El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"

Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida. 

La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del call center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten". Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?".  Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita. Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "sisi, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc". :(

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, de ejercer los derechos que ya tenemos y de exigir el cumplimiento de las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?"

 _________

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.

_________

Actualización del post: 11/10/2015 a las 19:40 hs

En fecha 05/10/2015, volví a recibir una nueva e interesante llamada de la empresa Movistar, que sigue intentando captarme como cliente a través de los llamados telefónicos. En realidad, algunos días antes recibí otra llamada, pero al hacer la incómoda pregunta sobre "me podes decir de donde sacaste mis datos personales", la señorita al menos tuvo la decencia de directamente cortar la llamada.
En este nuevo caso que traemos, se dio otra conversación interesante donde ante la pregunta mágica (fuente de la base de datos) la vendedora me dice que "Nos lo da Personal Marcelo, sino sería imposible saber cuanto abonas, tu número de documento y titular de línea"... a continuación y atenta a que se me nota la molestia por la situación, la señorita me comenta que "los datos nos lo da Personal, si te molesta, tenes que llamar a Personal para que no de los números..." La charla termina donde intento explicarle a la vendedora que por un lado estoy inscripto en el Registro No llame y por otro, ellos no tienen mi consentimiento para tratar mis datos personales, haciendo que la práctica sea ilegítima. Parece ser que a la chica del call center no le gusto mucho escuchar esto último (sobre la ilegitimidad de la práctica) y decidió dejar de lado los intentos de explicaciones para pasar a algo más sencillo y radical: putearme

A ver si explicamos un poco la situación jurídica de los datos personales en estos casos concretos. Personal es la empresa que me provee el servicio de comunicaciones, con la cuál mantengo una relación contractual (porque obviamente todos los meses debo abonar por el servicio prestado), por lo que legalmente la empresa Personal tiene autorización para tener mis datos personales en virtud de la relación contractual. No obstante, dicha situación para nada implica que ellos puedan ceder mis datos personales (que según reconoce la propia señorita, ellos tienen titular de la línea, dni y cuanto es lo que abono por mi servicio) a otras empresas.

Pensando en esto, se me ocurrió revisar los términos y condiciones legales de Personal, puntualmente sus Políticas de Privacidad, para asegurarme de que lo estoy escribiendo sea cierto, y me encontré con una cláusula que me parece interesante explicarlo (intentaré hacerlo lo más sencillo posible):

Sin perjuicio de lo antes expuesto, y bajo estrictos estándares de seguridad y privacidad, PERSONAL podrá ceder temporalmente la Información Personal que recopila, a terceras empresas contratadas que brindan servicios necesarios para cumplimentar las obligaciones que PERSONAL tiene a su cargo, tales como la prestación del servicio de telecomunicaciones móviles, como así también a estudios de cobranza y centrales de riesgo crediticio, con quienes PERSONAL tiene convenio vigente. Lo anteriormente citado acontecerá en los supuestos en que los datos no requieren su consentimiento previo para su recolección, tratamiento y cesión -conforme con lo establecido en los artículos 5º, inciso 2., sub-inciso c), y 11º, de la Ley N° 25.326 de Protección de Datos Personales. Las contrataciones de servicios de soporte o tecnología a terceros, para los cuales deban acceder a Información Personal, se efectúan de acuerdo a los requerimientos de privacidad y seguridad establecidos por nuestras políticas y de conformidad a lo dispuesto en el art 25 de la Ley 25.326 y su decreto reglamentario.

1) Ceder temporalmente... por cuanto tiempo? Personal debe decirnos por cuanto.
2) A quien? Personal no determina quienes son los cesionarios a los cuáles cedera nuestra datos personales, ni tampoco nos da los elementos para poder determinarlos... Porqué digo esto? Por referencia al artículo 11 del la Ley de Protección de Datos Personales Nº 25.326, primera parte donde dice:

ARTICULO 11. — (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Es decir, más allá que existe la obligación legal de que sólo pueden ser cedidos previo consentimiento del titular, existe la obligación de informar al titular (nosotros) la finalidad de la cesión y la identificación del o los cesionarios o bien, los elementos que nos permitan hacerlo, algo que no se cumple adecuadamente por parte de Personal (al menos para quien escribe). Sin embargo, como suele suceder en el derecho, siempre hay que hacer una lectura completa e integral de las regulaciones. La segunda parte dice "Lo anteriormente citado acontecerá en los casos que los datos no requieran consentimiento previo para su recolección, tratamiento y cesión" y cita el art. 11 (cesión) y el 5 inc. 2 C (consentimiento). Brevemente, esto implica que esta cesión que aclaran será temporaria, sólo se realizará sobre los datos para los cuáles no se requiere consentimiento de acuerdo al art. 5 inc. 2 C, los cuáles por la propia ley son:  "nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio" (básicamente son los datos del padrón electoral.

Es decir, entre esos datos no está ni el número de línea, ni tampoco el monto del abono, por lo que incluso siendo que exista un convenio entre Personal y Movistar (lo cuál dudo, toda vez que claramente es una práctica donde una empresa pretende robarles los clientes a la otra), tampoco podrían cederse legalmente esos datos puntuales.

Más allá de toda la explicación jurídica, que si se quiere sólo aporta a la teoría del marco normativo de la protección de datos personales, la realidad diaria muestra como es posible que el mercado negro de los datos personales siga existiendo en nuetro país (diría la chica del call center... "sino, como te pensas que tenemos tus datos"), donde las empresas no tienen ningún problema en llamarte varias veces para ofrecerte el mismo servicio (aún teniendo la negativa en varias ocasiones) y en el peor de los casos, hasta insultando porque hago preguntas en el ejercicio legítimo de mis derechos.

PD: Estoy intentando ejercer mi derecho de acceso ante Personal Argentina, a fin de que me informen con certeza quienes son los cesionarios a los cuáles están cediendo mis datos personales.

Actualización, dejo capturas de pantalla de lo conversado vía Twitter con Personal Argentina.

Abog. Marcelo Temperini
www.asegurarte.com.ar
mtemperini.blogspot.com.ar

Read More

Entrevista para Diario Clarín - Seguridad en Whatsapp

Gracias a Diario Clarín por la nota a AsegurarTe - Consultora en Seguridad de la Información sobre riesgos en la utilización de mensajes de Audio en Whatsapp. Pueden leerla aquí:

http://www.clarin.com/…/Mensajes-grabados-riesgos-impuso-Wh…

Read More

Disertación en SEGURINFO Argentina 2015

El día Martes 10 de Marzo, se llevó a cabo la SEGURINFO Argentina 2015, en el cuál desde AsegurarTe tuvimos el agrado de participar brindando una de las exposiciones de tan importante agenda. El evento fue llevado a cabo en el Sheraton Buenos Aires Hotel & Convention Center, en cuyas instalaciones se dictaban 6 charlas en simultáneo, entre las cuáles el Abog. Marcelo Temperini de la Consultora AsegurarTe, desarrolló "6 Claves legales a tener en cuenta para regular al Community Manager de una empresa". La jornada ha sido realmente muy intersante, contando con la presencia de las empresas más importantes del mundo de la Seguridad de la Información, así como con una importante gama de profesionales y directivos relacionados al rubro. Agradecemos a la organización de Segurinfo por habernos tenido en cuenta e invitarnos a ser uno de los expositores en tan importante evento.

Read More

[VIDEO] Resumen de Actividades 2014 .:. AsegurarTe

Les compartimos el resumen de actividades sociales que realizamos desde AsegurarTe en el 2014.
Agradecemos a todas las instituciones, empresas y personas que confiaron en nosotros este año.
Esperemos el 2015, seguir trabajando con la misma pasión, compromiso y seriedad con ustedes.

Read More

Exposición en Evento de ISSA - UTN Buenos Aires

Este pasado Viernes 5 de Septiembre se llevó a cabo el evento "La seguridad de la información y las organizaciones", organizado por ISSA (Information Systems Security Association) y UTN Buenos Aires.

Desde AsegurarTe, el Abog. Marcelo Temperini y el AIA Maximiliano Macedo expusieron sobre "Casos Prácticos de Investigaciones Digitales", buscando mostrar parte de la realidad práctica que conviven detrás de los incidentes informáticos.

Además el evento contó con destacados expositores tales como Federico Pacheco, Gustavo Presman, Roberto Langdon, Julio Balderrama, Diego Bruno, Pablo Romanos, Cristian Borghello y Ezequiel Salis.

A través de las distintas charlas y temáticas, se trataron diferentes aspectos de la seguridad de la información en el contexto de una organización, partiendo desde los conceptos básicos, hasta las perspectivas internas y externas, y los ejes de acción más comunes en dichos contextos. Para finalizar agradecemos a ISSA la invitación para poder formar parte de tan importante jornada.

Read More

Charlas en la Escuela Secundaria de la UNL

Los días Miércoles 18 y Jueves 19 de Junio, se llevaron a cabo una serie de Charlas en la Escuela Secundaria de la Universidad Nacional del Litoral, en la cuál la Consultora AsegurarTe ha participado como parte del grupo extensionista dentro del marco del Proyecto de Extensión de Interés Social UNL-PEIS: "Protección de Adolescentes en Internet y las Redes Sociales", dirigido por la Dra. María Laura Spina, de la Facultad de Ciencias Jurídicas y Sociales.

La Consultora AsegurarTe, nacida e incubada en el marco del Gabinete de Emprendedores FCJS-FICH (UNL), apoyando la realización de este importante Proyecto de Extensión, realizado desde la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Además, participan como extensionistas el Área Joven de la Secretaría de Desarrollo Social del Gobierno de la Ciudad de Santa Fe.

Read More

Charlas en la Escuela Industrial Superior (EIS - UNL)

El día Lunes 9 de Junio, se llevaron a cabo una serie de Charlas en la Escuela Industrial Superior (UNL), en la cuál la Consultora AsegurarTe ha participado como parte del grupo extensionista dentro del marco del Proyecto de Extensión de Interés Social UNL-PEIS: "Protección de Adolescentes en Internet y las Redes Sociales", dirigido por la Dra. María Laura Spina, de la Facultad de Ciencias Jurídicas y Sociales.

La Consultora AsegurarTe, nacida e incubada en el marco del Gabinete de Emprendedores FCJS-FICH (UNL), apoyando la realización de este importante Proyecto de Extensión, realizado desde la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Además, participan como extensionistas el Área Joven de la Secretaría de Desarrollo Social del Gobierno de la Ciudad de Santa Fe.

Read More

Uso Responsable de Internet en Tiempo de Abuelos (Canal Somos Santa Fe)

Agradecemos al programa Tiempo de Abuelos por la invitación al programa para difundir consejos y recomendaciones para un Uso Seguro y Responsable de Internet para los abuelos tech. Programa emitido el día Miércoles 9 de Abril, en Canal Somos Santa Fe.

Read More

Exposición en 1 Hack para Los Chicos - Córdoba 2014

El 28 de Marzo de 2014 se llevó a cabo en el Auditorio del Colegio Universitario IES en la calle Buenos Aires 563, Ciudad de Córdoba el evento "1 hack para los chicos". Desde AsegurarTe participamos aportando 2 charlas, 1 brindada por el A.I.A Maximiliano Macedo "Investigaciones Digitales - La realidad de los delitos informáticos - Casos Prácticos" y otra por el Abog. Marcelo Temperini "El desafío de la lucha contra el cibercrimen en Argentina".

Read More

Cibercrimen y Delitos Informáticos en ADIAr 2013

El día 22 de Noviembre de 2013, se llevo a cabo el VI Congreso de Derecho Informático organizado por ADIAr (Asociación de Derecho Informático de Argentina). La jornada fue llevada a cabo en la Casa de Posgrado de UNLP, en Capital Federal, y contó con la presencia de varios especialistas en distintos ámbitos del Derecho Informático, tanto nacionales como internacionales.

Desde AsegurarTe - Consultora en Seguridad de la Información?, participaron el Abog. Marcelo Temperini, exponiendo sobre Delito Informático y Cibercrimen, y Maximiliano Macedo, exponiendo sobre Seguridad Informática - Casos prácticos.

La experiencia ha sido excelente, destacando la organización y buena predisposición de todos los integrantes de ADIAr, especialmente de su Presidente, el Dr. Guillermo Zamora.

Más información en: http://goo.gl/XYexMk

Read More

Delitos Informáticos en CONAIISI 2013

El Jueves 21 de Noviembre de 2013, tuve la posibilidad de defender una investigación publicada en el 1er. CoNaIISI (1er. Congreso Nacional de Ingeniería Informática y Sistemas de Información), celebrado en la UTN Facultad Regional Córdoba.

La publicación se titula "Delitos Informáticos en Latinoamérica: Un estudio de derecho comparado. 1ra. Parte.", y brevemente es un estudio que pretende armar un mapa de los delitos informáticos tipificados en los países de Laitnoamérica, a fin de observar cuál es el nivel de coordinación o coherencia entre los distintos Estados. Dicho estudio se titula como 1ra. Parte precisamente porque en esta primera publicación sólo se han relevado determinados tipos penales (de acuerdo al Convenio de Cibercriminalidad de Budapest). La segunda parte, más completa, pretenderá hacer un mapa de todos los delitos informáticos tipificados. Al final del post, dejamos el abstract junto con un enlace al texto completo de la publicación.

Delitos Informáticos en Latinoamérica: Un estudio de derecho comparado. 1ra. Parte.

• Publicación: 1er. Congreso Nacional de Ingeniería Informática / Sistemas de Información. 2013. ISSN 2346-9927
• Descargar: Acceder al Texto Completo
• Autoría: Abog. Marcelo Temperini 
• Abstract. De acuerdo a diferentes estudios actuales, los delitos informáticos son los de mayor crecimiento en los últimos años, con una proyección cada vez mayor. La posibilidad de su comisión a través de Internet permite que sin mayores complicaciones, el delincuente pueda estar en un determinado país, utilizar servicios de otro, para finalmente atacar a una o más víctimas de un tercer país interviniente. Esta característica de trasnacionalidad demanda un desafío para el Derecho y en especial para los sistemas jurídicos penales, que deben concebir la necesidad de ciertos niveles mínimos de coordinación, que permitan un combate eficaz de este tipo de actividad delictiva. En este marco, la presente investigación tiene por objeto analizar la situación de los delitos informáticos en la región, en su aspecto material sustantivo, a través de un desarrollo de derecho comparado sobre los diferentes países de Latinoamérica. Como metodología, se ha trabajado en la búsqueda y recolección de la legislación vigente en cada país, destacando sus características generales. Desde allí, previa determinación del alcance, se ha configurando la realización de un cuadro comparativo que permite identificar qué países poseen sanción penal de los delitos informáticos más comunes. A modo de conclusión se lograron obtener estadísticas actualizadas con un ranking de países de acuerdo al estado de situación en la regulación penal de los delitos informáticos más importantes, así como la lista de delitos informáticos menos sancionados.

Read More

Desafios Jurídicos en el Cloud Computing - 1er Premio

Tengo el gusto y honor de anunciar que me han otorgado el primer premio en el Concurso de presentación de trabajos de Investigación Nacional e Internacional, titulado “Desafíos jurídicos de los servicios de computación en la nube”, organizado por la Comisión de de Derecho de la Alta Tecnología del Colegio de Abogados de la Ciudad de Buenos Aires (www.colabogados.org.ar). Agradezco infinitamente a Horacio Fernandez Delpech por la deferencia de invitarme a participar del concurso y generar la oportunidad para la gente del interior de nuestro país.

Read More

Aspectos Legales en Social Media - 1er. Foro Social Media Litoral

El día lunes 7 de octubre se llevará a cabo, en los salones de Holiday Inn Santa Fe, el 1º Foro Social Media Litoral, organizadas por Locos del Social donde se reunieron distintos profesionales de la región con el objetivo de debatir temas relativos a la materia.

AsegurarTe - Consultora en Seguridad de la Información estuvo participando con Maximiliano Macedo y el Abog. Marcelo Temperini, los cuáles expusieron en el panel de "Aspectos Legales a considerar en un contrato de Social Media".

Agradecemos la invitación a Romina Moine, Leandro Fridman y todos los integrantes de LDS.

 

 

Read More

Reunión con el CPDP y Programa Con vos en la Web

El Centro de Protección de Datos Personales y el Programa Nacional Con Vos en la Web recibieron ayer en la sede de la Dirección Nacional de Protección de Datos Personales a expertos en protección de datos personales y seguridad de la información de la provincia de Santa Fe.

En el encuentro participaron Ezequiel Passeron, coordinador del Programa Nacional, Lucia Fainboim, responsable de contenidos y comunicación de Con Vos en la Web, Inés Tornabene, por el Centro de Protección de Datos Personales, Marcelo Temperini, abogado especialista en derecho informático y Maximiliano Macedo, informático especialista en seguridad de la información.

Además, Maximiliano Macedo es uno de los diseñadores de la aplicación “Botón de Pánico” y Marcelo Temperini asesor jurídico de dicho proyecto. Realizaron una presentación para explicar el funcionamiento de la aplicación, la cual cuenta ya con más de 5.000 descargas y se encuentra posicionada y calificada como una de las tres aplicaciones más exitosas para dispositivos inteligentes.

“Botón de Pánico” es una aplicación gratuita con múltiples potencialidades, que sirve para emitir dos tipos de alarmas (salud y peligro), con diversas formas de configuración para que el mensaje llegue a diversos destinatarios, a través de mensaje de texto, mail o incluso redes sociales.

Por otra parte, y dada la situación particular de la provincia de Santa Fe en materia de legislación sobre protección de datos personales, Temperini y Macedo expresaron su preocupación por la falta de legislación y de un organismo que atienda las diversas situaciones que surgen día a día y con mayor frecuencia, que vulneran la intimidad, la privacidad y los datos personales, no sólo en los bancos de datos privados, sino también en los bancos de datos públicos y a través de internet.

Al respecto, y dado que el Programa Nacional es la concreción de una política pública federal de concientización, se propuso organizar una jornada conjunta entre Con Vos en la Web y el Centro de Protección de Datos Personales en la provincia de Santa Fe como primer paso de acercamiento con la problemática planteada por los especialistas de dicha provincia, a fin de hacer conocer las posibilidades que brinda tanto la Dirección Nacional de Protección de Datos Personales, el Programa Nacional y el Centro de Protección de Datos Personales de la Defensoría del Pueblo de la C.A.B.A. como únicos organismos a la fecha, con autoridad en materia de protección de datos personales en el país. La fecha de la jornada se definirá en los próximos días.

Fuente: http://habeasdatacpdp.wordpress.com/2013/09/26/el-cpdp-y-con-vos-en-la-web-se-reunieron-con-expertos-de-santa-fe/

Read More

TV - Cooperación en Ciberdefensa entre Argentina y Brasil

Participación en el Programa "Desafíos Productivos" conducido por Darío Schueri, emitido el 22/9/2013 por Cablevisión - Canal 8 "Somos Santa Fe". 

En el mismo se ha comentado sobre las noticias relativas al convenio de cooperación entre Argentina y Brasil en materia de ciberdefensa, lo cuál fue difundido por varios medios nacionales en las últimas semanas.  

Read More