación de servicio (DoS o DDoS) mediante un envío de cantidades masivas de datos. De esta última manera, se alteraría la configuración del sistema en lo relativo a Internet a través del protocolo TCP/IP.

4. Utilización de aplicaciones Peer to Peer sin el control adecuado. Estas aplicaciones podrían suponer un intercambio ilegal de obras protegidas por derechos de autor que puede causar responsabilidad jurídica para las empresas, y más aún si los archivos ilegalmente obtenidos se almacenan en discos duros corporativos. Dichas infracciones constituyen una vulneración de los Derechos de explotación recogidos en la Sección II de la Ley 1/1996 de Propiedad Intelectual. Además, cabe la posibilidad de que los archivos confidenciales de negocios se encuentren en la “carpeta” de intercambio donde pueden estar disponibles para que otros la puedan ver y descargar. Si esto ocurriese, los datos de los clientes y la información corporativa se transmitirían a terceros dando lugar a problemas legales de diversa índole.

En conclusión, si el empresario no implanta los controles necesarios para la monitorización de sus empleados, sin duda puede verse perjudicado ya no sólo por la pérdida de eficiencia de sus empleados, sino por responsabilidades legales derivadas de las actuaciones de éstos. La clave para poder desarrollar una monitorización acorde a la normativa sobre privacidad que afecta al empleado, es darle información clara y expresa sobre la política de privacidad corporativa que le atañe, resultando absolutamente deseable guardar constancia de la lectura y aceptación expresa de dicha política por parte del empleado, así cómo mantenerle informado sobre los medios técnicos utilizados para su monitorización.

Imagen cedida por petercooperuk (Flickr) bajo licencia Atribución-CompartirIgual 2.0 Genérica (CC BY-SA 2.0)

Modelo de negocio de protección de datos: lo que la accountability se llevó

modelo_negocioPor Francisco R. González-Calero Manzanares

En el artículo 22 de la Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), se establece un principio de rendición de cuentas en los siguientes términos:

1. “El responsable del tratamiento adoptará políticas adecuadas e implementará medidas técnicas y organizativas apropiadas y verificables para asegurar y poder demostrar de forma transparente que el tratamiento de datos personales se lleve a cabo de conformidad con el presente Reglamento, teniendo en cuenta las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización, y ello tanto en el momento de determinar los medios del tratamiento como en el momento del tratamiento propiamente dicho .

1 bis. Habida cuenta de las técnicas existentes y de los costes asociados a su  implementación, el responsable del tratamiento tomará todas las medidas razonables para aplicar políticas y procedimientos de control del cumplimiento que respeten sistemáticamente las decisiones autónomas de los interesados. Estas políticas de control del cumplimiento se revisarán al menos cada dos años y se actualizarán cuando sea necesario”.

El responsable del tratamiento en concreto deberá ser capaz de documentar conforme a lo previsto en el Reglamento, implementar las medidas de seguridad previstas en el mismo, y en su caso, la realización de la evaluación de impacto, la autorización o consulta previa a la autoridad de control o el nombramiento del delegado de protección de datos. También deberá poder demostrar la idoneidad y eficacia de las medidas reflejadas anteriormente.

Planteado el principio, a ningún experto en la materia se le escapa el vuelco radical que sufrirán los caducos modelos de negocio de consultoría y auditoría en protección de datos, de aprobarse la Propuesta de Reglamento General en los términos previstos.

Hasta la fecha y mientras no exista un nuevo marco normativo, el margen de decisión es mínimo puesto que las obligaciones están tasadas (inscripción, documento de seguridad implementado, información, consentimiento, auditorías…). Una vez decidido que cumpliré con la normativa, poco margen de decisión queda. Si acaso no tratar un determinado dato o realizar un determinado tratamiento para bajar en nivel de seguridad o eliminar la necesidad de obtención de consentimiento expreso, o quizás, la conveniencia de plantear consulta al Gabinete Jurídico de la AEPD para un asunto en concreto.

Cuando este principio opere, claro está que determinados aspectos de cumplimiento normativo estarán igualmente reglados y se sabrá de antemano en qué casos es obligatorio realizar una evaluación de impacto, nombrar un delegado de protección de datos o solicitar una autorización previa a la autoridad de control. Igualmente quedará claro en que términos hay que informar y obtener el consentimiento del afectado, qué derechos les asisten o cuales son las consecuencias del incumplimiento del Reglamento.

Como ya se ha manifestado con anterioridad, el responsable de tratamiento debe adoptar e implantar medidas adecuadas y verificables atendiendo a: “las técnicas existentes, la naturaleza del tratamiento de los datos personales, el contexto, el alcance y los fines del tratamiento, los riesgos para los derechos y libertades de los interesados, y el tipo de organización”, lo que unido al nuevo principio de privacidad desde el diseño y por defecto que, en la misma línea dispone que: “habida cuenta de las técnicas existentes, de los conocimientos técnicos actuales, de las mejores prácticas a escala internacional y de los riesgos que representa el tratamiento de datos , el responsable y, en su caso, el encargado del tratamiento implementarán , tanto en el momento de la determinación de los fines y medios del tratamiento como en el del tratamiento propiamente dicho, medidas y procedimientos técnicos y organizativos apropiados y proporcionados de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento y garantice la protección de los derechos del interesado…”, va a provocar un auténtico proceso de reflexión y análisis previo al tratamiento y continuo mientras perdure el mismo con las siguientes consecuencias:

  • De nada me sirve implantar medidas y procedimientos si no son eficaces para lograr la finalidad perseguida o no son puestos en práctica. Tampoco me servirá de nada si no los reviso, actualizo y audito periódicamente.
  • De nada me sirve hacer lo mismo que el de la nave o local de al lado si no nos dedicamos al mismo sector de actividad y no estamos organizados de la misma manera.
  • De nada me sirve contratar a un servicio de adecuación y mantenimiento en protección de datos que no ofrezca garantías de solvencia, seriedad y profesionalidad, puesto que en la creencia que estoy cumpliendo puedo ser sancionado, o, puedo perder competitividad al implantar más técnicas y procedimientos de los exigibles para los tipos de tratamientos que, en sentido cuantitativo y cualitativo, realizo.
  • Al optar por un presupuesto debo también tener en cuenta el perfil, capacitación y experiencia de los técnicos que realizarán el proyecto, no solo el precio y el servicio. En tratamientos de calado por la tipología o el volumen de los datos tratados, se debería exigir, al menos, la supervisión por un perfil Senior.
  • El copy paste y las plantillas no serán garantías de cumplimiento normativo.
  • Un cambio o avance tecnológico puede dejar obsoletas las medidas adoptadas y provocar que se pase del cumplimiento al incumplimiento normativo.
  • Al igual que en prevención de riesgos laborales hay grandes diferencias entre las medidas a adoptar en construcción o fábricas y oficinas y despachos, en protección de datos personales se van a crear dos bloques fuertemente diferenciados en obligaciones, dependiendo de la tipología o volumen de datos tratados. El acierto o error en la elección del bloque en el que me sitúe puede ocasionarme una sanción y daño reputacional o restarme competitividad, puesto que será la primera decisión a adoptar.

En definitiva cuando este principio sea aplicable, se abrirán nuevas oportunidades de negocio que en ningún caso deberían ser estandarizadas, puesto que lo que trata de introducir este principio es el cumplimiento por parte el responsable de tratamiento mediante técnicas, medidas y procedimientos personalizados, eficaces y flexibles.

Artículo publicado originariamente por el autor en LawyerPress.

¿Es posible regular el paradigma del Internet de las Cosas?

internet_of_things

Por Juan Ignacio Zamora Montes de Oca

El concepto de Internet de las Cosas (Internet of Things) no es nuevo. Trabajando en el Auto-ID Center del MIT (Massachusetts Institute of Technology), Kevin Ashton introdujo el término “Internet de las Cosas” en 1999 en una presentación que defendía la idea de que las etiquetas de identificación por radiofrecuencia (RFID) una vez que se procedían a asociar a objetos físicos, les otorgaba una identidad bajo la cual podían generar datos sobre ellos mismos o sobre lo que percibían, así como publicarlos en Internet. Eso sin duda anticipaba desde ese momento una extensión del Internet al mundo físico.

Lo más novedoso de todo fue que hasta ese momento era fundamental la inclusión de personas físicas en todos los procesos, pues éstos eran quienes generaban la información accesible en la red y nunca antes se había realizado esa conexión directamente desde un objeto físico real.

Fue entonces que se inició el desarrollo del concepto de Internet de las Cosas bajo la premisa de que todo objeto que nos rodea, vehículos, ropa, implementos de cocina, rótulos, y demás se convierten en miembros titulares y ciudadanos de Internet.

El presente tema vino a abrir las puertas de una discusión sobre la necesidad de definir un marco ético y jurídico, con un fuerte sustento en la tecnología y que logre brindarle al ciudadano control y seguridad sobre su propia información.

Ahora bien, es claro que todo avance tecnológico debe por fuerza, de alguna u otra forma, contribuir con el desarrollo de la humanidad, pues es para esto que se lleva a cabo todo el esfuerzo investigativo. El Internet de las Cosas es sin duda alguna un adelanto de la tecnología que actualmente logra grandes beneficios, y que a futuro se espera que simplifique y nos permita mantener un estilo más seguro para quienes utilicen la Internet.

Existen numerosos ejemplos de cómo la Internet de las Cosas realmente logrará que los seres humanos tengamos una mejor calidad de vida. Con el fin de entender mejor el tema y su desarrollo ampliaremos con dos ejemplos.

Existe una silla inteligente que a simple vista parece una silla normal, y realmente lo es, pero en la parte interior del respaldo y el asiento cuenta con unos sensores que están constantemente detectando la postura del usuario. Todos los datos que se obtienen son enviados a través de medios inalámbricos a servidores que almacenan, analizan, y generan patrones que luego sirven para saber si la persona que utiliza la silla adopta una postura apropiada, si esta persona pasa demasiado tiempo en la misma posición o si no realiza los descansos necesarios. Toda esta información que se genera puede eventualmente ayudar a que el usuario cambie su postura de ser necesario, para así lograr un alivio de los dolores de espalda. Asimismo la silla puede vibrar en momentos en que ésta detecte que la postura no es la adecuada, haciendo que el usuario cambie inmediatamente de postura, lo cual va creando un hábito de manera inconsciente.

Otro ejemplo del Internet de las Cosas lo podemos ver en un par de zapatos creado en la India y el cual podría ser el próximo avance en la ayuda a los no videntes. Estos zapatos cuentan con una conexión vía Bluetooth lo cual hace que se sincronicen con una aplicación en el teléfono celular del usuario que utiliza un sistema de ubicación geográfica y que hace que los zapatos vibren cada vez que deben comunicarle al usuario en qué momento y en que lugar debe girar para llegar a su destino. Solamente es necesario indicar en el teléfono el lugar exacto al que se pretende llegar, guardar el teléfono en el bolsillo, y este por medio de la conexión logrará que cada zapato vibre al momento de hacer un giro a la derecha o a la izquierda. De igual forma, los zapatos pueden utilizarse no sólo por no videntes sino por todo tipo de personas.  Casos como turistas, ciclistas, corredores o cualquier otra persona podría verse beneficiado de dicha tecnología, la cual incluso podría dar una medición precisa de distancias recorridas y calorías quemadas.

Estos son solamente dos de las miles de aplicaciones que se pueden realizar con el Internet de las Cosas.  Entonces siendo el horizonte tan amplio como inédito, podemos plantear la pregunta ¿qué nuevos productos híbridos pueden surgir cuando dotamos de capacidad de acceso a internet de objetos tradicionales?, y por consiguiente ¿Cómo podemos regular el flujo de información y el tratamiento de ésta ante la magnitud de la cantidad de datos que se obtendrán y se conservarán?

Una característica de todos los dispositivos conectados a Internet es que hacen visible lo invisible por cuanto permiten revelar datos que siempre han estado ahí, pero nunca se han medido.

Si tomamos en cuenta el “yo cuantificado” (quantified self) que ha empezado a llevarse a cabo en forma de productos comerciales que cuentan con la dualidad objeto-servicio tradicional del Internet de las Cosas, en donde el objeto físico que es el activador, es el elemento que recoge los datos del usuario y luego los envía a una plataforma online, en donde el servicio interpreta la información para el usuario, la integra con otras fuentes para darle más valor y se la presenta de la forma más útil posible, obtenemos que los datos que se obtienen se entremezclan y se asocian con otros de manera constante con el fin de lograr mejores resultados, creando así bases de datos enormes y con cantidades inimaginables de datos que pueden ser en un futuro fuentes valiosas de información.

En un estudio reciente de julio de 2014 sobre el Internet  de las Cosas, se entregaron una serie de dispositivos para ser utilizados en distintas actividades de la cotidianeidad con el fin de determinar el uso de los mismos. Una vez que se recuperaron, a la hora de analizarlos, se pudo conocer que el 90 por ciento de los dispositivos captaron datos personales de sus usuarios o de terceros que se encontraban en las cercanías de quien portaba el dispositivo.  Por su parte el 70 por ciento de los datos que se transmitieron se hizo por medio de  una red no cifrada, y el 60 por ciento de los dispositivos tenían interfaces de usuario inseguras. Asimismo, 8 de cada 10 dispositivos fallaron en solicitar una contraseña lo suficientemente fuerte como para proteger la información contenida en el sistema.

Es así como vemos que de un solo estudio podemos obtener datos que nos hacen ver la necesidad que existe de una regulación sobre los temas que se relacionan al Internet de las Cosas, pues los problemas de seguridad que se captan en un dispositivo pueden ser multiplicados y convertirse en cuestión de segundos en decenas o centenas de vulnerabilidades. [1]

Imaginemos además la posibilidad que existe de que los objetos o dispositivos que cuentan con sensores o chips inteligentes pueden percibir el contexto y comunicarse entre sí, realizando transferencias de datos sin autorización del titular de la información.

Un negocio del cual según General Electric calcula que hasta el 46% de la economía mundial se puede beneficiar, y del cual según la consultora global McKinsey calcula que el impacto económico podría alcanzar los 6.200 millones de dólares en 2025, hará que las empresas busquen los medios necesarios para formar parte del Internet de las Cosas y de esta forma contribuir con el tratamiento y la transferencia de datos a nivel global.  Esto de no manejarse de forma correcta podría atentar contra los principios de autodeterminación informativa, consentimiento informado y el derecho fundamental a la privacidad.

Pero más allá de lo que las empresas puedan obtener, tenemos también el peligro latente que existe y que a futuro se multiplicará por la cantidad de datos personales con que cuenten las empresas y que de alguna u otra manera pueden ser objeto de robo por ciberdelincuentes con el fin de lucrar con esas bases de datos tan específicas y valiosas.

Las implicaciones de privacidad y seguridad que genera la creciente conectividad de los dispositivos para comunicarse entre sí y con las personas es un fenómeno que afecta a los consumidores tanto en su entorno como fuera de él. No en vano la Comisión Europea  mediante consulta pública cuyos resultados se publicaron en febrero de 2013 junto con los trabajos del Grupo de Expertos sobre el Internet de las Cosas designado por la propia Comisión, hizo hincapié en los potenciales riesgos sobre la privacidad, la protección de datos y la seguridad que pueden generar los dispositivos conectados al Internet de las Cosas, esto en función de la criticidad de las circunstancias que afectan a cada aplicación o sistema en el que se despliegan estas tecnologías.

Para los expertos de este grupo de la Comisión Europea, los riesgos dependen del contexto y la situación, así como de las funciones que cumplen los objetos conectados (por ejemplo dispositivos de monitorización de indicadores de salud, de geolocalización o para redes inteligentes). Por otro lado, la complejidad del asunto aumenta si consideramos que los sistemas utilizados en el Internet de las Cosas son capaces de ser actualizados de manera remota, lo que puede eventualmente hacer que se adquieran de forma sobrevenida funcionalidades para las que no fueron inicialmente diseñados, pasando así a capturar nuevos tipos de datos o que estos sean utilizados para finalidades diferentes alas inicialmente previstas.

El Internet de las Cosas está fomentando que se de mayor facilidad de acceso a datos sensibles, por lo que al no existir un sistema de seguridad 100 por ciento infalible, existe la posibilidad de que problemas tecnológicos o ataques malignos puedan provocar algún fallo o interrupción en el funcionamiento de los sistemas que pueden derivar en daños irreparables a las personas o a las infraestructuras físicas que utilizan los dispositivos.

El artículo primero de la ley de Protección de Datos en Costa Rica (N°8968) es claro, y específico al indicar que cualquier persona, independientemente de su nacionalidad, residencia o domicilio, encuentra en este cuerpo de leyes el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.

Tenemos aquí, al inicio de la ley un enunciado que protege nuestros datos personales del tratamiento no autorizado, pero que a simple vista salta una dificultad que se plantea y es entorno a cómo hacer cumplir este primer fundamento de la ley si no logramos controlar los aspectos de seguridad a nivel de Internet. Por ejemplo en caso que un dispositivo “A” que transmite datos sensibles de su usuario a la institución que los conserva por la vía de Internet inalámbrica puede ver su seguridad comprometida u otro dispositivo puede obtener la información que se transmite, todo esto sin autorización ni conocimiento del titular de los datos y la institución responsable del tratamiento de los mismos.

En caso de que estas acciones se llevaran a cabo sin el conocimiento del titular de la información o del responsable de la base de datos, la información obtenida de manera ilegal podría eventualmente ser utilizada por terceros para entablar acciones discriminatorias en contra del titular, contraviniendo así el espíritu del artículo 4 de la Ley 8968.

Aunado a esto, vimos anteriormente como también existe la posibilidad para que de manera remota un dispositivo conectado a Internet transmitiendo datos del titular que lo utiliza, pueda ser actualizado sin necesidad de que la persona interesada lo sepa, y mucho menos llevando a cabo el procedimiento de obtención de datos personales de acuerdo al artículo quinto de la Ley de Protección de Datos de Costa Rica, incumpliendo de esta manera con el principio de consentimiento informado.

Por otro existe un vacío legal en Costa Rica que debe de ser reformado según se desarrolle aún más el Internet de las Cosas. La ley número 8968, al igual que la gran mayoría de leyes de Protección de Datos a nivel global, se crearon con la intención de proteger datos que se encuentran localizadas en bases de datos, y no se refieren a datos que se encuentran en proceso de ser almacenados.

El numeral 14 de la Ley de Protección de Datos de Costa Rica referente a la transferencia de datos personales indica que “Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.” De una lectura del artículo podemos entender que se refiere a una transferencia de datos que se encuentren contenidos en bases de datos, pero no menciona en ningún momento que pasaría si esa transferencia se realiza previo a la inclusión de los datos en la base de datos, tal y como sería el caso de transferir la información al momento preciso de obtenerla pero previo al envío de la base de datos.

No escapa a toda esta discusión el hecho de que las bases de datos a nivel global pasarán a ser enormes, pues siendo que para el año 2020 se espera que existan 50 mil millones de dispositivos conectados a la red, el tráfico de datos será impresionante, haciéndonos pensar en quienes serán las pocas instituciones o empresas capaces de albergar tal cantidad de datos con un dinamismo absoluto e inmediato sin problemas de alteración de datos o errores a la hora de enviar información solicitada, lo cual eventualmente puede poner en riesgo la vida de las personas por un fallo en el sistema o por una alteración en el orden de los datos almacenados.

Viendo el asunto desde otra perspectiva, si bien realmente es maravilloso el hecho de poder estar al otro lado del mundo y abrirle la puerta a un invitado en la casa, o que el médico pueda ver en tiempo real el estado del corazón de su paciente, es necesario un papeleo legal con el fin de obtener obligaciones y derechos en la relación que se pretende llevar a cabo.

Es así como debido a la legalidad de todo proceso hoy en día -y tras firmar contratos de forma obligada- si pretende el usuario acceder a los servicios que se le ofrecen, dichos contratos muchas veces cuentan con términos legales indescifrables escritos por especialistas en redactar ambigüedades, en los que de alguna u otra manera se le cede información personal sensible a alguien que no es siquiera conocido del usuario, lo cual, si no se especifica con la claridad absoluta necesaria a la hora de redactar los documentos legales, no se cuenta con una respuesta clara de a quien le pertenecen los datos obtenidos y conservados en la eventualidad de la muerte del propio titular de esa información. ¿Pasan estos datos a ser parte integral de las bases de datos de la empresa o institución encargada de recopilar dichos datos para brindarle un servicio en vida, o pueden sus herederos legítimos decidir el futuro de esos datos bajo el supuesto de que son los herederos legales del fallecido y todo lo que le perteneció en vida?

Conclusiones

Las posibilidades que se pueden generar  por un correcto uso y manejo del Internet de las Cosas es impresionante: el salvar vidas, ahorro en bienes finitos, el estado de un vehículo en tiempo real, publicidad a la medida, y otras tantas, son todas acciones que de una u otra manera pretenden mejorar nuestra condición de vida. Sin embargo, este auge de la conexión a Internet de todas las Cosas al mismo tiempo debilita la seguridad e incrementa los riesgos de ciberataques si no se toman las precauciones necesarias y se regula de manera que se pueda utilizar sin limitar sus usos positivos.

La implementación del protocolo IPv6 a nivel mundial aunque va a paso lento no es casualidad, pues para que cualquier objeto pueda conectarse a internet, necesita una dirección IP, y es por eso, que desde el año 2012 el mundo online comenzó la migración a un nuevo protocolo de Internet, el cual en vez de tener 4.000 millones de direcciones IP, como tenía el anterior, tendrá la posibilidad de crear 340 trillones de trillones (es decir, el número 340 seguido de 36 ceros) de direcciones, cumpliendo con los requerimientos que tendrá el Internet de las Cosas a futuro.

Otra interrogante que plantea este tema es la posibilidad de que los usuarios de estos dispositivos conectados a la red tengan la posibilidad de “silenciar los chips” que captan o transmiten los datos, teniendo así la posibilidad de mantener su privacidad en el momento en que así lo quieran tener, ejerciendo su derecho a desconectarse y que las redes de sensores dejen de capturar y monitorizar sus actividades.

Es necesario determinar que todo lo que se encuentre conectado por el Internet de las Cosas venga de fábrica con un sistema de “Privacidad por Default” en donde si bien el producto que se obtiene puede venir con un chip inteligente para la transferencia de datos, la decisión de activarlo dependa única y exclusivamente del usuario, aplicando siempre el principio de consentimiento informado. Aunado a esto, el producto debe contar con un documento que cumpla con los requerimientos del consentimiento informado con el fin de que quien lo adquiere tenga toda la información de lo que sucede con sus datos desde que son captados hasta que son eventualmente eliminados.

El Internet de las Cosas no está exento de peligros, pues todo estará conectado y por ende todo estará en riesgo por posibles fallos de seguridad. La ciberseguridad es una ciencia profundamente imperfecta que se encuentra en la vertiente de ser probada y deberá demostrar la capacidad de respuesta que ha venido creando.  No obstante, esto debe de estar complementado por regulaciones que le permitan a los usuarios, titulares, y demás partes que intervienen en los procesos del Internet de las Cosas, tener la posibilidad de defender sus derechos sin que la afectación sea irreparable.

Esa alianza que se ha formado del Internet de las Cosas con otras tendencias tales como “Big Data” (cantidades masivas de datos recogidos continuamente e imposibles de analizar con mecanismos tradicionales por su volumen y complejidad) y “Open Data” (datos abiertos, públicos y disponibles para su análisis por cualquier persona o entidad) también está creando un semillero para la aparición de una nueva generación de servicios de análisis capaces de encontrar asociaciones entre factores intuitivamente alejados entre sí.

El Internet de las Cosas no pretende detenerse y es por esto que debe de existir una supervisión continua de la privacidad y protección de los datos personales capturados, una identificación de posibles riesgos y la constante creación de grupo y foros de seguimiento del paradigma de Internet de las Cosas, incluyendo temas necesarios como la posibilidad del “silencio de los chips”.

En esta ponencia se ha señalado a algunos productos comerciales disponibles con el Internet de las Cosas que pueden ser identificados como “espías silenciosos”, pues son monitores de nuestra actividad. El rápido avance que existe en este tema es precisamente por sus beneficiosos, pues  tienen la capacidad de revelar información oculta, y hacer visible lo invisible ayudando así a conocer mejor nuestro entorno y a nosotros mismos. La parte peligrosa y oscura de la cual debemos estar pendientes es que la información personal que estos objetos recogen tienen un gran valor, y ésta se puede asociar con otro tipo de información que se encuentra en Internet, haciendo necesario el extremar medidas de seguridad y proceder a desarrollar de manera pronta pero cuidadosa las regulaciones necesarias para proteger la privacidad de las personas y la protección de sus datos personales, de esta forma otorgándoles el pleno derecho a ser los decisores del destino de dicha información.

Se debe entonces iniciar con una campaña en donde se las leyes de protección de datos que se crean se adapten al avance del Internet de las Cosas y se proceda a mejorar y actualizar las regulaciones existentes.  Lo anterior con el fin de no detener esta corriente pero si encausándola, permitiendo a todos los involucrados en el proceso de transferencia de datos conocer de forma clara y precisa sus derechos y sus obligaciones reconociendo la necesidad del avance tecnológico acompañado de una regulación a la medida.

[1] http://fortifyprotect.com/HP_IoT_Research_Study.pdf

Fuente de la imagen: CIO América Latina

Tecnologias de geolocalização no contexto laboral: Comissão Nacional de Proteção de Dados aprova princípios e condições gerais

gps_portugal

Por João Ferreira Pinto

No passado mês de Outubro (2014) a Comissão Nacional de Proteção de Dados (CNPD), autoridade de controlo em Portugal, aprovou os termos e condições aplicáveis aos tratamentos decorrentes da utilização de tecnologias de geolocalização no contexto laboral, designadamente, em veículos automóveis e em dispositivos móveis inteligentes (smartphones, portáteis e tablets).

Os dispositivos de georreferenciação são sistemas de vigilância à distância, de rastreamento continuo de objetos e/ou pessoas e constituem uma ingerência na vida privada. São particularmente intrusivos fora do horário de trabalho e nos períodos de pausa e de descanso, incluindo fins-de-semana.

Tratamento:

A instalação de tecnologias de geolocalização em veículos automóveis e em dispositivos móveis inteligentes utilizados pelos trabalhadores consubstancia um tratamento de dados pessoais.

Dados sensíveis:

Os dados relativos à localização dos trabalhadores dizem respeito à vida privada e são considerados dados sensíveis. Estes dados são especialmente protegidos na Lei n.º 67/98, de 26 de Outubro, Lei de Proteção de Dados Pessoais (LPDP) e o seu tratamento é genericamente proibido no art.º 7.º da LPDP.

Legitimidade:

O consentimento do trabalhador não constitui um fundamento de legitimidade válido, pelo que a legitimidade do tratamento só pode basear-se em disposição legal, desde que com garantias de não discriminação e aplicação de medidas de segurança, cfr. art.º 15.º da LPDP.

O Código do Trabalho (CT) admite a utilização de meios tecnológicos de controlo à distância para fins de “proteção de pessoas e bens” ou “quando particulares exigências inerentes à atividade o justifiquem”, cfr. art.º 20.º, n.º 2 do CT (também aplicável por remissão na Lei Geral do Trabalho em Funções Públicas).

Finalidades:

A geolocalização não pode ser utilizada para “controlar o desempenho profissional do trabalhador”, cfr. art.º 20.º, n.º 1 do CT, e apenas pode ser usada para determinados fins de acordo com critérios rigorosos de proporcionalidade, para finalidades “determinadas, explícitas e legítimas”, cfr. art.º 5.º, n.º 1. al. b) da LPDP.

  1. No que diz respeito à utilização de tecnologias de geolocalização em veículos automóveis, apenas é admitida pela CNPD nas seguintes situações:
  2. A gestão de frotas em serviço externo: nas áreas de atividade de assistência técnica externa/ao domicílio; distribuição de bens, transporte de passageiros, transporte de mercadorias; e segurança privada;
  3. Proteção de bens: transporte de materiais perigosos e transporte de materiais de valor superior a €10.000,00.
  4. Relativamente aos dispositivos móveis inteligentes (smartphones, portáteis e tablets) para fins de proteção do bem em si mesmo, considera a CNPD que a geolocalização é excessiva, desproporcional e desajustada face a outras possibilidades, tais como o recurso a políticas de segurança da informação, autenticação forte do utilizador, encriptação ou MDM (Mobile Device Management).

Responsável:

No contexto laboral, o responsável será a entidade empregadora ou o organismo público, que determina as finalidades e os meios de tratamento.

Tempo de conservação:

Os dados só podem ser conservados por um período máximo de 1 (uma) semana, sem prejuízo da sua manutenção em caso de procedimento criminal pelos prazos legalmente previstos.

Interconexões e comunicações a terceiros:

Estando em causa dados sensíveis, a interconexão só pode ocorrer caso exista uma base legal especifica, nos termos do art.º 7.º da LPDP, pelo que ao não existir essa base legal não há fundamento legitimador para a interconexão.

Igualmente, nos termos do art.º 3.º.al. f) da LPDP não existem situações que justifiquem comunicações dos dados a terceiros.

Transparência e direitos dos titulares:

De acordo com os princípios da transparência e da boa-fé, cfr. artigos 2.º e 5.º, n.º 1, al. a) da LPDP, o responsável está obrigado a dar conhecimento detalhado aos trabalhadores da existência de dispositivos de geolocalização nos equipamentos que disponibiliza, bem como, a dar conhecimento das condições de exercício dos seus direitos nos termos da LPDP, cfr. art.º 11.º.

Medidas de segurança:

Por estarem em causa dados sensíveis, o responsável pelo tratamento deve adotar as especiais medidas de segurança previstas no art.º 15.º da LPDP e possuir um sistema de auditoria fiável. Deverá ser implementada uma política de análise de logs (com relatórios periódicos), os quais devem ser guardados pelo prazo de 90 (noventa) dias.

O texto da referida Deliberação está disponível em:

http://www.cnpd.pt/bin/orientacoes/DEL_7680-2014_GEO_LABORAL.pdf