La falsa nota sobre la protección de los derechos en Facebook

Como sucede año tras año, se viralizan falsas noticias (HOAX) de distintos temas, pero siempre suelen ser efectivos aquellos relacionados con Facebook o Whatsapp. En esta oportunidad, se ha difundido de forma viral un supuesto texto legal que pretende proteger a los usuarios contra el “robo” de información en Facebook

“Dejo establecido que debido al hecho de que Facebook ha optado por incluir software que le permitirá el robo de información personal: hoy, 20 de Febrero de 2016, en respuesta a las nuevas directrices de Facebook, de conformidad con los artículos L.111, 112 y 113 del código de la propiedad intelectual, declaro que mis derechos están conectados a todos mis datos personales dibujos, pinturas, fotografías, textos, música, etc... publicado en mi perfil. Para uso comercial de lo expuesto anteriormente se requiere en todo momento mi consentimiento. Aquellos que leen este texto pueden hacer un copy/ paste en su muro de Facebook. Esto les permitirá colocarse bajo la protección del derecho de autor. Por esta declaración, le digo a Facebook que queda estrictamente prohibido divulgar, copiar, distribuir, transmitir o tomar cualquier otra acción contra mí en base a este perfil y o su contenido. Las acciones antes mencionadas se aplicarán también a los empleados, estudiantes, agentes y/o cualquier otro personal bajo la dirección de Facebook. El contenido de mi perfil contiene información privada. La violación de mi intimidad es castigada por la ley (UCC 1-308 1-308 1-103 y el estatuto de Roma). Facebook ahora es una entidad de capital abierto. Todos los miembros están invitados a enviar un aviso de este tipo, o si lo prefieren, pueden copiar y pegar esta versión. Nota: Si no has publicado esta declaración al menos una vez, tácitamente permites el uso de elementos tales como tus fotos, así como la información contenida en la actualización del perfil.”

Para comenzar, es importante aclarar que los fundamentos legales citados no tienen ningún tipo de relación con lo que se pretende lograr, toda vez que son artículo del Código Comercial Unificado de los EEUU, de forma que dicha normativa es aplicable solamente para aspectos comerciales.

Los derechos, ya sean de propiedad intelectual o relacionados a tu privacidad, son regulados por la Declaración de Derechos y Responsabilidades de Facebook (https://www.facebook.com/legal/terms), acuerdo de adhesión que aceptas por tener una cuenta de Facebook y que de ninguna manera podría ser modificado por una declaración del usuario realizada en su muro. Es decir que si somos usuarios de Facebook, es porque lo hemos aceptado, y por lo tanto desde el comienzo de la relación, todos los aspectos relativos a la privacidad, protección de datos personales, propiedad intelectual de los contenidos y otros aspectos, son regulados por dichas cláusulas.

De hecho, expresamente a través del art. 19 (Otros) inc. 5, el usuario acepta que: “Cualquier enmienda a esta Declaración o exención de esta deberá hacerse por escrito y estar firmada por nosotros.” Confirmando nuevamente que una publicación por parte de un usuario de una manifestación unilateral (posteando dicha leyenda en su muro) posterior a la celebración de un contrato para la utilización de un servicio, no tiene ningún tipo de validez.

Más allá de eso, intentaremos razonar jurídicamente si fuera realmente posible aplicar la leyenda, y que básicamente se resume a que el usuario desea prohibir el uso de los datos personales a Facebook. ¿Podría un usuario de Facebook revocar su consentimiento para el tratamiento de sus datos personales?

De acuerdo a la legislación Argentina (Ley Nº 25.326 – art. 5), “el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.” ¿Podría alegar un usuario de Facebook que no sabía que tipo de tratamiento se le iba a dar a sus datos personales? Probablemente NO, precisamente por lo que antes señalamos: al ingresar como usuarios a Facebook, declaramos haber leído (cosa que realmente deberían hacer todos los usuarios) y aceptado las condiciones del Servicio, incluídas las políticas de privacidad y demás documentación aplicable.

No obstante, no debemos olvidarnos que en las propias DDR de Facebook, más precisamente en el art. 15 inc. 1, aceptamos la aplicación de la jurisdicción del Tribunal de Distrito de los Estados Unidos para el Distrito del Norte de California o en un tribunal estatal del condado de San Mateo. Esta cláusula es aplicable para todo el mundo (literalmente) excepto para Alemania, quien a través de sus diferentes “peleas” con Facebook por la privacidad, logró que a través del art. 16 inc. 3 se incluyera excepciones para los usuarios de Alemania, entre los cuáles existen un reemplazo del art. 16 inc. 5, afirmando que sus contratos si se les aplica la legislación alemana. Para todo el resto de nosotros (incluídos los argentinos por supuesto), de acuerdo a este art. 16 inc. 1, estamos dando nuestro consentimiento para que tus datos personales se transfieran y se procesen en los Estados Unidos.

Por otro lado, es interesante analizar si más allá del aspecto legal, dicha leyenda realmente podría aplicarse al servicio. El propio funcionamiento de una red social (cualquiera sea) es basado sobre el hecho de compartir contenidos entre usuarios, interactuando con ellos, y donde gran parte de esos contenidos, contienen una amplia gama de datos personales. En consecuencia, si un usuario realmente quisiera revocar el consentimiento para el tratamiento de sus datos personales,  básicamente debería cerrar su cuenta, dado que de otra manera el Servicio en sí de la red social se haría de realización imposible. Este aspecto tiene una estrecha relación con el funcionamiento de la cesión de derechos de uso sobre los contenidos que el usuario transmite a la plataforma, y sobre las características particulares de esa licencia. Sin embargo, ello será motivo de otro post diferente, para no extendernos más en el presente.

Para finalizar, me tomaré la licencia de realizar una apreciación personal sobre el fenómeno analizado y su relación con la privacidad. Considero que por un lado, existe una gran población de usuarios de las redes sociales (Facebook y otras) que desconocen realmente las “reglas de juego” para participar de alguna red social, donde es la información del usuario la moneda de cambio por la utilización del servicio. 

Desde otra perspectiva, es interesante observar el comportamiento de los usuarios en relación a la protección de su privacidad. Creo que existe una especie de intención de reclamo externalizado a través de este tipo de leyendas, que son utilizadas más bien como “banderas”, donde el usuario se siente identificado con todo o parte del texto, y quiere creer que copiando y pegando un texto en su muro, mejorará su situación sobre la privacidad de sus datos.

La privacidad en sí, es un concepto personal y mutable, que se va construyendo y forjando con el tiempo. La decisión de mantener una cierta actitud de resguardo sobre la privacidad, debe ser construido día a día, primero decidiendo y auto respetando el ámbito de privacidad que deseo tener, y luego, si exigiendo que otros terceros respeten esa línea que personalmente he demarcado. ¿Cómo? 

Se construye dedicando 30 minutos a comprender cuáles son las condiciones del servicio. Si realmente comprendo y decido aceptar, entonces debería dedicar 10 minutos a repasar la configuración de privacidad. Y día a día se deberá reservar algunos de reflexión antes de comentar en un muro, antes de subir las fotos donde se vea la familia, la patente del auto y la dirección de la casa, antes de etiquetar a otra persona, antes de postear donde vamos a ir este verano de vacaciones, segundos de reflexión antes de... compartir algún contenido que afecte en algo esas ganas de tener un poco más de privacidad.

Abog. Marcelo Temperini (Abogado, especializado en Derecho Informático. Doctorando de CONICET dedicado a la investigación de Delitos Informáticos y Cibercrimen en el Centro de Investigación de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Socio Fundador de AsegurarTe, Consultora en Seguridad de la Información)

Read More

El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"

Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida. 

La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del call center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten". Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?".  Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita. Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "sisi, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc". :(

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, de ejercer los derechos que ya tenemos y de exigir el cumplimiento de las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?"

 _________

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.

_________

Actualización del post: 11/10/2015 a las 19:40 hs

En fecha 05/10/2015, volví a recibir una nueva e interesante llamada de la empresa Movistar, que sigue intentando captarme como cliente a través de los llamados telefónicos. En realidad, algunos días antes recibí otra llamada, pero al hacer la incómoda pregunta sobre "me podes decir de donde sacaste mis datos personales", la señorita al menos tuvo la decencia de directamente cortar la llamada.
En este nuevo caso que traemos, se dio otra conversación interesante donde ante la pregunta mágica (fuente de la base de datos) la vendedora me dice que "Nos lo da Personal Marcelo, sino sería imposible saber cuanto abonas, tu número de documento y titular de línea"... a continuación y atenta a que se me nota la molestia por la situación, la señorita me comenta que "los datos nos lo da Personal, si te molesta, tenes que llamar a Personal para que no de los números..." La charla termina donde intento explicarle a la vendedora que por un lado estoy inscripto en el Registro No llame y por otro, ellos no tienen mi consentimiento para tratar mis datos personales, haciendo que la práctica sea ilegítima. Parece ser que a la chica del call center no le gusto mucho escuchar esto último (sobre la ilegitimidad de la práctica) y decidió dejar de lado los intentos de explicaciones para pasar a algo más sencillo y radical: putearme

A ver si explicamos un poco la situación jurídica de los datos personales en estos casos concretos. Personal es la empresa que me provee el servicio de comunicaciones, con la cuál mantengo una relación contractual (porque obviamente todos los meses debo abonar por el servicio prestado), por lo que legalmente la empresa Personal tiene autorización para tener mis datos personales en virtud de la relación contractual. No obstante, dicha situación para nada implica que ellos puedan ceder mis datos personales (que según reconoce la propia señorita, ellos tienen titular de la línea, dni y cuanto es lo que abono por mi servicio) a otras empresas.

Pensando en esto, se me ocurrió revisar los términos y condiciones legales de Personal, puntualmente sus Políticas de Privacidad, para asegurarme de que lo estoy escribiendo sea cierto, y me encontré con una cláusula que me parece interesante explicarlo (intentaré hacerlo lo más sencillo posible):

Sin perjuicio de lo antes expuesto, y bajo estrictos estándares de seguridad y privacidad, PERSONAL podrá ceder temporalmente la Información Personal que recopila, a terceras empresas contratadas que brindan servicios necesarios para cumplimentar las obligaciones que PERSONAL tiene a su cargo, tales como la prestación del servicio de telecomunicaciones móviles, como así también a estudios de cobranza y centrales de riesgo crediticio, con quienes PERSONAL tiene convenio vigente. Lo anteriormente citado acontecerá en los supuestos en que los datos no requieren su consentimiento previo para su recolección, tratamiento y cesión -conforme con lo establecido en los artículos 5º, inciso 2., sub-inciso c), y 11º, de la Ley N° 25.326 de Protección de Datos Personales. Las contrataciones de servicios de soporte o tecnología a terceros, para los cuales deban acceder a Información Personal, se efectúan de acuerdo a los requerimientos de privacidad y seguridad establecidos por nuestras políticas y de conformidad a lo dispuesto en el art 25 de la Ley 25.326 y su decreto reglamentario.

1) Ceder temporalmente... por cuanto tiempo? Personal debe decirnos por cuanto.
2) A quien? Personal no determina quienes son los cesionarios a los cuáles cedera nuestra datos personales, ni tampoco nos da los elementos para poder determinarlos... Porqué digo esto? Por referencia al artículo 11 del la Ley de Protección de Datos Personales Nº 25.326, primera parte donde dice:

ARTICULO 11. — (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Es decir, más allá que existe la obligación legal de que sólo pueden ser cedidos previo consentimiento del titular, existe la obligación de informar al titular (nosotros) la finalidad de la cesión y la identificación del o los cesionarios o bien, los elementos que nos permitan hacerlo, algo que no se cumple adecuadamente por parte de Personal (al menos para quien escribe). Sin embargo, como suele suceder en el derecho, siempre hay que hacer una lectura completa e integral de las regulaciones. La segunda parte dice "Lo anteriormente citado acontecerá en los casos que los datos no requieran consentimiento previo para su recolección, tratamiento y cesión" y cita el art. 11 (cesión) y el 5 inc. 2 C (consentimiento). Brevemente, esto implica que esta cesión que aclaran será temporaria, sólo se realizará sobre los datos para los cuáles no se requiere consentimiento de acuerdo al art. 5 inc. 2 C, los cuáles por la propia ley son:  "nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio" (básicamente son los datos del padrón electoral.

Es decir, entre esos datos no está ni el número de línea, ni tampoco el monto del abono, por lo que incluso siendo que exista un convenio entre Personal y Movistar (lo cuál dudo, toda vez que claramente es una práctica donde una empresa pretende robarles los clientes a la otra), tampoco podrían cederse legalmente esos datos puntuales.

Más allá de toda la explicación jurídica, que si se quiere sólo aporta a la teoría del marco normativo de la protección de datos personales, la realidad diaria muestra como es posible que el mercado negro de los datos personales siga existiendo en nuetro país (diría la chica del call center... "sino, como te pensas que tenemos tus datos"), donde las empresas no tienen ningún problema en llamarte varias veces para ofrecerte el mismo servicio (aún teniendo la negativa en varias ocasiones) y en el peor de los casos, hasta insultando porque hago preguntas en el ejercicio legítimo de mis derechos.

PD: Estoy intentando ejercer mi derecho de acceso ante Personal Argentina, a fin de que me informen con certeza quienes son los cesionarios a los cuáles están cediendo mis datos personales.

Actualización, dejo capturas de pantalla de lo conversado vía Twitter con Personal Argentina.

Abog. Marcelo Temperini
www.asegurarte.com.ar
mtemperini.blogspot.com.ar

Read More

Charlas en la Escuela Secundaria de la UNL

Los días Miércoles 18 y Jueves 19 de Junio, se llevaron a cabo una serie de Charlas en la Escuela Secundaria de la Universidad Nacional del Litoral, en la cuál la Consultora AsegurarTe ha participado como parte del grupo extensionista dentro del marco del Proyecto de Extensión de Interés Social UNL-PEIS: "Protección de Adolescentes en Internet y las Redes Sociales", dirigido por la Dra. María Laura Spina, de la Facultad de Ciencias Jurídicas y Sociales.

La Consultora AsegurarTe, nacida e incubada en el marco del Gabinete de Emprendedores FCJS-FICH (UNL), apoyando la realización de este importante Proyecto de Extensión, realizado desde la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Además, participan como extensionistas el Área Joven de la Secretaría de Desarrollo Social del Gobierno de la Ciudad de Santa Fe.

Read More

Registro No Llamar y la Protección de Datos Personales

Estabas en el medio de algo importante... suena un llamado de número desconocido (o privado), detenes el auto, dejas de trabajar, atendes con cara de suspenso y del otro lado de la línea alguien dice... "Buen día Señor, le estamos llamando de XXXXX para ofrecerle un descuento por haber sido elegido la mejor persona de su calle". Particularmente a mi, me suele pasar algo más grave (?), que es la interrupción de una costumbre milenaria en Santa Fe... que es la siesta. Ese breve descanso tan necesario, termina muchas veces siendo interrumpido por un mensaje de texto que termina por despertarme para ver si no es alguna urgencia o cliente en apuros. Ni una cosa ni otra, resulta que fui elegido para competir por un premio de $500.000 e incluso, ganar un premio sorpresa gratis! :O

La publicidad no solicitada que llega a nuestros mails y teléfonos (vía llamada o vía mensaje de texto) no es novedad, sin embargo, es uno de los problemas (molestos) que aún no se ha podido combatir. La idea de los "Registros No llame" es una buena alternativa para enfrentar el desafío. Para aquellos que aún no conozcan el sistema, el sentido es obligar a todas las empresas de telemarketing (del ámbito de jurisdicción de la norma), a notificarse de la lista "negra" de números telefónicos que han optado por no recibir llamados o mensajes de publicidad no solicitada. Básicamente, un sistema de opt-out gestionado por algún nivel estatal (Municipal o Provincial), que aplican sanciones a las empresas infractoras (en principio al menos).

En el ámbito de la Provincia de Buenos Aires el "Registro no llamar" se ha generado a partir de la Ley N° 14.326 (2011), en el cuál podrá anotarse "toda persona física o jurídica titular de una línea telefónica fija o celular, que manifieste su decisión de no ser llamado o notificado por mensajes de textos, por quienes haciendo uso de datos personales, utilizan el sistema de telemarketing para publicitar, ofertar, vender y/o regular bienes o servicios." (negrita a cargo del autor)

En Septiembre del 2013, dicha norma fue reglamentada a través del Decreto 559/2013, en el cuál se dispusieron las condiciones para que el sistema finalmente comenzara a funcionar. Por ejemplo, en dicha reglamentación establece que las empresas de telemarketing, podrán hacer telemarketing a los usuarios de servicios telefónicos no inscriptos en el "Registro No Llamar", solamente los días hábiles de 10.00 a 12.00 y de 16.00 a 19.00 horas, y que por supuesto, su incumplimiento se considerará infracción de acuerdo a la Ley citada (Nº 14.326).

Entre los diferentes modos de sumarse a dicho registro, ya se ha habilitado el sistema online para su inscripción. Todo iba bien hasta que el sistema me pregunta si soy una persona física o jurídica... y desde allí se desata el caos (de datos personales). En el caso que seamos una persona física que intenta sumarse a esta noble idea del registro no llame, deberemos informar al sistema: Nombre y Apellido, DNI, Domicilio, Partido, Localidad y Mail.  En el caso que seamos una persona jurídica, tendremos que ingresar CUIT, Razón Social, Domicilio Legal, Partido, Localidad y Mail. A estos datos, obviamente se le suman los realmente necesarios para llevar a cabo la finalidad del propio registro, es decir, el Nro. de teléfono y la Empresa de Telefonía (sobre este último, aún no estoy convencido de su pertinencia, pero puede aceptarse siempre y cuando el mismo aporte a una mejor eficacia del sistema de no llame). 

Sin embargo, sobre esa primera gama de datos personales que citamos (6 campos), nos permitimos dudar (por decirlo de forma elegante) de su pertinencia en relación a la finalidad del registro. ¿Cumplen estos datos con el principio de calidad del art. 4 inc. 1 de la Ley de Protección de Datos Personales Nº 25.326? Desde mi humilde opinión, sostengo que no, que estos datos son excesivos y no pertinentes en relación a la finalidad. Uno de los razonamientos posibles sería: ¿cabe acaso la posibilidad de negarme la inscripción al registro por algún tipo de validación con los otros datos personales? Si a fin de cuentas, la inscripción en esta "lista negra", sólo impedirá que me llamen aquellas empresas de telemarketing, pero no evitará de forma alguna que aquellas empresas con las cuáles tengo algún tipo de relación contractual (por ejemplo, donde compre una tostadora en 24 cuotas para el mundial), me llamen cuando lo crean necesario para informarme de alguna novedad sobre dicha relación. 

La no validación (si es que existe) de estos datos ¿Que podrá ocasionar? ¿Que alguien decida vía web incorporar mi número de teléfono sin mi consentimiento? ¿Sería tan terrible?. A veces una idea, supera muchos problemas. El registro No llame de la Ciudad de Buenos Aires, propone sólo el ingreso del número de línea interesado en sumarse al registro. Posteriormente, alguien se comunica solicitando confirmación: problema solucionado sin necesidad de recolectar datos personales que no corresponden.

Volviendo al sistema implementado por la Provincia de Buenos Aires, así como está diseñado, lo que se puede observar a simple vista es que el administrador de dicha base de datos, tiene la posibilidad de saber con sólo un número de teléfono celular, todos los datos que identifican al titular de dicha línea, una información más que interesante para "perderse" el mercado de la información no?. ¿Quién tiene estos datos? ¿Quien es el responsable registrado ante la Dirección Nacional de Protección Datos Personales? ¿Cuál es el número de registro de inscripción de dicha base de datos? ¿Quién se hace responsable de que se adopten todos los principios (incluídas las medidas de seguridad obligatorias) que establece la normativa vigente?. ¿Donde está la declaración de la finalidad de dicha base de datos, que me asegure como usuarios que dichos datos no serán cedidos, no serán vendidos, no serán utilizados para otros fines distintos a los nobles que tiene originalmente el registro no llame? Muchas preguntas sin responder con claros incumplimientos a una normativa que ya no es novedad, sobre todo por tratarse de una iniciativa por parte del gobierno provincial. Como extra, cabe agregar que el "Registro No Llame" es precisamente una iniciativa de protección a los titulares de datos personales, ya que la problemática raíz se debe precisamente a un incumplimiento de esta norma por parte de las empresas que realizan este tipo de publicidad, quienes realizan un tratamiento ilegítimo de datos personales. 

Como yapa del artículo, y para comprobar la legitimidad de estos llamados publicitarios, la próxima vez que lo llamen, con tono amable pregunte al que está del otro lado de la línea, de donde sacó su número de teléfono (el cuál muchas veces viene acompañado de su nombre y otros datos), quien le dió consentimiento para utilizar sus datos personales, y que por favor le diga quien es el responsable de dicha base de datos, a fin de poder realizar la denuncia correspondiente y ejercer los derechos que incluso están consagrados constitucionalmente (art. 43 3er párrafo). Inténtelo, es divertido ;)

A modo de conclusión, más allá de las precisiones sobre el cumplimiento de la normativa vigente en relación al funcionamiento de los registros, celebramos la idea del funcionamiento de los Registros No Llamen, incentivamos su buen funcionamiento, la aplicación de sanciones a las empresas infractoras, y sobre todo, ante casos de llamadas o mensajes no solicitados, fomentamos al usuario a  la realización de denuncias ante los organismos correspondientes.

Publicado en Segu-Info - Boletín Nº 198

Read More

Tecno Trece Nº 21 - El fallo Heartbleed

Comparto la nota que salió al aire en Tecno Trece Nº 21, sobre el fallo de Heartbleed, algunos consejos y el comentario sobre la obligación legal de los responsables de datos personales de solucionar dicho fallo. Junto a Coqui Toum y AsegurarTe - Consultora en Seguridad de la Información

Read More

Obligacion legal de solucionar Heartbleed

La ahora conocida falla "Heartbleed" sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas). 

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya "parcheado" (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:

"El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."

En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la  base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:

Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 

1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; [...]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Nota publicada en Segu-Info:  http://blog.segu-info.com.ar/2014/04/no-solucionar-heartbleed-incumple-la.html

Read More

Entrevista para Revista Rumbos - Nota "Laberinto Google"

Nota realizada por la Revista Rumbos publicada el Domingo 7 de Abril sobre el servicio de Google Street View y sus diferentes implicancias sobre la privacidad de las personas. Agradezco la entrevista a Víctor Laurencena.

Read More

Privacy Level Agreement - Jornadas de Cloud Computing CXO

El Jueves 12 de Septiembre de 2013, se realizaron las IV Jornadas de Cloud Computing organizadas por CXO Community, dirigidas académicamente por la Lic. Claudia Diego y el Lic. Cristian Borghello, dentro del Auditorio Principal de la Universidad del CEMA.

En las mismas fui invitado para la disertación en el último panel de las Jornadas, dedicado a los Aspectos Legales a considerar en las migraciones a la nube. Dicho Panel fue moderado por el Lic. Cristian Borghello y compartido con el Abog. Carlos Lavigne.

La exposición tuvo por objetivo desarrollar un nuevo documento generado por la CSA (Cloud Security Alliance), destinado a ser considerado como guía en materia de Privacidad por las empresas proveedoras de Servicios Cloud Computing: el Privacy Level Agreement (se puede descargar desde el link)

Básicamente se han desarrollado todos los puntos y recomendaciones a ser considerados por aquellas empresas (usuarios) que se encuentren en la tarea de comparación de distintos proveedores de los servicios en la nube.

Finalmente, quiero destacar el agradecimiento por la invitación y el excelente trato a Cristian Borghello y Claudia Diego, ambos Directores Académicos de las Jornadas.

A continuación dejamos la presentación utilizada:

Read More

Aspectos Legales en Social Media - 1er. Foro Social Media Litoral

El día lunes 7 de octubre se llevará a cabo, en los salones de Holiday Inn Santa Fe, el 1º Foro Social Media Litoral, organizadas por Locos del Social donde se reunieron distintos profesionales de la región con el objetivo de debatir temas relativos a la materia.

AsegurarTe - Consultora en Seguridad de la Información estuvo participando con Maximiliano Macedo y el Abog. Marcelo Temperini, los cuáles expusieron en el panel de "Aspectos Legales a considerar en un contrato de Social Media".

Agradecemos la invitación a Romina Moine, Leandro Fridman y todos los integrantes de LDS.

 

 

Read More

Reunión con el CPDP y Programa Con vos en la Web

El Centro de Protección de Datos Personales y el Programa Nacional Con Vos en la Web recibieron ayer en la sede de la Dirección Nacional de Protección de Datos Personales a expertos en protección de datos personales y seguridad de la información de la provincia de Santa Fe.

En el encuentro participaron Ezequiel Passeron, coordinador del Programa Nacional, Lucia Fainboim, responsable de contenidos y comunicación de Con Vos en la Web, Inés Tornabene, por el Centro de Protección de Datos Personales, Marcelo Temperini, abogado especialista en derecho informático y Maximiliano Macedo, informático especialista en seguridad de la información.

Además, Maximiliano Macedo es uno de los diseñadores de la aplicación “Botón de Pánico” y Marcelo Temperini asesor jurídico de dicho proyecto. Realizaron una presentación para explicar el funcionamiento de la aplicación, la cual cuenta ya con más de 5.000 descargas y se encuentra posicionada y calificada como una de las tres aplicaciones más exitosas para dispositivos inteligentes.

“Botón de Pánico” es una aplicación gratuita con múltiples potencialidades, que sirve para emitir dos tipos de alarmas (salud y peligro), con diversas formas de configuración para que el mensaje llegue a diversos destinatarios, a través de mensaje de texto, mail o incluso redes sociales.

Por otra parte, y dada la situación particular de la provincia de Santa Fe en materia de legislación sobre protección de datos personales, Temperini y Macedo expresaron su preocupación por la falta de legislación y de un organismo que atienda las diversas situaciones que surgen día a día y con mayor frecuencia, que vulneran la intimidad, la privacidad y los datos personales, no sólo en los bancos de datos privados, sino también en los bancos de datos públicos y a través de internet.

Al respecto, y dado que el Programa Nacional es la concreción de una política pública federal de concientización, se propuso organizar una jornada conjunta entre Con Vos en la Web y el Centro de Protección de Datos Personales en la provincia de Santa Fe como primer paso de acercamiento con la problemática planteada por los especialistas de dicha provincia, a fin de hacer conocer las posibilidades que brinda tanto la Dirección Nacional de Protección de Datos Personales, el Programa Nacional y el Centro de Protección de Datos Personales de la Defensoría del Pueblo de la C.A.B.A. como únicos organismos a la fecha, con autoridad en materia de protección de datos personales en el país. La fecha de la jornada se definirá en los próximos días.

Fuente: http://habeasdatacpdp.wordpress.com/2013/09/26/el-cpdp-y-con-vos-en-la-web-se-reunieron-con-expertos-de-santa-fe/

Read More

Charlas sobre Uso Responsable de Internet en La Pampa

Los días 28 y 29 de Agosto de 2013, se llevaron a cabo cuatro charlas sobre el Uso Responsable de Internet, destinada a chicos de entre 10 y 16 años en la Provincia de La Pampa. Las mismas fueron dictadas por el Abog. Marcelo Temperini (AsegurarTe y Red Elderechoinformático.com) y el Lic. Cristian Borghello (Segu-Info y Segu-Kids.org).Las charlas fueron impulsadas y organizadas por la Senadora Nacional María de los Angeles Higonet, quien actualmente ha presentado en el Senado de la Nación tres proyectos de ley de diferentes aspectos relacionados a las Tecnologías de la Información.

La primera jornada de charlas fue dictada en la ciudad de Santa Rosa, durante el día miércoles 28, donde se realizaron dos charlas (a las 10 y las 15 horas) en el SUM del Colegio Secundario Ricardo Nervi de la ciudad de Santa Rosa, donde también estuvieron presentes estudiantes del colegio Provincia de La Pampa.

La segunda jornada de charlas fue llevada a cabo en la ciudad de General Pico, durante el día Jueves 29, también realizando una charla durante la mañana y otra por la tarde para un grupo distinto de alumnos del Colegio Republica de El Salvador, siendo en este caso, destinadas a alumnos de las escuelas EPET N° 2 y 3, Escuela Normal Mixta Provincia de San Luis.

En relación a la problemática que se pretende atacar, la Senadora María de los Ángeles Higonet ha indicado que "cuando comenzamos a trabajar sobre los tres proyectos de ley que presentamos, nos contactamos con estos especialistas para poder profundizar y ampliar aún más sobre esta problemática. Desde allí, nos propusimos llevar adelante charlas y capacitaciones en nuestra provincia, ya que el avance vertiginoso de la tecnología en la actualidad, y más concretamente, de las tecnologías de la información y de la comunicación, ha conseguido que haya una abundancia enorme de información disponible, con enormes beneficios de acceso a la información, contactos y posibilidades. Pero también, esto trae consigo riesgos que muchas veces desconocemos, y que surgen del uso no responsable de estas nuevas tecnologías, riesgos que, por desgracia, suelen afectar con mayor intensidad y frecuencia a los menores, que además son los más expuestos en Internet".

Con las citadas charlas se ha buscado capacitar a los menores sobre los principales riesgos existentes por el uso inapropiado de las nuevas tecnologías, a fin de dotarlos de recursos para ayudarles en la prevención de las mismas, fomentando así su autoprotección.

En cada de las charlas, se estimó una asistencia de entre 300 y 400 alumnos, logrando en el total de las 4 charlas realizadas, la capacitación de aproximadamente 1400 alumnos. A nivel particular y profesional, como lo ha sido en otras ocasiones, la experiencia de la realización de este tipo de charlas brinda para quienes tenemos la oportunidad de dictarlas, una enorme sensación de satisfacción. Basta observar las caras de los chicos en las charlas, la atención con que escuchan los casos, hasta incluso los gestos de preocupación que parecen identificarse con algunos de los problemas comentados. Vale nuestra expresión de deseos para que este tipo de iniciativas puedan repetirse para más escuelas, en más lugares, para más chicos.

Por último, aprovechamos la oportunidad para agradecer la predisposición y el buen trato recibido tanto por la propia Senadora Higonet, así como a su excelente grupo de trabajo.

Dejamos enlaces a las repercusiones de las charlas en algunos de los medios de comunicación locales:

Fuente: Plan B Noticias

Fuente: El Diario de La Pampa

Fuente: Diario Sur Digital

Fuente: El Diario de La Pampa 2

Fuente: Sitio Oficial del Gobierno de La Pampa

 

Read More

Videovigilancia y Control Laboral: Jornadas sobre Regulación de las Tecnologías en el ámbito laboral público y privado

Este Miércoles 21 de Agosto se llevaron a cabo las Jornadas sobre Regulación de las Tecnologías en el ámbito laboral público y privado, realizadas en el Salón Alberdi del Anexo al Colegio de Abogados de Santa Fe 1ra. Circunscripción Judicial (3 de Febrero 2743 - Santa Fe). Las mismas fueron organizadas el Instituto de Derecho Laboral, Instituto de Derecho Administrativo y la Comisión de Derecho y Nuevas Tecnologías.

Las Jornadas fueron compuestas por dos paneles de expositores. En el primero de ellos, los Dres. Javier Gallo y Mario Barbotti expusieron sobre la "Actividad en el Estado y TICs: marco normativo e implicancias", comentando de manera detallada las diferentes normativas aplicables y las experiencias en la Provincia con respecto a la incorporación de diferentes recursos tecnológicos al servicio del derecho. Posteriormente, en el mismo panel, el Dr. Marcelo Giuliani, expuso sobre la figura del Teletrabajo, desarrollando todas sus implicancias legales en Argentina.

El segundo Panel tuvo en su apertura al Dr. Federico de los Reyes, realizando un interesante resumen sobre las diferentes posturas y tensiones entre los bienes jurídicos tutelados en relación al tema de control laboral. A continuación, la Dra. María Laura Spina expuso sobre diferentes aspectos jurídicos del correo y la mensajería electrónica, así como un repaso de las diferentes implicancias de la aplicación de firma digital y firma electrónica en Argentina. 

Finalmente, el Abog. Marcelo Temperini, de AsegurarTe, expuso sobre "Monitoreo y Videovigilancia en el trabajo", comentando sobre las distintas posibilidades de control laboral en Argentina, tratando brevemente los temas control de acceso, monitoreo, DLP, políticas de seguridad, jurisprudencia.

Read More