miércoles, 30 de abril de 2014

Uso Responsable de Internet en Tiempo de Abuelos (Canal Somos Santa Fe)


Agradecemos al programa Tiempo de Abuelos por la invitación al programa para difundir consejos y recomendaciones para un Uso Seguro y Responsable de Internet para los abuelos tech. Programa emitido el día Miércoles 9 de Abril, en Canal Somos Santa Fe.

Tecno Trece Nº 21 - El fallo Heartbleed

Comparto la nota que salió al aire en Tecno Trece Nº 21, sobre el fallo de Heartbleed, algunos consejos y el comentario sobre la obligación legal de los responsables de datos personales de solucionar dicho fallo. Junto a Coqui Toum y AsegurarTe - Consultora en Seguridad de la Información


VII Congreso de Derecho Informático en Santa Fe

VII Congreso de Derecho Informático

Organizan: ADIAr (Asociación de Derecho Informático de Argentina) y FCJS / UNL
Fecha: Viernes 16 de Mayo de 2014
Lugar: Facultad de Ciencias Jurídicas y Sociales (Universidad Nacional del Litoral) - Cándido Pujato 2751 - Santa Fe Capital.
Costo: Gratis para Socios de ADIAr / $200 para No Socios / $50 para Estudiante. Se entregan certificados
Auspician: Red Elderechoinformático.com; Microjuris Argentina; International Latin University; Rubinzal Culzoni Editores
Más información en: www.adiar.org



domingo, 13 de abril de 2014

Obligacion legal de solucionar Heartbleed

La ahora conocida falla "Heartbleed" sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas). 

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya "parcheado" (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:
"El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."
En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la  base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:
Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 
1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; [...]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Nota publicada en Segu-Info:  http://blog.segu-info.com.ar/2014/04/no-solucionar-heartbleed-incumple-la.html

miércoles, 9 de abril de 2014

Entrevista para Revista Rumbos - Nota "Laberinto Google"

Nota realizada por la Revista Rumbos publicada el Domingo 7 de Abril sobre el servicio de Google Street View y sus diferentes implicancias sobre la privacidad de las personas. Agradezco la entrevista a Víctor Laurencena.