lunes, 10 de diciembre de 2012

Video: Disertación en las III Jornadas de Cloud Computing Security

El miércoles 19 de Octubre, se realizaron las III Jornadas de Cloud Computing Security, organizadas por CXO Community, dentro del Auditorio Principal de la Universidad del CEMA.
En las mismas fui invitado para la disertación en el último panel de las Jornadas, dedicado a los aspectos legales a considerar en las migraciones a la nube. Dicho Panel fue moderado por el Lic. Cristian Borghello y compartido con el Dr. Facundo Malaureille Peltzer.  
La exposición tuvo por objetivo enseñar el funcionamiento de la cesión de licencias en materia de propiedad intelectual, explicando la necesidad de estas cesiones (usuario-proveedor y proveedor-usuario) para la propia existencia de los servicios.
Junto a ellos, se desarrollaron algunos tips legales a tener en cuenta al momento de realizar los contratos con un proveedor de servicios cloud.
La idea final consistió en transmitir que si bien el derecho argentino no desborda de herramientas actualizadas para los nuevos contratos de internet, aún así es perfectamente posible migrar hacia el cloud computing manteniendo un importante nivel de seguridad jurídica para los usuarios y las empresas.


A continuación pueden ver el video de la exposición del panel completo (mi exposición comienza a partir de los 22 minutos)

domingo, 9 de diciembre de 2012

La obligación de verificación de identidad en las operaciones bancarias

Hace algunos días, el Lic. Cristian Borghello (Segu-Info) publicó VISA - relato de una estafa consensuada, en la cuál cuenta una situación personal pero que a su vez, es compartida con la inmensa cantidad de personas que han sufrido este tipo de estafas (y donde muchas de ellas, nunca se dieron cuenta).

La pregunta es ¿Qué pasa en estos casos? ¿Qué pasa cuando somos usuarios de un servicio, que, por deficiencias propias, nos perjudica?
Las deficiencias y problemas del sistema, ya han sido desarrollados en el artículo citado, pero debemos volver sobre el punto crítico del fallo: la falta de diligencia de la empresa / entidad bancaria para verificar la identidad del usuario que pretende pagar un servicio (o comprar un producto) con una tarjeta que no le pertenece.

En relación a esta situación, por un lado es aplicable lo dispuesto por la Ley 25.246, en cuyo art. 21 inc. a establece la obligación de las entidades financieras -y otras tantas personas detalladas en el art. 20- de
a. Recabar de sus clientes, requirentes o aportantes, documentos que prueben fehacientemente su identidad, personería jurídica, domicilio y demás datos que en cada caso se estipule, para realizar cualquier tipo de actividad de las que tienen por objeto. Sin embargo, podrá obviarse esta obligación cuando los importes sean inferiores al mínimo que establezca la circular respectiva.
Cuando los clientes, requirentes o aportantes actúen en representación de terceros, se deberán tomar los recaudos necesarios a efectos de que se identifique la identidad de la persona por quienes actúen.
Toda información deberá archivarse por el término y según las formas que la Unidad de Información Financiera establezca;
Asimismo, a través de la Ley de Tarjetas de Créditos Nº 25.065, en su art. 37 inc. c se reitera la obligación aún más precisa de verificación de la identidad del usuario:
ARTICULO 37.— El proveedor esta obligado a:
a) Aceptar las tarjetas de crédito que cumplan con las disposiciones de esta ley.
b) Verificar siempre la identidad del portador de la tarjeta de crédito que se le presente.
c) No efectuar diferencias de precio entre operaciones al contado y con tarjeta.
d) Solicitar autorización en todos los casos.
Es decir, existe en cabeza del proveedor del servicio, la obligación permanente de verificar la identidad del portador de la tarjeta de crédito que se le presente.

En este sentido, existe importante caudal de jurisprudencia en nuestro país. Por ejemplo, en el caso "Laino, Romina Gabriela c. Banco Sáenz S.A. 11/02/2010 - Cámara Nacional de Apelaciones en lo Comercial, sala A", donde la accionante había sido incluída en la lista de morosos del Banco Central, por una deuda por un crédito que un tercero sacó en una casa de electrodomésticos, el cuál fue financiado por su banco. La Cámara confirmó que:
Siendo indiscutible que el comercio en el cual fue utilizado el documento de identidad de la actora para adquirir mercadería financiada con un préstamo bancario, no cumplió adecuadamente con su obligación de verificar la identidad del solicitante, ha de concluirse que el banco otorgante es responsable por la indebida inclusión de aquélla como morosa en la base de datos del Banco Central de la República Argentina, pues infringió su deber de prudencia y diligencia al delegar el cumplimiento de una obligación que resulta indelegable.

Siguiendo al Abog. Gabriel Martinez Medrano en su art. "El robo de Identidad. La responsabilidad de los Bancos y del Estado", la negligencia del banco resulta de comparar la conducta obrada con la conducta esperable de un profesional del negocio bancario. El estándar para medir la culpa del banco es altísimo. Trátase de un profesional especializado en un negocio concreto, que debe adoptar todos los recaudos para evitar otorgar una tarjeta, cuenta o crédito al primero que pasa por la entidad y lo solicita a nombre de un tercero.

En consecuencia, no sólo existe la obligación de control y verificación por parte de las entidades bancarias, sino que además la misma es considerada como una operación profesional, por lo que deberán tomarse los recaudos suficientes para que su obrar sea  considerado como diligente en el caso. Esto implica que deberá demostrar que cumplió con todos los recaudos detallados anteriormente... ¿Podrán hacerlo?

La propia Ley 25.065 de Tarjetas de Créditos, en sus arts. 26 a 30 regula algunas reglas del proceso de reclamo e impugnación de las liquidaciones o resúmenes con errores. Básicamente, recordaremos que el titular puede cuestionar la liquidación dentro de los treinta (30) días de recibida, detallando claramente el error atribuido y aportando todo dato que sirva para esclarecerlo por nota simple girada al emisor.

El emisor de la tarjeta, deberá dar cuenta de recepción de esta nota dentro de los 7 días, y dentro de los 15 días siguientes, deberá corregir el error si lo hubiere o explicar claramente la exactitud de la liquidación, aportando copia de los comprobantes o fundamentos que avalen la situación.

Para finalizar el artículo, me gustaría expresar la necesidad de todas las entidades financieras, bancarias y de todas aquellas empresas que utilizan sus servicios, de realizar acciones positivas en materia de seguridad de la información. La falta de capacitación del personal, la falta de interés en el cuidado de la identidad y el patrimonio de los usuarios, la falta de cumplimiento de obligaciones legales existentes, claras y precisas, sumado a la cantidad de casos (en crecimiento) sobre estafas bancarias (físicas y virtuales), deberían generar un cambio y un avance de las empresas en mejorar sus niveles de seguridad.

Mandar un mail de vez en cuando con consejos sobre el phishing, es bueno, pero no alcanza..

CONICET - Beca Tipo I para Doctorado

Hace tiempo que esperaba este día... tengo el gusto de contarles que desde el CONICET me han otorgado una Beca Tipo I, para realizar el Doctorado en Derecho y sobre todo, poder seguir investigando en lo que es mi pasión, el derecho informático. Puntualmente, el plan de trabajo fue diseñado para investigar en materia de delitos informáticos en Argentina y su relación con los estándares internacionales en materia de Cibercriminalidad.
Saludos y gracias a todos los que lo hicieron posible!

jueves, 6 de diciembre de 2012

Salió la Revista Digital El Derecho Informático Nº 13

Esta semana se ha lanzado el Nº 13 de la Revista Digital El Derecho Informático, el cuál tengo el orgullo de dirigir y editar junto al Dr. Guillermo Zamora para nuestra Red Elderechoinformático.com. Aquí les dejo más información sobre el contenido de la revista y al final podrán acceder al link para leer online o descargar gratuitamente.
 
Título: Revista Digital El Derecho Informático Nº 13 (Diciembre 2012)
Autor(es): Varios
Publicación: 2012
Editorial: Red Iberoamericana El Derecho Informático - Edición propia
Núm. Páginas: 33p.
Tamaño: 5,20 Mbs (zip)
Idioma: Español
Índice de Artículos:
- Aplicación de tribunales virtuales en el comercio electrónico en Colombia. Por Lic. William Enrique Montero Rodelo
- El derecho no puede ser exacto (¡!). Por Noé Adolfo Riande Juárez
- El problema de la investigación de los delitos informáticos. Por Dr. Gonzalo Iglesias
- Privacidad por diseño y por defecto. Por Oscar Maire-Richard
- El impacto del diseño gráfico en la imagen corporativa. Por Lacie Design
- Las redes sociales y el impacto en la vida cotidiana. Por Abog. Romina Cabrera
- Entrevista al Ing. Mauro Graziosi. Experto en Seguridad Informática

Link para leer online o descargar

domingo, 2 de diciembre de 2012

Charlas en la Escuela Dr. N. Avellaneda

El pasado Viernes 30 de Noviembre, fue el Día Internacional de la Seguridad de la Información, y para festejarlo, desde AsegurarTe se realizó una charla para alumnos y docentes de la Escuela Dr. N. Avellaneda, de la ciudad de Santa Fe, buscando informar y capacitar sobre un "Uso Responsable de las Nuevas Tecnologías". La charla fue dictada por Maximiliano Macedo, y por el Abog. Marcelo Temperini, con una duración de más de 2 hs, debido al interés y participación de los alumnos y docentes que asistieron a la misma.
Este ciclo de charlas forma parte de un proyecto que se intenta llevar a cabo en nuestra ciudad de Santa Fe, llamado "Conciencia Digital", el cuál tiene por objetivo llevar estas charlas para padres, docentes y alumnos a todas las instituciones educativas secundarias. Aquellos que tengan interés en obtener más información, pueden acceder a www.asegurarte.com.ar.
Desde ya agradecemos el cordial trato por parte de las autoridades de tan importante institución pública educativa de nuestra ciudad de Santa Fe.





sábado, 1 de diciembre de 2012

Datos personales y leyendas legales en Facebook

Hace varios días, Facebook experimenta una inundación de algunas leyendas legales que los usuarios copian y pegan en sus propios muros. Estas leyendas, además de ser publicadas en los muros de los usuarios, también han sido objeto de publicación como comentarios en el Facebook Site Governance (Site oficial de Facebook para informar sobre las novedades y cambios de sus condiciones de servicio). El objeto del presente post, será intentar responder al interrogante ¿Son válidas estas leyendas?

A continuación reproducimos uno de sus textos más difundidos (existen diferentes variantes, adaptadas por los propios usuarios):

Habiendo leído, comprendido y visto los términos y condiciones de Facebook: yo: (Nombre y Apellido) NO AUTORIZO el uso de mis datos personales (textos, fotografías, imágenes personales, datos personales) de acuerdo con la ley de protección de datos. Rechazo totalmente que usuarios ajenos a mi pagina Facebook usen mi biografía para comentar u observar cualquier publicación. DE MODO IRREVOCABLE PROHÍBO TERMINANTEMENTE EL USO DE MIS DATOS PERSONALES (textos, fotografías, imágenes personales, datos personales) DE ACUERDO CON LA LEY DE PROTECCIÓN DE DATOS; esto se aplica a todos los datos de mi página de Facebook. Los derechos sobre el uso de estos ME PERTENECEN EXCLUSIVAMENTE, por lo que necesita mi consentimiento personal y por escrito. Sólo yo debo y puedo acceder a mis datos de carácter personal, así como también procesarlos. El uso comercial requiere mi permiso por escrito. No están permitidos ni el uso de mi perfil ni hacer un perfil analítico mío, así como los datos que no se obtuvieron de mí. Además, mis datos NO PUEDEN ser utilizados para estudios de mercado y con fines publicitarios! Yo personalmente quiero decidir los amigos que pueden ver con quién estoy siendo amigo o no, independientemente de que este amigo sea también un amigo de un amigo mío. Me gustaría administrar la lista inteligente e incluso borrar completamente, cuando yo lo crea necesario. Me opongo a la divulgación de datos personales a terceros. Yo rechazo tanto las directrices existentes como los cambios de ésta, además insto a Facebook que cumpla con la política de privacidad, la protección de datos del consumidor y la legislación de derechos de autor en Europa, así como todos los otros países con regulaciones de protección de datos. Las prohibiciones anteriores se aplican también a su(s) empleado(s), representantes, estudiantes y todo el personal bajo su dirección o control. QUE QUEDE CLARO NO AUTORIZO Y RECHAZO TOTALMENTE EL USO DE MIS DATOS A CUALQUIER PERSONA FÍSICA, JURÍDICA O GUBERNAMENTAL. NO DOY MI CONSENTIMIENTO para que mis datos personales sean transferidos y procesados, incluyendo los que he borrado.

Debemos comenzar afirmando que todo usuario, al registrarse en Facebook, obligatoriamente acepta las DDR (Declaraciones de Derechos y Rresponsabilidades). Dicho contrato es de adhesión, es decir que una de las partes predispone el texto, mientras que la otra parte solamente tiene dos alternativas: aceptarlo o no hacerlo. Si somos usuarios de Facebook, es porque lo hemos aceptado, y por lo tanto desde el comienzo de la relación, todos los aspectos relativos a la privacidad, protección de datos personales, propiedad intelectual de los contenidos y otros aspectos, son regulados por dichas cláusulas.

De hecho, expresamente a través del art. 19 (Otros) inc. 5, el usuario acepta que: “Cualquier corrección a o exención de esta Declaración deberá hacerse por escrito y estar firmada por nosotros.” Es decir, la publicación por parte de un usuario de una manifestación unilateral (posteando dicha leyenda) posterior a la celebración de un contrato para la utilización de un servicio, NO es válida.

Más allá de eso, intentaremos razonar jurídicamente si fuera realmente posible aplicar la leyenda, y que básicamente se resume a que el usuario desea prohibir el uso de los datos personales a Facebook. ¿Podría un usuario de Facebook revocar su consentimiento para el tratamiento de sus datos personales?

De acuerdo a la legislación Argentina (Ley Nº 25.326 – art. 5), “el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.” ¿Podría alegar un usuario de Facebook que no sabía que tipo de tratamiento se le iba a dar a sus datos personales? Probablemente NO, precisamente por lo que antes señalamos: al ingresar como usuarios a Facebook, declaramos haber leído (cosa que realmente deberían hacer todos los usuarios) y aceptado las condiciones del Servicio, incluídas las políticas de privacidad y demás documentación aplicable.

No obstante, no debemos olvidarnos que en las propias DDR de Facebook, más precisamente en el art. 16 inc. 1, aceptamos la aplicación de la jurisdicción y la legislación de California, Estados Unidos. Esta cláusula es aplicable para todo el mundo (literalmente) excepto para Alemania, quien a través de sus diferentes “peleas” con Facebook por la privacidad, logró que a través del art. 17 inc. 3 se incluyera excepciones para los usuarios de Alemania, entre los cuáles existen un reemplazo del art. 16 inc. 1, afirmando que sus contratos si se les aplica la legislación alemana.

Por otro lado, es interesante analizar si más allá del aspecto legal, dicha leyenda realmente podría aplicarse al servicio. El propio funcionamiento de una red social (cualquiera sea) es basado sobre el hecho de compartir contenidos entre usuarios, interactuando con ellos, y donde gran parte de esos contenidos, contienen una amplia gama de datos personales. En consecuencia, si un usuario realmente quisiera revocar el consentimiento para el tratamiento de sus datos personales, básicamente debería cerrar su cuenta, dado que de otra manera el Servicio en sí de la red social se haría de realización imposible. Este aspecto tiene una estrecha relación con el funcionamiento de la cesión de derechos de uso sobre los contenidos que el usuario transmite a la plataforma, y sobre las características particulares de esa licencia. Sin embargo, ello será motivo de otro post diferente, para no extendernos más en el presente.

Para finalizar, me tomaré la licencia de realizar una apreciación personal sobre el fenómeno analizado y su relación con la privacidad. Considero que por un lado, existe una gran población de usuarios de las redes sociales (Facebook y otras) que desconocen realmente las “reglas de juego” para participar de alguna red social, donde es la información del usuario la moneda de cambio por la utilización del servicio.

Desde otra perspectiva, es interesante observar el comportamiento de los usuarios en relación a la protección de su privacidad. Opino que existe una especie de intención de reclamo externalizado a través de este tipo de leyendas, que son utilizadas más bien como “banderas de la privacidad”, donde el usuario se siente identificado con todo o parte del texto, y quiere creer que copiando y pegando un texto en su muro, mejorará su situación sobre la privacidad de sus datos...

La privacidad en sí, es un concepto personal y mutable, que se va construyendo y forjando con el tiempo. La decisión de mantener una cierta actitud de resguardo sobre la privacidad, debe ser construido día a día, primero decidiendo y auto respetando el ámbito de privacidad que deseo tener, y luego, si exigiendo que otros terceros respeten esa línea que personalmente he demarcado. ¿Cómo? Se construye dedicando 30 minutos a comprender cuáles son las condiciones del servicio. Si realmente comprendo y decido aceptar, entonces debería dedicar 10 minutos a repasar la configuración de privacidad. Y día a día se deberá reservar algunos de reflexión antes de comentar en un muro, antes de subir las fotos donde se vea la familia, la patente del auto y la dirección de la casa, antes de etiquetar a otra persona, antes de postear donde vamos a ir este verano de vacaciones, segundos de reflexión antes de... compartir que afecte en algo esas ganas de privacidad.


Publicado en Locos del Social