Protección de datos, globalización y nuevas tecnologías

globalziacion_loipd

Por Romina Florencia Cabrera

La Globalización es un proceso de alcance general , en cuya virtud diversas actividades –la economía, la tecnología, y las comunicaciones- se relacionan en tiempo real y más allá de la distancia. Por otra parte, junto con la creciente desterritorialización de las transacciones  económicas se fortalece el principio territorial aggiornado: los mercados financieros, las industrias informáticas y el comercio , progresan y se diversifican al calor de estados débiles en centros urbanos estratégicos. [1]

Si bien posibilita un sinnúmero de relaciones de toda índole, comerciales, financieras, políticas, culturales, personales, etc; dada la extensión y complejidad de los vínculos emergentes entre las mismas, la privacidad, la intimidad, el honor, y sobre todo el objetivo de nuestro trabajo, la protección de datos personales, como derecho autónomo e independiente se ven amenazados ante este fenómeno, y más aún, en la era de la Internet, la Red de Redes, en que la velocidad de la misma agiliza y diversifica este tipo de relaciones en la sociedad global.

Como nos enseña el Profesor Luis María Palma en las excelentes conclusiones se su trabajo de investigación académico[2], debe generarse una Política de Recursos Humanos sustentada en la capacitación permanente de los agentes, así como la participación más activa de la sociedad civil ( Tan solicitada en este contexto mundial actual donde se discute en nuevo modelo de Gobernanza de Internet), para generar  nuevas y mejores soluciones, con seguridad jurídica y una infraestructura tecnológica adecuada que pueda dar respuestas eficientes a las demandas sociales. La realidad humana y tecnológica nacen tan cambiantes que el camino más eficiente y eficaz es la adaptación. Las Instituciones Globales pueden constituir un medio fundamental para lograrlo, de la mano del diálogo y la construcción del consenso a escala mundial.  Ampliar las actuaciones de los Estados Nacionales en el nivel mundial, creando redes de Cooperación Internacional, para intervenir y negociar frente a las a las redes económicas globales[3], y sobre todo, en mi humilde opinión, no dejando de lado la Protección de los Datos Personales, que debe estar presente en todas las Agendas Gubernamentales, Mesas Redondas de Trabajo y Discusión académica-científica; capacitando a todos los actores sociales y creando una mayor cultura de Protección de Datos Personales, que es el objetivo del Observatorio Iberoamericano de Protección de Datos que integro, bajo la brillante Dirección de Daniel López Carballo y excelentes colegas de Iberoamérica.

Si bien se debe llegar a un consenso y entendimiento entre los Estados-Nación para que la sociedad en general evolucione en sus ideas y praxis, sobre todo en la materia de Protección de la Información,( el activo más importante que tiene una organización en la actualidad, tanto pública como privada, nacional o internacional),  la identidad cultural es lo más importante que posee una comunidad: es su identificación en el mundo; su etnia; su pasado, presente y futuro; sus alegrías, tristezas y sentimientos diversos manifestados en el encuentro social. Una gran familia que se une por su historia y sus costumbres y gustos; por su religión y su manera de percibir, concebir y practicar la fé (algo innegociable por lo menos para mí). Se deben respetar esos espacios únicos en su tipo en cada uno de los diferentes grupos que habitan el Estado-Nación, y llegar a un equilibrio y un respeto mutuo para lograr una mejor calidad de vida de todos los ciudadanos y progreso social. En los Tratados Internacionales de Derechos Humanos, se hace referencia a la tolerancia étnica, y religiosa, como una manera de no discriminación, y rescatando el valor y dignidad de la persona humana en concepto de Derechos Humanos, tal como la establece la Convención de Viena; como también el Derecho a la privacidad, a la intimidad, al honor y la libertad de asociación. En la Argentina, mi país, los Tratados de DDHH están incorporados a la Carta Magna en el Artículo 75 inciso 22, con jerarquía constitucional.

La Protección de Datos Personales en la Era Digital, implica un repensar de las relaciones institucionales, empresariales y personales, que repercuten en la vida jurídica de los Estados y por consecuencia de sus habitantes.

Las relaciones jurídicas deben replantearse dado el entorno digital en el  que se desarrollan. Cambia el contexto, y por ende la técnica legislativa debe adaptarse a estas transformaciones; dotando a las normas jurídicas de un sentido de realidad actual y también previendo el futuro del Derecho.

Los Derechos y Obligaciones de los actores jurídicos se plasman en el espacio virtual globalizado, donde las Comunidad Internacional debe fijar las pautas de conducta, para lograr una buena gestión de los Estados-Nación, tanto a nivel municipal, provincial, nacional y supranacional.

En la llamada “Declaración del Ciberespacio”, los habitantes del mismo manifiestan su deseo de una convivencia justa, sin soberanía territorial alguna, proclamando y preservando el derecho natural de los seres humanos a la libertad y a la igualdad también en el ciberespacio.[4]

En la citada declaración, se pueden encontrar los siguientes enunciados:

Art. 1. La libertad de la información solo se aplica a la información (conocimiento, elevación moral del ser humano, DDHH). Art. 2. Libre e igual acceso a la Información.  Art. 3. Eliminación de la brecha digital. Art. 4. Accesibilidad de la Información. Art. 5. Igualdad de oportunidades en la producción y difusión de la Información. Art. 6. Equilibrio entre propiedad intelectual y libre flujo de la información. Art. 7. Prohibición de monopolios y oligopolios de la información. Art. 8. Derecho a la inviolabilidad de la información. Art. 9. Derecho al Habeas Data. Art. 10. Contenido del Habeas Data. Art. 11. Derechos que limitan al Habeas Data. Art. 12. Derecho al  secreto de las Comunicaciones. Art. 13. Prohibición de los monopolios de  poder en Internet. Art. 14. Protección de menores. Art. 15. Dignidad de la persona. Art. 16. Libertad de comercio y trabajo en el ciberespacio. Art. 17. Protección del Patrimonio cultural en el ciberespacio. Artículo 18. Derecho ciudadano a la relación telemática con los poderes públicos. Artículo 19. Derecho a la autorregulación en un marco de heterorregulación.  Artículo 20. Garantía institucional de los Derechos Humanos en el Ciberespacio. Art. 21. Cláusula de extensión y de progreso. Artículo 22. Cláusula de cierre en evitación de la paradoja de la libertad. [5]

En otro de mis escritos, llamado “Globalidad y Transferencias Internacionales de Datos”, publicado por este mismo Observatorio, expreso que “La integración económica y social resultante del establecimiento y funcionamiento de un mercado globalizado, ha implicado un desarrollo notable de los flujos transfronterizos de datos personales entre distintos agentes públicos y privados establecidos en diferentes países. Este flujo de datos se ha visto favorecido por factores como el avance de las tecnologías de la información y, en particular, el desarrollo de Internet, que facilitan considerablemente el tratamiento y el intercambio de información, y que permiten compartir recursos tecnológicos, centralizar determinadas actividades y procesos, y abaratar costes en la prestación de servicios por la propia empresa fuera del país en el que se encuentra establecida”.

A modo de Conclusión final, se deberían activar políticas de Estado que se centren en la Protección de Datos como verdaderamente un Derecho Autónomo e Independiente ( Definición de la Agencia Española de Protección de Datos), y como expresamos en nuestro Observatorio en las Diferentes Declaraciones ( Documentos Internacionales) que hemos presentado, unificar criterios de Privacidad , para que sean aplicables a todos los países ( En nuestro caso de Iberoamérica) y se busquen soluciones en concordancia con las legislaciones locales, para que los conflictos que surgen en torno a la información personal no menoscaben el progreso tanto económico, social, político, cultural y personal de la Sociedad Globalizada, y que el fenómeno de la Globalización sea utilizado como una ventaja en la evolución de Ideas materializadas, y no como un elemento distorsivo y de retroceso.

[1] Palma, Luis María. “Justicia y Reforma en la Argentina Democrática. Universidad de Belgrano. Las Tesis de Belgrano. Facultad de Estudios para Graduados. Doctorado en Sociología.N° 65. Departamento de Investigaciones. Julio de 2013.    Páginas 373-374-. Sitio web: url: htp://www.ub.edu.ar/investigaciones.

[2] Palma, Luis María. Op cit. Páginas 385-386.

[3] Palma, Luis María .  Op cit. Páginas 385-386.

[4] Suñé Llinás, Emilio, “Declaración de derechos del ciberespacio”.  Universidad Complutense de Madrid, 2008. Sitio web:

http://portal.uexternado.edu.co/pdf/7_convencionesDerechoInformatico/documentacion/conferencias/Los_Derechos_Humanos_en_el_Ciberespacio.pdf

[5]  Suñé Llinás, Emilio, op.cit.

BYOD: ¿Permitirías a tus empleados usar sus propios dispositivos móviles en la oficina?

byod_mexico

Por Joel Gómez Treviño

BYOD es el acrónimo en inglés del término “trae tu propio dispositivo” (Bring Your Own Device), una tendencia mundial que llegó para quedarse, tal como las redes sociales y el cómputo en la nube. BYOD es una política de negocio que permite a los empleados traer dispositivos móviles propios (como teléfonos inteligentes, tablets e inclusive laptops) al trabajo y usar dichos aparatos para acceder recursos privilegiados de la empresa, tales como correos electrónicos, archivos en servidores y bases de datos -tradicionalmente almacenados en redes privadas virtuales (VPN’s)-, así como aplicaciones (software) y demás datos de la organización.

¿Qué beneficios trae el implementar una política BYOD en mi empresa/organización?

Transfieres los costos del hardware (equipos), voz, servicios de datos y otros gastos asociados a los empleados (incluyendo tal vez no solo los costos de adquisición, sino del mantenimiento y actualización). Esta transferencia de costos puede ser total o parcial (subsidiar parte del costo del equipo y/o servicios de datos). De una manera o de otra, representa un ahorro importante para la empresa.

Este cambio de paradigma brinda una satisfacción a los empleados, ya que tendrán la opción de traer al trabajo sus propios equipos (que en la mayoría de los casos ya usan o tienen). Si invirtieron en dichos equipos es porque les gustan (quien usa algo que le gusta trabaja mejor), y naturalmente cuidarán más un equipo propio que uno ajeno. En muchos casos, los empleados tienen mejores laptops, teléfonos y tabletas que aquellos que les proporcionaría la empresa, lo cual implica que la empresa estaría beneficiada con el rendimiento, características y bajo costo de mantenimiento de equipos de última generación. Además, los empleados suelen cambiar/actualizar su teléfono y laptop en ciclos mucho más breves (una vez cada 12 o 18 meses) a los que suelen tener las empresas (3 a 4 años).

¿Cuáles son los riesgos o desventajas de implementar una política BYOD?

Como probablemente se lo imagina, el riesgo principal radica en el manejo, flujo, confidencialidad y seguridad de la información. Si existe una política BYOD en su organización, el empleado tendrá acceso, almacenará y usará información valiosa de la empresa en sus propios dispositivos. Como lo he comentado en columnas anteriores, existen numerosas leyes y regulaciones -en México y el mundo- que obligan a brindar confidencialidad y seguridad de la información y a proteger datos personales.

También existe el riesgo de que el empleado pueda instalar en sus equipos programas de dudosa procedencia o realice descargas ilegales, lo cual representa un riesgo importante, tanto en el plano legal y como en el de seguridad informática. En el mejor de los casos, los equipos personales pueden traer un cúmulo de aplicaciones distractoras para el trabajo (música, videojuegos, chats, redes sociales, etc.)

Algunos empleados traerán computadoras con Windows, otras con OS X, y algunos intrépidos usarán Linux u otros sistemas operativos de código abierto como Ubuntu o ReactOS. También habrá quienes prefieran software libre como Open Office o aplicaciones en la nube como Google Docs. Tratándose de smartphones y tablets los reyes son iOS y Android, pero Windows tiene ya sólidas estrategias para recuperar terreno en este mercado. ¿Se imagina lidiar con el reto multi-plataforma?

Sin duda, existirán empleados que no puedan (o no quieran) darse el lujo de comprarse un equipo de última generación para usarlo con fines laborales. Entonces la empresa no solo enfrentará un reto multi-plataforma, sino también una amplia gama de equipos con diferentes capacidades y características. Hacer que equipos, sistemas operativos y aplicaciones tan diferentes funcionen entre sí puede ser complicado y costoso.

Aunque los riesgos parecen mayores en número y más alarmantes que las ventajas, no desestime el evaluar la implementación de “BYOD” en su empresa u organización. Los beneficios (ahorros, tecnología de punta y ambiente laboral) pueden ser suficientes para enfrentar los riesgos inherentes de esta plataforma. A fin de cuentas, todo cambio en el entorno laboral y de tecnologías de información debe de ir de la mano con una adecuada instrumentación de políticas internas claras que mitiguen los riesgos y controlen el acceso a los recursos de la empresa.

¿Cumple mi empresa con las normas de protección de datos?

interrogantesPor Lia P. Hernández Pérez

Las empresas manejan una serie de información y datos sobre sus clientes, trabajadores o terceros relacionados con sus actividades comerciales. En la mayoría de los casos, estos datos son de carácter personal y deben ser tratados con sumo cuidado para evitar violentar la normativa de privacidad y datos personales.

¿Esta su empresa realizando un tratamiento correcto de estos datos? Haga un examen respondiendo a las siguientes cuestiones y sabrá que aspectos debe cambiar, mejor y proteger en su entorno laboral para la protección de datos de quienes actúan en el ejercicio de sus actividades.

1. ¿Tiene su empresa datos de carácter personal?

2. De qué tipos son los datos personales que trata

3. ¿Definió para qué guarda esos datos y por cuánto tiempo los guardará?

4. ¿Tiene declaradas sus bases de datos ante algún ente regulador?

5. Cuando recolecta datos, ¿informa a los interesados que lo está haciendo?

6. Cuando capta datos, ¿pide el consentimiento a sus dueños?

7. Los empleados de su empresa, ¿están al tanto del deber de secreto y confidencialidad de los datos personales que usan?

8. ¿Han firmado sus empleados un compromiso de confidencialidad?

9. ¿Dispone su empresa de un documento de seguridad que contemple responsables y procedimientos específicos para el debido tratamiento de datos personales?

10. ¿Cómo obtiene datos su empresa?

11. ¿Conoce los derechos que la Ley otorga a las personas sobre sus datos personales?

12. ¿Sabrían en su empresa cómo actuar si un cliente le pide saber qué datos suyos guardan en la empresa y con qué finalidad o le pide darse de baja de sus bases de datos?

13 ¿Tiene un procedimiento establecido para que los dueños de los datos ejerzan sus derechos de acceso, rectificación, cancelación y olvido?

14 ¿Capacita a su personal respecto al correcto uso de datos personales?

El siguiente paso es acudir a la legislación nacional aplicable, en la mayoría de los países iberoamericanos encontramos desarrollos normativos sobre las medidas de seguridad, los requisitos legales, y sobretodo la forma en que debemos tratar los datos e informar a los ciudadanos de su manejo. Respetar los derechos de las personas y cumplir con la legislación vigente son sin duda valores añadidos a nuestras empresas y un compromiso con la sociedad.

Fuente de la imagen: BricoAndroid.

Día Mundial de Internet

dia_internet

Por Daniel A. López Carballo

Internet sin duda ha cambiado la forma en que nos relacionamos, trabajamos e interactuamos. Actos tan cotidianas como un mensaje, escribir una carta, leer el periódico han evolucionado hacia mandar un whatsapp, redactar un correo electrónico o leer la prensa por Internet.

Hoy 17 de mayo se celebra el Día Mundial de Internet, una iniciativa que viene de noviembre de 2005, la Cumbre Mundial sobre la Sociedad de la Información pidió a la Asamblea General de las Naciones Unidas que declarara el 17 de mayo como el Día Mundial de la Sociedad de la Información para promover la importancia de las tecnologías de la información y la comunicación y los diversos asuntos relacionados con la Sociedad de la Información planteados en la CMSI. La Asamblea General adoptó en marzo de 2006 una Resolución (A/RES/60/252) por la que se proclama el 17 de mayo como Día Mundial de la Sociedad de la Información todos los años. En noviembre de 2006, la Conferencia de Plenipotenciarios de la UIT reunida en Antalya (Turquía) decidió celebrar ambos eventos, Día Mundial de las Telecomunicaciones y de la Sociedad de la Información, el 17 de mayo. En la versión actualizada de la Resolución 68 se invita a los Estados Miembros y Miembros de Sector a celebrar anualmente dicho día.

Este año, la celebración de este día viene cargada de noticias previas, que lo hacen más importante si cabe: la polémica suscitada con el acceso a las comunicaciones por parte de la Agencia de Estados Unidos, las revelaciones hechas por Edward Snowden, la compra de WhatsApp por Facebook y más recientemente la celebración de NetMundial y la Sentencia en Europa del caso Google.

Desde 1969, cuando se estableció la primera conexión, conocida como Arpanet, entre tres universidades de Estados Unidos, Internet ha evolucionado a pasos agigantados. Las redes sociales ocupan sin duda un capitulo de referencia en el día a día, donde compartimos información fotografías y estados de ánimos. Su uso sin duda ayuda en las relaciones entre personas, pero también puede traer problemas si no las usamos de forma correcta.

El publicar donde estamos con toda la familia, pasando unos días de vacaciones, puede alertar a ladrones de que la casa esta vacía y es sencilla de robar. Constantemente conocemos noticias de infidelidades, fotos filtradas, delitos informáticos, … que se publican en la red. La recepción de correos electrónicos fraudulentos, donde se nos requiere una cantidad económica para obtener un trabajo o salvar a determinada personas, sólo conllevan estafas más o menos evolucionadas.

Por eso es importante el autocontrol, el conocer el medio en que nos movemos, vigilar la privacidad de nuestras comunicaciones, comentarios e información que subimos, un uso responsable de la Red.

Si bien es cierto, que esta semana se hacía publica la Sentencia del caso Google en Europa, donde se reconocía el derecho al olvido, es decir el derecho que tenemos a ser olvidados, a que nuestros contenidos sean eliminados de la red, la realidad es que la información viaja a gran velocidad, y se va indexando y repercutiendo en otras páginas, un tweet enviado comienza a ser difundido, citado, capturado en imágenes y llega un momento en que su eliminación se hace prácticamente imposible.

Educar a los menores en el uso de Internet, su uso responsable, y respetar a los demás usuarios deben ser los principios, para hacer de la red un lugar afable donde poder compartir, conversar, acceder a contenidos y conocimientos o desarrollar acciones empresariales, bancarias, trámites administrativos. Su uso sin duda es responsabilidad de todos.

Lo que debes saber sobre la cesión de datos

cesiones_datosPor Jorge Luis Garcia Obregon

El contrato de cesión de base de datos es un convenio que reside en el acuerdo de voluntades de las partes, guardando los parámetros estipulados por la legislación de protección de datos personales y otras. Como todo contrato posee sus clausulas particulares, las cuales debes tener en cuenta si decides ceder o recibir una base de datos para su tratamiento.

A nivel mundial las legislaciones que abordan el tema de protección de datos poseen ciertas similitudes entre ellas, que son levemente variadas de acuerdo a la tropicalización que se le da en cada país. Tal como explique en mi anterior entrada, hay ciertas cosas que debes tener en cuenta sobre la protección de datos.

Siendo un poco más enfático en este tema particular – cesión de base de datos– deseo explicarles brevemente en que consiste este tipo contrato, lo abordaremos clausula a clausula, veamos;

-El objeto: Se debe explicar la causa del mismo, su razón de ser, el ¿por qué? Por ejemplo, un contrato de compraventa de un vehículo automotor, el objeto es la compra y la venta de un bien. En el referido convenio es igual. Su objeto es la cesión de una base de datos especifica a favor del cesionario a cambio de un precio cierto, persiguiendo determinados fines; comerciales, científicos, almacenamiento de datos, estadísticas, etc, etc. Así mismo, es recomendable plasmar que no debe ser transferible, tampoco sublicenciable.

– Condiciones de la cesión: se deben estipular todas las condiciones que envuelven este acto jurídico. Por ejemplo:

El alcance que posee la cesión de la base de datos, tales como ficheros, archivo electrónicos o analógicos, que permitan lograr un aprovechamiento de la base de datos.

El uso correcto del contenido de la base de datos, plasmando explícitamente que el cedente no autoriza que se le de el tratamiento para hacer spam, actos inmorales, ilegales, actos contrarios a las buenas prácticas empresariales y phishing, el cual abordé en este artículo.

La garantía de titularidad de la base de datos, el cedente debe garantizar que lo que esta transmitiendo es de su propiedad, no propiedad intelectual de terceros.

El modo de cesión, si es por envío físico, magnético ó a disposición en una dirección web disponible para su descarga, previa autenticación mediante usuario y contraseña. Si es por este último medio, debes leer este post que escribí sobre los aspectos legales del software.

La cesión exclusiva, el cesionario debe respetar la titularidad de la base de datos cedida, no pudiendo hacer más copias que la de seguridad.

Cumplimiento de la Ley de Protección de datos. El cedente debe garantizar que ha cumplido con toda la normativa vigente. Aunque, el cedente no puede garantizar la integridad absoluta de dichos datos personales, así como la calidad y actualización de los mismos. Tal como expliqué en este artículo, las leyes de protección de datos poseen sus particularidades específicas.

– La propiedad intelectual e industrial: El cedente debe acreditar que la base de datos objeto de la cesión es de su propiedad. Solo se concede un derecho de uso exclusivo o no, según corresponda. Como dijimos sin derecho de sublicencia o de cesión a terceros.

– El precio y medio de pago: es primordial como en todo contrato estipular el ámbito económico del mismo para poder reclamar en caso de incumplimiento o poder determinar resarcimientos económicos por daños.

– La confidencialidad: Este tipo de contrato debe ser bajo la más estricta confidencialidad. A nadie le agrada saber que sus datos personales son cedidos a otra empresa diferente a la que uno autorizo que los maneje.

-Responsabilidades: Acá se determinan las responsabilidades de cada uno de los contratantes ante diferentes eventualidades que puedan surgir tales como; el incumplimiento de la ley de protección de datos, la obtención fraudulenta de los datos cedidos, las responsabilidades por incumplimiento de leyes de cookies, spam, acosos, legislación de consumidores, leyes de competencia, la inscripción del fichero cedido, etc, etc.

-Extinción del contrato: se estipulan las clausulas por que se da por terminado el contrato, en todo lo no contemplado en ellas se debe remitir a la legislación pertinente.

-Legislación aplicable: En caso de incumplimiento o de interpretación de alguna de las clausulas se debe estipular cual de las legislaciones será aplicable, en el caso que los contratantes sean de distintas nacionalidades y estén separados geográficamente.

Como siempre recomiendo, si vas a emprender alguna idea, debes asesorarte de  un especialista. Recuerda que las consecuencias pueden ser nefastas para tu modelo de negocio, sino prevés los peligros.

Lo que debes saber sobre datos personales al momento de emprender

innnovar_lopdPor Jorge Luis Garcia Obregon

Muchas ocasiones hemos escuchado; la información es poder,  quien tiene información tiene ventajas, así como frases similares… Pero, ¿Qué hay de cierto? ¿Hasta donde puedes sacar ventaja de la información? ¿Cómo puedes aprovecharla acorde a derecho? Son muchos los interrogantes en torno al tema. Este artículo te explica cómo funciona.

La ley de protección de datos, a nivel mundial, nace como producto de la “propuesta conjunta de estándares internacionales de protección de la privacidad en relación con el tratamiento de datos personales”[1] que fue retomada por el Departamento de Derecho Internacional (DDI) de la Organización de los Estados Americanos (OEA), invitando a los estados miembros a sumarse en este tipo de iniciativas. Por ello a nivel mundial todas estas normativas tienen estrecha relación, pues todas buscan poner un ¡HASTA AQUÍ! al manejo arbitrario que se le estaban dando a los datos personales.

En el campo empresarial, este control estatal da pauta a dos situaciones; El apego a la ley por parte de las empresas que guardan información personal y la oportunidad de negocios de consultorías en materia de protección de datos.

Con respecto a la primera, encontramos que en virtud del giro de sus negocios, actividades y operatividad, las empresas guardan información que la legislación de datos personales clasifica en varios tipos, por ejemplo:Datos personales (puros y simples): los que permiten identificar a una persona natural o jurídica (nombre, ID, dirección, señales particulares, etc.). Datos personales informáticos: Son los mismos datos personales pero tratados a través de medios electrónicos o automatizados. Datos personales sensibles: Conciernen a toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera… en fin todos los que puedan dar lugar a una discriminación.Datos personales relativos a la salud: por ejemplo los relativos a la salud física o mental de los pacientes que acudan a los profesionales de la salud ó que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional. Datos personales comerciales: son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.

Ahora que establecimos cuales son los datos personales, piensa un momento ¿cuánta información de este tipo maneja una empresa? ¿Cuántos titulares de estos derechos te dieron autorización para manejar su información personal? ¿Qué pasa si no me dieron autorización?

La información de este tipo que una empresa maneja es significativamente enorme, por ejemplo; los datos personales de tus trabajadores, los que entrevistas como candidatos a trabajos, tus clientes, tus proveedores, entre otros… Seguro no te han dado ninguna autorización para que la manejes ¿verdad? No sabías que debías tenerla y ahora lo más seguro es que tendrás una gran multa si uno de ellos se queja ante la Entidad encargada de la Protección de Datos en tu país. Estas emprendiendo, buscando como salir adelante con financiamiento y sacrificios. Pero ¿una multa? ¡Sí tendrás una multa por contrariar la ley!

Para evitar este tipo de multas debes buscar un asesor en la materia que te ayude a poner en orden todo ANTES DE… Pues, se puede evitar y estas en la obligación de hacerlo.

Lo primero que hará el experto es clasificar el tipo de información que manejas; datos de colaboradores, tus clientes, tus suscriptores – si es algún emprendimiento de plataforma virtual -, proveedores, etc.

Lo segundo, es inscribir tus ficheros[2] ante la Entidad encargada de la Protección de Datos en tu país.

En tercer lugar elaborará todos y cada uno de los documentos de soporte que le pida la Entidad encargada de la Protección de Datos, los contratos, formularios de autorización de manejo de datos personales que debes tener para tus proveedores, trabajadores, colaboradores y demás personas que les manejes tus datos personales.

En cuarto lugar, actualizará los ficheros y los clasificará para que se resguarde la información como debe ser…

Quinto, realizará una auditoría donde valoré tus debilidades, a fin de reforzar en ese aspecto y poder evitar cualquier contingencia.

Por último, evaluará tu website. Validará si cumple con las condiciones mínimas de ley, como el famoso “Aviso Legal” “Políticas de privacidad” o mejor dicho aquel gran testamento que todos vemos en las páginas de internet, que nadie lee y solo le damos “I Agree” ó “acepto”.

Como segunda pauta, tenemos la oportunidad de negocios de consultorías en materia de protección de datosque se pueden desarrollar. Este nicho es muy prometedor y requiere una preparación muy técnica.

Quien se dedique a ello debe conocer perfectamente la ley de protección de datos, estudiar el derecho comparado y casos relevantes en otros países, estar en constante evaluación y autoanálisis. Pues de algo, hay que estar claro y es que ninguna empresa es igual a otra, menos en la parte administrativa.

Si te piensas dedicar a desarrollar este negocio, actualízate y ofrécelo cuando estés sumamente preparado. Pues, si por un error involuntario o impericia de tu parte, causas un perjuicio a tu cliente, te puede traer graves problemas legales.

En cambio, si eres muy bueno en ello, verás los resultados en tus bolsillos muy pronto y tendrás un trabajo freelance demasiado enriquecedor. ¡Te lo digo por experiencia!

[1] Documento elaborado en el marco de la “Conferencia Internacional de las Autoridades de Protección de Datos y Privacidad”, que se celebra anualmente y reúne a las autoridades de más de 50 países pertenecientes a todos los continentes.

[2] Así se les llama a formularios y archivos donde se clasifica la información que manejas

Fuente de la imagen: Euroinnova Business School. Artículo originariamente publciado en revistamprende.com.

No más Brecha Digital en el 2020!

brecha_digitalPor Lia P. Hernández Pérez

Durante las clases que imparto en Derecho de las Nuevas Tecnologías, suelo comentarles a mis estudiantes y futuros colegas, de los avances que se han presentado en Panamá, en cuanto a telecomunicaciones;  cuando a partir de la promulgación de la Ley 31 de 1996, se privatizo y conjuntamente, liberalizo nuestro mercado.

Desde aquel entonces, Panamá ha sido considerando no sólo un Hub Marítimo por nuestra valiosa posición geográfica y canal interoceánico, segunda fuente de mayor ingresos para el país. Actualmente se nos considera igualmente un Hub Tecnológico, en el cual se han establecido infinidad de empresas del sector, tanto operadoras como consultoras que nos ayudan a entender que la tecnología no sólo nos facilita la vida sino también puede perjudicarnos, y que debemos evitar para salir lesionados por ella.

Igualmente, le digo a los chic@s, que existen elementos escasos en las telecomunicaciones, el espectro, la numeración, aspectos casi superados por nuestro país; pero igualmente existen otros en los cuales debemos de seguir trabajando: la brecha digital y el servicio universal.

Contamos con una red de Internet para todos desplegada por todo el país y nos podemos llenar la boca diciendo que contamos con una serie de líneas de fibra óptica igualmente desplegada por toda la República, cosa que nuestros vecinos más cercanos (me reservo cual vecino, para evitar ofender a colegas amigos 😉 no poseen, pero que tan universal es nuestro servicio?, no solo el Internet es un servicio de telecomunicaciones; la televisión, la telefonía fija y móvil, las cuales aún no llega a muchos sectores de nuestro pequeño territorio.

Por otro lado, la famosa Brecha, si! espacio que existe  entre un lado y otro;  la brecha que puede existir entre distintos sector de la población, a través los cuales unos pocos tienen grandes artefactos electrónicos y otros tantos continúan a utilizar máquinas de escribir arcaicas, como solucionamos este problema? Regalando computadoras en nuestros colegios para agradar a nuestros estudiantes,buenos y no tan buenos y  diciendo que hemos regalado más de cierta cantidad de ordenadores por toda la geografía nacional ? PUES NO! Si queremos erradicar la Brecha Digital como país y cumplir metas dentro de la región para el año 2020, debemos superar mal social, educando a la ciudadanía en general, sobre el uso de las nuevas tecnologías, de sus beneficios y de la manera que debemos utilizarla; capacitar a docentes, antes de regalarle un computador a un niño que jamás ha dado una clase de cómputo, informática o tecnología, y el cual desea una computadora, sólo para jugar, navegar por la red y ponerse a la par de sus demás amigos, utilizando las redes sociales.

Protección de datos y seguridad informática

seg_info_lopdPor Romina Florencia Cabrera

La seguridad de la información, en especial en el campo de la sociedad virtual y globalizada se ve afectada en estos últimos tiempos por diferentes incidentes de seguridad que menoscaban los sistemas informáticos y exponen sus vulnerabilidades, a un punto tal de generar , muchas veces, desconfianza en las empresas o instituciones afectadas.

En muchísimos casos, la fuga de datos personales como ser cartera de clientes o información clasificada y datos sensibles del personal de la empresa o institución vulnerada, como también ,archivos confidenciales o esenciales para el éxito del negocio o gestión gubernamental.

Dada mi experiencia en el campo de los recursos humanos y en el derecho informático, he llegado a comprobar, que la mayor fuga de información es generalmente vinculada al espionaje industrial por parte de empleados o miembros de la organización, mediante ataques perpetrados por medios tecnológicos, o simplemente por un descuido en la seguridad física de la institución o empresa. Después se debe comprobar la veracidad de los hechos y evaluar la evidencia, dado el derecho de defensa de los posibles sospechosos (Art. 18 Constitución Nacional Argentina; Art. 8 y 9 Pacto de San José de Costa Rica, etc.).

Por todo lo expresado anteriormente es necesaria una prevención correcta en la seguridad de la información, para que los posibles ataques informáticos no alteren la excelencia del trabajo.

También es necesario realizar una evaluación tecnológica, para comprobar el estado de los sistemas de la información, y proyectar las posibles alteraciones en el futuro. [1]

A continuación veremos algunas recomendaciones en seguridad de la información:

Penetration Test (Pruebas de Intrusión)

El Penetration Test conforma una serie de pruebas y análisis mayormente científico, basado en mejores prácticas seguridad, métricas aplicadas y fuertemente experiencia práctica de los especialistas involucrados.

El objetivo general es emular el comportamiento de un intruso malicioso (delincuente informático), de forma tal que se puedan encontrar debilidades y vulnerabilidades. La conjunción permite determinar determinados riesgos en la infraestructura informática de la organización. En base a ello el siguiente paso será tomar acciones preventivas, mitigantes o correctivas.

En particular el Penetration Test, determina cómo se encuentra el nivel de seguridad de la organización, los puntos críticos y las posibilidades de acción frente a estos[2]

¿Qué tipos de servicios Penetration Test existen?

Según la información a descubrir:

  • Black Box (Blind): El Security Tester, no cuenta con ninguna información del objetivo.
  • Double Black Box (Double Blind): El cliente NO tiene conocimiento de qué tipo de test se realizará, cómo se realizará ni cuándo.
  • White Box: El Security Tester tiene total conocimiento detallado sobre el objetivo. El cliente está alertado de las tareas a realizar por el Security Tester, al igual que la forma y el momento en que las realizará.
  • Gray Box: También conocido como Internal Testing. Examina el nivel de acceso desde la red interna (CEH Definition). El Security Tester, sólo conoce información parcial de los objetivos, la cual es seleccionada por el cliente.
  • Double Gray Box: El cliente tiene conocimiento de qué tipo de test se realizará pero NO tiene información sobre el cómo y cuándo

Según el procedimiento operativo a realizar:

  • Remote Network Hack: Simula un ataque a través de Internet.
  • Remote Dial-Up Network Hack: Simula un ataque lanzado contra el pool de módems del cliente (War dialing).
  • Local Network Hack: Simula el ataque de una persona con acceso físico tratando de obtener accesono autorizado a través de la red local.
  • Stolen Equipment Hack: Simula el hurto de un recurso que posea información crítica, como una laptop.
  • Social Engineering Attack: Simula un intento de obtención de información a través de dicha técnica.
  • Physical Entry Attack: Simula el intento de intrusión física a las facilidades de la organización.

Según el objeto bajo análisis puede ser:

  • Sistema Operativo: Instalaciones por default, servicios iniciados, bugs de desarrollo.
  • Aplicaciones: Aplicaciones mal desarrolladas, sin testing y/o sin mantenimiento.
  • Código Shrink-Wrap: Funcionalidades legales de una aplicación que pueden ser utilizadas con fines maliciosos. Ej: Macros, Scripts, etc.
  • Errores de Configuración: La mayoría de los sistemas presentan vulnerabilidades ocasionadas por configuraciones débiles o incorrectas[3]

¿Cómo se realiza este servicio de Penetration Test?

  • Reconocimiento (Reconnaissance):  Recolectar la mayor cantidad de información sobre la víctima como sea posible, utilizando todos los medios disponibles. Técnicas: Búsqueda de Información en la Web, Information Gathering, Dumpster Divinig (Pasivas), Network Scanning, Ingeniería Social (Activas), etc.
  • Escaneo (Scanning): Utilizando la información obtenida en el paso 1 se examina la red informática de la víctima en busca de potenciales vulnerabilidades. Técnicas: Dialers, Port Scanners, Network Mappers, Sniffers, VulnerabilityScanners, Wireless Detectors, Sweepers, etc.
  • Obtención de Acceso (Gaining Access): También llamado “Fase de Penetración”, es donde se efectiviza el ataque al hacer uso de las herramientas de explotación de Vulnerabilidades. Técnicas: DoS y DDoS, Exploiting, Session Hijacking, Password Cracking, BufferOverflow, Remote Access, etc.
  • Mantenimiento del Acceso (Maintaining Access): Una vez accedido al sistema, el atacante deberá establecer un método de reingreso simple y sin controles. Técnicas: Backdoors, Rootkits, Troyans, Reconfiguración del Sistema, inicio o baja de servicios específicos, atacar otros equipos dentro de la red, etc.
  • Eliminación de Rastros (Clearing Tracks): El atacante debe cubrir su historial de actividad para evitar ser detectado y nodivulgar las acciones realizadas para poder prolongar su ataque, lograr el reingreso y permanencia en el sistema, eliminar evidencias de su ataque yevitar acciones legales. Técnicas: Esteganografía, Borrado o modificación de los archivos de logs, implantación de túneles de acceso invisibles, indetectables o ilegibles, etc.[4]

Vulnerability Assesment (Evaluación de Vulnerabilidad)

Los servidores, sistemas y redes de datos constituyen la infraestructura elemental por donde fluyen los negocios de cualquier tipo de organización. Generalmente los tiempos, los contextos cambiantes y la complicada tecnología de hoy, provoca que la instalación de esta infraestructura no se encuentre optimizada, se configure con valores por defecto o no están preparadas de manera suficiente para afrontar los niveles de seguridad necesarios.

Mediante el proceso de Hardening se procede a optimizar y actualizar las plataformas según las evaluaciones de vulnerabilidad, en efecto, la criticidad de la infraestructura. El objetivo es que la información de la organización fluya de manera segura, por las redes internas y externas.[5]

¿Qué beneficio genera el servicio de Hardening?

  • Comprender el cuadro de riesgo que actualmente posee la infraestructura y el impacto que ella genera en la organización.
  • Implementar una solución integral efectiva, alineada a las nuevas prácticas de la industria y a la estrategia de la organización.
  • Mitigar las brechas bajo seguimiento entre lo detectado, lo mejorado y el objetivo determinado por la organización.
  • Proveer de recomendaciones al equipo de tecnología y seguridad en el plan de mejoras de las brechas detectadas.
  • Mejorar el nivel de rendimiento, funcionamiento y seguridad de la infraestructura existente.[6]

¿Cómo se realiza este servicio de Hardening?

  • Instalaciones por Default: Este tipo de instalaciones por general presentan vulnerabilidades, por lo cual, es sumamente necesario personalizar la instalación.
  • Servicios y aplicaciones innecesariamente iniciados de manera automática: Estando activos son un potencial vector de ataque, pueden darse de baja sin inconvenientes.
  • Actualizaciones de seguridad: El equipo requiere constante actualización, por ende, es necesario mantenerlo con los niveles de seguridad al dia, para evitar cualquier tipo de conflicto externo.
  • Políticas: Establecer políticas de seguridad a nivel local, de la red, o del dominio entero.
    Permisos de usuario: Restringir los permisos de usuario al mínimo necesario y no dar de alta usuarios que no se utilicen, y dar de baja usuarios que dejen de interactuar con el equipo.[7]

Consultoría en Seguridad de la Información

¿Qué es un activo de información?

Si nos tomamos unos minutos para analizar un día completo en las organizaciones, comprendemos que en cada una de las actividades que desarrollamos estamos en contacto con información que nos permite mejorar el conocimiento y aprender, reducir nuestra incertidumbre permitiéndonos decidir la mejor acción entre varias, o proporcionar una serie de reglas con fines de control o evaluación.

La información se convierte en un activo, tan importante como los activos económicos y humanos que posee la organización, y por consiguiente deben ser protegidos de un modo adecuado. Ninguna persona estaría de acuerdo en perder dinero, debido a un agujero en el bolsillo. Ningún líder de proyecto estaría conforme en perder uno de los talentos de su equipo, particularmente en medio de un proyecto. Ningún programador estaría motivado en comenzar su día laboral al enterarse que la última versión del código fuente finalizado ayer, se ha perdido debido a que el servidor que lo almacenaba quedó fuera de funcionamiento y la última copia de seguridad disponible es de un mes atrás.

Los tres pilares del valor de la información

¿Cuál es el valor de los activos de información para nuestra organización, para nuestro equipo de trabajo y para nosotros mismos? A fin de determinar el valor de estos activos, debemos conocer los tres pilares que clasifican la importancia y prioridad de los mismos:

  • Confidencialidad: solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
  • Integridad: la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento. Este pilar determina la manera en que es controlada la persona antes de acceder a la información.
  • Disponibilidad: la información estará disponible siempre que cualquier persona autorizada necesite hacer uso de ella. Clasificando este pilar de acuerdo a la velocidad de recupero necesaria para que la información esté disponible.[8]

Por todas las recomendaciones expresadas anteriormente, se deben tomar todos los recaudos necesarios para cuidar el activo más importante de las empresas e instituciones gubernamentales hoy en día: la información y los datos personales; quien tiene la información y el conocimiento tiene el poder y puede influir en la toma de decisiones, tanto en el   sector público como en el privado, solamente con acceder a una base de datos.

[1] Horacio H. Godoy, “Socialware”, Informática, Cooperativa, Desarrollo; Fundación Cuenca Del Plata, Primeras Jornadas Nacionales y Segundas Provinciales de Informática para el Cooperativismo Eléctrico Argentino. Luján, Provincia de Buenos Aires, Agosto 13/15, 1987.

[2] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[3] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[4] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[5] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[6] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[7] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

[8] Servicio CSI (Challenge Security Integration) – Equipo Seguridad Informática
http://www.oscarschmitz.com.ar/2014/04/servicio-csi-challenge-security.html

Modelos de autoridades de control en transparencia y protección de datos personales

institucioneslatinasPor Marí­a José Viega Rodriguez

1. Introducción

Para analizar el tema propuesto voy a partir de la necesidad de concientización de que tanto las leyes de acceso a la información pública como las de protección de datos necesitan en su gestación no sólo el logro de una excelente norma, sino el análisis de cómo se llevará a cabo su implantación.

Este es el presupuesto desde el cual se analizó el tema en Uruguay durante el 2008, año en que se aprobaron las leyes de Protección de Datos y Acción de Habeas Data el 11 de agosto Nº 18.331 y de Acceso a la Información Pública el 17 de octubre Nº 18381.

La temática de los órganos de control ha sido analizada en diferentes países frente a una u otra norma, siendo Uruguay un caso especial, ya que ambas leyes se concibieron conjuntamente, a pesar de que las iniciativas provinieran de diferentes ámbitos, gubernamental el primero y de la sociedad civil el segundo.

El momento en que se realiza el planteamiento acerca del derecho y su gestión tiene como consecuencia que encontremos planteos acerca de los órganos de control sobre acceso por un lado y de protección de datos por otro.

Analizaremos esta situación en primer lugar, para luego reflexionar sobre la conveniencia de una doble autoridad de control y finalizar con el modelo institucional uruguayo.

2. Órganos de control de Protección de Datos

De acuerdo con el Dr. Rebollo existen 3 modelos de órganos de protección o de control:

  • órgano unipersonal (alemán),
  • órgano colegiado (Francia, Portugal, Italia, España y la Unión Europea) o,
  • atribuir la defensa de este derecho a los tribunales ordinarios (Estados Unidos).

Órganos Unipersonales. En esta categoría se ubica al Comisario Federal de Protección de Datos de Alemania, el cual goza de independencia plena en su labor y está sometido únicamente a la ley.

También en Argentina, la Ley N° 25.326 del año 2000, dispone la existencia de un órgano de control dotado de autonomía funcional que funcionará en el ámbito del Ministerio de Justicia y Derechos Humanos de la Nación, el que estará dirigido por un Director Nacional designado por el plazo de cuatro años, por el Poder Ejecutivo, con el acuerdo del Senado de la Nación, entre personas con antecedentes en la materia, quien se dedicará en forma exclusiva a su función, siendo el jerarca máximo.

Órganos Colegiados. Fundamentalmente cumplen funciones informativas y de publicidad en lo referente a la normativa de datos personales, así como sancionatorias, inspectivas y registrales. Al igual que los anteriores órganos, gozan de plena autonomía e independencia.

Algunos de los países que poseen este sistema son a modo de ejemplo: España, Francia, Portugal, Italia, Uruguay, así como la labor de la Unión Europea se ubica en esta categoría, encomendándose a una Comisión.

Tribunales ordinarios. Es el caso de Estados Unidos de América do tutela de los derechos fundamentales contenidos en la Constitución o en sus distintas Enmiendas quedan sometidas a los tribunales ordinarios y es el Tribunal Supremo quien en última instancia, dictamina la posible vulneración o no de derechos, así como la interpretación jurídica que debe realizarse de los mismos. El inconveniente de este modelo es que la actuación de los tribunales se realiza a posteriori, una vez que se produjo la lesión del derecho, quedando en manos del gobierno, o por delegación de éste, en la Administración, la labor de promoción y control, del citado derecho3”.

Por otra parte y teniendo en cuenta el grado de autonomía, nos encontramos con:

a)   Agencias con carácter autónomo de los poderes del Estado (España);

b)   Direcciones dependientes del Poder Ejecutivo (Argentina) y

c)     Unidades Reguladoras: órganos desconcentrados con autonomía técnica (Uruguay).

3. Órganos de control de Acceso a la Información Pública

La supervisión y seguimiento constituyen partes centrales de cualquier LAI, pues ellas determinan si ésta tendrá un impacto real en la gestión y operación de los gobiernos. Una LAI sin supervisión y seguimiento está condenada a convertirse en letra muerta dado que las inercias de la burocracia típicamente caminan en contra de la implementación de la apertura. El procedimiento ideal para evitar lo anterior sería el establecimiento de un organismo autónomo que esté encargado de recibir las apelaciones y que también se dé a la tarea de vigilar el cabal cumplimiento del derecho a la libertad de información de los ciudadanos. Sin un organismo autónomo las apelaciones deben pasar directamente a las cortes, lo cual resulta en un proceso altamente costoso en términos de tiempo, dinero y esfuerzo para la ciudadanía4.

Ejemplo de existencia de Comisiones independientes encontramos en los siguientes países: Bélgica, Canadá, Estonia, Francia, Hungría, Irlanda, Letonia, México, Portugal, Eslovenia, Tailandia e Inglaterra.

Alasdair Roberts5 ha reseñado tres posibles modelos para el seguimiento de las leyes de acceso a la información pública. Estos son:

  • A los individuos se les otorga el derecho de someter una “apelación administrativa”ante otro funcionario de la misma institución a la cual la solicitud de la información fue sometida en primer lugar. Si esta apelación administrativa falla, el individuo puede apelar ante una corte o tribunal que pueda ordenar la entrega de la información.
  • A los individuos se les otorga el derecho a entablar una apelación ante un Ombudsman independiente o ante un Comisionado de la información quien debe enviar una recomendación acerca de la entrega de la información solicitada. Si la institución ignora la recomendación, se procederá a apelar ante la corte.
  • A los individuos se les otorga la posibilidad de someter una apelación ante un Comisionado de la Información que tenga el poder de obligar a la apertura de la información requerida. Aquí no proceden mayores apelaciones legales, aunque en casos extremos las acciones del Comisionado quedan sujetas a revisión judicial.

Por último destaca que frente a cualquiera de estos escenarios es necesaria la existencia de un poder judicial independiente.

De los diversos países que cuentan hoy en día con leyes de acceso a la información pública, solo algunos de ellos cuentan con órganos independientes encargados de las tareas de control de la aplicación de la norma y el respeto del derecho de acceso a la información pública.

4. Modelos de Órganos de Control

Encontramos en el análisis del derecho comparado la existencia de situaciones disímiles, que van desde la ausencia de un órgano de control hasta órganos dotados de autonomía.

a) Ausencia de órgano de control

La Dra. Laura Nahabetián reflexiona sobre este punto al referirse a órganos de control de acceso a la información pública inexistencia de órganos de control con competencia específica vinculada con el

carácter de garante del acceso a la información y verificador del cumplimiento de la legislación en la materia. De esta forma la ejecución y el seguimiento de la instrumentación de estas normas dependen del respeto institucional a la normativa aunado a la voluntad política social del cumplimiento y de su exigencia,   respetivamente”.

Se plantea igual situación respecto a la protección de datos, existiendo países que han aprobado leyes pero no han creado un órgano garante. En estos casos, la opción del ciudadano es recurrir al Poder Judicial para exigir el cumplimiento de su derecho.

Puntualmente, en temas de Acceso a la Información Pública podemos encontrarnos con entidades no creadas por ley, categoría definida por la Dra. Nahabetián, en la obra citada, para países como Belice, Jamaica y Trinidad y Tobago.

b) Órgano de control con competencias específicas

Consagrados el derecho a la protección de datos y/o el derecho de acceso a la información pública como derechos fundamentales, conlleva la necesidad de crear órganos administrativos garantes con competencias específicas.

Las acciones jurisdiccionales son consideradas, en estos casos, como la última ratio para que el ciudadano proteja su derecho, otorgándole un medio gratuito y sencillo para el ejercicio de su derecho.

c) Un órgano de control para cada derecho o uno con doble rol

No es nuevo el planteo acerca de la conveniencia de optar entre: crear un órgano de control con competencia en protección de datos y otro con competencia en acceso a la información pública o crear un único órgano que reúna competencias en ambas materias.

Respecto a este punto podemos hablar de ventajas y desventajas en cuanto a uno u otro modelo.

Respecto a la existencia de un órgano con competencias exclusivas para uno de estos derechos podemos destacar como ventajas: el reconocimiento de un derecho fundamental autónomo, el elevado grado de especialización del órgano y la autonomía e imparcialidad de sus resoluciones.

Como desventajas se señala el impacto presupuestario en la creación de dos organismos autónomos, la posibilidad de que frente a dos derechos que muchas veces pueden verse como contrapuestos, no se mantenga un equilibrio entre ambos, o peor aun que órganos diferentes tomen resoluciones contradictorias frente a un mismo tópico.

En relación a las autoridades de doble rol se establecen como ventajas: la uniformidad de criterios, menor impacto presupuestario, hay que tener presente que muchas veces el órgano no se crea con el doble rol, sino que asume una de las competencias posteriormente, por lo que, si dicho órgano está legitimado socialmente, será más sencillo la difusión del nuevo derecho.

Por otra parte, se han indicado como desventajas la inexistencia de un órgano especializado y se discute sobre la difícil tarea de llegar a un equilibrio entre los dos derechos, porque podría favorecerse uno en desmedro del otro.

5. Modelo Institucional Uruguayo

Comenzaré haciendo una referencia a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC), porque este organismo ha sido el impulsor de la ley de Protección de Datos y trabajó activamente en la reforma del proyecto de Acceso a la Información Pública, para que ambas normas pudieran convivir en forma armónica.

Es AGESIC, además, el órgano garante del equilibrio entre los dos derechos, así como el encargado de la gestión en ambos casos.

5.1 El gobierno electrónico como un Derecho Ciudadano

La misión del gobierno electrónico o gobierno digital apunta básicamente a dos temas, el acceso a la información pública y trámites electrónicos, la transparencia, el fortalecimiento democrático, la participación ciudadana y por otro lado su proyección en la transformación del Estado, centrada esencialmente en la concreción de procesos más eficientes.

Esto implica transformaciones en los procesos interinstitucionales, como por ejemplo la interoperabilidad, hay una especie de reorganización, que es nueva y tiene una finalidad diferente, ya que se visualiza a la administración pública como un todo.

Podemos hablar de gobierno electrónico como hacer portales y tendríamos muchas cintas para cortar, pero no vemos los problemas que están en la profundidad. Pongamos por ejemplo la interoperabilidad, para determinados trámites se piden testimonios de partidas de nacimiento, de matrimonio, de defunción que están en poder del Estado, con lo cual no se deberían pedir7.

Debemos entonces comenzar a visualizar al Estado, ya no desgajado, sino único y al gobierno electrónico como un derecho ciudadano, como un derecho de la persona a que el Estado no le exija lo que éste ya posee, mejorando en calidad de servicios y en eficiencia y eficacia.

El concepto de Gobierno en Red o Gobierno Conectado es el resultado de la búsqueda de un Gobierno integrado, que posicione cada vez más a la tecnología como una herramienta estratégica y como un facilitador para la innovación del servicio público y el crecimiento de la productividad. El eje del Gobierno en Red es la promoción del bien público, mediante la participación de los esfuerzos creativos de todos los segmentos de la sociedad. A través del uso de las TIC, los esfuerzos del Gobierno Conectado están destinados a mejorar la cooperación entre los organismos gubernamentales. Esto permite un mejor acceso, consultas más eficientes y eficaces; mayor compromiso con los ciudadanos y una mayor participación de las partes interesadas, tanto a nivel regional como internacional8.

Este concepto de Gobierno Electrónico centrado en el ciudadano motivó la creación de la Dirección de Derechos Ciudadanos de AGESIC por la Ley Nº 18.362 de fecha 6 de octubre de 2008, que en su artículo 72 establece como su cometido la atención de consultas y asesoramiento en materia de protección de datos y de acceso a la información pública.

Quiero destacar que el término ciudadano se utiliza en un sentido amplio, el cual se reitera en documentos como la Carta Iberoamericana de Gobierno Electrónico, firmada en Santiago de Chile el 10 de noviembre de 2007, que  establece: “A los efectos de esta cartaanocualquierse enti persona natural o jurídica que tenga que relacionarse con una Administración Pública y se encuentre en territorio del país o posea el derecho a hacerlo aunque esté fuera de dicho país”.

En Uruguay tenemos una agenda digital que incluyó la protección de datos, la seguridad, el acceso a la información pública. Y en cada uno de esos casos se estructuró un marco regulatorio, que cambiaron en dos años el sistema legal en estos temas. Se creó la Agencia de Gobierno Electrónico y como desconcentrados las Unidades Reguladora y de Control de Datos Personales, de Acceso a la Información Pública y de Certificación Electrónica9.

La Agencia continua trabajando en el desarrollo del gobierno en Red, siempre con el foco en el ciudadano, por lo que este año estamos trabajando en un anteproyecto de ley que consagra el derecho ciudadano al acceso a la Administración Electrónica.

5.2 El equilibrio entre dos derechos: PDP y AIP

El 17 de octubre de 2008 se aprueba la Ley Nº 18.381 de Acceso a la Información Pública, y en su artículo 10 se establece que se considera  información confidencial los datos personales que requieren previo consentimiento informado. La protección de datos ya había sido regulada por Ley Nº 18.331 de 11 de agosto de 2008.

Vemos entonces, la consagración de dos derechos fundamentales, siendo la protección de datos un límite al derecho de acceso a la información pública, ya que ésta puede ser solicitada sin necesidad de poseer un interés legítimo, lo que la transforma en una herramienta para acceder a datos de terceras personas. A la inversa, también el acceso implica un límite a la protección de datos personales cuando por razones de interés público es necesario un actuar transparente10.

El Dr. Delpiazzo afirma que “el equilibrio desprendimiento, el derecho de acceso a la información pública) por una parte,  y el derecho a la protección de datos personales (ubicado concéntricamente con los derechos a la intimidad a la privacidad por otra parte, aboga a favor de este último cuando existen datos personales en poder de la Administración.

Esta afirmación, que se comparte, se encuentra respaldada por varias razones:

  1. Debe atenderse a la diferente naturaleza de la información de que se trata en uno y otro caso, no debe confundirse la información pública con los datos personales que se encuentran en los expedientes administrativos. Cuando una persona solicita información a la Administración, tendrá acceso solo a la establecida como pública por la ley, no a la clasificada como reservada o confidencial, así como tampoco a la información secreta.
  1. La determinación del bien jurídico tutelado, el cual impone la reserva sobre lo íntimo de cada persona, motivo por el cual la Administración debe respetar el principio de finalidad en la recolección de los datos.
  1. Debe considerarse la diversidad de fines que persigue cada derecho. La reserva de datos personales no afecta el derecho de acceso a los documentos administrativos. Pero si el acceso a la información pública no respeta los datos personales, desvirtúa su fin.
  1. Es necesario determinar el contenido esencial de cada derecho impidiendo su desfiguración.

Las Leyes Nº 18.331 y Nº 18.381 crearon un nuevo marco institucional y dos órganos de control en las respectivas materias, la Unidad Reguladora y Control de Datos Personales (URCDP) y la Unidad de Acceso a la Información Pública, existiendo un contexto relacional, quizá con una perspectiva espejada entre ambas.

Ambas Unidades son órganos desconcentrados de Agesic. En el artículo 31 de la Ley N° 18.331 se dispone que la Unidad Reguladora y de Control de Datos Personales estará dirigida por un Consejo integrado por tres miembros: el Director Ejecutivo de la AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

A excepción del Director Ejecutivo de la AGESIC, los miembros durarán cuatro años en sus cargos, pudiendo ser designados nuevamente. Sólo cesarán por la expiración de su mandato y designación de sus sucesores, o por su remoción dispuesta por el Poder Ejecutivo en los casos de ineptitud, omisión o delito, conforme a las garantías del debido proceso.

Durante su mandato no recibirán órdenes ni instrucciones en el plano técnico.

Según lo dispuesto por el artículo 32 de la citada Ley, el Consejo Ejecutivo de la URCDP funcionará asistido por un Consejo Consultivo, que estará integrado por cinco miembros:

  • Una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo que no podrá ser un legislador en actividad.
  • Un representante del Poder Judicial.
  • Un representante del Ministerio Público.
  • Un representante del área académica.
  • Un representante del área privada que se elegirá en la forma establecida reglamentariamente.

Dicho Consejo funcionará presidido por el presidente de la URCDP. Sus integrantes durarán cuatro años en sus cargos y sesionarán a convocatoria del Presidente de la URCDP o de la mayoría de sus miembros. El mismo podrá ser consultado por el Consejo Ejecutivo sobre cualquier asunto de su competencia y deberá ser consultado por éste cuando ejerza potestades de reglamentación.

Esta estructura se encuentra replicada en la Ley de Acceso a la Información Pública, con la diferencia que el Consejo Consultivo está integrado por:

  • Una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo, la que no podrá ser un legislador en actividad.
  • Un representante del Poder Judicial.

  • Un representante del Ministerio Público.

  • Un representante del área académica.

  • Un representante del sector privado, que se elegirá en la forma establecida reglamentariamente.

La forma de concebir el sistema organizativo quizá pueda parecer un poco extraño en una primera instancia, pero tiene una lógica de funcionamiento que ha demostrado ser exitosa en los hechos.

Las decisiones de Protección de Datos y Acceso a la Información Pública son tomadas por Consejo Ejecutivos independientes, pero vinculados operativamente a través del Director Ejecutivo de AGESIC, principal interesado en el cumplimiento de estos derechos.

Por otra parte, en el análisis de ventajas y desventajas de crear un órgano autónomo para cada derecho o uno con competencias en ambas materias, el modelo Uruguayo mantiene las ventajas del órgano autónomo, pero elimina las desventajas del órgano con doble cometido.

En este sentido podemos decir que se han creado dos órganos con un impacto presupuestario bajísimo, ya que la gestión está encargada a un organismo existe, la AGESIC.

Estos órganos tienen total autonomía técnica y son especializados cada uno en la protección de su derecho, sin embargo, al tener un integrante común asegura la coherencia en la toma de decisiones.

6. Conclusiones

Con el objetivo de lograr el equilibrio entre estos derechos fundamentales, debemos tener en cuenta que “el núcleo dur datos es la dignidad humana mientras que el derecho de acceso a la información pública se sustenta en la transparencia connatural a la servicialidad de la  Administración”.

Uruguay consagró ambos derechos y está logrando el funcionamiento armónico de los mismos. No es un trabajo sencillo, ya que las zonas grises son muchas y deben ser analizadas caso a caso.

El nuevo modelo institucional sin duda toma lo mejor de ambos modelos y se constituye como un mixtura, combinando la independencia y autonomía técnica de dos órganos especializados con un aspecto común que los armoniza y le da coherencia.

Por otra parte, si bien el fin primordial de las normas fue la consagración de los derechos fundamentales, la decisión sobre los órganos de control nace desde la gestión, de la existencia de una Agencia consolidada, con un cometido que va más allá de uno u otro derecho, sino que defiende a ambos como presupuesto de su principal misión.

Por otra parte, se debe tener en cuenta que ambas leyes establecieron como garantía jurisdiccional la acción de habeas data, propia e impropia, estableciendo un mismo trámite para el ejercicio de los derechos, con las diferencias mínimas que caracterizan a cada uno de ellos.

La privacidad de los datos en las redes sociales

redessociales_7

Por Marí­a José Viega Rodriguez

1. Introducción

En la 30º Conferencia Internacional de Protección de Datos se hizo un interesante planteo sobre las redes sociales, el cual comenzó diciendo: “Mi nombre es Clara, tengo 14 años, aquí está mi vida privada, mis logros”. El caso planteado relata que todos los días después de la escuela Clara se conecta a Internet, se ha registrado en Facebook, su primo –en cambio- ha preferido MySpace. En este sitio, ella no duda en poner fotos de sus últimas vacaciones con sus amigas en la playa, sus actores y cantantes favoritos. Ella participa en concursos y revela sus gustos de vestimenta, ocio, etc. Ella está registrada en la red social de su escuela, pero también en otras. En su perfil ha expresado su interés en los hombres y tiene más de 100 usuarios como sus amigos. Ella pertenece a una treintena de grupos, incluso ha creado un grupo sobre su profesora de matemáticas a quien considera realmente anticuada, los chats con sus amigos en el “muro”, a los cuales les dice lo que está haciendo en este momento. Ella comenzó a interesarse en política, expresó sus puntos de vista y se inscribió con el grupo de seguidores de su político favorito1.

“Estar en Facebook o MySpace”: lo que es más natural ahora, lo que es más “hip”! Además, es libre y se puede decir lo que quiera, conocer gente nueva, hacer muchos amigos, sin sus padres detrás de ella. Pero Clara es consciente de que ella está entregando gradualmente, a todo el mundo, parte de su vida íntima, datos que serán almacenados durante años, que la información que le regala cada día en su sitio favorito puede ser usado para determinar sus gustos, sus hábitos de consumo, su comportamiento y que todos estos datos permitirán definir un perfil de marketing. Que su identidad puede ser utilizada por personas desconocidas que no tengan propósitos muy loables, y si ella ha dado su dirección, sus fotos, algunas personas podrían intentar contactar con ella. ¿Qué pasaría si, en un plazo de cinco años, un empleador descubriera esta información y le pregunte acerca de ella? ¿Ella lee y entiende la política de privacidad del sitio? ¿Qué significa la protección de los datos para ella? ¿Entiende que podría restringir el acceso a su información? ¿Le han sido dados los medios para eliminar sus datos si así lo desea?

La labor educativa debe realizarse rápidamente a los más jóvenes, que son poco conscientes de los riesgos inherentes a la utilización de Internet. Si no se hace nada hoy en día, las generaciones futuras podrían reclamar mañana que su privacidad no está segura. ¿Cómo perciben los jóvenes su vida privada en Internet? ¿Y los riesgos potenciales de daños a su esfera privada? ¿Cómo hacer entender a los jóvenes la protección de datos? ¿Deben llevarse a cabo campañas de sensibilización? ¿Los propietarios de sitios web tienen una responsabilidad especial en este sentido? ¿Son conscientes de eso? ¿Cuál es su percepción sobre estas cuestiones? ¿Debemos y podemos regular la difusión de sus datos por parte de los menores en Internet?

Vemos entonces, que los datos personales publicados on line por un usuario, y sus relaciones con otras personas, puede crear un perfil muy preciso de sus intereses y actividades. Y éstos pueden ser utilizados por terceros con distintos fines, generalmente comerciales, pero también representar riesgos, como la usurpación de identidad, pérdidas económicas o posibilidades de empleo, o ataques a la integridad física.

El Grupo 29 de la Directiva de la Unión Europea de Protección de Datos entiende que: “Los Sitios Redes Sociales (SRS) pueden definirse generalmente como plataformas de comunicación en línea que permiten a los individuos crear redes de usuarios que comparten intereses comunes. En sentido jurídico, las redes sociales son servicios de la sociedad de la información, según se definen en el artículo 1, apartado 2, de la Directiva 98/34/CE, modificada por la Directiva 98/48/CE. Los SRS comparten determinadas características:

  • los usuarios deben proporcionar datos personales para generar su descripción o «perfil»;
  • proporcionan herramientas que permiten a los usuarios poner su propio contenido en línea (contenido generado por el usuario como fotografías, crónicas o comentarios, música, vídeos o enlaces hacia otros sitios);
  • las «redes sociales» funcionan gracias a la utilización de herramientas que proporcionan una lista de contactos para cada usuario, con las que los usuarios pueden interactuar.

Los SRS generan la mayoría de sus ingresos con la publicidad que se difunde en las páginas web que los usuarios crean y a las que acceden. Los usuarios que publican en sus perfiles mucha información sobre sus intereses ofrecen un mercado depurado a los publicitarios que desean difundir publicidad específica y basada en esta información”.

Mr. Jacques Barrot señaló en la Conferencia de Estrasburgo de 2008 que Eurobarómetro realizó encuestas respecto a los jóvenes que determinaron que los niños saben más que los padres en relación a Internet. En las escuelas deberían hacerse presentaciones a los niños explicándoles que sucede cuando sus datos llegan al ciberespacio. Destaca la labor del G29 sobre protección de los niños en el contexto escolar. Los bancos de datos, operadores tecnológicos y autoridades judiciales tienen que trabajar conjuntamente2.

Es claro entonces, que la falta de conciencia vinculada al tema no alcanza solo a los niños, sino a todas las personas. Entiendo que los niños tienen otra perspectiva de ver esta nueva realidad. La información que se coloca en las redes sociales se hace en un contexto particular, y probablemente, quienes analicen estos contenidos, lo harán con la misma mirada de quien lo escribió, lo que disminuye ciertos riesgos. Pensemos que los nativos digitales crecen en un mundo diferente al de nuestra infancia, que no lo conciben sin el teléfono celular o sin Internet.

Mr. Leif Stenström comentó –también en la Conferencia de Estrasburgo- que realizaron una encuesta con 125 preguntas a jóvenes menores de 25 años, de la cual surge que el 98 % utilizan las redes una vez por semana y el 85 % una vez al día. Cada semana se reciben 1500 denuncias por Internet. Cada segundo, uno de cada 3 personas han encontrado fotos publicadas sin permiso y uno de cada 5 ha sido acosado sexualmente en Internet. La información no es la clave para eliminar el riesgo. Hay que cambiar las actitudes de las personas. Esto no se logra repartiendo folletos. Vamos a las escuelas y damos charlas, hacemos juegos, encuestas. Hay que tener cuidado con las campañas porque se corre el riesgo que a los niños o jóvenes les parezca aburrido. Hay que estar dispuestos a cambiar todos los años porque ellos cambian sus intereses año a año. Para cambiar actitudes hay que comparar las actitudes en líneas con las reales. Se les dice a los niños: mira al cruzar la calle, no hables con extraños, etc. Nos acercamos a los padres, a los profesores, porque creo que los actores deberían asumir su responsabilidad. Hay muchísimas organizaciones que pueden verse implicadas. La seguridad de los niños es importante, pero sería importante construir polos integrados por distintos tipos de personas, hay que tener en cuenta que la responsabilidad no es solo de las agencias3.

Con relación a este tema encontramos documentos de mucha relevancia, de los cuales mencionaremos los siguientes:

1. El Grupo Internacional sobre protección de datos en las Telecomunicaciones de Berlín, plasmó este problema en su reunión de 4 de marzo de 2008 con la aprobación del “Memorándum de Roma”, y destacó que uno de los desafíos es que la mayoría de la información que se publica en las redes sociales se hace bajo la iniciativa de los usuarios y basado en su consentimiento4.

2. ENISA (European Network and Information Security Agency). “Los niños en los mundos virtuales: lo que los padres deberían saber”, publicado en septiembre de 2008, y que aporta una serie de Recomendaciones a los padres, resaltando la necesidad de formar y educar tanto a progenitores como a los niños5.

3. El Parlamento Europeo, en el 2009 aprobó el programa Safer Internet, dirigido a abarcar los temas relacionados con el uso seguro de Internet por parte de los niños y las nuevas tecnologías.

4. El Grupo de trabajo del artículo 29 (G29), en su Dictamen 5/2009, de 12 de junio sobre redes sociales en línea, manifestó que si un dato personal es cualquier información relativa a una persona física identificada o identificable, en las redes sociales, todo son datos personales. Así, el G29 es muy claro: a las redes sociales les será de aplicación muchas de las previsiones comunitarias sobre la materia, incluso si los proveedores de servicio están ubicados fuera del territorio español. Y a esta conclusión se llegó también en la 30ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad de 2008 celebrada en Estrasburgo.

5. Estudio sobre la privacidad de las personas y la seguridad de la información de las redes sociales on line. Agencia Española de Protección de Datos y el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

6. Memorándum sobre la protección de datos personales y la vida privada en las redes sociales en Internet, en particular de niños, niñas y adolescentes (Memorándum de Montevideo, de 27 y 28 de julio de 2009), redactado por un grupo de especialistas iberoamericanos en la materia, habiendo tenido la oportunidad de participar en su redacción. El documento establece recomendaciones sobre protección de datos y vida privada, en particular de niños, niñas y adolescentes en las redes sociales en Internet.
Analizaremos a continuación los tres últimos documentos mencionados.

2. Dictamen 5/2009, de 12 de junio sobre redes sociales en línea del Grupo de trabajo del artículo 29 (G29).

El dictamen distingue diferentes situaciones. Por un lado, los usuarios que publican en sus perfiles mucha información sobre sus intereses, permitirá crear un perfil específico a la hora de enviarle publicidad. Por otra parte, si un usuario decide, con perfecto conocimiento de causa, ampliar el acceso más allá de los «amigos» elegidos, asume las responsabilidades de un responsable del tratamiento de datos.

El G29 entiende que un elemento importante en los parámetros de confidencialidad es el acceso a los datos personales publicados en un perfil. Las restricciones al acceso impiden que cualquier persona tenga acceso a datos íntimos de un usuario, ya sea a través de las redes sociales o inclusive de motores de búsqueda. El punto es relevante en la medida que solo una minoría de usuarios modifican los parámetros de privacidad, que en su configuración original dejan abierta la información.

“Los perfiles de acceso limitado no deberían ser localizables por los motores de búsqueda internos, incluso por la función de búsqueda por parámetros como la edad o el lugar. Las decisiones de ampliar el acceso pueden no estar implícitas, por ejemplo mediante la posibilidad de exclusión voluntaria proporcionada por el responsable del SRS”.

El documento hace hincapié en que los proveedores de SRS deberían informar a los usuarios de su identidad y de los distintos fines para los que tratan los datos personales, de conformidad con las disposiciones del artículo 10 de la Directiva relativa a la protección de datos sobre:

  • la utilización de los datos con fines de comercialización directa;
  • la posible distribución de datos a categorías específicas de terceros;
  • una reseña de los perfiles: su creación y sus principales fuentes de datos;
  • la utilización de datos sensibles.

El Grupo de Trabajo recomienda que:

  • los proveedores de SRS adviertan adecuadamente a los usuarios sobre los riesgos de ataque a su intimidad y a la de otros cuando ponen información en línea en los SRS;
  • los SRS recuerden a sus usuarios que poner en línea información relativa a otras personas puede perjudicar su derecho a la intimidad y a la protección de datos;
  • los SRS aconsejen a sus usuarios que no pongan en línea fotografías o información relativa a otras personas sin el consentimiento de éstas.

Respecto a los datos sensibles se hace énfasis en que sólo pueden publicarse en Internet con el consentimiento explícito de la persona interesada o si esta misma persona ha hecho públicos estos datos.

“En algunos Estados miembros de la UE, las imágenes de personas se consideran una categoría especial de datos personales, puesto que pueden utilizarse para distinguir entre el origen racial o étnico o para deducir sus creencias religiosas o datos relativos a la salud. El Grupo de Trabajo no considera, en general, que las imágenes en Internet sean datos sensibles, salvo si se utilizan claramente para revelar datos sensibles sobre las personas”.

El dictamen refiere a los tratamiento de datos de no miembros, porque en las redes sociales se puede proporcionar datos sobre otras personas, etiquetar fotografías, o dar información sobre amigos o conocidos para realizar una búsqueda, proporcionar correos electrónicos de terceros, etc.

No es posible que el proveedor de los sitios de redes sociales envíe mensajes de correo electrónico por ningún motivo, ya que violaría el artículo 13, apartado 4, de la Directiva sobre la privacidad y las comunicaciones electrónicas, relativa al envío de mensajes electrónicos no solicitados con fines de comercialización directa.

También se hace referencia a las aplicaciones realizadas por terceros, se entiende que se debe informar a los usuarios clara y específicamente acerca del tratamiento de sus datos personales y que sólo se les permita el acceso a los datos personales necesarios.

3. Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales on line. AGPD e INTECO.

Este documento parte del análisis de que existen posibles situaciones de riesgo para la protección de la intimidad:

1. En el momento del registro de alta como usuario, en la medida en que no sea configurado correctamente el nivel de privacidad del perfil, así como por el hecho de que sea publicada información sensible desde el inicio de la actividad en la red.

2. En el momento de participación en la red como usuario, en la medida en que el grado de información, datos e imágenes publicados pueden ser excesivos y afectar a la privacidad, tanto personal como de terceros.

2.1 Respecto a la privacidad personal: a pesar de que sean los usuarios los que voluntariamente publican sus datos, los efectos sobre la privacidad pueden tener un alcance mayor al que consideran en un primer momento ya que estas plataformas disponen de potentes herramientas de intercambio de información facilitada por los usuarios.

2.2 Respeto a la privacidad de terceros: es esencial que los usuarios tengan en cuenta que la publicación de contenidos con información y datos respecto a terceros no puede ser realizada si éstos no han autorizado expresamente su publicación, pudiendo solicitar su retirada de forma inmediata.

Es importante tener en cuenta que las redes sociales permiten a los motores de búsqueda de Internet indexar en sus búsquedas los perfiles de los usuarios, junto con información de contacto y de perfiles de amigos, lo que puede suponer otro riesgo para la protección de la privacidad, además de dificultar el proceso de eliminación de su información en Internet.

3. En el momento de darse de baja de la plataforma en la medida en que el usuario solicita dar de baja su perfil, pero aún así continúan datos publicados por éste, o información personal e imágenes propias publicadas en los perfiles de otros usuarios.

Es necesario destacar que el derecho a la protección de los datos de carácter personal supone el “derecho a controlar el uso que se realice de sus datos personales, comprendiendo, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”6.

El documento considera situaciones de riesgo para la protección de los datos de carácter personal:

Phishing

Los ataques de estafa a través de Internet por el método “phishing”, que significa “pesca” en el argot informático, se han ido incrementando. El sistema más utilizado por los cyber-estafadores es el envío de correos electrónicos con falsos remitentes, como por ejemplo de entidades financieras, de forma tal que las víctimas cliquearan en un link y de esa forma podían obtener información personal7.

En junio de 2005, se celebró en las instalaciones de la Dirección General de la Policía en Madrid unas jornadas sobre fraude en Internet, concretamente sobre phishing bancario. Se ha definido al phishing como “un acto de crimen organizado, y como tal debe ser tratado, que los actores que participan en el escenario del fraude tienen todos su porción de responsabilidad y que es preciso transmitir y recordar a los usuarios de banca electrónica que no deben desconfiar del canal bancario electrónico, sino que deben ser conscientes de que han de contemplarse medidas preventivas para evitar ser víctimas de los engaños. La banca electrónica es, salvo excepciones extraordinarias, seguras y confiables8.

Pero ya se habla de una nueva generación de phishing. Hispasec9 demuestra cómo es posible realizar ataques phishing en servidores seguros de entidades bancarias, aun cuando el usuario visualice que la URL comienza por https:// seguido del nombre de la entidad y que el icono del candado que aparece en la parte inferior del navegador certifique que se encuentra en el servidor seguro del banco, lo que constituían hasta el momento las recomendaciones que se hacían para acceder de forma segura a la banca electrónica10.

Como podemos ver esto se ha vuelto inseguro y el Pharming es la confirmación de esta afirmación.

Pharming11

Es una modalidad de fraude online, que ataca la vulnerabilidad del software de los servidores DNS o de los equipos de los propios usuarios, redireccionando el nombre de dominio a un sitio web falso, diseñado por el atacante.

El pharming deriva del término farm (granja en inglés), expresión utilizada cuando el atacante ha conseguido acceso a un servidor DNS o varios servidores (granja de servidores o DNS).

Esta modalidad delictual se utiliza normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos personales del usuario, generalmente datos bancarios.

Si el phishing engaña a los usuarios uno por uno, conduciéndolos a visitar un sitio apócrifo de su banco o comercio preferido, el pharming interviene las comunicaciones entre el usuario y su proveedor de Internet (ya sea un proveedor de comunicaciones, o un servidor corporativo) para lograr que cuando un usuario teclea en su navegador una dirección legítima, éste sea conducido a una falsificación de la página Web que quiere visitar y sea ahí donde introduzca los datos de su cuenta12.

Por tanto, el riesgo para el usuario en los casos de pharming es diferente, mientras que en el phishing requiere una actitud activa, hacer click en el link del correo electrónico, en el pharming el fraude se produce sin participación directa del usuario. La utilización de medidas técnicas de seguridad en un sistema, como por ejemplo un firewall, herramientas de protección contra adware y spyware, contrarrestan este tipo de amenazas.

La finalidad de ambas conductas delictivas es la captura ilegítima de datos confidenciales, difiriendo en el modo de ejecutarlo.

El pharming se realiza modificando el software, lo cual puede realizarse en forma remota o introduciendo un programa que lo realice en forma automática. Para ello es necesario introducir un troyano en el disco duro de la víctima, el cual puede autoeliminarse, borrando del disco duro las huellas del ataque.

“La respuesta es muy delicada para el banco, si hace responsable al cliente y el “pharming” se generaliza, los usuarios abandonaremos en masa la banca online por insegura y peligrosa, pero si el banco carga con los gastos. ¿A cuánto tendrá que subir las comisiones por operación el banco online para cubrir este riesgo? ¿Seguirá siendo competitivo? Si no se atajan estos riesgos, quizá el porvenir de la e-banca no sea después de todo tan brillante como se auguraba”13.

Social Spammer y spam. Utilización de las redes sociales como plataformas para el envío de correo electrónico no deseado.

Indexación no autorizada por parte de buscadores de Internet.

Acceso al perfil incontrolado. La mayoría de las redes sociales analizadas disponen del perfil completo del usuario, o al menos de parte de este, en formato público, de forma que cualquier usuario de Internet o de la red social puede acceder a información de carácter personal ajena sin que el propietario de los datos tenga que dar su consentimiento expreso.

Suplantación de identidad. Cada vez es más frecuente que usuarios que nunca se habían registrado en redes sociales online, comprueben como en el momento en que intentan acceder, su “identidad digital”, ya está siendo utilizada”.

El Memorándum de Montevideo dice que: “La participación anónima o con seudónimo hace posible la suplantación de identidad”.

Publicidad hipertextualizada. Esta aporta, a priori, una ventaja para los usuarios, ya que con ella evitan que se muestren durante su navegación contenidos, para ellos, irrelevantes e incluso ofensivos. Sin embargo, desde el punto de vista legal podría considerarse una práctica ilegal, ya que para poder contextualizar la publicidad que se va a mostrar a un usuario se tienen que examinar sus datos y preferencias.

Instalación y uso de “cookies” sin consentimiento del usuario. A través de las cookies las redes sociales pueden saber el lugar desde el que usuario accede (fijo o móvil), el sistema operativo utilizado, los sitios más visitados dentro de una página web, el número de clicks realizados, y otros datos relativos al usuario dentro de la red.

4. Memorándum de Montevideo de 28 de julio de 2009

“El derecho a la vida privada es un valor que toda sociedad democrática debe respetar. Por tanto para asegurar la autonomía de los individuos, decidir los alcances de su vida privada, debe limitarse el poder tanto del Estado como de organizaciones privadas, de cometer intromisiones ilegales o arbitrarias, en dicha esfera personal”14.

El documento divide las recomendaciones para:

a. Los Estados y Entidades Educativas para la prevención y educación de niñas, niños y adolescentes.

El artículo 16 de la Convención de Naciones Unidas sobre los Derechos del Niño (CDN) determina que: “(1) Ningún niño será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia ni de ataques ilegales a su honra y a su reputación. (2) El niño tiene derecho a la protección de la ley contra esas injerencias o ataques”.

Se recomienda tener en cuenta el rol de los progenitores o personas que tengan niñas, niños y adolescentes a su cuidado; toda medida que implique control de las comunicaciones tiene que respetar el principio de proporcionalidad y en tercer lugar, que se debe transmitir claramente a las niñas, niños y adolescentes que Internet no es un espacio sin normas, impune o sin responsabilidades.

b. Los Estados sobre el marco legal. El marco legal avanza lentamente en comparación con el desarrollo de nuevas aplicaciones y contenidos. Los Estados requieren el desarrollo de una normativa de protección de datos, aplicable al sector público y privado. Es importante destacar que Uruguay cumple con los estándares internacionales en protección de datos.

c. La aplicación de las leyes por parte de los Estados. Los sistemas judiciales tienen un rol muy relevante en el aseguramiento de un buen uso de Internet y las redes sociales digitales.

Se debe garantizar que existan procesos judiciales y administrativos sencillos, agiles, de fácil acceso. En Uruguay la Ley Nº 18.331 consagró la Acción de Habeas Data con las características mencionadas.

Dice el Memorándum en el punto 10.3: “Debería desarrollarse y difundirse una base de datos sobre casos y decisiones (fallos judiciales o resoluciones administrativas anonimizadas) vinculada a la Sociedad de la Información y el Conocimiento, en especial a Internet y las redes sociales digitales, que sería un instrumento para que los jueces puedan apreciar el contexto nacional e internacional en el que están decidiendo”.

El Instituto de Derecho Informático y Agesic han desarrollado una base de datos de jurisprudencia nacional de derecho informático, que ha sido un esfuerzo muy importante de ambas instituciones y especialmente del Grupo de Jurisprudencia del Instituto.

Fomentar el establecimiento de organismos judiciales especializados en protección de datos. Si bien, esto no ha sucedido en nuestro país, si ha creado la Unidad Reguladora y de Control de Datos Personales, que se especializa en el tema en el ámbito administrativo y es el órgano garante a nivel nacional del cumplimiento de las normas de protección de datos.

d. En materia de políticas públicas. Se recomienda considerar la implementación de las siguientes políticas públicas:

  • Establecer mecanismos de respuesta para atención a las víctimas de abusos en la Sociedad de la Información y el Conocimiento.
  • Establecer sistemas de información en línea, con número telefónicos gratuitos, centros de atención, etc.
  • Elaboración de protocolos para canalizar los contenidos ilegales reportados.
  • Deberían existir mecanismos regionales e internacionales para compartir la información reportada sobre la temática.
  • Promover acciones de sensibilización y divulgación de información a través de medios de comunicación masivos.
  • Promover el compromiso y la participación de asociaciones públicas y privadas.
  • Impulsar la generación de conocimiento especializado con el fin de elaborar políticas públicas adecuadas.

e. La industria. Las empresas que proveen los servicios de acceso a Internet, desarrollan las aplicaciones o las redes sociales digitales deben comprometerse con la protección de los datos personales y la vida privada y cooperar con los sistemas de justicia, desarrollar códigos de conducta, etc.

Estos códigos de conducta no deberían permitir la recopilación, tratamiento, difusión, publicación o transmisión a terceros de datos personales, sin el consentimiento explícito de la persona concernida. En los casos de niñas, niños y adolescentes se deberá considerar la prohibición de tratamiento de datos personales.

Las reglas de privacidad de las páginas web deben ser explícitas, sencillas y claras, debiéndose informar sobre los propósitos y finalidades para los cuales se utilizarán los datos; indicando también la persona o personas responsables del tratamiento de la información.

La red social debe indicar explícitamente lo que refiere a publicidad, indicando que las informaciones personas de los perfiles de los usuarios se emplean para enviar publicidad.

Deben implementarse mecanismos para la verificación fehaciente de la edad.

Toda red social digital debería contar con formas de acceso a la información, rectificación y eliminación de datos personales para usuarios o no usuarios.

Deben suprimirse totalmente los usuarios que han desactivado su cuenta, tras un período razonable.

Debe también eliminarse la información de aquellas personas que no son usuarios y han sido invitados a ser parte de las redes sociales digitales y estas no deben utilizar esa información.

En el numeral 25 se establece que “Debe impedirse la indexación de los usuarios de las redes sociales digitales por parte de los buscadores, salvo que el usuario haya optado por esta función. La indexación de información de niñas y niños debe estar prohibida en todas sus formas, en el caso de adolescentes éstos deben autorizar de forma expresa la indexación de sus datos mínimos”.

5. Conclusiones

En el Diario El País del día de ayer, 17 de agosto de 2010, se publicó una nota de prensa titulada: “Los uruguayos son poco cuidadosos de los datos que publican en Internet”, por la cual se informa que Microsoft presentó los resultados de la encuesta “Cómo usan padres e hijos Internet en los hogares uruguayos” y se muestran los siguientes resultados:

63% – conoció personalmente a un contacto con el que sólo tenía relación en la red

67% – comparte información en redes sociales, como facebook y twitter

27% – tienen configurado su perfil “Amigos de de mis amigos” o “Todos” puedan verlo

80% – no se usa ningún filtro para contenidos, ya que muchos desconocen que existen

32% – reconoció haber dado información personal falsa

21% – abandonó una conversación en la que se le solicitaba datos

Pero hay que tener presente aquellos casos en que el usuario de la red social consintió a que sus datos fueran publicados y utilizados con una finalidad, y los están utilizando con otra finalidad completamente distinta.

Los problemas también se plantean en cuanto a los contenidos. A pesar de que la normativa sobre propiedad intelectual y derechos de autor es clara, en la práctica prima el “libre” intercambio de información.

En este punto hay que analizar cómo se tratarán los contenidos de las redes sociales, pues la mayoría de esta información se proyecta sobre la actividad y preferencias de sus titulares. De esta forma, la información de los usuarios de las redes sociales tiene un valor inestimable: se transforman en un verdadero “oro rosa” (como lo llama LAIMÉ, 2001)15.

Sin lugar a dudas, el anhelo en Internet es la publicidad personalizada, existiendo en la actualidad muchas empresas que construyen bases de datos que recogen nuestras costumbres, gustos, sitios de interés, domicilio, datos familiares, etc.

Pero no solo interesa el perfil del usuario, que le convierte en un objetivo concreto al que difundir la publicidad, sino la información relativa a terceros.

En estos casos, no deja de ser frecuente, que una gran mayoría de usuarios de redes sociales publiquen información sobre conocidos y sin el previo consentimiento de éstos. Aquí tenemos que decir que la Agencia Española de Protección de Datos ha sancionado, en más de una ocasión, a personas que han colgado fotos o imágenes de tercero sin el consentimiento de éstos, como por ejemplo, el Procedimiento sancionador 000617/200816.

Uno de los mayores problemas de las redes sociales es el tema de los menores, enfrentándose a problemas que pueden superar las ventajas que estas redes ofrecen.

Proteger la vida privada en el ámbito de las redes sociales hace necesario un cambio en la interpretación, adecuación y fortalecimiento de la protección de datos personales existente hasta el momento. Porque el mayor peligro es la falta de conciencia de cada uno de nosotros, ya que “cedemos” o “vendemos” nuestra privacidad, sin conocer cuál será el real manejo de la información que estamos brindando.

Pero no podemos perder de vista que las redes sociales se encuentran sometidas a la normativa sobre protección de datos personales, en el caso uruguayo, a la Ley Nº 18.331 y sus decretos reglamentarios.

1 Informe sobre la asistencia a la 30th International Conference of Data Protection and Privacy Commissioners “Protecting Privacy in a Borderless World”. Publicado en Derecho informático Tomo IX. Fundación de Cultura Universitaria. Montevideo, 2009. Página 432.

2 Informe sobre la asistencia a la 30th International Conference of Data Protection and Privacy Commissioners “Protecting Privacy in a Borderless World”. Ob. Cit.

3 Informe sobre la asistencia a la 30th International Conference of Data Protection and Privacy Commissioners “Protecting Privacy in a Borderless World”. Ob Cit.

6 Sentencia del Tribunal Constitucional Nº 292/2000, que reconoce el Derecho a la Protección de Datos como un derecho fundamental absolutamente independiente del Derecho al Honor, Intimidad y Propia Imagen.

7 VIEGA, María José. “El problema de los datos personales y el espionaje en Internet”, presentada al Cuarto Congreso Internacional de Derecho (CIDER 2005) en las Sedes de Cochabamba, Santa Cruz y La Paz. Bolivia, 23 al 25 de noviembre de 2005. Publicada en el Libro de Ponencias.

8 http://www.hispasec.com/unaaldia/2421 Página visitada 13 de junio 2005.

9 http://www.hispasec.com/unaaldia/2406 Página visitada 13 de junio 2005.

10 VIEGA, María José. “Privacidad Vs. Espionaje en Internet”. Anuario de “Derecho Informático”. Tomo VI Jurisprudencia correspondiente al año 2005 y en el Boletín de Derecho y Tecnologías Nº 16 Enero 2005.

11 VIEGA, María José y CARNIKIAN Federico. “Respuestas a los delitos informáticos: su visión desde la privacidad y la seguridad de la información.

12 Página visitada 21 de junio de 2010. El Pharming: amenaza de fraude a negocios. Trend Micro. 21 de febrero de 2006.

13 El Pharming, un peligro para la e-banca. Página visitada 21 de junio de 2010.

14 Memorándum de Montevideo. Publicado por IFAI y IIJusticia.

15 ARENAS RAMIRO Mónica. Profesora Ayudante Doctor del Área de Derecho Constitucional de la Universidad de Alcalá de Henares (Madrid). “Redes sociales, ¿un virus sin cura?: las ventajas y los problemas para sus usuarios”.

16 ARENAS RAMIRO Mónica. Profesora Ayudante Doctor del Área de Derecho Constitucional de la Universidad de Alcalá de Henares (Madrid). “Redes sociales, ¿un virus sin cura?: las ventajas y los problemas para sus usuarios”. Ob. Cit.