martes, 23 de febrero de 2016

La falsa nota sobre la protección de los derechos en Facebook


Como sucede año tras año, se viralizan falsas noticias (HOAX) de distintos temas, pero siempre suelen ser efectivos aquellos relacionados con Facebook o Whatsapp. En esta oportunidad, se ha difundido de forma viral un supuesto texto legal que pretende proteger a los usuarios contra el “robo” de información en Facebook
“Dejo establecido que debido al hecho de que Facebook ha optado por incluir software que le permitirá el robo de información personal: hoy, 20 de Febrero de 2016, en respuesta a las nuevas directrices de Facebook, de conformidad con los artículos L.111, 112 y 113 del código de la propiedad intelectual, declaro que mis derechos están conectados a todos mis datos personales dibujos, pinturas, fotografías, textos, música, etc... publicado en mi perfil. Para uso comercial de lo expuesto anteriormente se requiere en todo momento mi consentimiento. Aquellos que leen este texto pueden hacer un copy/ paste en su muro de Facebook. Esto les permitirá colocarse bajo la protección del derecho de autor. Por esta declaración, le digo a Facebook que queda estrictamente prohibido divulgar, copiar, distribuir, transmitir o tomar cualquier otra acción contra mí en base a este perfil y o su contenido. Las acciones antes mencionadas se aplicarán también a los empleados, estudiantes, agentes y/o cualquier otro personal bajo la dirección de Facebook. El contenido de mi perfil contiene información privada. La violación de mi intimidad es castigada por la ley (UCC 1-308 1-308 1-103 y el estatuto de Roma). Facebook ahora es una entidad de capital abierto. Todos los miembros están invitados a enviar un aviso de este tipo, o si lo prefieren, pueden copiar y pegar esta versión. Nota: Si no has publicado esta declaración al menos una vez, tácitamente permites el uso de elementos tales como tus fotos, así como la información contenida en la actualización del perfil.”
Para comenzar, es importante aclarar que los fundamentos legales citados no tienen ningún tipo de relación con lo que se pretende lograr, toda vez que son artículo del Código Comercial Unificado de los EEUU, de forma que dicha normativa es aplicable solamente para aspectos comerciales.
Los derechos, ya sean de propiedad intelectual o relacionados a tu privacidad, son regulados por la Declaración de Derechos y Responsabilidades de Facebook (https://www.facebook.com/legal/terms), acuerdo de adhesión que aceptas por tener una cuenta de Facebook y que de ninguna manera podría ser modificado por una declaración del usuario realizada en su muro. Es decir que si somos usuarios de Facebook, es porque lo hemos aceptado, y por lo tanto desde el comienzo de la relación, todos los aspectos relativos a la privacidad, protección de datos personales, propiedad intelectual de los contenidos y otros aspectos, son regulados por dichas cláusulas.
De hecho, expresamente a través del art. 19 (Otros) inc. 5, el usuario acepta que: “Cualquier enmienda a esta Declaración o exención de esta deberá hacerse por escrito y estar firmada por nosotros.” Confirmando nuevamente que una publicación por parte de un usuario de una manifestación unilateral (posteando dicha leyenda en su muro) posterior a la celebración de un contrato para la utilización de un servicio, no tiene ningún tipo de validez.
Más allá de eso, intentaremos razonar jurídicamente si fuera realmente posible aplicar la leyenda, y que básicamente se resume a que el usuario desea prohibir el uso de los datos personales a Facebook. ¿Podría un usuario de Facebook revocar su consentimiento para el tratamiento de sus datos personales?
De acuerdo a la legislación Argentina (Ley Nº 25.326 – art. 5), “el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.” ¿Podría alegar un usuario de Facebook que no sabía que tipo de tratamiento se le iba a dar a sus datos personales? Probablemente NO, precisamente por lo que antes señalamos: al ingresar como usuarios a Facebook, declaramos haber leído (cosa que realmente deberían hacer todos los usuarios) y aceptado las condiciones del Servicio, incluídas las políticas de privacidad y demás documentación aplicable.
No obstante, no debemos olvidarnos que en las propias DDR de Facebook, más precisamente en el art. 15 inc. 1, aceptamos la aplicación de la jurisdicción del Tribunal de Distrito de los Estados Unidos para el Distrito del Norte de California o en un tribunal estatal del condado de San Mateo. Esta cláusula es aplicable para todo el mundo (literalmente) excepto para Alemania, quien a través de sus diferentes “peleas” con Facebook por la privacidad, logró que a través del art. 16 inc. 3 se incluyera excepciones para los usuarios de Alemania, entre los cuáles existen un reemplazo del art. 16 inc. 5, afirmando que sus contratos si se les aplica la legislación alemana. Para todo el resto de nosotros (incluídos los argentinos por supuesto), de acuerdo a este art. 16 inc. 1, estamos dando nuestro consentimiento para que tus datos personales se transfieran y se procesen en los Estados Unidos.
Por otro lado, es interesante analizar si más allá del aspecto legal, dicha leyenda realmente podría aplicarse al servicio. El propio funcionamiento de una red social (cualquiera sea) es basado sobre el hecho de compartir contenidos entre usuarios, interactuando con ellos, y donde gran parte de esos contenidos, contienen una amplia gama de datos personales. En consecuencia, si un usuario realmente quisiera revocar el consentimiento para el tratamiento de sus datos personales,  básicamente debería cerrar su cuenta, dado que de otra manera el Servicio en sí de la red social se haría de realización imposible. Este aspecto tiene una estrecha relación con el funcionamiento de la cesión de derechos de uso sobre los contenidos que el usuario transmite a la plataforma, y sobre las características particulares de esa licencia. Sin embargo, ello será motivo de otro post diferente, para no extendernos más en el presente.
Para finalizar, me tomaré la licencia de realizar una apreciación personal sobre el fenómeno analizado y su relación con la privacidad. Considero que por un lado, existe una gran población de usuarios de las redes sociales (Facebook y otras) que desconocen realmente las “reglas de juego” para participar de alguna red social, donde es la información del usuario la moneda de cambio por la utilización del servicio
Desde otra perspectiva, es interesante observar el comportamiento de los usuarios en relación a la protección de su privacidad. Creo que existe una especie de intención de reclamo externalizado a través de este tipo de leyendas, que son utilizadas más bien como “banderas”, donde el usuario se siente identificado con todo o parte del texto, y quiere creer que copiando y pegando un texto en su muro, mejorará su situación sobre la privacidad de sus datos.
La privacidad en sí, es un concepto personal y mutable, que se va construyendo y forjando con el tiempo. La decisión de mantener una cierta actitud de resguardo sobre la privacidad, debe ser construido día a día, primero decidiendo y auto respetando el ámbito de privacidad que deseo tener, y luego, si exigiendo que otros terceros respeten esa línea que personalmente he demarcado. ¿Cómo? 
Se construye dedicando 30 minutos a comprender cuáles son las condiciones del servicio. Si realmente comprendo y decido aceptar, entonces debería dedicar 10 minutos a repasar la configuración de privacidad. Y día a día se deberá reservar algunos de reflexión antes de comentar en un muro, antes de subir las fotos donde se vea la familia, la patente del auto y la dirección de la casa, antes de etiquetar a otra persona, antes de postear donde vamos a ir este verano de vacaciones, segundos de reflexión antes de... compartir algún contenido que afecte en algo esas ganas de tener un poco más de privacidad.
Abog. Marcelo Temperini (Abogado, especializado en Derecho Informático. Doctorando de CONICET dedicado a la investigación de Delitos Informáticos y Cibercrimen en el Centro de Investigación de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Socio Fundador de AsegurarTe, Consultora en Seguridad de la Información)

miércoles, 26 de agosto de 2015

El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"


Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida. 


La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del call center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten". Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?".  Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita. Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "sisi, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc". :(

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, de ejercer los derechos que ya tenemos y de exigir el cumplimiento de las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?"

 _________

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.

_________

Actualización del post: 11/10/2015 a las 19:40 hs

En fecha 05/10/2015, volví a recibir una nueva e interesante llamada de la empresa Movistar, que sigue intentando captarme como cliente a través de los llamados telefónicos. En realidad, algunos días antes recibí otra llamada, pero al hacer la incómoda pregunta sobre "me podes decir de donde sacaste mis datos personales", la señorita al menos tuvo la decencia de directamente cortar la llamada.
En este nuevo caso que traemos, se dio otra conversación interesante donde ante la pregunta mágica (fuente de la base de datos) la vendedora me dice que "Nos lo da Personal Marcelo, sino sería imposible saber cuanto abonas, tu número de documento y titular de línea"... a continuación y atenta a que se me nota la molestia por la situación, la señorita me comenta que "los datos nos lo da Personal, si te molesta, tenes que llamar a Personal para que no de los números..." La charla termina donde intento explicarle a la vendedora que por un lado estoy inscripto en el Registro No llame y por otro, ellos no tienen mi consentimiento para tratar mis datos personales, haciendo que la práctica sea ilegítima. Parece ser que a la chica del call center no le gusto mucho escuchar esto último (sobre la ilegitimidad de la práctica) y decidió dejar de lado los intentos de explicaciones para pasar a algo más sencillo y radical: putearme



A ver si explicamos un poco la situación jurídica de los datos personales en estos casos concretos. Personal es la empresa que me provee el servicio de comunicaciones, con la cuál mantengo una relación contractual (porque obviamente todos los meses debo abonar por el servicio prestado), por lo que legalmente la empresa Personal tiene autorización para tener mis datos personales en virtud de la relación contractual. No obstante, dicha situación para nada implica que ellos puedan ceder mis datos personales (que según reconoce la propia señorita, ellos tienen titular de la línea, dni y cuanto es lo que abono por mi servicio) a otras empresas.

Pensando en esto, se me ocurrió revisar los términos y condiciones legales de Personal, puntualmente sus Políticas de Privacidad, para asegurarme de que lo estoy escribiendo sea cierto, y me encontré con una cláusula que me parece interesante explicarlo (intentaré hacerlo lo más sencillo posible):
Sin perjuicio de lo antes expuesto, y bajo estrictos estándares de seguridad y privacidad, PERSONAL podrá ceder temporalmente la Información Personal que recopila, a terceras empresas contratadas que brindan servicios necesarios para cumplimentar las obligaciones que PERSONAL tiene a su cargo, tales como la prestación del servicio de telecomunicaciones móviles, como así también a estudios de cobranza y centrales de riesgo crediticio, con quienes PERSONAL tiene convenio vigente. Lo anteriormente citado acontecerá en los supuestos en que los datos no requieren su consentimiento previo para su recolección, tratamiento y cesión -conforme con lo establecido en los artículos 5º, inciso 2., sub-inciso c), y 11º, de la Ley N° 25.326 de Protección de Datos Personales. Las contrataciones de servicios de soporte o tecnología a terceros, para los cuales deban acceder a Información Personal, se efectúan de acuerdo a los requerimientos de privacidad y seguridad establecidos por nuestras políticas y de conformidad a lo dispuesto en el art 25 de la Ley 25.326 y su decreto reglamentario.
1) Ceder temporalmente... por cuanto tiempo? Personal debe decirnos por cuanto.
2) A quien? Personal no determina quienes son los cesionarios a los cuáles cedera nuestra datos personales, ni tampoco nos da los elementos para poder determinarlos... Porqué digo esto? Por referencia al artículo 11 del la Ley de Protección de Datos Personales Nº 25.326, primera parte donde dice:
ARTICULO 11. — (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
Es decir, más allá que existe la obligación legal de que sólo pueden ser cedidos previo consentimiento del titular, existe la obligación de informar al titular (nosotros) la finalidad de la cesión y la identificación del o los cesionarios o bien, los elementos que nos permitan hacerlo, algo que no se cumple adecuadamente por parte de Personal (al menos para quien escribe). Sin embargo, como suele suceder en el derecho, siempre hay que hacer una lectura completa e integral de las regulaciones. La segunda parte dice "Lo anteriormente citado acontecerá en los casos que los datos no requieran consentimiento previo para su recolección, tratamiento y cesión" y cita el art. 11 (cesión) y el 5 inc. 2 C (consentimiento). Brevemente, esto implica que esta cesión que aclaran será temporaria, sólo se realizará sobre los datos para los cuáles no se requiere consentimiento de acuerdo al art. 5 inc. 2 C, los cuáles por la propia ley son:  "nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio" (básicamente son los datos del padrón electoral.

Es decir, entre esos datos no está ni el número de línea, ni tampoco el monto del abono, por lo que incluso siendo que exista un convenio entre Personal y Movistar (lo cuál dudo, toda vez que claramente es una práctica donde una empresa pretende robarles los clientes a la otra), tampoco podrían cederse legalmente esos datos puntuales.

Más allá de toda la explicación jurídica, que si se quiere sólo aporta a la teoría del marco normativo de la protección de datos personales, la realidad diaria muestra como es posible que el mercado negro de los datos personales siga existiendo en nuetro país (diría la chica del call center... "sino, como te pensas que tenemos tus datos"), donde las empresas no tienen ningún problema en llamarte varias veces para ofrecerte el mismo servicio (aún teniendo la negativa en varias ocasiones) y en el peor de los casos, hasta insultando porque hago preguntas en el ejercicio legítimo de mis derechos.

PD: Estoy intentando ejercer mi derecho de acceso ante Personal Argentina, a fin de que me informen con certeza quienes son los cesionarios a los cuáles están cediendo mis datos personales.

Actualización, dejo capturas de pantalla de lo conversado vía Twitter con Personal Argentina.




Abog. Marcelo Temperini
www.asegurarte.com.ar
mtemperini.blogspot.com.ar

lunes, 30 de marzo de 2015

Entrevista para Diario Clarín - Seguridad en Whatsapp



Gracias a Diario Clarín por la nota a AsegurarTe - Consultora en Seguridad de la Información sobre riesgos en la utilización de mensajes de Audio en Whatsapp. Pueden leerla aquí:

http://www.clarin.com/…/Mensajes-grabados-riesgos-impuso-Wh…

Disertación en SEGURINFO Argentina 2015


El día Martes 10 de Marzo, se llevó a cabo la SEGURINFO Argentina 2015, en el cuál desde AsegurarTe tuvimos el agrado de participar brindando una de las exposiciones de tan importante agenda. El evento fue llevado a cabo en el Sheraton Buenos Aires Hotel & Convention Center, en cuyas instalaciones se dictaban 6 charlas en simultáneo, entre las cuáles el Abog. Marcelo Temperini de la Consultora AsegurarTe, desarrolló "6 Claves legales a tener en cuenta para regular al Community Manager de una empresa". La jornada ha sido realmente muy intersante, contando con la presencia de las empresas más importantes del mundo de la Seguridad de la Información, así como con una importante gama de profesionales y directivos relacionados al rubro. Agradecemos a la organización de Segurinfo por habernos tenido en cuenta e invitarnos a ser uno de los expositores en tan importante evento.




miércoles, 31 de diciembre de 2014

[VIDEO] Resumen de Actividades 2014 .:. AsegurarTe




Les compartimos el resumen de actividades sociales que realizamos desde AsegurarTe en el 2014.
Agradecemos a todas las instituciones, empresas y personas que confiaron en nosotros este año.
Esperemos el 2015, seguir trabajando con la misma pasión, compromiso y seriedad con ustedes.

jueves, 25 de septiembre de 2014

Proyecto ODILA: Observatorio de Delitos Informáticos de Latinoamérica



En el día de hoy, AsegurarTe y Segu-Info hemos tenido el placer de anunciar un nuevo proyecto para apoyar a todos los usuarios: ODILA es el Observatorio de Delitos Informáticos de Latinoamérica.

ODILA busca construir un espacio de investigación, encuentro y trabajo sobre la realidad latinoamericana en materia de delitos informáticos y cibercrimen, especialmente dedicado a relevar información sobre incidentes o delitos informáticos ocurridos en los países de Latinoamérica.

Los objetivos de ODILA son:

- Que los usuarios puedan denunciar cualquier tipo de acción que consideren un delito informático contra su persona y/o empresa.
- Generar un reporte (como este) que le permita al usuario conocer si fue o no víctima de un delito informático.
- Informar sobre el problema de la cifra negra en materia de delitos informáticos.
- Difundir consejos e información útil para las víctimas de delitos informáticos.
- Generar informes y estadísticas propias sobre la ciberdelincuencia en Latinoamérica.


ODILA no pretende ser un asesoramiento, sino una guía para el usuario (víctima), a fin de brindarle información sobre la materia y fomentar la realización de denuncias ante los organismos competentes. Los datos son recolectados de forma totalmente anónima y los mismos tendrán destino de publicación de estadísticas para poder mitigar el problema de la cifra negra en los delitos informáticos.

Invitamos a todos los usuarios a ingresar y dar a conocer el proyecto y a todas las instituciones oficiales los invitamos a participar y difundir ODILA para seguir combatiendo el Delito Informático en todo Latinoamérica.

Marcelo Temperini (AsegurarTe)
Maximiliano Macedo (AsegurarTe)
Lic. Cristian Borghello (Segu-Info)

miércoles, 10 de septiembre de 2014

Charlas en la Escuela Nº 389 Julio Migno (Santa Fe)

 
El día Martes 9 de Septiembre, se estuvieron realizando un ciclo de charlas para alumnos de 1ro., 2do y 3er. año de la Escuela de Enseñanza Media Nº 389 Julio Migno de la Ciudad de Santa Fe.

Estas charlas fueron realizadas por el Abog. Marcelo Temperini, AIA Maximiliano Macedo y el Téc. Coqui Toum, en el marco del Programa de "Bullying: El Peligro Silencioso" llevado adelante por la Dirección de Derechos Ciudadanos y la Secretaría de Educación del Gobierno de la Ciudad de Santa Fe.

lunes, 8 de septiembre de 2014

Exposición en Evento de ISSA - UTN Buenos Aires



Este pasado Viernes 5 de Septiembre se llevó a cabo el evento "La seguridad de la información y las organizaciones", organizado por ISSA (Information Systems Security Association) y UTN Buenos Aires.

Desde AsegurarTe, el Abog. Marcelo Temperini y el AIA Maximiliano Macedo expusieron sobre "Casos Prácticos de Investigaciones Digitales", buscando mostrar parte de la realidad práctica que conviven detrás de los incidentes informáticos.

Además el evento contó con destacados expositores tales como Federico Pacheco, Gustavo Presman, Roberto Langdon, Julio Balderrama, Diego Bruno, Pablo Romanos, Cristian Borghello y Ezequiel Salis.

A través de las distintas charlas y temáticas, se trataron diferentes aspectos de la seguridad de la información en el contexto de una organización, partiendo desde los conceptos básicos, hasta las perspectivas internas y externas, y los ejes de acción más comunes en dichos contextos. Para finalizar agradecemos a ISSA la invitación para poder formar parte de tan importante jornada.


miércoles, 3 de septiembre de 2014

Defensa de Investigación publicada en JAIIO 43


El Martes 2 de Septiembre de 2014, tuve la posibilidad de defender una investigación titulada "Delitos Informáticos en Latinoamérica: Un estudio de derecho comparado. 2da. Parte.", en las Jornadas Argentina de Informático Nro. 43 (JAIIO 43), realizadas en la Universidad de Palermo, Buenos Aires.


martes, 2 de septiembre de 2014

Nominación por mejor trabajo de investigación al premio Dr. Manuel Sadosky


Tengo el gusto de compartir que me han notificado que mi trabajo "Delitos Informáticos en Latinoamérica: Un estudio de derecho comparado. 2da. Parte." que será oficialmente publicado en las 43 JAIIO a realizarse la semana que viene en la Universidad de Palermo, ha resultado seleccionado como finalistas para el premio Dr. Manuel Sadosky, por ser considerado entre los mejores trabajos de investigación del Simposio de Informática y Derecho. Gracias a los chairs de JAIIO por tan relevante distinción. http://43jaiio.sadio.org.ar/?q=premio_sadosky

lunes, 25 de agosto de 2014

Uso Responsable de Internet en Escuelas de La Pampa


Entre los días 21 y 22 de Agosto de 2014, se llevaron a cabo cuatro charlas sobre el Uso Responsable de Internet, destinada a chicos de entre 10 y 16 años en la Provincia de La Pampa. Las mismas fueron dictadas por el Abog. Marcelo Temperini y el AIA Maximiliano Macedo. Las charlas fueron impulsadas y organizadas por el Senado de la Nación, particularmente por la Senadora Nacional María de los Angeles Higonet.

Con las citadas charlas se ha buscado capacitar a los menores sobre los principales riesgos existentes por el uso inapropiado de las nuevas tecnologías, a fin de dotarlos de recursos para ayudarles en la prevención de las mismas, fomentando así su autoprotección.

Las charlas fueron realizadas en escuelas secundarias en Santa Rosa, Miguel Riglos, Lonquimay y Catriló, llegandose en conjunto a la capacitación de más de 500 alumnos de las citadas localidades.

Por último, nos queda compartir la satisfacción de poder ir a realizar nuestras charlas a escuelas de distintas localidades, sobre todo, de aquellas más alejadas de los grandes centros urbanos. Agradecemos esta oportunidad y a todos aquellos que hacen que todo esto sea posible. María Higonet


martes, 19 de agosto de 2014

Jornada de Cibercrimen y Ciberincidentes en Rafaela


El día Jueves 28 de Agosto de 2014, se dictarán unas Jornadas de Seguridad Informática, sobre Cibercrimen y Ciberincidentes. La misma será dictada por el Abog. Marcelo Temperini y el AIA Maximiliano Macedo, a cargo de los módulos de Delitos Informáticos e Investigaciones Digitales y Casos Prácticos respectivamente. 
La misma será realizada en el Auditorio de la Universidad Católica de Santiago del Estero, Departamento Académico Rafaela, sin costo alguno para los participantes.

Jornadas Regionales 2014 de Ciberdefensa

 
El día Lunes 11 de Agosto, el Abog. Marcelo Temperini y el AIA Maximiliano Macedo de AsegurarTe, estuvieron en las Jornadas Regionales 2014 de Ciberdefensa, desarrolladas dentro del Programa de Vinculación y Difusión CIBERDEFENSA, organizadas en conjunto por el Ministerio de Defensa de la Nación, la Universidad Tecnológica Nacional – Facultad Regional Rosario y la Asociación de Gobierno, Auditoria y Seguridad de Sistemas de Información (AGASSI).
Entre los destacados expositores estuvieron: CN Daniel Sorrentino (Jefe de Seguridad de la Información de la Armada Argentina); Fernando Corvalán (Asesor en Seguridad de Sistemas de Información, Ciberseguridad y Ciberdefensa del Ministerio de Defensa); Lic. Cristián Borghello (CISSP – CCSK – MVP – Director de Segu-Info y Segu-Kids); Eduardo Casanovas (Instituto Universitario Aeronáutico); Iván Arce (Fundación Sadosky).

lunes, 21 de julio de 2014

Clase en Posgrado UCA sobre Investigación de Delitos Informáticos


El día Viernes 11 de Julio, el Abog. Marcelo Temperini y el AIA Maximiliano Macedo, de AsegurarTe, fueron profesores invitados por el Dr. Horacio Fernandez Delpech, para dar una clase sobre "Derecho y Seguridad de la Información" y "Delitos Informáticos: Desafíos y Casos Prácticos". Dicha clase, fue impartida en el marco del Posgrado de Especialista en Derecho de Alta Tecnología, llevado a cabo en la Universidad Católica de Argentina de Buenos Aires (Puerto Madero). Agradecemos al Dr. Horacio Fernandez Delpech por la deferencia de invitarnos y recibirnos tan atentamente.

domingo, 22 de junio de 2014

Charlas en la Escuela Secundaria de la UNL



Los días Miércoles 18 y Jueves 19 de Junio, se llevaron a cabo una serie de Charlas en la Escuela Secundaria de la Universidad Nacional del Litoral, en la cuál la Consultora AsegurarTe ha participado como parte del grupo extensionista dentro del marco del Proyecto de Extensión de Interés Social UNL-PEIS: "Protección de Adolescentes en Internet y las Redes Sociales", dirigido por la Dra. María Laura Spina, de la Facultad de Ciencias Jurídicas y Sociales.

La Consultora AsegurarTe, nacida e incubada en el marco del Gabinete de Emprendedores FCJS-FICH (UNL), apoyando la realización de este importante Proyecto de Extensión, realizado desde la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Además, participan como extensionistas el Área Joven de la Secretaría de Desarrollo Social del Gobierno de la Ciudad de Santa Fe.

miércoles, 11 de junio de 2014

Charlas en la Escuela Industrial Superior (EIS - UNL)



El día Lunes 9 de Junio, se llevaron a cabo una serie de Charlas en la Escuela Industrial Superior (UNL), en la cuál la Consultora AsegurarTe ha participado como parte del grupo extensionista dentro del marco del Proyecto de Extensión de Interés Social UNL-PEIS: "Protección de Adolescentes en Internet y las Redes Sociales", dirigido por la Dra. María Laura Spina, de la Facultad de Ciencias Jurídicas y Sociales.

La Consultora AsegurarTe, nacida e incubada en el marco del Gabinete de Emprendedores FCJS-FICH (UNL), apoyando la realización de este importante Proyecto de Extensión, realizado desde la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Además, participan como extensionistas el Área Joven de la Secretaría de Desarrollo Social del Gobierno de la Ciudad de Santa Fe.

lunes, 26 de mayo de 2014

VII Congreso de Derecho Informático - ADIAr / FCJS - UNL


El día 16 de Mayo de 2014, se llevó a cabo el VII Congreso de Derecho Informático, organizado por la Asociación de Derecho Informático de Argentina (ADIAr) y la Facultad de Ciencias Jurídicas y Sociales. El mismo fue realizado en el Aula Mariano Moreno de la FCJS - UNL. 
Desde AsegurarTe, el Abog. Marcelo Temperini ha participado activamente en la organización de dicho Congreso, así como ha tenido la posibilidad de exponer en el Panel de Cibercrimen y Ciberespionaje, acompañando al Lic. Cristian Borghello. 
Agradecemos a todos los asistentes y expositores por formar parte del éxito de este evento.

Charlas sobre Ciberbullying, Grooming y otros riesgos



El día Miércoles 21 de Mayo, en la sala principal del Teatro Municipal de la Ciudad de Santa Fe, se llevó a cabo una jornada de capacitación sobre Ciberbullying, Grooming y otros riesgos derivados del mal uso de las nuevas tecnologías por parte de los menores.

La actividad fue organizada conjuntamente por la Dirección de Derechos Ciudadanos y la Secretaría de Educación del Gobierno de la Ciudad de Santa Fe.

En dicha Jornada, expusieron el Abog. Marcelo Temperini, AIA Maximiliano Macedo y el Tec. Jorge Toum, en una primera jornada enmarcada en el proyecto educativo "Bullying: el Peligro Silencioso", llevado a cabo por la Dirección de Derechos Ciudadanos del Gobierno de la Ciudad de Santa Fe, que se llevará a cabo durante todo el 2014 en distintos establecimientos educativos de la ciudad de Santa Fe.

CIOs Litoral 2014 - Aspectos Legales y Normativos


El día 15 de Mayo de 2014, en el salón Ateneo de Rectorado de la Universidad Nacional del Litoral, se llevo a cabo la primer Reunión general de "CIOs Litoral" de 2014, cuyo tópico ha sido "Aspectos legales y normativos que todo CIO debe conocer".

Desde AsegurarTe participó como expositor el Abog. Marcelo Temperini, sobre temas de Cloud Computing, Normativa en Seguridad de la Información, Monitoreo y Control Laboral. También participaron el Dr. Guillermo Zamora y la Dra. María Laura Spina.

jueves, 1 de mayo de 2014

Registro No Llamar y la Protección de Datos Personales

Estabas en el medio de algo importante... suena un llamado de número desconocido (o privado), detenes el auto, dejas de trabajar, atendes con cara de suspenso y del otro lado de la línea alguien dice... "Buen día Señor, le estamos llamando de XXXXX para ofrecerle un descuento por haber sido elegido la mejor persona de su calle". Particularmente a mi, me suele pasar algo más grave (?), que es la interrupción de una costumbre milenaria en Santa Fe... que es la siesta. Ese breve descanso tan necesario, termina muchas veces siendo interrumpido por un mensaje de texto que termina por despertarme para ver si no es alguna urgencia o cliente en apuros. Ni una cosa ni otra, resulta que fui elegido para competir por un premio de $500.000 e incluso, ganar un premio sorpresa gratis! :O
La publicidad no solicitada que llega a nuestros mails y teléfonos (vía llamada o vía mensaje de texto) no es novedad, sin embargo, es uno de los problemas (molestos) que aún no se ha podido combatir. La idea de los "Registros No llame" es una buena alternativa para enfrentar el desafío. Para aquellos que aún no conozcan el sistema, el sentido es obligar a todas las empresas de telemarketing (del ámbito de jurisdicción de la norma), a notificarse de la lista "negra" de números telefónicos que han optado por no recibir llamados o mensajes de publicidad no solicitada. Básicamente, un sistema de opt-out gestionado por algún nivel estatal (Municipal o Provincial), que aplican sanciones a las empresas infractoras (en principio al menos).

En el ámbito de la Provincia de Buenos Aires el "Registro no llamar" se ha generado a partir de la Ley N° 14.326 (2011), en el cuál podrá anotarse "toda persona física o jurídica titular de una línea telefónica fija o celular, que manifieste su decisión de no ser llamado o notificado por mensajes de textos, por quienes haciendo uso de datos personales, utilizan el sistema de telemarketing para publicitar, ofertar, vender y/o regular bienes o servicios." (negrita a cargo del autor)

En Septiembre del 2013, dicha norma fue reglamentada a través del Decreto 559/2013, en el cuál se dispusieron las condiciones para que el sistema finalmente comenzara a funcionar. Por ejemplo, en dicha reglamentación establece que las empresas de telemarketing, podrán hacer telemarketing a los usuarios de servicios telefónicos no inscriptos en el "Registro No Llamar", solamente los días hábiles de 10.00 a 12.00 y de 16.00 a 19.00 horas, y que por supuesto, su incumplimiento se considerará infracción de acuerdo a la Ley citada (Nº 14.326).

Entre los diferentes modos de sumarse a dicho registro, ya se ha habilitado el sistema online para su inscripción. Todo iba bien hasta que el sistema me pregunta si soy una persona física o jurídica... y desde allí se desata el caos (de datos personales). En el caso que seamos una persona física que intenta sumarse a esta noble idea del registro no llame, deberemos informar al sistema: Nombre y Apellido, DNI, Domicilio, Partido, Localidad y Mail.  En el caso que seamos una persona jurídica, tendremos que ingresar CUIT, Razón Social, Domicilio Legal, Partido, Localidad y Mail. A estos datos, obviamente se le suman los realmente necesarios para llevar a cabo la finalidad del propio registro, es decir, el Nro. de teléfono y la Empresa de Telefonía (sobre este último, aún no estoy convencido de su pertinencia, pero puede aceptarse siempre y cuando el mismo aporte a una mejor eficacia del sistema de no llame). 

Sin embargo, sobre esa primera gama de datos personales que citamos (6 campos), nos permitimos dudar (por decirlo de forma elegante) de su pertinencia en relación a la finalidad del registro. ¿Cumplen estos datos con el principio de calidad del art. 4 inc. 1 de la Ley de Protección de Datos Personales Nº 25.326? Desde mi humilde opinión, sostengo que no, que estos datos son excesivos y no pertinentes en relación a la finalidad. Uno de los razonamientos posibles sería: ¿cabe acaso la posibilidad de negarme la inscripción al registro por algún tipo de validación con los otros datos personales? Si a fin de cuentas, la inscripción en esta "lista negra", sólo impedirá que me llamen aquellas empresas de telemarketing, pero no evitará de forma alguna que aquellas empresas con las cuáles tengo algún tipo de relación contractual (por ejemplo, donde compre una tostadora en 24 cuotas para el mundial), me llamen cuando lo crean necesario para informarme de alguna novedad sobre dicha relación. 
La no validación (si es que existe) de estos datos ¿Que podrá ocasionar? ¿Que alguien decida vía web incorporar mi número de teléfono sin mi consentimiento? ¿Sería tan terrible?. A veces una idea, supera muchos problemas. El registro No llame de la Ciudad de Buenos Aires, propone sólo el ingreso del número de línea interesado en sumarse al registro. Posteriormente, alguien se comunica solicitando confirmación: problema solucionado sin necesidad de recolectar datos personales que no corresponden.

Volviendo al sistema implementado por la Provincia de Buenos Aires, así como está diseñado, lo que se puede observar a simple vista es que el administrador de dicha base de datos, tiene la posibilidad de saber con sólo un número de teléfono celular, todos los datos que identifican al titular de dicha línea, una información más que interesante para "perderse" el mercado de la información no?. ¿Quién tiene estos datos? ¿Quien es el responsable registrado ante la Dirección Nacional de Protección Datos Personales? ¿Cuál es el número de registro de inscripción de dicha base de datos? ¿Quién se hace responsable de que se adopten todos los principios (incluídas las medidas de seguridad obligatorias) que establece la normativa vigente?. ¿Donde está la declaración de la finalidad de dicha base de datos, que me asegure como usuarios que dichos datos no serán cedidos, no serán vendidos, no serán utilizados para otros fines distintos a los nobles que tiene originalmente el registro no llame? Muchas preguntas sin responder con claros incumplimientos a una normativa que ya no es novedad, sobre todo por tratarse de una iniciativa por parte del gobierno provincial. Como extra, cabe agregar que el "Registro No Llame" es precisamente una iniciativa de protección a los titulares de datos personales, ya que la problemática raíz se debe precisamente a un incumplimiento de esta norma por parte de las empresas que realizan este tipo de publicidad, quienes realizan un tratamiento ilegítimo de datos personales. 
Como yapa del artículo, y para comprobar la legitimidad de estos llamados publicitarios, la próxima vez que lo llamen, con tono amable pregunte al que está del otro lado de la línea, de donde sacó su número de teléfono (el cuál muchas veces viene acompañado de su nombre y otros datos), quien le dió consentimiento para utilizar sus datos personales, y que por favor le diga quien es el responsable de dicha base de datos, a fin de poder realizar la denuncia correspondiente y ejercer los derechos que incluso están consagrados constitucionalmente (art. 43 3er párrafo). Inténtelo, es divertido ;)

A modo de conclusión, más allá de las precisiones sobre el cumplimiento de la normativa vigente en relación al funcionamiento de los registros, celebramos la idea del funcionamiento de los Registros No Llamen, incentivamos su buen funcionamiento, la aplicación de sanciones a las empresas infractoras, y sobre todo, ante casos de llamadas o mensajes no solicitados, fomentamos al usuario a  la realización de denuncias ante los organismos correspondientes.

Publicado en Segu-Info - Boletín Nº 198

miércoles, 30 de abril de 2014

Uso Responsable de Internet en Tiempo de Abuelos (Canal Somos Santa Fe)


Agradecemos al programa Tiempo de Abuelos por la invitación al programa para difundir consejos y recomendaciones para un Uso Seguro y Responsable de Internet para los abuelos tech. Programa emitido el día Miércoles 9 de Abril, en Canal Somos Santa Fe.

Tecno Trece Nº 21 - El fallo Heartbleed

Comparto la nota que salió al aire en Tecno Trece Nº 21, sobre el fallo de Heartbleed, algunos consejos y el comentario sobre la obligación legal de los responsables de datos personales de solucionar dicho fallo. Junto a Coqui Toum y AsegurarTe - Consultora en Seguridad de la Información


VII Congreso de Derecho Informático en Santa Fe

VII Congreso de Derecho Informático

Organizan: ADIAr (Asociación de Derecho Informático de Argentina) y FCJS / UNL
Fecha: Viernes 16 de Mayo de 2014
Lugar: Facultad de Ciencias Jurídicas y Sociales (Universidad Nacional del Litoral) - Cándido Pujato 2751 - Santa Fe Capital.
Costo: Gratis para Socios de ADIAr / $200 para No Socios / $50 para Estudiante. Se entregan certificados
Auspician: Red Elderechoinformático.com; Microjuris Argentina; International Latin University; Rubinzal Culzoni Editores
Más información en: www.adiar.org



domingo, 13 de abril de 2014

Obligacion legal de solucionar Heartbleed

La ahora conocida falla "Heartbleed" sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas). 

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya "parcheado" (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:
"El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."
En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la  base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:
Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 
1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; [...]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Nota publicada en Segu-Info:  http://blog.segu-info.com.ar/2014/04/no-solucionar-heartbleed-incumple-la.html

miércoles, 9 de abril de 2014

Entrevista para Revista Rumbos - Nota "Laberinto Google"

Nota realizada por la Revista Rumbos publicada el Domingo 7 de Abril sobre el servicio de Google Street View y sus diferentes implicancias sobre la privacidad de las personas. Agradezco la entrevista a Víctor Laurencena.