Videovigilancia de hoy y mañana

videoviuyPor Matías Jackson

Que las cámaras de seguridad llegaron para quedarse no es una novedad. Que son el mecanismo preferido por el Ministerio del Interior para disuadir el crimen tampoco. A continuación algunas cuestiones que deberíamos tener en cuenta antes de “sentirnos más seguros” si hay cámaras.

El reclamo por frenar la sensación de inseguridad ha sido contestado por el Ministerio del Interior con la instalación de más y más cámaras, el uso de drones y la compra de software de vigilancia (Incluida la tentativa de compra a The Hacking Team, cuyos archivos fueron filtrados a WikiLeaks hace un par de semanas).

No voy a ser hipócrita. ¿A quién no le gusta poder caminar tranquilo por el barrio sin miedo a que nos roben? ¿O poder ir al Estadio tranquilo sin que una barra brava se vuelva loca y te arruine el domingo? Es verdad, las cámaras han servido para atrapar a unos cuantos en los rincones de la ciudad donde han sido instalados. Es más, cuando una funcionaria de Facultad de Derecho me informó que hace tres semanas robaron 4 proyectores y 2 notebooks de los salones de Facultad, mi primer comentario fue: “Van a tener que poner cámaras”.

Los vecinos de los lugares donde hay cámaras instaladas, felices. Han servido para aumentar la eficiencia de la policía a la hora de atrapar a quien comete un delito, o al menos han movido de lugar a los delincuentes, hacia zonas sin videofilmación.

Ahora bien, esas grabaciones permiten a diversos funcionarios, tener una visión general de cualquiera que transite por esas calles, sea inocente o culpable. Todos pasamos por esos lentes.

Lamentablemente, nadie parece cuestionarse esto. Y no los culpo. El miedo a ser rapiñados es tan grande que sentir que el Ministerio del Interior se pueda inmiscuir en la intimidad de todos parece poco importante. En el binomio libertad-seguridad, la primera viene perdiendo y nadie dice nada.

Un futuro no muy lejano

Todos estos argumentos a favor de una mayor vigilancia, son resultado de una situación “temporal”. La inseguridad, o sensación de inseguridad, como quieran llamarlo responde a una situación “de ahora”, de este momento, pero la pérdida de privacidad se mantiene para siempre. Una vez que cedimos ese espacio es muy difícil volver al estado anterior.

Por poner un ejemplo claro: la tecnología de reconocimiento facial está de moda y ya se encuentra disponible en cámaras de vigilancia. Sin ir más lejos, en el Estadio Centenario se instalaron algunas en el 2014.

Es cuestión de tiempo para que esas mismas cámaras que nos filman hoy en la Ciudad Vieja o cuando subimos al ómnibus, sean sustituidas por modelos más nuevos que permitan identificar a cada persona que pasa por el lente.

Una vez masificada esta tecnología bastará introducir el nombre de cualquiera y seguirlo por la ciudad, ver dónde está, dónde estuvo, con quién, escuchar sus conversaciones. Todo filmado y recuperable en cualquier momento. Y no vamos a poder decir que no, porque las cámaras ya están, ya cedimos ese espacio. ¿Soportaremos todos el archivo?

Toda esa información otorga un gran poder a quienes la manejan. Es fácil imaginar abusos por parte de funcionarios. Pero aún con sus usos legítimos se le está dando mayor poder al Estado, un poder que no todos tienen conocimiento ni voluntad de entregar.

¿Queremos que esto suceda? Antes de proclamar por más y más cámaras deberíamos pensar si realmente con ellas estamos atacando la delincuencia, o son sólo medidas que parchean una situación que asusta a la mayoría de los uruguayos.

La tecnología por sí sola no soluciona problemas sociales. Hay que saber aplicarla, con criterio y respetando los derechos de las personas. La videovigilancia es sólo un ejemplo más de cómo imperceptiblemente, sin darnos cuenta, se nos quitan libertades en favor de “mayor seguridad“.

Al final, el panorama planteado por Person of Interest no era tan lejano como parecía cuando se estrenó en 2011.

La era de la Biometría

biometria_uy

Por Matías Jackson

A finales del año pasado Antel publicitó un video explicativo de lo que es la biometría, saliendo al aire en canales de televisión abierta.Aquí esta el video que resulta muy claro para los que no tienen ni idea de qué quiere decir biometría o mediciones biométricas.

La biometría es la ciencia encargada de la identificación de seres por medio de sus caracteres biológicos. Como sabemos, todos nosotros contamos con características biológicas que nos convierten en únicos, ya sea por nuestras huellas, voz, retinas de nuestros ojos, en fin, el ADN.

Hoy en día, cualquiera de estos factores puede ser analizado por computadoras de manera que permitan hacer coincidir o matchear, a una persona con los datos almacenados previamente.

De esta manera se permite la identificación concreta de una persona ante un evento determinado. El ejemplo que comúnmente podemos observar es la marca de entrada/salida de un trabajo por medio de la huella digital del empleado. Algunos lugares prefieren la utilización de cámaras con identificación facial para asegurar la entrada de sus empleados.

Este es tan sólo un ejemplo pero las técnicas biométricas se encuentran presentes en nuestra vida cotidiana sin que muchas veces nos demos cuenta de ellas. Muchos no saben que ésta es la técnica utilizada por Facebook cada vez que nos “sugiere” etiquetar a alguien en una foto.

En cuanto a la normativa nacional debemos destacar dos leyes fundamentales:

  • Ley 18.331 de Protección de Datos Personales. Que regula todo lo relativo a las bases de datos personales, por ejemplo la base con todas las huellas de los trabajadores que es necesaria para buscar la coincidencia al momento en que se coloca un dedo. Recordemos que estas bases deben inscribirse en la URCDP.
  • Ley 18.600 de Documento Electrónico y Firma Electrónica, que regula el valor jurídico de las firmas electrónicas. Por esta ley queda reconocida la validez jurídica de las firmas electrónicas.

¿Qué son las firmas electrónicas? Son un conjunto de datos que se anexan a un documento electrónico como forma de identificar a una persona (firmante) junto a determinado documento. Las técnicas biométricas permiten la firma de documentos electrónicos por medio de certifica dos digitales que hacen mucho más seguras las acreditaciones de la persona en el mundo virtual.

Creo que la masificación de los celulares y dispositivos electrónicos con lectores biométricos (como los lectores de huella en eliPhone 6) acarrearán un cambio en la forma de relacionarnos con la tecnología y las garantías que estos instrumentos nos permiten. Un avance de esta realidad es el inminente uso de los pagos electrónicos por el sistema ApplePay que ya está por comenzar a utilizarse en las principales tiendas de Estados Unidos.

Como siempre que hablamos de Datos Personales, es importante que más allá de las facilidades que nos otorgan estas tecnologías, sepamos hacer un uso adecuado a los principios de finalidad y respeto por los derechos de los titulares de los datos.

Sonría, lo estamos filmando

camras_uy

Por Matías Jackson

Cada vez más se apuesta a la videovigilancia como medida de seguridad. En todos lados han proliferado las cámaras de diferentes tipos, que generan esa sensación de confianza de que todo lo que nos pueda pasar quede grabado.

Las cámaras se colocan hoy en día en todo tipo de lugares y situaciones: cines, supermercados, ministerios, la vía pública, clubes deportivos, y un largo etcétera.

La instalación de estas cámaras no es ajena al orden jurídico nacional. Los derechos de seguridad y privacidad se ven una vez más frente a frente por lo que se deben respetar ciertas pautas de conducta de las cuales veremos algunas a continuación.

La ley base del sistema es la ya conocida 18.331 de “Protección de Datos Personales y Acción de Habeas Data” (LPDP). Esto se debe a que la imagen de cada uno de nosotrosconstituye un dato personal. Las bases de datos que se crean con estas imágenes deben ser inscriptas en la Unidad Reguladora y de Control de Datos Personales (URCDP). En caso contrario estaremos ante una base de datos ilegal (Artículo 6).

La colocación de cámaras de videograbación en lugares públicos debe ir acompañada por uno de los siguientes logos correspondientes a la Unidad Reguladora y de Control de Datos Personales (URCDP) que indique que la base de datos ha sido debidamente registrada y quién es el titular de la misma, o sea ante quién podremos ejercer nuestros derechos (Resolución 989/2010). Esta persona es la responsable de cualquier violación a los derechos de terceros que se pueda realizar con esas grabaciones.

Logos VideovigilanciaCaptura de pantalla 2014-08-28 a la(s) 19.42.11

Los logotipos pueden descargarse gratuitamente de la página de la URCDP.

Cuando estemos en un lugar en el que hay cámaras funcionando y no se encuentra a la vista ninguno de estos logos que identifiquen claramente que estamos siendo filmados podremos hacer la denuncia ante la URCDP. Las denuncias pueden comenzarse de maneraonline por medio de la página www.datospersonales.gub.uy en la sección Información para ciudadanos/Denuncias. Recordemos que la Unidad tiene potestades sancionatorias que llegan hasta las 500.000 Unidades Indexadas (Artículo 35 LPDP).

Las excepciones a la aplicación de la ley de Protección de Datos Personales son las siguientes y resultan excluyentes de la obligación de colocación de los logos (Artículo 3 LPDP):

  • Las mantenidas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
  • Las que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito.
  • A las bases de datos creadas y reguladas por leyes especiales.

El primer punto, en lo que refiere a filmaciones se refiere a las que realizamos por ejemplo en un cumpleaños familiar.

El segundo punto es el que excluye de las disposiciones de la ley a las cámaras que instala el Ministerio del Interior en la vía pública o en las dependencias oficiales (Ministerios, Parlamentos, etc.).

En cuanto al tercer punto podría incluírse las filmaciones realizadas en espectáculos deportivos ya que existe una normativa especial que regula específicamente esas grabaciones.

Debemos recordar que en cualquier caso de instalación de las cámaras por parte de un particular se deben respetar los principios establecidos en la ley, principalmente elprincipio de finalidad según el cuál no se deben utilizar los datos (en este caso las imágenes) para cualquier otro fin que no fuera el que motivó su obtención.

Quiero destacar el Dictamen 19/2012, relativo a las cámaras de videovigilancia en un hogar para controlar a una niñera en el desempeño de sus tareas mientras los empleadores se encuentran fuera. Según el la URCDP no resulta necesario obtener expresamente el previo consentimiento del trabajador, pero sí debe notificársele y respetar los espacios privados, como el baño y/o vestuarios.

El tema de la privacidad y estás cámaras abarca mucho más de lo que se dijo en estas líneas pero queríamos dejar en claro que no es una materia sin regulación y en la cuál hay mucho que respetar.

Disculpe Señor, ese es un Dato Sensible

dsen_uru

Por Matías Jackson

Muchas veces escuchamos que tal o cual información es “Sensible” pero no siempre sabemos qué es. Esto lleva a muchos a considerar (erróneamente) que toda información que no queremos dar a terceros es sensible.

Nuestra ley específicamente determina qué datos son sensibles y cuáles no, por lo que vamos a analizar un poco esta distinción. La ley 18.331 de agosto de 2008 es denominada de “Protección de Datos Personales y Acción de Habeas Data”. En su artículo 4 se enumeran estos datos especialmente protegidos, entendidos como Datos Sensibles:

  • Revelen origen racial y étnico,
  • Preferencias políticas,
  • Convicciones religiosas o morales,
  • Afiliación sindical,
  • Informaciones referentes a la salud o a la vida sexual.

¿Qué implica la “Sensibilidad” de la que habla este artículo?

Importa porque si seguimos con la lectura de la ley, estos datos sólo pueden ser entregados con consentimiento expreso y escrito del titular.

El consentimiento debe ser libre, que no deje lugar a dudas, específico e informado.

Destacamos informado por tratarse de un principio no siempre respetado. El sujeto debe saber con certeza de antemano, qué se va a hacer con sus datos y si tiene obligación de brindarlos o no.

Estos datos sólo podrán ser recolectados cuando haya razones de interés general que lo justifiquen o cuando la ley expresamente se lo permite a determinada institución.

A su vez, se prohíbe la creación de bases de datos que contengan esta información, a no ser, claro está, la que tengan los sindicatos, hospitales, fundaciones, partidos políticos e iglesias, de sus miembros.

La justificación de que estos datos y no otros sean especialmente protegidos, radica para gran parte de la doctrina, en que su divulgación puede generar discriminación hacia la persona o su entorno. Recordemos que la protección de los datos debe tener siempre como esencia la protección de la persona en sí misma de acuerdo a los principios que marca la Constitución.

Derecho a la intimidad en la sociedad de la información

sociedad_informacion

Por Marí­a José Viega Rodriguez

1. Derecho a la intimidad

Desde un punto de vista jurídico el derecho a la intimidad es el derecho a la reserva de la vida privada. En ese sentido dice la Declaración Universal del Derechos Humanos de 1948 que “Nadie será objeto de injerencias arbitrarias en su vida privada…” y que “Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.

El concepto inicial de intimidad evolucionó en un sentido positivo, afirmándose la “privacy” como un presupuesto del ejercicio de otros derechos de proyección social e incluso económica.

La privacidad es un tema que puede ser enfocado desde múltiples ópticas, desde el cruzamiento de ficheros en soporte papel y de ficheros electrónicos, la privacidad desde la óptica del consumidor y de las telecomunicaciones (sean por cable o inalámbricas) y por supuesto, no podemos dejar de considerar nuestros datos personales en el ámbito de Internet.

La manipulación informatizada de los datos da origen a la llamada “libertad informática”, la cual aparece como un nuevo derecho de autotutela de la propia identidad informática, o sea, el derecho de controlar (conocer, corregir, quitar o agregar) los datos personales inscriptos en un programa electrónico1.

En este sentido, a Internet se la ha calificado como una amenaza en la difusión de elementos relativos a la persona, por ser un medio masivo y polifacético de comunicación. Tal es así, que se han analizado en otra oportunidad2 las diferentes clases de comunicaciones a través de la Red y las han comparado con las comunicaciones “tradicionales”, estudiando similitudes y diferencias con la correspondencia privada, la prensa escrita y la radiodifusión.

Para reflexionar sobre este tema es interesante respondernos las siguientes preguntas3: ¿hay alguien escuchando nuestras llamadas telefónicas?, ¿qué tan seguro es enviar un fax?, ¿alguien lee nuestros e-mails? ¿y nuestro chat?, ¿es posible que alguien recupere a través del proveedor de Internet lo que escribimos hace unos meses?, ¿es realmente importante la privacidad para cada uno de nosotros?

En los hechos, la mayor parte de las personas ceden sus datos a cambio de puntos, millas, etc. sin tener conciencia que nos estamos identificando, que estamos dando información sobre nuestros hábitos, consumo, en definitiva sobre nosotros mismos y no conocemos la utilización posterior que se dará a esos datos.

Ahora bien, ¿”alguien” nos espía?

Según el diccionario espía es una persona que con disimulo y secreto observa o escucha lo que pasa, para comunicarlo al que tiene interés en saberlo. ¿Quienes nos espían?, por ejemplo, a través de Internet. Se suele responder que nos espía el gobierno, las empresas, los ciberdelincuentes.

¿Para qué nos espían?

Depende de la respuesta que demos a la pregunta anterior serán los motivos. Los gobiernos en aras de la seguridad nacional. Las empresas buscan crear perfiles de usuarios a los efectos de ofrecernos productos que sean de nuestro interés, lo que tendrá como resultado el spam. También existe el espionaje entre empresas, el cual podemos enmarcarlo en el ámbito de la competencia desleal. Y finalmente los ciberdelincuentes, quienes obviamente desean obtener nuestros datos para obtener un beneficio, normalmente económico, con su utilización.

¿Cómo nos espían?

“En el pasado, si el Gobierno quería violar la privacidad de los ciudadanos tenía que dedicar una cierta cantidad de esfuerzo para interceptar, abrir al vapor y leer el correo de papel. Esto es similar a pescar con una caña, un pez cada vez.

Afortunadamente para la libertad, esta vigilancia que requiere tanto esfuerzo no es práctica a gran escala. Hoy en día, el e-mail está reemplazando al correo convencional y, a diferencia de éste, los mensajes electrónicos son facilísimos de interceptar y escudriñar buscando palabras clave. Esto se puede llevar a cabo de manera rutinaria, automática, indetectable y a gran escala. Es similar a la pesca con red de arrastre, lo que constituye una diferencia orweliana para la salud de la democracia”4.

George Orwell escribió una novela en el año 1948 de ciencia ficción titulada “1984” en la cual nos presenta el mundo del futuro dividido en tres estados totalitarios. El protagonista es el símbolo de la rebelión contra el poder de un estado policíaco (bajo el control del Gran Hermano) que ha llegado a apoderarse de la vida y la conciencia de todos sus súbditos, interviniendo en las esferas más íntimas de los sentimientos humanos5.

Podemos decir entonces que, debido a la amplia difusión de las tecnologías de la información y las comunicaciones, el tratamiento de los datos personales se encuentra en una situación de tensión. Esta deriva del valor asociado a las bases de datos personales y el derecho de las personas titulares de los datos a conocer el tratamiento al que están siendo sometidos sus datos personales y preservar su privacidad.

2. Ley Nº 18.331 de Protección de Datos Personales y Habeas Data

La doctrina ha elaborado una serie de principios para regular este nuevo derecho que se han ido consagrando en los diferentes textos positivos en los diferentes países.

En nuestro país, la Agencia para el desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) impulsó el anteproyecto de ley de protección de datos personales, con el objetivo de establecer un marco jurídico claro y necesario para garantizar y hacer efectivo uno de los derechos fundamentales del ser humano, como es el derecho a la protección de los datos de carácter personal y por tanto de la intimidad de las personas, lo que culminó con la aprobación de la Ley Nº 18.331 de 11 de agosto de 2008.

El fundamento del mismo está dado por el artículo 72 de la Constitución de la República que establece: “La enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno”.

Como característica fundamental del proyecto debemos señalar que el mismo incluye a todos los datos personales, ya que hasta ahora los mismos eran protegidos en base al tríptico jusnaturalista recogido en los artículos 7, 72 y 332 de la Constitución.

Uruguay contaba con protección específica únicamente para los datos destinados a brindar informes comerciales, regulados por la ley Nº 17.838 del 24 de setiembre de 2004, la cual quedó derogada por la ley Nº 18.331, aunque mantiene el mismo régimen para esta clase de datos.

Por otra parte, se consagra la Acción de Habeas Data, como instrumento y garantía procesal de defensa de los derechos a la libertad informática. El procedimiento propuesto incorpora modificaciones al régimen que establecía la ley Nº 17.838.

Otro aspecto relevante que aborda el proyecto es la vinculación con terceros países, procurando cumplir con los requisitos establecidos por la Unión Europea a los efectos de obtener la Declaración de Adecuación a la Directiva Nº 95/46/CE, trámite que se inició a fines del 2008 ante la Comisión Europea, estando en este momento esperando el informe que realizará la Universidad de Namur sobre nuestra normativa.

En este punto, se han tenido presente los elementos de cumplimiento necesarios a ese fin, que son: asegurar un nivel satisfactorio de cumplimiento de las normas, la posibilidad de ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos, ofrecer vías adecuadas de recurso a quienes resulten perjudicados en el caso de que no se observen las normas, tanto en vía administrativa (ante el organismo de control) como en vía jurisdiccional (acción de habeas data).

El aspecto anterior tiene consecuencias económicas importantes, basado en que la adecuación a las políticas de intercambio de datos con la Unión Europea permitiría la captación de inversiones en el sector tecnológico y de servicios, de hecho así lo han manifestado diferentes actores privados que apoyaron la iniciativa del Poder Ejecutivo.

La ley creó como órgano de control la Unidad Reguladora y de Control de Datos Personales (URCDP) como organismo desconcentrado de la Agencia para el Desarrollo del Gobierno de Gestión electrónica y de la Sociedad de la Información y del Conocimiento (AGESIC).

La URCDP está dirigida por un Consejo Ejecutivo integrado por tres miembros: el Director Ejecutivo de AGESIC y dos miembros designados por el Poder Ejecutivo entre personas que por sus antecedentes personales, profesionales y de conocimiento en la materia aseguren independencia de criterio, eficiencia, objetividad e imparcialidad en el desempeño de sus cargos.

Este Consejo asegura la independencia técnica en la materia, teniendo como función principal la toma de decisiones en todo lo concerniente a la protección de datos personales. En la última Ley de Rendición de Cuentas se aprobó la estructura básica la Unidad la cual ha comenzado a operar, recibiendo consultas de ciudadanos y responsables de las bases de datos, trabajando en la elaboración de un sitio web y en el sistema informático que permita la preinscripción on line.

El Consejo Ejecutivo de la URCDP funcionará asistido por un Consejo Consultivo, que estará integrado por 5 integrantes: una persona con reconocida trayectoria en la promoción y defensa de los derechos humanos, designado por el Poder Legislativo, el que no podrá ser un legislador en actividad; un representante del Poder Judicial; un representante del Ministerio Público; un representante del área académica; y un representante del sector privado, que se elegirá en la forma establecida reglamentariamente.

3. Decreto Nº 664/008 de 22 de diciembre de 2008

Por Decreto Nº 664/008 de 22 de diciembre de 2008 se creó el Registro de Bases de Datos Personales a cargo de la URCDP.

En el artículo 2º dispuso el traslado del Registro de Bases de Datos Personales, creado por Decreto Nº 399/2006 de 30 de octubre de 2006, que funcionaba en el ámbito del Ministerio de Economía y Finanzas al nuevo Registro creado en la URCDP.

El Decreto establece las condiciones de inscripción, la información y documentación que deberán presentar los responsables de las bases de datos comerciales y el procedimiento para realizar la misma. A tales efectos, se puede solicitar el formulario que se está utilizando en forma provisoria – estando en etapa de implementación el sistema informático-, personalmente o por correo electrónico.

4. Conclusiones

La aprobación de la Ley Nº 18.331 tiene importantes repercusiones, entre las que destacamos:

a) la existencia de un marco regulatorio general en materia de protección de datos personales;

b) la creación de la URCDP como organismo que viabilice y otorgue garantías en cuanto a la efectiva aplicación de la norma;

c) la existencia de un proceso de Habeas Data sumarísimo con alcance general; y

d) la posibilidad de obtener la declaración de adecuación a la normativa de la Unión Europea, fundamental para el intercambio internacional de datos personales.

Por último, quiero destacar que la URCDP se encuentra funcionando provisoriamente en la calle Andes 1365 piso 7. Los ciudadanos y responsables de las bases de datos pueden realizar consultas personalmente, en forma telefónica al 901 2929 interno 1352 en el horario de 10 a 18 y en breve a través del sitio web www.protecciondedatos.gub.uy.

1 ALTMARK Daniel y OLINA QUIROGA Eduardo. “Régimen jurídico de los bancos de datos”, en Informática y Derecho (Depalma, Buenos Aires, 1998), vol. 6, página 146.

2 VIEGA, María José. “Derechos Humanos en el Ciberespacio”. Trabajo publicado en la Revista electrónica de Derecho Informático (REDI), Junio de 2002.

3 VIEGA, María José. “Privacidad & Espionaje en Internet”. Derecho Informático. Tomo VI. Fundación de Cultura Universitaria. Página 237.

4 ZIMMERMANN, autor del paquete criptográfico PGP, citado por García Mostazo Nacho en “Libertad Vigilada. El espionaje de las comunicaciones”. Ediciones B. Barcelona, 2003.

5 ORWN George. 1984. Ediciones Destino. Barcelona. Séptima edición, junio 1984.

Cinco años de la Unidad Reguladora y de Control de Datos Personales en Uruguay

URCDP

Por Marí­a José Viega Rodriguez

La Unidad Reguladora y de control de Datos Personales festejó sus 5 años de vida, en un evento  que se realizó el 22 de mayo de 2014 en la Torre Ejecutiva. En dicha oportunidad se realizó el lanzamiento de la campaña para niños Tus datos tu decisión, sobre la cual se puede obtener mayor información en www.datospersonales.gub.uy

El evento convocó al sector público y al privado, siendo la moderadora del segundo panel, el cual analizó el impacto de la Ley N° 18.331 en el sector privado, tema analizado por el Dr. Nicolás Antunez en representación de LIDECO, el Dr. Fernando Vargas por la CUTI y la Dra. Cecilia Dupuy por el Clearing de Informes. El panel comenzó con un análisis estadístico -por parte de la moderadora- de información del sector privado, así como las principales líneas de actuación de la Unidad al respecto. El intercambio fue realmente positivo, habiéndose realizado un análisis desde la aprobación de la ley, la situación presente y una proyección al futuro con la enumeración de los principales desafíos.

Sobre la Unidad Reguladora y de Control de Datos Personales cabe recordar que fue creada por la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data (LPDP), con autonomía técnica, cuya competencia es custodiar el cumplimiento de la legislación de protección de datos personales y asegurar el respeto de sus principios. Entre sus facultades se encuentran:

  • Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza.
  • Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley.
  • Realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos.
  • Controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes.
  • Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados.
  • Emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta.
  • Asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales.
  • Informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita.

Protección de datos personales relacionados con el trabajo

derecho_laboral_uruguay

Por María José Viega Rodríguez

Quiero comenzar con una apreciación del Dr. Arturo Bronstein, Secretario General de la Sociedad Internacional de Derecho del Trabajo y de la Seguridad Social en 2009, quien dio una serie de conferencias en Montevideo el 13 de agosto de 2009, en las que destacó cuatro facetas al referirse a la protección de la vida privada en el lugar de trabajo:

  • Acopio, tratamiento y posible comunicación a terceros de información relativa a la vida privada de un trabajador o un postulante al empleo.
  • Uso de cámaras o de otros medios electrónicos para monitorear a trabajadores en el lugar de trabajo o fuera de éste.
  • Uso personal de Internet y el correo electrónico puestos a disposición por el empleador.
  • Monitoreo de las comunicaciones telefónicas hechas por el trabajador.

Estos aspectos son de trascendental importancia y actualidad y se analizan y pretenden dar respuestas desde diferentes ámbitos. Por un lado la el derecho a la protección de datos personales protege el derecho a la intimidad y privacidad de las personas, haciendo hincapié en diferentes esferas en que existen personas de mayor vulnerabilidad, existiendo estudios sobre la privacidad del trabajador. Por otra parte, desde el Derecho del Trabajo preocupa la manipulación de la información del trabajador en la esfera laboral, la cual se potencializa con el desarrollo de las tecnologías.

Por lo tanto, para realizar un análisis del tema creo interesante analizar dos documentos, uno que proviene del área del Derecho Laboral y es el Repertorio de recomendaciones prácticas de la Organización Internacional del Trabajo (OIT) y en segundo lugar un documento del Grupo de Trabajo en Protección de Datos creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 (WP 29), documento WP 55 sobre la “Vigilancia y el control de las comunicaciones electrónicas en el lugar de trabajo”.

II) Repertorio de recomendaciones prácticas de la OIT

El Repertorio de recomendaciones prácticas de la OIT adoptado en Ginebra del 1º al 7 octubre 1996, en una reunión de 24 expertos sobre la protección de la vida privada de los trabajadores, en cumplimiento de una decisión tomada por el Consejo de Administración en su 264ª sesión en noviembre de 1995. Participaron en la reunión ocho expertos designados por consulta previa con los gobiernos, ocho fueron designados por el Grupo de Empleadores y ocho por consulta previa con el Grupo de los Trabajadores del Consejo de Administración. Por Uruguay participó el Escribano Dutra, Director Nacional de Empleo, Ministerio de Trabajo y Seguridad Social.

En la 267ª reunión, realizada en noviembre de 1996, el Consejo de Administración aprobó la distribución del repertorio de recomendaciones prácticas y los comentarios, que fueron revisados a la luz de los debates en la Reunión de expertos.

Los presupuestos que se tienen en cuenta para la realización del referido documento son los siguientes:

  • Utilización de técnicas informáticas de recuperación de datos
  • Los sistemas automatizados de información del personal
  • La vigilancia electrónica
  • Los exámenes genéticos y toxicológicos

El repertorio no tiene carácter obligatorio y tiene como objetivo proteger la vida privada del trabajador. Pero resulta interesante realizar un análisis comparativo de éste con nuestra Ley Nº 18.331 de 11 de agosto de 2008 de Protección de Datos y Acción de Habeas Data.

El punto 3 del Repertorio proporciona una serie de definiciones, estableciendo lo siguiente:

Datos personales: todo tipo de información relacionada con un trabajador identificado o identificable.

Tratamiento: incluye el acopio, la conservación, la combinación, la comunicación o cualquier otra forma de utilización de datos personales.

Vigilancia: engloba, sin limitarse a ella, la utilización de dispositivos como computadoras, cámaras de fotografía, cine y vídeo, aparatos de grabación sonora, teléfonos u otro material de comunicación, diferentes métodos de identificación y de localización y cualesquiera otros sistemas de vigilancia.

Trabajador: designa a todo trabajador o ex trabajador y a todo candidato a un empleo.

Respecto al concepto de trabajador es amplio, siendo interesante el tema de los postulantes y la información que proporcionan en el proceso de selección.

El tratamiento de los datos personales de los postulantes en un concurso público ha sido objeto de consulta a la Unidad de Acceso a la Información Pública (Órgano de Control creado por Ley Nº 18.381 www.informacionpublica.gub.uy ), la que adoptó la Resolución Nº 4 de 14 de julio de 2009, en la que se establece que debe entregarse toda la información referente a los postulantes, con excepción de aquellos datos que no tienen que ver con la situación evaluada, como por ejemplo domicilio, teléfono del postulante y datos de carácter sensible, como por ejemplo evaluaciones psicológicas.

Por otra parte recomienda que se publique el orden de prelación y puntajes globales de todos los participantes en el concurso, y que de solicitarse se muestren los curriculum, previa ocultación de los datos excepcionados.

Las consideraciones en este caso se deben a que estamos ante concurso público y prima el principio de transparencia en la Administración, pero igualmente se reconocen limitaciones.
Diferente sería el caso de un postulante a un trabajo en el ámbito privado, en el cual la empresa debería destruir los curriculum una vez realizada la selección, no pudiendo entregar estos a terceros ni utilizarlo para otros empleos, a no ser que cuente con autorización expresa para ello, porque de lo contrario violaría el principio de finalidad de la recolección de los datos.

Nuestra Ley en el artículo 4º da una serie de definiciones, que entendemos se encuentran alineadas con las analizadas anteriormente:

En el literal d) define los datos personales como la “información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables”.

En el literal m) se define “Tratamiento de datos, operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permiten el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias”.

En el punto 4 del Repertorio se prevé el campo de aplicación, estableciendo que son tantos los sectores público y privado y que refiere al tratamiento manual o automático de todos los datos personales de un trabajador.

El artículo 3º de la Ley determina su campo de aplicación, estableciendo como Ámbito objetivo el siguiente: “El régimen de la presente ley será de aplicación a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado”.

Siguiendo con el paralelismo entre el documento de la OIT y la Ley Nº 18.331 analizaremos los principios contenidos en ambos.

El Repertorio refiere al Principio de licitud y finalidad, mientras que la Ley refiere al Principio de legalidad en el artículo 6º y al principio de finalidad en el art. 8º.

El Repertorio en el punto 5.1 entiende que el tratamiento de los datos personales de los trabajadores debería efectuarse de manera ecuánime y lícita y limitarse exclusivamente a asuntos directamente pertinentes para la relación de empleo del trabajador y en el 5.2 establece que los datos personales deberían utilizarse únicamente con el fin para el cual hayan sido acopiados.

La Ley establece que para que una base de datos sea lícita deberá estar inscripta ante la Unidad Reguladora y de Control de Datos Personales (www.datospersonales.gub.uy ), Órgano de Control creado por ésta, y cumplir con la ley y sus reglamentaciones.

Por otra parte, el artículo 8º establece que los datos objeto de tratamiento no pueden ser utilizados para una finalidad distinta a aquella que motivó su recolección.

El documento, en los punto 5.4 y 5.5, dispone que los datos personales reunidos en función de disposiciones técnicas o de organización que tengan por objeto garantizar la seguridad y el buen funcionamiento de los sistemas automatizados de información, no debería servir para controlar el comportamiento del trabajador y que las decisiones no pueden basarse en un tratamiento exclusivamente informático de los datos personales.

El punto 5.4 lo podemos articular con el principio de finalidad ya mencionado, mientras que la Ley establece en el artículo 16 el Derecho a la impugnación de valores personales, consagrando la posibilidad de impugnar aquellas que se basen en un tratamiento exclusivamente automatizado. Al artículo se le agregó “o no” en la Comisión de la Cámara de Educación y Cultura del Senado, lo que desvirtuó su propósito inicial, el cual tenía como fuentes el artículo 13 de la Ley española denominado Impugnación de valoraciones, el artículo 20 de la Ley argentina llamado Impugnación de valoraciones personales, el artículo 15 de la Directiva 95/46/CE llamado Decisiones individuales automatizadas y el Proyecto MERCOSUR, en el artículo 15 referente a las Decisiones individuales automatizadas.

Por otra parte la OIT hace hincapié en reducir lo más posible el tipo y volumen de los datos personales y que los trabajadores deberían estar informados sobre los datos que se colectan.

En los artículos 7º y 9º de la ley se consagran los Principio de Veracidad y del Previo Consentimiento Informado respectivamente, también del primero de ellos se desprende el principio de proporcionalidad, al establecer que los datos que se colectan deben ser adecuados, ecuánimes y no excesivos acorde a la finalidad para la cual se recolectan.

La obligación de confidencialidad de quienes manipulan los datos tiene su correlativo en el principio de reserva establecido en el artículo 11 de la ley, por el cual las personas deben utilizar los datos personales a los que tienen acceso en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad. En el inciso 2º se establece que: “Las personas que, por su situación laboral u otra forma de relación con el titular de la base de datos, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artículo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público. (…)”.

El punto 5.9 refiere a que las personas encargadas del tratamiento de datos personales deberían recibir periódicamente una formación que les permita comprender el proceso de acopio de datos y el papel que les corresponde en la aplicación de los principios enunciados en el presente repertorio.

El punto 5.12 entiende que todas las personas, tales como los empleadores, los representantes de los trabajadores, las agencias de colocación y los trabajadores que tengan acceso a los datos personales de los trabajadores, deberían tener una obligación de confidencialidad, de acuerdo con la realización de sus tareas y el ejercicio de los principios enunciados en el presente Repertorio.

En el punto 5.13 se establece que los trabajadores no pueden renuncian a su derecho a proteger su vida privada. Esto está plenamente consagrado en el artículo 1º de la Ley, en el cual se determina que el derecho a la protección de datos es un derecho inherente a la persona humana, por lo que está comprendido en el artículo 72 de la Constitución de la República.

El punto 6 del Repertorio refiere al acopio de datos personales vinculado al tratamiento que realiza el empleador de los datos del trabajador, a informarlo de su uso y de solicitar su autorización para cederlos a terceros. También establece que los empleadores no deberían recabar datos personales que refieran a la vida sexual del trabajador, las ideas políticas, religiosas o de otro tipo del trabajador, los antecedentes penales del trabajador.

Respecto a estos aspectos, la Ley establece que los datos facilitados por terceros necesitan el consentimiento, previsto en el artículo 17 denominado comunicación de datos.

También se establece que no deben recabarse datos sensibles, los cuales son definidos en el art. 4º lit. E) como aquellos datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual.

Respecto a la conservación de los datos, encontramos el Principio de veracidad del artículo 7º, que establece que los datos deben ser exactos y deben estar actualizados y que cuando se constate inexactitud o falsedad de los mismos deberán suprimirlos, sustituirlos o completarlos.

El punto 7.1 del Repertorio establece que: “los empleadores deberían garantizar, mediante las salvaguardias de seguridad que permitan las circunstancias, la protección de los datos personales contra su pérdida y todo acceso, utilización, modificación o comunicación no autorizados”.

El Capítulo III de la Ley denominado Derechos de los Titulares de los Datos consagra en los artículos 13, 14 y 15 los derechos de información frente a la recolección, de acceso, de rectificación, actualización, inclusión o supresión.

El punto 8 del Repertorio alude a la conservación de los datos personales. A tales efectos entiende que los empleadores deberían evaluar periódicamente sus métodos de tratamiento de datos, con el objeto de reducir lo más posible el tipo y el volumen de datos personales acopiados y mejorar el modo de proteger la vida privada de los trabajadores.

El punto 8.1 establece que la conservación de los datos personales debería limitarse estrictamente a los acopiados de conformidad con los principios enunciados en el repertorio.

El punto 8.4 considera que los empleados deberían verificar periódicamente que los datos personales conservados son exactos, actualizados y completos.

El punto 8.5 estima que los datos personales deberían guardarse únicamente durante un período que esté justificado por los fines concretos para las cuales hayan sido recabados, salvo que:

  • El trabajador desee figurar en la lista de candidatos potenciales a un empleo por un período determinado.
  • La legislación nacional disponga que los datos personales deban conservarse.
  • Los empleadores o los trabajadores necesiten estos datos por razones legales para presentar pruebas sobre cualquier cuestión concerniente a una relación de empleo anterior o actual.

Esto está contemplado en nuestra Ley en los principios, especialmente en lo que refiere a la finalidad y seguridad de los datos.

El punto 9 refiere a la utilización de datos personales y recomienda que debieran ser utilizados de conformidad con los principios del presente repertorio aplicables al acopio, comunicación y conservación de estos datos.

El punto 10 refiere a la comunicación de datos personales, sobre este aspecto ya hicimos mención al artículo 17 de la Ley.

En el punto 11 se enumeran los derechos individuales, destacando el derecho a ser informados con regularidad, los trabajadores beberían tener acceso a todos sus datos personales y durante las horas de trabajo, no se le debería cobrar al trabajador por el acceso al expediente o la copia del mismo y el derecho a exigir que se supriman o rectifiquen datos personales inexactos o incompletos.

Por último, en el punto 12 se analizan los derechos colectivos y en el 13 lo referente a la agencias de colocación.

III) Documento del Grupo de Trabajo del Artículo 29: WP 55 de 29 de Mayo 2002 relativo a la vigilancia y el control de las comunicaciones electrónicas en el lugar de trabajo.

El WP 55 ofrece una orientación y ejemplos concretos sobre lo que constituyen actividades de control legítimas y límites aceptables de la vigilancia de los trabajadores por parte del empleador.

Y parte del supuesto que: “Los trabajadores no dejan su derecho a la vida privada y a la protección de datos cada mañana a la puerta de su lugar de trabajo. Esperan legítimamente encontrar allí un grado de privacidad, ya que en él desarrollan una parte importante de sus relaciones con los demás. Este derecho debe, no obstante, conciliarse con otros derechos e intereses legítimos del empleador, en particular, su derecho a administrar con cierta eficacia su empresa, y sobre todo, su derecho a protegerse de la responsabilidad o el perjuicio que pudiera derivarse de las acciones de los trabajadores. El caso en que el empleador es víctima de un delito imputable a un trabajador constituyen el ejemplo más claro”.

Por tanto, para lograr el equilibrio entre los diferentes derechos e intereses, es fundamental el principio de proporcionalidad.

Hay que considerar el alcance de las medidas de vigilancia y para ello entiende que deben responderse las siguientes preguntas: ¿Es la actividad de vigilancia transparente para los trabajadores? ¿Es necesaria? ¿No podría el empleador obtener el mismo resultado con métodos tradicionales de supervisión? ¿Garantiza el tratamiento leal de los datos personales de los trabajadores? ¿Es proporcional respecto a las preocupaciones que intenta solventar?

El Grupo de Trabajo del Artículo 29 entiende que la prevención debería prevalecer sobre la detección. Por ejemplo, vinculado al uso abusivo de Internet, deberían desplegarse avisos en la pantalla del computador del trabajador cuando intente entrar a lugares que se entiende no corresponden desde su lugar de trabajo o a los cuales no está autorizado, en lugar de monitorear los sitios a los cuales el trabajador ingresa una vez que ya lo ha hecho.

Es esencial que el trabajador esté informado sobre la vigilancia a la que está siendo sometido, sobre los datos que se han recolectado y con qué objetivo se mantienen.

Vinculado al correo electrónico se aconseja que la empresa proporcione al trabajador una cuenta de correo de uso profesional exclusivo y una cuenta de uso privado o autorización de utilizar el correo web, pudiendo ejercerse vigilancia sobre la primera pero no sobre la segunda.

Con relación al punto de la vigilancia en el lugar de trabajo, el WP55 destaca que las condiciones de trabajo han evolucionado, siendo difícil separar el trabajo de la vida privada, sobre todo teniendo en cuenta la “oficina a domicilio” que conlleva a toda la problemática del teletrabajo.

“La dignidad humana de un trabajador prima sobre cualquier otra consideración”, expresa el documento.

En el apartado relativo a la vigilancia y control de las comunicaciones electrónicas en el lugar de trabajo se toma como marco la Directiva 95/46/CE, así como la Directiva 97/66/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones.

En el documento se entiende que para que una actividad de control sea legal y se justifique, deben respetarse los siguientes principios:

a) Necesidad: deben ser necesario, en casos excepcionales, para obtener prueba de actividades delictivas o para garantizar la seguridad del sistema. Este principio significa además, que el empleador sólo podrá conservar la información durante el tiempo necesario para lograr el objetivo específico de la actividad de vigilancia.

b) Finalidad: significa que los datos deben recogerse con fines determinados, explícitos y legítimos y no pueden ser tratados posteriormente de manera incompatible con dichos fines.

c) Transparencia: significa que un empleador debe indicar en forma clara y abierta sus actividades. Este principio puede subdividirse en tres aspectos:

  • La obligación de proporcionar información al interesado: el empleador debe trasmitir a los trabajadores una declaración clara, precisa y fácilmente accesible de su política sobre la vigilancia del correo electrónico y el uso de Internet. Debe tenerse presente aquí la Directiva 2002/14/CE siempre que la empresa figure en su ámbito de aplicación, establece la necesidad de informar y consultar a los trabajadores sobre decisiones que impliquen importantes cambios tanto en la organización del trabajo como en las relaciones contractuales.
  • La obligación de notificar a las autoridades de supervisión antes de la aplicación de un tratamiento total o parcialmente automatizado o de un conjunto de tratamientos de este tipo.
  • El derecho de acceso que tiene el trabajador sobre todos los datos tratados por el empleador.

d) Legitimidad: el tratamiento de los datos de un trabajador debe ser necesario para la satisfacción del interés legítimo perseguido por el empleador y no perjudicar los derechos fundamentales de los trabajadores, lo que se desprende del artículo 7 de la Directiva 95/46/CE.

e) Proporcionalidad: los datos personales que se utilicen para actividades de control deben ser adecuados, pertinentes y no excesivos con relación a los fines para los que se recaban.

Establece el documento que: “Si es posible, el control del correo electrónico debería limitarse a los datos sobre tráfico de los participantes y a la hora de una comunicación más que al contenido, si ello es suficiente para satisfacer las necesidades del empleador”.

f) Exactitud y conservación de los datos: este principio requiere que todos los datos legítimamente almacenados por un empleador deberán ser precisos y actualizarse y no podrán conservarse más tiempo del necesario. El WP 29 entiende que los empleadores deberían especificar el tiempo de conservación y que normalmente es difícil imaginar que pueda justificarse un período de conservación superior a tres meses para la conservación de mensajes electrónicos.

g) Seguridad: este principio consta de un doble aspecto, por un lado la obligación del empleador de aplicar medidas técnicas y organizativas adecuadas para proteger los datos personales en su poder y por otra parte, su derecho a proteger sus sistemas contra virus, lo que puede implicar el análisis automatizado de mensajes electrónicos y del tráfico en la red. El Grupo de Trabajo entiende que no constituyen una violación a la privacidad del trabajador las búsquedas automatizadas en los correos electrónicos y destaca la importancia del administrador del sistema en cuanto a la responsabilidad en la protección de los datos.

IV) Conclusiones

Es relevante destacar que no solo no existen divergencias entre estos documentos y nuestro derecho positivo en materia de protección de datos, sino que los mismos se basan en los mismos principios, en el amparo y la defensa de este derecho fundamental.

Tanto los principios como los derechos referenciados en el Repertorio y en el Documento WP 55 se hallan contemplados en nuestra Ley de Protección de Datos, encontrándose la protección de datos del trabajador amparado en esta normativa. La Unidad Reguladora y de Control de Datos Personales es el Órgano que tiene el cometido garantizar el eficaz cumplimiento de la ley, al cual los trabajadores podrán recurrir para realizar consultas y denuncias. También existe la garantía del Habeas Data, que permite que el trabajador concurran ante el Poder Judicial cuando sus derechos hayan sido lesionados.

Diversidad de los datos de salud y sus regímenes jurídicos

sanidad_8

Por Marí­a José Viega Rodriguez

Durante las Jornadas del Instituto de Derecho Informático, el pasado miércoles 24 de julio, comenzó la jornada con una interesante conferencia del Dr. Carlos Delpiazzo. En conjunto con la Dra. Jimena Hernández les hacemos llegar nuestros apuntes sobre la misma.

El tema planteado no es menor, fue objeto de tratamiento en la 34° Conferencia de Autoridades de Protección de Datos Personales y Privacidad. En el tema e-salud como expresión genérica para las múltiples aplicaciones de las TIC en el ámbito sanitario, hay que dedicar un capítulo especial a los datos personales y especialmente los datos sensibles.

En el Derecho Comparado hay dos posturas:

– Hay datos personales que deben ser objeto de una protección especial.

– Todos los datos son iguales y merecen igual protección.

Los datos sensibles han sido especialmente cuidados y es posible apreciar una diversidad de especies de datos de salud: datos de salud propiamente dichos (los consignados en la HC), los datos genéticos, los datos que surgen de la investigación científica en seres humanos, y los datos provenientes de la donación de órganos y tejidos.

En los datos de salud, debemos diferenciar entre el continente y el contenido de los datos. En la historia clínica hay un continente (la carpeta, las hojas), el soporte físico, y el contenido, que son los datos.

El continente HCE necesita el reconocimiento y admisibilidad del documento electrónico. Hay que sumar otro aspecto importante que es la interoperabilidad, necesaria para que el titular de los datos pueda acceder más allá de las distancias,

Son las medidas de seguridad necesarias. El documento electrónico, la firma electrónica y la interoperabilidad son elementos fundamentales de la HCE.

En cuanto al contenido del continente encontramos:

Datos de salud propiamente dichos. Pueden configurar una base de datos. La sistematización de estos datos puede darle a la institución cierta titularidad pero no sobre los datos. Los datos en forma anónima pueden ser utilizados por la institución.

Datos genéticos. Han sido calificados en cuatro: estudios criminológicos, datos del ámbito sanitario, datos concernientes a desaparecidos y pruebas de paternidad.

Datos resultantes de la investigación científica. A su respecto, en el Derecho comparado se han establecido protocolos y reglas de buenas prácticas.

Datos provenientes de la donación de órganos y tejidos. Las normas en la materia buscan evitar el mercado negro.

En nuestro derecho la HC como continente y los datos han merecido regulación específica. Debemos mencionar la Ley N° 18.600 sobre documento y firma electrónicos. El decreto 258/992 reconoce a la HC como un documento. El decreto 396/003 reguló su documentación y autenticación.

El decreto 274/010 en su artículo 34, establece la obligación de conservar y custodiar la HC. Se indica que puede destruirse la HC papel en los casos de digitalización.

En cuanto al contenido de la HC, respecto a los datos clínicos, desde 1992 se reconoce que los datos son documentos auténticos. El decreto 396/003 disciplinó los aspectos fundamentales del uso de las TIC estableciendo principios, objetivos y normas de aplicación.

En 2008 la Ley de Protección de Datos Personales encara una regulación general del tema en los artículos 18 y 19.

La Ley N° 18.335 regula los llamados Derechos de los usuarios y pacientes. El art. 18 establece el derecho a una HC completa. Debe incluir todos los datos de salud desde el nacimiento hasta la muerte. Se regula también el derecho a obtener una copia de la HC, y se destaca su carácter reservado. El art. 19 establece que la HC en medios electrónicos son documentos electrónicos.

En cuanto a los datos genéticos, desde 1914, se impuso la identificación de todo detenido que caiga bajo la acción penal. La Ley N° 18.849 de 02/12/2011 crea el Registro Nacional de huellas genéticas.

Respecto a los datos resultantes de la investigación científica en seres humanos, en nuestro derecho no tenemos normas legales pero si una gran cantidad de reglamentos. No solo vinculados  a Derechos Fundamentales sino a las implicancias éticas que tiene la investigación en seres humanos.

El decreto 261/09 regula los estudios de bio disponibilidad. Crea el Registro Nacional de sujetos de investigación. En este caso, surge el dilema entre el Derecho y la salud pública. El sujeto lo hace para re establecer su salud, pero desde el Estado hay que hacer coincidir la privacidad del individuo con la facultad de darle seguimiento al individuo. La autoridad debe conocer quiénes son.

El decreto 369/010 establece lo que se llaman referencias y criterios para el tratamiento de estos pacientes. El decreto 97/011 contiene referencias técnicas.

Respecto a los datos de donantes de órganos y tejidos la Ley N° 14.005 del año 1971 reguló la donación voluntaria de órganos y tejidos, en su artículo 11.

La Ley N° 17.668 del año 2003 regula la oportunidad y forma de recabar el consentimiento de los donantes. El derecho nacional optó por una solución disponiendo que los órganos son un bien de la comunidad. Esos bienes son de todos y no pueden ser apropiados por nadie. El decreto 160/006 establece normas de control y calidad para el trasplante.

La Ley N° 18.968 del año 2012 invirtió la solución de principio de la Ley N° 14.005. Se presume la voluntad de donar. Todos nos presumimos donantes salvo que manifestemos voluntad en contrario en las formas que establezca la ley. Este es un punto muy controvertido porque si la donación se presume, no hay donación.

Por último, hay que destacar que más allá de la diversidad de los datos relativos a la salud de las personas es importante enfatizar en una visión unificadora en base a la individualización de la persona humana. Vivimos una etapa fundamentalmente personal. La convergencia tecnológica es un desafío constante pero no puede hacernos perder de vista la persona y su dignidad. Si olvidamos que los datos de salud son la persona, perdemos el norte y terminamos aplicado peor el derecho.

Manipulación de la información pública y privada

delitos_informaticos_3

Por Marí­a José Viega Rodriguez

Introducción

Los beneficios de las tecnologías de la información y las comunicaciones son indiscutibles. Sin embargo, también sirven como herramienta para causar daño y en este sentido la criminalidad en Internet es la parte negativa del desarrollo tecnológico.

El presente trabajo tiene como objetivo analizar las amenazas existentes en el ciberespacio, tanto en la esfera pública como privada. En la esfera pública analizaremos la creación y cometidos del CERTuy en nuestro país, centro responsable de las respuestas a incidentes en temas de seguridad de la información y quien trabaja con los organismos públicos a los efectos de prevenir amenazas en este sentido.

Por otra parte, en la esfera privada, la importancia económica de la información   de todos nosotros nos enfrenta a invasiones permanentes a nuestra intimidad. En tal sentido Uruguay aprobó la Ley de Protección de Datos Personales y Acción de Habeas Data N° 18.331 el 11 de agosto de 2008.  Analizaremos las diferentes figuras delictivas vinculadas a la privacidad y el marco jurídico existente en Uruguay.

2. La seguridad de la información en la esfera pública: CERTuy

El centro de la coordinación de CERT® (CERT/CC) es un Centro de Maestría de la seguridad de Internet, que fue creado en 1988 en Estados Unidos y forma parte del Software Engineering Institute de la Universidad de Carnegie Mellon. Su información pretende proteger nuestros sistemas contra problemas potenciales y reaccionar a los problemas actuales y a problemas futuros. Su trabajo implica estudiar los sistemas de seguridad de la computadora y las vulnerabilidades, alarmas de seguridad, investigar cambios a largo plazo en sistemas networked, y proporcionar la información y entrenamiento para ayudarle a mejorar la seguridad en su sitio[1].

La sigla CERT deviene de “Computer Emergency Response Team”, esto es, un equipo de trabajo responsable del desarrollo de medidas preventivas y reactivas relacionadas con los incidentes de seguridad en los sistemas de información[2].

Los problemas relativos a la seguridad de la información guardan una estrecha relación con los activos de información, los que en términos generales pueden estar determinados por el tipo de datos manejados, la calidad de los servicios prestados, el mercado donde se desempeñan, las actividades y vínculos establecidos. Es por ello, que no solo es importante definir y establecer cuáles son los activos de información que el Estado posee, sino gestionar su reutilización y dotar de un marco de seguridad adecuado orientado a la confidencialidad, integridad y disponibilidad de la información[3].

Para lograr un marco adecuado de seguridad, es necesaria la aplicación de un conjunto de medidas técnicas y organizativas a efectos de lograr un entorno seguro para los datos, la información, y los sistemas que los sustentan[4].

Hay que tener presente a norma ISO/IEC 27001 define a la seguridad de la información como la preservación de la confidencialidad, la integridad, y la disponibilidad, pudiendo además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. A estos efectos, una buena gestión de seguridad puede ser obtenida a través de la concreción de un conjunto de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y software adecuados.

En este sentido, es necesario que el Estado -como uno de los principales sujetos que almacena y transmite información- adopte medidas de seguridad adecuadas a fin de proteger aquella información sustancial para el desarrollo de sus actividades y cometidos, y que en definitiva es fundamental a efectos de la protección de sus intereses como Estado y la salvaguarda de los derechos de los ciudadanos. El Estado, al igual que los particulares, pueden ser víctimas de ataques de estos “delincuentes informáticos”, los que muchas veces atentan contra un sistema de información por el simple hecho de divertirse, o como forma de realizar publicidad de ellos mismos. Conforme a esto, existe la necesidad de contar con políticas, prácticas, medidas de seguridad adecuadas, entre otras, y la existencia de un equipo de trabajo que, a nivel estatal, centralice las competencias al respecto y dé respuestas inmediatas a las amenazas que la propia red pueda ocasionar[5].

Por Ley N° 18.172 de 7 de septiembre de 2007, artículo 119, se creó el Consejo Asesor Honorario de Seguridad de Informática del Estado en el ámbito de la Agesic, integrado por Prosecretaría de la Presidencia de la República, Ministerio de Defensa Nacional, Ministerio del Interior, Administración Nacional de Telecomunicaciones y Universidad de la República.

El artículo 55 de la Ley 18.046 de de 24 de octubre de 2006 en la redacción dada por el artículo 118 de la Ley Nº 18.172 otorgó a la Agesic potestades legales para la concepción y el desarrollo de políticas en materia de seguridad de la información, a los efectos de la prevención, detección y respuesta frente a los incidentes que pudieran afectar los activos críticos del país.

Por Ley Nº 18.362 de 15 de octubre de 2008, artículo 73, se creó el CERTuy dentro del ámbito de la Agesic, con los cometidos de regular la protección de los activos críticos de información del Estado, difundir las mejores prácticas, centralizar y coordinar la respuesta a incidentes informáticos y realizar las tareas preventivas que correspondan.

Este artículo fue reglamentado por el Decreto Nº 451/009 de 28 de septiembre de 2009 en el cual se definen los incidentes informáticos como una violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, que comprometa la seguridad de un sistema (confidencialidad, integridad o disponibilidad).

El Decreto Nº 452/2009 de 28 de septiembre de 2009 aprobó las “Políticas en la Seguridad en la Información para los Organismos del Estado”, de aplicación obligatoria para los organismos públicos integrantes de la Administración Central, exhortándose su cumplimiento a los restantes órganos del Estado.

Podemos diferenciar los cometidos otorgados al CERTuy, en dos grupos: a) los relativos al trabajo en conjunto con los restantes organismos del Estado; y b) los relacionados con los incidentes de seguridad y las medidas atinentes a su control y prevención[6].

a) Se trata de tareas de asistencia, coordinación, colaboración entre los organismos públicos con la finalidad de proporcionar una asistencia eficaz en los casos de incidentes de seguridad informática, proponer normas destinadas a incrementar los niveles de seguridad en los recursos y sistemas relacionados con las TIC.

Además de los verbos nucleares utilizados por la norma reglamentaria descrita, se desprende que se trata de un proceso donde los distintos niveles de seguridad que los Organismos posean se van a ir acompasando con la normativa vigente gracias a la colaboración, asistencia, coordinación y asesoramiento que el CERTuy les provea.

En este sentido, la norma se encuentra en armonía con el Decreto Nº 450/00928 de septiembre de 2009  que aprueba un documento de políticas de seguridad de la información para los organismos públicos.

b) El CERTuy posee cometidos relacionados con la alerta ante amenazas y vulnerabilidades informáticas dando respuesta a los incidentes ocurridos. Estos servicios son denominados como reactivos, esto es, servicios diseñados para dar respuestas a solicitudes de asistencia, como por ejemplo a los incidentes de seguridad, investigación forense tendiente a determinar las huellas informáticas que los ataques informáticos generan.

El CERTuy documenta y registra los reportes de los incidentes ocurridos. El artículo 1º del Decreto dispone que el CERTuy protegerá tanto los sistemas informáticos como los sistemas circundantes a éstos. La respuesta a incidentes puede significar la realización de análisis forense sobre el sistema o sistemas informáticos circundantes al analizado, tales como la descripción de aquellas “huellas informáticas” que el atacante, dejó en el sistema.

El CERTuy también realiza tareas preventivas las cuales se ejercen a través de un procedimiento establecido y regulado en los artículos 9 a 13 del decreto referido.

Asimismo, se informa que el CERTuy viene trabajando en base a tres columnas de trabajo:

1) Actividades Reactivas: tales como la respuesta a incidentes de seguridad informática e investigación forense;

2) Actividades Proactivas: por ejemplo el asesoramiento en seguridad y alerta de incidentes;

3) Actividades en materia de Seguridad e Infraestructura, es decir, la seguridad en la red y sobre la plataforma de gobierno electrónico.

En cuanto a datos estadísticos, el CERTuy en la actualidad gestiona un promedio de dos incidentes mensuales.

A nivel de ataques encontramos[7]:

3. La seguridad de la información en la esfera privada

Abordaremos la conceptualización de la criminalidad en la red vinculada a la seguridad de los datos personales analizando las principales amenazas relacionados con los niños, con la privacidad, con aspectos económicos, destacando las siguientes:

3.1 Ciberbullying

El Ciberbullying es una variante del Bullying o acoso escolar tradicional, por denominarlos de alguna forma. Lo que queremos destacar es que esta no es una figura nueva, sino que, se potencializan sus efectos realizados por medios electrónicos, planteándose una situación de anonimato para los acosadores en la red.

Pero, la tecnología también permite detectar el lugar exacto y el equipo informático desde el que se llevó a cabo el presunto delito, a través de la detección de la dirección IP. El desafío se presenta en cuanto a la tipificación penal de esta conducta.

Podemos definirlo como la conducta protagonizada por uno o varios acosadores hacia uno o varios de sus compañeros. Consiste en utilizar medios electrónicos como la computadora, internet o el celular para  acosar, intimidar y agredir psicológicamente a las víctimas.

Esta conducta se define como acoso entre iguales en el entorno TIC e incluye actuaciones de chantaje, vejaciones e insultos de niños a otros niños. En una definición más exhaustiva, se puede decir que el ciberbullying supone el uso y difusión de información lesiva o difamatoria en formato electrónico a través de medios de comunicación como el correo electrónico, la mensajería instantánea, las redes sociales, la mensajería de texto a través de teléfonos o dispositivos móviles o la publicación de videos y fotografías en plataformas electrónicas de difusión de contenidos[8].

3.2 Grooming

El grooming es un nuevo tipo de problema relativo a la seguridad de los menores en Internet, consistente en acciones deliberadas por parte de un adulto de cara a establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas o pornográficas del menor o incluso como preparación para un encuentro sexual, posiblemente por medio de abusos.

El grooming habitualmente es un proceso que puede durar semanas o incluso meses, y que suele pasar por las siguientes fases, de manera más o menos rápida según diversas circunstancias:

El adulto procede a elaborar lazos de amistad con el menor simulando ser otro niño o niña.

El adulto va obteniendo datos personales y de contacto del menor.

Utilizando tácticas como la seducción, la provocación, el envío de imágenes de contenido pornográfico, consigue finalmente que el menor se desnude o realice actos de naturaleza sexual frente a la webcam  o envíe fotografías de igual tipo.

De esta forma se inicia un proceso de cyberacoso, en el cual se chantajea  a la víctima para obtener cada vez más material pornográfico o tener un encuentro físico con el menor para abusar sexualmente de él.

3.3 Suplantación de identidad

“Puede ser entendida como la suplantación de personalidad fingiendo ser una persona que no es imitándola e inclusive remedándola. El caso más común es el robo de tarjetas de crédito y de cajeros automáticos. Los autores del delito se hacen pasar por empleados de la central de tarjetas de crédito, llamando telefónicamente al titular para solicitarle que con el objeto de anular la posibilidad de utilización fraudulenta de la tarjeta robada le revele su clave secreta o personal”[9].

Hoy por hoy, con el desarrollo de las redes sociales en Internet, una nueva modalidad es la creación de páginas o usuarios suplantando a otra persona.

3.4 Phishing

Los ataques de estafa a través de Internet por el método “phishing”, que significa “pesca” en el argot informático, se han ido incrementando. El sistema más utilizado por los cyber-estafadores es el envío de correos electrónicos con falsos remitentes, como por ejemplo de entidades financieras,  de forma tal que las víctimas cliquearan en un link y de esa forma podían obtener información personal[10].

Pero ya se habla de una nueva generación de phishing. Hispasec[11] demuestra cómo es posible realizar ataques phishing en servidores seguros de entidades bancarias, aun cuando el usuario visualice que la URL comienza por https:// seguido del nombre de la entidad y que el icono del candado que aparece en la parte inferior del navegador certifique que se encuentra en el servidor seguro del banco, lo que constituían hasta el momento las recomendaciones que se hacían para acceder de forma segura a la banca electrónica[12].  Como podemos ver esto se ha vuelto inseguro y el Pharming es la confirmación de esta afirmación.

3.5 Derivados del Phishing

3.5.1 Scam

A este tipo de fraude también se lo conoce como phishing laboral, porque tiene como objetivo obtener datos confidenciales de usuarios, para acceder a sus cuentas bancarias.

Las modalidades utilizadas consisten en envíos masivos de correos electrónicos o la publicación de anuncios en webs, en los que se ofrecen empleos muy bien remunerados. Cuando el usuario acepta la oferta de trabajo, se le solicita que facilite datos de sus cuentas bancarias, a través de un e-mail o accediendo a una web, para ingresarle los supuestos
beneficios.

3.5.2 Smishing

Esta es otra variante del phishing, pero el ataque se realiza a través de los mensajes a teléfonos móviles. El resto del procedimiento es igual al del phishing, el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario que facilite sus datos, a través de otro SMS o accediendo a una página web falsa, idéntica a la de la entidad en cuestión.

3.5.3 Spear Phishing

También estamos, en este caso, ante un sub tipo de phishing en el que, en lugar de realizar un envío masivo de correos electrónicos, se envían correos con mayor grado de personalización, a destinatarios concretos, consiguiendo que los mensajes resulten más creíbles que los del phishing tradicional.

3.5.4 Vishing

Esta clase de fraude también persigue la obtención de datos confidenciales de los usuarios, pero a través de la telefonía IP. Los ataques de vishing se suelen producir siguiendo dos esquemas[13]:

Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema relacionado con sus cuentas bancarias, con el fin de que éstos llamen al número de teléfono gratuito que se les facilita.

Utilización de un programa que realice llamadas automáticas a números de teléfono de una zona determinada.

En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje automático le solicita el número de cuenta, contraseña, código de seguridad, etc.

3.6 Pharming

El pharming deriva del término farm, granja en inglés, expresión que es utilizada cuando el atacante ha conseguido acceso a un servidor DNS o varios servidores, en este último caso granja de servidores o DNS.

Esta modalidad de fraude online ataca la vulnerabilidad del software de los servidores DNS o de los equipos de los propios usuarios, redireccionando el nombre de dominio a un sitio web falso, diseñado por el atacante.

Es utilizada para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos personales del usuario, generalmente datos bancarios.

Si el phishing engaña a los usuarios uno por uno, conduciéndolos a visitar un sitio apócrifo de su banco o comercio preferido, el pharming interviene las comunicaciones entre el usuario y su proveedor de Internet (ya sea un proveedor de comunicaciones, o un servidor corporativo) para lograr que cuando un usuario teclea en su navegador una dirección legítima, éste sea conducido a una falsificación de la página Web que quiere visitar y sea ahí donde introduzca los datos de su cuenta[14].

Por tanto, el riesgo para el usuario en los casos de pharming es diferente, mientras que en el phishing requiere una actitud activa, hacer click en el link del correo electrónico, en el pharming el fraude se produce sin participación directa del usuario. La utilización de medidas técnicas de seguridad en un sistema, como por ejemplo un firewall, herramientas de protección contra adware y spyware, contrarrestan este tipo de amenazas[15].

El pharming se realiza modificando el software lo cual puede realizarse en forma remota o introduciendo un programa que lo realice en forma automática. Para ello es necesario introducir un troyano en el disco duro de la víctima, el cual puede autoeliminarse, borrando del disco duro las huellas del ataque.

“La respuesta es muy delicada para el banco, si hace responsable al cliente y el “pharming” se generaliza, los usuarios abandonaremos en masa la banca online por insegura y peligrosa, pero si el banco carga con los gastos. ¿A cuánto tendrá que subir las comisiones por operación el banco online para cubrir este riesgo? ¿Seguirá siendo competitivo? Si no se atajan estos riesgos, quizá el porvenir de la e-banca no sea después de todo tan brillante como se auguraba”[1].

3.7 Scavenging

Es la apropiación de informaciones residuales, la que consiste en la obtención de información a partir de lo que desechan los usuarios legítimos de un sistema informático.

4. Marco jurídico uruguayo

La primer norma uruguaya que tipifica un delito informático es la Ley Nº 16.002 del 25 de noviembre de 1988, la cual en el artículo 130 establece: “El que voluntariamente trasmitiere a distancia entre dependencias oficiales un texto del que resulte un documento infiel, incurrirá en los delitos previstos por los artículos 236 a 239 del Código Penal, según corresponda”.

La Ley Nº 18.600 de 21 de setiembre de 2009 de documento electrónico y firma electrónica establece en el artículo 4 inciso 2º establece: “El que voluntariamente transmitiere un texto del que resulte un documento infiel, adultere o destruya un documento electrónico, incurrirá en los delitos previstos por los artículos 236 a 245 del Código Penal, según corresponda”.

Además de los delitos tradicionales tipificados en nuestro Código Penal, como el hurto en el artículo 340, la estafa en el artículo 347, el daño en el artículo 358, existen una serie de normas, que enunciamos a continuación[2]:

Ley N° 17.520 de 19 de julio de 2002. Se penaliza el uso indebido de señales destinadas exclusivamente a ser recibidas en régimen de abonados.

Ley Nº 17.559 de 27 de setiembre de 2002. Se aprueba el Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de niños en pornografía.

Ley Nº 17.616 de 10 de enero de 2003, artículos 15 a 17. Se modifican y sustituyen artículos de la Ley Nº 9.739 de 17 de diciembre de 1937, especialmente los artículos 46 a 48.

Ley Nº 17.815 de 06 de setiembre de 2004. Se regula la violencia sexual, comercial o no comercial cometida contra niños, adolescentes e incapaces que contenga la imagen o cualquier otra forma de representación.

Ley Nº 18.383 de 17 de octubre de 2008. Se penaliza el atentado contra la regularidad de las telecomunicaciones, modificándose el artículo 217 de Código Penal.

Ley Nº 18.494 de 05 de junio de 2009, artículo 5º. Se modifica el régimen sobre prevención y control de lavados de activos y del financiamiento del terrorismo regulándose las vigilancias electrónicas.

Ley Nº 18.515 de 26 de junio de 2009, artículos 7º a 10. Se modifican artículos del Código Penal y de la Ley Nº 16.099 de 03 de noviembre de 1989, que tipifican delitos relativos a los
medios de comunicación.

Ley Nº 18.719 de 27 de diciembre de 2010 de Presupuesto Nacional, artículo 149. Se crea la Dirección de Seguridad de la Información.

Uruguay está trabajando en un proyecto de reforma del Código Penal, a cuyos efectos, l artículo 22 de la Ley N° 17.897 de 14 de setiembre de 2005 creó una Comisión, la que se integra por representantes de distintos organismos y organizaciones, tomando en consideración para su elaboración principios modernos de política criminal, introduciendo modificaciones y agregando conductas no tipificadas en el código penal vigente.

Concomitantemente, se presentó un proyecto de ley del senador Tabaré Viera, que plantea penas de prisión escalonadas para las falsificaciones informáticas, accesos ilícitos, interceptación de datos, pornografía infantil y fraude.

El texto del proyecto propone castigar de forma escalonada una decena de delitos relacionadas con el manejo informático (muchos ya previstos en la ley), con multas que van de las 50 a 500 Unidades Reajustables ($231.500), o penas de prisión de entre tres meses y siete años. Luego de definir lo que entiende por sistema informático, datos y proveedores de servicios, entre otras cosas, el proyecto detalla los casi diez delitos que componen la “ciberdelincuencia”[3].

La normativa uruguaya contiene los principios básicos en materia de seguridad de la información. Las medidas de seguridad para la protección de los datos personales dependerá del tipo de organización, del volumen de los datos tratados, de los sistemas que utilicen, del responsable o encargado de tratamiento y de las personas que participen en cualquier fase del procesamiento de los datos personales.

El principio de seguridad se encuentra inmerso dentro del conjunto de los principios establecidos en la LPDP, por lo que la aplicación e interpretación del mismo debe guardar estrecha relación con ellos.

También cuenta nuestro país con la División de Delitos Informáticos perteneciente al Departamento de Delitos Complejos de la Policía de Montevideo, fue creada por Decreto N° 254/003, y comenzó a funcionar en el año 2005.

“Delitos informáticos” es una nominación para que se entienda, pues no existe una legislación en Uruguay que los defina. “Lo que hacemos es combatir los ilícitos como estafa, hurto, amenaza, y en que el medio para cometerlos sea Internet”, explicó el subjefe de la división, el oficial Roberto Ferreira[4].

5. Reflexión final

La normativa uruguaya contiene los principios básicos en materia de seguridad de la información. Las medidas de seguridad para la protección de los datos personales dependerá del tipo de organización, del volumen de los datos tratados, de los sistemas que utilicen, del responsable o encargado de tratamiento y de las personas que participen en cualquier fase del procesamiento de los datos personales.

El principio de seguridad se encuentra inmerso dentro del conjunto de los principios establecidos en la LPDP, por lo que la aplicación e interpretación del mismo debe guardar estrecha relación con ellos.

También cuenta nuestro país con la División de Delitos Informáticos perteneciente al Departamento de Delitos Complejos de la Policía de Montevideo, fue creada por Decreto N° 254/003, y comenzó a funcionar en el año 2005.

“Delitos informáticos” es una nominación para que se entienda, pues no existe una legislación en Uruguay que los defina. “Lo que hacemos es combatir los ilícitos como estafa,
hurto, amenaza, y en que el medio para cometerlos sea Internet”, explicó el subjefe de la división, el oficial Roberto Ferreira[5].

Uruguay debe trabajar en la actualización de marcos legales adecuados que den seguridad en los delitos informáticos no tipificados en nuestro derecho penal.

[1] VIEGA, María José y DELPIAZZO Carlos. Lecciones de Derecho Telemático. Tomo I. Lección 13. Página 177.

[2] http://cert.inteco.es/Acerca_de/. Página visitada 29 de junio de 2010.

[3] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ponencia presentada al Seminario Nuevas Tecnologías: Privacidad y Seguridad. Cartagena de Indias, 21 al 23 de julio de 2010.

[4] Curso CEDDET. Módulo 3: Seguridad, confidencialidad, transferencias internacionales y autorregulación. Página 43.

[5] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. CADE[6] Viega María José y Carnikian Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ob. Cit.[7] PAZ Santiago. Presentación del CERTuy junio del 2010.
[8] INTECO (Instituto Nacional de Tecnologías de la Comunicación). “Guía legal sobre Ciberbullying y Grooming”.

[9] BLOSSIERS MAZZINI, Juan José. CALDERON GARCIA Sylvia B. “Los Delitos  inform@ticos”. Editora RAO SRL Lima, 2000. Páginas 53 y 54.

[10] VIEGA, María José. “El problema de los datos personales y el espionaje en Internet”, presentada al Cuarto Congreso Internacional de Derecho (CIDER 2005) en las Sedes de Cochabamba, Santa Cruz y La Paz. Bolivia, 23 al 25 de noviembre de 2005. Publicada en el Libro de Ponencias.

[11] http://www.hispasec.com/unaaldia/2406 Página visitada 13 de junio 2005.

[12] VIEGA, María José. “Privacidad Vs. Espionaje en Internet”. Anuario de “Derecho Informático”. Tomo VI Jurisprudencia correspondiente al año 2005 y en el Boletín de Derecho y Tecnologías Nº 16 Enero 2005  http://viegasociados.com/moodle//mod/forum/discuss.php?d=440

[13] http://www.delitosinformaticos.info/delitos_informaticos/glosario.html Página visitada 21 de junio de 2010.

[14] http://www.mx.terra.com/tecnologia/interna/0,,OI889426-EI4906,00.html Página visitada 21 de junio de 2010. El Pharming: amenaza de fraude a negocios. Trend Micro. 21 de febrero de 2006.

[15] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ob. Cit.

[16] http://www.laflecha.net/canales/seguridad/articulos/pharming/ El Pharming, un peligro para la e-banca. Página visitada 21 de junio de 2010.

[17] VIEGA María José, RODRIGUEZ Beatriz y BALADAN Flavia. “Marco normativo del Derecho Informático”. Libro editado en Montevideo en Junio 2011.

[18] http://www.observa.com.uy/actualidad/nota.aspx?id=99214&ex=25&ar=2&fi=1&sec=8 Información del día 8 de julio de 2010.

[19] Ciberpolicías patrullan la web.http://www.elpais.com.uy/Suple/DS/07/04/22/sds_276418.asp El País Digital del 22 de abril de 2007.

[20] Ciberpolicías patrullan la web.http://www.elpais.com.uy/Suple/DS/07/04/22/sds_276418.asp El País Digital del 22 de abril de 2007.

Uruguay aprueba Convenio 108 con el Consejo de Europa

Por Daniel A. López Carballo

Según se hacia eco en el día de ayer, la Unidad Reguladora y de Control de Datos Personales de Uruguay informaba que las Cámaras del Parlamento Nacional habían aprobado el Convenio número 108 del Consejo de Europa que garantiza a cualquier persona física el respeto de sus derechos y libertades fundamentales con respecto al tratamiento automatizado de los datos de carácter personal.

Desde el Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales se informaba sobre la aprobación por parte de ambas Cámaras del Parlamento Nacional del “Convenio N°108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal” (Ley 19.030  y “Protocolo Adicional al Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, a las autoridades de control y a los flujos transfronterizos de datos”. La propia Unidad al refrerirse al Convenio y su finalidad decía que “El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»)”.

El Consejo de Europa invitó a Uruguay a suscribir este Convenio, en mérito a sus avances en la defensa del derecho a la protección de datos personales, convirtiéndose, de este modo, en el primer país no europeo invitado a suscribirlo. Su aprobación es un hito muy importante para nuestro país que cierra un año de grandes éxitos y crecimientos en materia de protección de datos personales.

Cabe recordar que la Unidad Reguladora y de Control de Datos Personales (URCDP) fue creada por la Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data (LPDP), con autonomía técnica, cuya finalidad es custodiar el cumplimiento de la legislación de protección de datos personales y asegurar el respeto de sus principios. Entre sus facultades se encuentran asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza; dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley; realizar un censo de las bases de datos alcanzados por la ley y mantener el registro permanente de los mismos; controlar la observancia de las normas sobre integridad, veracidad y seguridad de datos por parte de los responsables de las bases de datos, pudiendo a tales efectos realizar las actuaciones de inspección pertinentes; solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran. En estos casos, la autoridad deberá garantizar la seguridad y confidencialidad de la información y elementos suministrados; emitir opinión toda vez que le sea requerida por las autoridades competentes, incluyendo solicitudes relacionadas con el dictado de sanciones administrativas que correspondan por la violación a las disposiciones de esta ley, de los reglamentos o de las resoluciones que regulan el tratamiento de datos personales comprendidos en ésta; asesorar en forma necesaria al Poder Ejecutivo en la consideración de los proyectos de ley que refieran total o parcialmente a protección de datos personales e informar a cualquier persona sobre la existencia de bases de datos personales, sus finalidades y la identidad de sus responsables, en forma gratuita.

Uruguay da un paso más en materia de protección de datos, adhiréndose a los estándares internacionales, siendo considerado, conforme a la Directiva 95/46/CE como país adecuado por la Unión Europea en materia de Protección de Datos Personales, y convirtiéndose en el primer país no europeo en aprobar el referido Convenio para convertirse en parte del mismo.