El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"

Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida. 

La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del call center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten". Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?".  Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita. Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "sisi, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc". :(

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, de ejercer los derechos que ya tenemos y de exigir el cumplimiento de las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?"

 _________

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.

_________

Actualización del post: 11/10/2015 a las 19:40 hs

En fecha 05/10/2015, volví a recibir una nueva e interesante llamada de la empresa Movistar, que sigue intentando captarme como cliente a través de los llamados telefónicos. En realidad, algunos días antes recibí otra llamada, pero al hacer la incómoda pregunta sobre "me podes decir de donde sacaste mis datos personales", la señorita al menos tuvo la decencia de directamente cortar la llamada.
En este nuevo caso que traemos, se dio otra conversación interesante donde ante la pregunta mágica (fuente de la base de datos) la vendedora me dice que "Nos lo da Personal Marcelo, sino sería imposible saber cuanto abonas, tu número de documento y titular de línea"... a continuación y atenta a que se me nota la molestia por la situación, la señorita me comenta que "los datos nos lo da Personal, si te molesta, tenes que llamar a Personal para que no de los números..." La charla termina donde intento explicarle a la vendedora que por un lado estoy inscripto en el Registro No llame y por otro, ellos no tienen mi consentimiento para tratar mis datos personales, haciendo que la práctica sea ilegítima. Parece ser que a la chica del call center no le gusto mucho escuchar esto último (sobre la ilegitimidad de la práctica) y decidió dejar de lado los intentos de explicaciones para pasar a algo más sencillo y radical: putearme

A ver si explicamos un poco la situación jurídica de los datos personales en estos casos concretos. Personal es la empresa que me provee el servicio de comunicaciones, con la cuál mantengo una relación contractual (porque obviamente todos los meses debo abonar por el servicio prestado), por lo que legalmente la empresa Personal tiene autorización para tener mis datos personales en virtud de la relación contractual. No obstante, dicha situación para nada implica que ellos puedan ceder mis datos personales (que según reconoce la propia señorita, ellos tienen titular de la línea, dni y cuanto es lo que abono por mi servicio) a otras empresas.

Pensando en esto, se me ocurrió revisar los términos y condiciones legales de Personal, puntualmente sus Políticas de Privacidad, para asegurarme de que lo estoy escribiendo sea cierto, y me encontré con una cláusula que me parece interesante explicarlo (intentaré hacerlo lo más sencillo posible):

Sin perjuicio de lo antes expuesto, y bajo estrictos estándares de seguridad y privacidad, PERSONAL podrá ceder temporalmente la Información Personal que recopila, a terceras empresas contratadas que brindan servicios necesarios para cumplimentar las obligaciones que PERSONAL tiene a su cargo, tales como la prestación del servicio de telecomunicaciones móviles, como así también a estudios de cobranza y centrales de riesgo crediticio, con quienes PERSONAL tiene convenio vigente. Lo anteriormente citado acontecerá en los supuestos en que los datos no requieren su consentimiento previo para su recolección, tratamiento y cesión -conforme con lo establecido en los artículos 5º, inciso 2., sub-inciso c), y 11º, de la Ley N° 25.326 de Protección de Datos Personales. Las contrataciones de servicios de soporte o tecnología a terceros, para los cuales deban acceder a Información Personal, se efectúan de acuerdo a los requerimientos de privacidad y seguridad establecidos por nuestras políticas y de conformidad a lo dispuesto en el art 25 de la Ley 25.326 y su decreto reglamentario.

1) Ceder temporalmente... por cuanto tiempo? Personal debe decirnos por cuanto.
2) A quien? Personal no determina quienes son los cesionarios a los cuáles cedera nuestra datos personales, ni tampoco nos da los elementos para poder determinarlos... Porqué digo esto? Por referencia al artículo 11 del la Ley de Protección de Datos Personales Nº 25.326, primera parte donde dice:

ARTICULO 11. — (Cesión). 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

Es decir, más allá que existe la obligación legal de que sólo pueden ser cedidos previo consentimiento del titular, existe la obligación de informar al titular (nosotros) la finalidad de la cesión y la identificación del o los cesionarios o bien, los elementos que nos permitan hacerlo, algo que no se cumple adecuadamente por parte de Personal (al menos para quien escribe). Sin embargo, como suele suceder en el derecho, siempre hay que hacer una lectura completa e integral de las regulaciones. La segunda parte dice "Lo anteriormente citado acontecerá en los casos que los datos no requieran consentimiento previo para su recolección, tratamiento y cesión" y cita el art. 11 (cesión) y el 5 inc. 2 C (consentimiento). Brevemente, esto implica que esta cesión que aclaran será temporaria, sólo se realizará sobre los datos para los cuáles no se requiere consentimiento de acuerdo al art. 5 inc. 2 C, los cuáles por la propia ley son:  "nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio" (básicamente son los datos del padrón electoral.

Es decir, entre esos datos no está ni el número de línea, ni tampoco el monto del abono, por lo que incluso siendo que exista un convenio entre Personal y Movistar (lo cuál dudo, toda vez que claramente es una práctica donde una empresa pretende robarles los clientes a la otra), tampoco podrían cederse legalmente esos datos puntuales.

Más allá de toda la explicación jurídica, que si se quiere sólo aporta a la teoría del marco normativo de la protección de datos personales, la realidad diaria muestra como es posible que el mercado negro de los datos personales siga existiendo en nuetro país (diría la chica del call center... "sino, como te pensas que tenemos tus datos"), donde las empresas no tienen ningún problema en llamarte varias veces para ofrecerte el mismo servicio (aún teniendo la negativa en varias ocasiones) y en el peor de los casos, hasta insultando porque hago preguntas en el ejercicio legítimo de mis derechos.

PD: Estoy intentando ejercer mi derecho de acceso ante Personal Argentina, a fin de que me informen con certeza quienes son los cesionarios a los cuáles están cediendo mis datos personales.

Actualización, dejo capturas de pantalla de lo conversado vía Twitter con Personal Argentina.

Abog. Marcelo Temperini
www.asegurarte.com.ar
mtemperini.blogspot.com.ar

Read More

Privacy Level Agreement - Jornadas de Cloud Computing CXO

El Jueves 12 de Septiembre de 2013, se realizaron las IV Jornadas de Cloud Computing organizadas por CXO Community, dirigidas académicamente por la Lic. Claudia Diego y el Lic. Cristian Borghello, dentro del Auditorio Principal de la Universidad del CEMA.

En las mismas fui invitado para la disertación en el último panel de las Jornadas, dedicado a los Aspectos Legales a considerar en las migraciones a la nube. Dicho Panel fue moderado por el Lic. Cristian Borghello y compartido con el Abog. Carlos Lavigne.

La exposición tuvo por objetivo desarrollar un nuevo documento generado por la CSA (Cloud Security Alliance), destinado a ser considerado como guía en materia de Privacidad por las empresas proveedoras de Servicios Cloud Computing: el Privacy Level Agreement (se puede descargar desde el link)

Básicamente se han desarrollado todos los puntos y recomendaciones a ser considerados por aquellas empresas (usuarios) que se encuentren en la tarea de comparación de distintos proveedores de los servicios en la nube.

Finalmente, quiero destacar el agradecimiento por la invitación y el excelente trato a Cristian Borghello y Claudia Diego, ambos Directores Académicos de las Jornadas.

A continuación dejamos la presentación utilizada:

Read More

Siguen avanzando los Proyectos para tipificar el Phishing y la Suplantación de Identidad Digital

El día de ayer,  Martes 18 de Junio de 2013, hemos tenido (Abog. Marcelo Temperini y Lic. Cristian Borghello) la grata posibilidad de volver a participar de una nueva reunión en el Senado de la Nación Argentina, más precisamente dentro de la Comisión de Justicia y Asuntos Penales. 

En esta oportunidad, el motivo de la reunión era el análisis de los diferentes proyectos presentados por distintos Senadores en relación a la problemática de la Captación Ilegítima de Datos y la Suplantación de la Identidad Digital.

Entre ellos, se encontraban los proyectos en los cuáles en los cuáles participamos de su redacción: El Proyecto de Ley 711/13 -Captación ilegítima de datos confidenciales/Phishing (Ref. 2257/11)- y el Proyecto de Ley 1312/12 -Suplantación de Identidad Digital-, ambas presentaciones iniciadas por la Senadora Nacional por La Pampa, María de los Ángeles Higonet.

La reunión comenzó con una breve explicación sobre como las diferentes etapas del phishing y porqué consideramos de importancia la propuesta de tipificar la captación y venta ilegítima de datos confidenciales. Así, se compararon las propuestas del Senador Guastavino (Proyecto 811/13 para la tipificación de la Obtención de Datos Personales cuyo secreto estuviere preservado por ley) y la propia iniciativa de la Senadora Higonet a través del ya mencionado Proyecto de Ley 711/13 -Captación ilegítima de datos confidenciales/Phishing (Ref. 2257/11)-. Se concluyó en realizar una propuesta única que tenga en consideración lo expuesto por ambas propuestas, sujetos a algunas apreciaciones realizadas durante el debate.

 

Posteriormente, fueron tratadas las propuestas para la tipificación de la Suplantación de Identidad Digital, considerándose los Proyectos 1002/12 de la Senadora Nacional Ada Rosa Iturrez de Cappelini, el Proyecto 2311/12 de la Senadora Nacional Ana María Corradi de Beltran y finalmente el Proyecto de Ley 1312/12 -Suplantación de Identidad Digital de la Senadora Nacional María de los Ángeles Higonet.

Aquí se plantearon algunas comentarios, preguntas y situaciones de ejemplo en torno a algunos verbos propuestos en los proyectos, intentando consensuar el aspecto objetivo de la propuesta. Por otro lado, de nuestra parte se expresó la postura sobre la necesidad de que la propuesta final incluyera de alguna forma u otra, el requisito de un aspecto subjetivo en el tipo.

Afortunadamente, y tal como en la anterior ocasión, se ha tenido una excelente recepción y predisposición de todos los presentes en la Comisión de Justicia y Asuntos Penales en relación a las propuestas y sobre todo en la necesidad de combatir ambas problemáticas.

Finalizando la reunión, los asesores que representaron a los diferentes proyectos ya citados, consensuaron la idea de la redacción de una propuesta única para tipificar ambos delitos, teniendo en consideración todo lo analizado durante esta reunión y la anterior. Así las cosas, junto al equipo de trabajo de la Senadora Higonet, retornamos al despacho con el destino de elaborar el documento con la propuesta final. 

Dicha propuesta no ha sido aún publicada oficialmente (por lo que no difundiremos su texto), toda vez que queda sujeta a la aprobación por los asesores de los distintos miembros de la Comisión. Logrado este objetivo, el próximo paso sería la reunión a fin de lograr aprobación final por parte de los propios Senadores que conforman la Comisión de Justicia y Asuntos Penales. Si allí es aprobado, los proyectos podrían pasar a votación en el recinto del Senado de la Nación.

Por último deseamos agradecer especialmente a la Senadora Nacional María de los Angeles Higonet, y especialmente a su grupo de trabajo y asesores, por el excelente trato recibido durante toda la jornada, así como la genuina preocupación por producir avances en la materia.

Abog. Marcelo Temperini y Lic. Cristian Borghello.

Cruzada por la Identidad Digital

Read More

Usuarios-mercancía en Facebook

Facebook obliga a instalar software de uno de sus socios comerciales como condición de desbloqueo de las cuentas de sus usuarios.

Estimados, una tranquila tarde de domingo mientras subía una imagen en Facebook, el sistema me expulsa abruptamente obligandome a un nuevo logueo. Casualmente, me dice lo que pueden observar en la primer pantalla.

Read More

La obligación de verificación de identidad en las operaciones bancarias

Hace algunos días, el Lic. Cristian Borghello (Segu-Info) publicó VISA - relato de una estafa consensuada, en la cuál cuenta una situación personal pero que a su vez, es compartida con la inmensa cantidad de personas que han sufrido este tipo de estafas (y donde muchas de ellas, nunca se dieron cuenta).

La pregunta es ¿Qué pasa en estos casos? ¿Qué pasa cuando somos usuarios de un servicio, que, por deficiencias propias, nos perjudica?

Las deficiencias y problemas del sistema, ya han sido desarrollados en el artículo citado, pero debemos volver sobre el punto crítico del fallo: la falta de diligencia de la empresa / entidad bancaria para verificar la identidad del usuario que pretende pagar un servicio (o comprar un producto) con una tarjeta que no le pertenece.

En relación a esta situación, por un lado es aplicable lo dispuesto por la Ley 25.246, en cuyo art. 21 inc. a establece la obligación de las entidades financieras -y otras tantas personas detalladas en el art. 20- de

a. Recabar de sus clientes, requirentes o aportantes, documentos que prueben fehacientemente su identidad, personería jurídica, domicilio y demás datos que en cada caso se estipule, para realizar cualquier tipo de actividad de las que tienen por objeto. Sin embargo, podrá obviarse esta obligación cuando los importes sean inferiores al mínimo que establezca la circular respectiva.
Cuando los clientes, requirentes o aportantes actúen en representación de terceros, se deberán tomar los recaudos necesarios a efectos de que se identifique la identidad de la persona por quienes actúen.
Toda información deberá archivarse por el término y según las formas que la Unidad de Información Financiera establezca;

Asimismo, a través de la Ley de Tarjetas de Créditos Nº 25.065, en su art. 37 inc. c se reitera la obligación aún más precisa de verificación de la identidad del usuario:

ARTICULO 37.— El proveedor esta obligado a:
a) Aceptar las tarjetas de crédito que cumplan con las disposiciones de esta ley.
b) Verificar siempre la identidad del portador de la tarjeta de crédito que se le presente.
c) No efectuar diferencias de precio entre operaciones al contado y con tarjeta.
d) Solicitar autorización en todos los casos.

Es decir, existe en cabeza del proveedor del servicio, la obligación permanente de verificar la identidad del portador de la tarjeta de crédito que se le presente.

En este sentido, existe importante caudal de jurisprudencia en nuestro país. Por ejemplo, en el caso "Laino, Romina Gabriela c. Banco Sáenz S.A. 11/02/2010 - Cámara Nacional de Apelaciones en lo Comercial, sala A", donde la accionante había sido incluída en la lista de morosos del Banco Central, por una deuda por un crédito que un tercero sacó en una casa de electrodomésticos, el cuál fue financiado por su banco. La Cámara confirmó que:

Siendo indiscutible que el comercio en el cual fue utilizado el documento de identidad de la actora para adquirir mercadería financiada con un préstamo bancario, no cumplió adecuadamente con su obligación de verificar la identidad del solicitante, ha de concluirse que el banco otorgante es responsable por la indebida inclusión de aquélla como morosa en la base de datos del Banco Central de la República Argentina, pues infringió su deber de prudencia y diligencia al delegar el cumplimiento de una obligación que resulta indelegable.

Siguiendo al Abog. Gabriel Martinez Medrano en su art. "El robo de Identidad. La responsabilidad de los Bancos y del Estado", la negligencia del banco resulta de comparar la conducta obrada con la conducta esperable de un profesional del negocio bancario. El estándar para medir la culpa del banco es altísimo. Trátase de un profesional especializado en un negocio concreto, que debe adoptar todos los recaudos para evitar otorgar una tarjeta, cuenta o crédito al primero que pasa por la entidad y lo solicita a nombre de un tercero.

En consecuencia, no sólo existe la obligación de control y verificación por parte de las entidades bancarias, sino que además la misma es considerada como una operación profesional, por lo que deberán tomarse los recaudos suficientes para que su obrar sea  considerado como diligente en el caso. Esto implica que deberá demostrar que cumplió con todos los recaudos detallados anteriormente... ¿Podrán hacerlo?

La propia Ley 25.065 de Tarjetas de Créditos, en sus arts. 26 a 30 regula algunas reglas del proceso de reclamo e impugnación de las liquidaciones o resúmenes con errores. Básicamente, recordaremos que el titular puede cuestionar la liquidación dentro de los treinta (30) días de recibida, detallando claramente el error atribuido y aportando todo dato que sirva para esclarecerlo por nota simple girada al emisor.

El emisor de la tarjeta, deberá dar cuenta de recepción de esta nota dentro de los 7 días, y dentro de los 15 días siguientes, deberá corregir el error si lo hubiere o explicar claramente la exactitud de la liquidación, aportando copia de los comprobantes o fundamentos que avalen la situación.

Para finalizar el artículo, me gustaría expresar la necesidad de todas las entidades financieras, bancarias y de todas aquellas empresas que utilizan sus servicios, de realizar acciones positivas en materia de seguridad de la información. La falta de capacitación del personal, la falta de interés en el cuidado de la identidad y el patrimonio de los usuarios, la falta de cumplimiento de obligaciones legales existentes, claras y precisas, sumado a la cantidad de casos (en crecimiento) sobre estafas bancarias (físicas y virtuales), deberían generar un cambio y un avance de las empresas en mejorar sus niveles de seguridad.

Mandar un mail de vez en cuando con consejos sobre el phishing, es bueno, pero no alcanza..

Read More

Datos personales y leyendas legales en Facebook

Hace varios días, Facebook experimenta una inundación de algunas leyendas legales que los usuarios copian y pegan en sus propios muros. Estas leyendas, además de ser publicadas en los muros de los usuarios, también han sido objeto de publicación como comentarios en el Facebook Site Governance (Site oficial de Facebook para informar sobre las novedades y cambios de sus condiciones de servicio). El objeto del presente post, será intentar responder al interrogante ¿Son válidas estas leyendas?

A continuación reproducimos uno de sus textos más difundidos (existen diferentes variantes, adaptadas por los propios usuarios):

Habiendo leído, comprendido y visto los términos y condiciones de Facebook: yo: (Nombre y Apellido) NO AUTORIZO el uso de mis datos personales (textos, fotografías, imágenes personales, datos personales) de acuerdo con la ley de protección de datos. Rechazo totalmente que usuarios ajenos a mi pagina Facebook usen mi biografía para comentar u observar cualquier publicación. DE MODO IRREVOCABLE PROHÍBO TERMINANTEMENTE EL USO DE MIS DATOS PERSONALES (textos, fotografías, imágenes personales, datos personales) DE ACUERDO CON LA LEY DE PROTECCIÓN DE DATOS; esto se aplica a todos los datos de mi página de Facebook. Los derechos sobre el uso de estos ME PERTENECEN EXCLUSIVAMENTE, por lo que necesita mi consentimiento personal y por escrito. Sólo yo debo y puedo acceder a mis datos de carácter personal, así como también procesarlos. El uso comercial requiere mi permiso por escrito. No están permitidos ni el uso de mi perfil ni hacer un perfil analítico mío, así como los datos que no se obtuvieron de mí. Además, mis datos NO PUEDEN ser utilizados para estudios de mercado y con fines publicitarios! Yo personalmente quiero decidir los amigos que pueden ver con quién estoy siendo amigo o no, independientemente de que este amigo sea también un amigo de un amigo mío. Me gustaría administrar la lista inteligente e incluso borrar completamente, cuando yo lo crea necesario. Me opongo a la divulgación de datos personales a terceros. Yo rechazo tanto las directrices existentes como los cambios de ésta, además insto a Facebook que cumpla con la política de privacidad, la protección de datos del consumidor y la legislación de derechos de autor en Europa, así como todos los otros países con regulaciones de protección de datos. Las prohibiciones anteriores se aplican también a su(s) empleado(s), representantes, estudiantes y todo el personal bajo su dirección o control. QUE QUEDE CLARO NO AUTORIZO Y RECHAZO TOTALMENTE EL USO DE MIS DATOS A CUALQUIER PERSONA FÍSICA, JURÍDICA O GUBERNAMENTAL. NO DOY MI CONSENTIMIENTO para que mis datos personales sean transferidos y procesados, incluyendo los que he borrado.

Debemos comenzar afirmando que todo usuario, al registrarse en Facebook, obligatoriamente acepta las DDR (Declaraciones de Derechos y Rresponsabilidades). Dicho contrato es de adhesión, es decir que una de las partes predispone el texto, mientras que la otra parte solamente tiene dos alternativas: aceptarlo o no hacerlo. Si somos usuarios de Facebook, es porque lo hemos aceptado, y por lo tanto desde el comienzo de la relación, todos los aspectos relativos a la privacidad, protección de datos personales, propiedad intelectual de los contenidos y otros aspectos, son regulados por dichas cláusulas.

De hecho, expresamente a través del art. 19 (Otros) inc. 5, el usuario acepta que: “Cualquier corrección a o exención de esta Declaración deberá hacerse por escrito y estar firmada por nosotros.” Es decir, la publicación por parte de un usuario de una manifestación unilateral (posteando dicha leyenda) posterior a la celebración de un contrato para la utilización de un servicio, NO es válida.

Más allá de eso, intentaremos razonar jurídicamente si fuera realmente posible aplicar la leyenda, y que básicamente se resume a que el usuario desea prohibir el uso de los datos personales a Facebook. ¿Podría un usuario de Facebook revocar su consentimiento para el tratamiento de sus datos personales?

De acuerdo a la legislación Argentina (Ley Nº 25.326 – art. 5), “el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.” ¿Podría alegar un usuario de Facebook que no sabía que tipo de tratamiento se le iba a dar a sus datos personales? Probablemente NO, precisamente por lo que antes señalamos: al ingresar como usuarios a Facebook, declaramos haber leído (cosa que realmente deberían hacer todos los usuarios) y aceptado las condiciones del Servicio, incluídas las políticas de privacidad y demás documentación aplicable.

No obstante, no debemos olvidarnos que en las propias DDR de Facebook, más precisamente en el art. 16 inc. 1, aceptamos la aplicación de la jurisdicción y la legislación de California, Estados Unidos. Esta cláusula es aplicable para todo el mundo (literalmente) excepto para Alemania, quien a través de sus diferentes “peleas” con Facebook por la privacidad, logró que a través del art. 17 inc. 3 se incluyera excepciones para los usuarios de Alemania, entre los cuáles existen un reemplazo del art. 16 inc. 1, afirmando que sus contratos si se les aplica la legislación alemana.

Por otro lado, es interesante analizar si más allá del aspecto legal, dicha leyenda realmente podría aplicarse al servicio. El propio funcionamiento de una red social (cualquiera sea) es basado sobre el hecho de compartir contenidos entre usuarios, interactuando con ellos, y donde gran parte de esos contenidos, contienen una amplia gama de datos personales. En consecuencia, si un usuario realmente quisiera revocar el consentimiento para el tratamiento de sus datos personales, básicamente debería cerrar su cuenta, dado que de otra manera el Servicio en sí de la red social se haría de realización imposible. Este aspecto tiene una estrecha relación con el funcionamiento de la cesión de derechos de uso sobre los contenidos que el usuario transmite a la plataforma, y sobre las características particulares de esa licencia. Sin embargo, ello será motivo de otro post diferente, para no extendernos más en el presente.

Para finalizar, me tomaré la licencia de realizar una apreciación personal sobre el fenómeno analizado y su relación con la privacidad. Considero que por un lado, existe una gran población de usuarios de las redes sociales (Facebook y otras) que desconocen realmente las “reglas de juego” para participar de alguna red social, donde es la información del usuario la moneda de cambio por la utilización del servicio.

Desde otra perspectiva, es interesante observar el comportamiento de los usuarios en relación a la protección de su privacidad. Opino que existe una especie de intención de reclamo externalizado a través de este tipo de leyendas, que son utilizadas más bien como “banderas de la privacidad”, donde el usuario se siente identificado con todo o parte del texto, y quiere creer que copiando y pegando un texto en su muro, mejorará su situación sobre la privacidad de sus datos...

La privacidad en sí, es un concepto personal y mutable, que se va construyendo y forjando con el tiempo. La decisión de mantener una cierta actitud de resguardo sobre la privacidad, debe ser construido día a día, primero decidiendo y auto respetando el ámbito de privacidad que deseo tener, y luego, si exigiendo que otros terceros respeten esa línea que personalmente he demarcado. ¿Cómo? Se construye dedicando 30 minutos a comprender cuáles son las condiciones del servicio. Si realmente comprendo y decido aceptar, entonces debería dedicar 10 minutos a repasar la configuración de privacidad. Y día a día se deberá reservar algunos de reflexión antes de comentar en un muro, antes de subir las fotos donde se vea la familia, la patente del auto y la dirección de la casa, antes de etiquetar a otra persona, antes de postear donde vamos a ir este verano de vacaciones, segundos de reflexión antes de... compartir que afecte en algo esas ganas de privacidad.

Autor: Abog. Marcelo Temperini

Publicado en Locos del Social

Read More

Seminario de Habeas Data y Delitos Informáticos - UTN FRSF

El día Jueves 31 de Mayo de 2012, se ha tenido el placer de poder exponer para un Seminario de 2 hs. denominado “Hábeas Data y Delitos Informáticos”, brindado ante una de las comisiones de estudiantes de Ingeniería en Sistemas de la Universidad Tecnológica Nacional - Facultad Regional Santa fe. 

Read More

Publicación de Investigación “La protección de los datos personales en las Provincias Argentinas”

En el marco del Seminario Habeas Data 2010, organizado por el Dr. Pablo Palazzi, se ha presentado la ponencia “La protección de los datos personales en las Provincias Argentinas”. 

La misma ha sido ganadora de una de las menciones a las mejores ponencias del Seminario, recibiendo un libro como obsequio.

A continuación se deja el abstract y el vínculo de descarga para los interesados.

Abstract. A más de 10 años de la sanción de la Ley de Protección de Datos Personales Nº 25.326 y 16 años desde la recepción constitucional del Derecho de Hábeas Data, la situación Argentina en materia de datos personales carece de un nivel adecuado de controles y eficacia. Neuquén, Mendoza, Misiones y la Ciudad Autónoma de Buenos Aires son las únicas jurisdicciones que han desarrollado en diferentes niveles la estructura administrativa que exige el modelo de sistema adoptado para la protección de los datos. A partir de las experiencias en dichos Estados miembros, se señalan los criterios más importantes a tener en cuenta para la adecuación de aquellas Provincias que aún no han avanzado en la materia.

Descargar Investigación

Read More

Participación del II Debate de Habeas Data (UCEMA)

Estimados de la comunidad: Hace menos de 2 horas finalizó el exitoso II Debate de Habeas Data, realizado en las instalaciones del UCEMA, aquí en la ciudad de Buenos Aires. Esta vez me tocó hacer de enviado especial de la Red. Brevemente haré un repaso sobre lo ocurrido durante la Jornada, mencionando los puntos destacables de lo que desde mi punto de vista personal, ha sido un exitoso encuentro de Datos Personales, tanto desde el nivel académico, como desde el de la concurrencia y aceptación del mismo.

Destaco a las muchas personas que hicieron esto posible desde la organización, que realmente han trabajado durante todo el día para lograr terminar con un saldo positivo la Jornada. Entre ellas, destaco la participación del Dr. Facundo Malaureille Peltzer, del Lic. Roberto Mónaco, el Dr. Gustavo Tanús, el Dr. Pablo Palazzi e Italo Daffra.

Tecnológicamente, el evento ha tenido características muy interesantes, como la transmisión en vivo sobre un proyector (independiente del proyector principal del centro) de la persona que estaba exponiendo, destacando en pantalla las frases más importantes del mismo, al mejor estilo de los noticieros en vivo. También se conto con el posteo minuto a minuto en Twitter sobre todo lo ocurrido durante la Jornada.

El día se organizó en 4 paneles, comenzando por el tema de Telecomunicaciones, Redes Sociales e Internet, con el Dr. Pablo Palazzi como moderador, donde participaron representantes de las empresas más importantes, como Google, Microsoft y Yahoo. Luego se realizado sobre Marketing y Call Centers, moderado por el Dr. Gustavo Tanús. Se hizo lugar para un almuerzo y libre y a la siesta retornamos con un panel sobre Banca, Finanzas y Seguros, moderado por el Lic. Roberto Mónaco. Para el final, se hablo de un tema también muy interesante, como lo son el de Datos Personales en Salud, Laboratorios y Farmacias, moderado por el Dr. Facundo Malaureille Peltzer.

Al final de cada panel, se contó con la posibilidad de realizar preguntas por parte del público (en algunos casos por escrito, en otros, a micrófono abierto). Además, como extra, el Dr. Miguel Sumer Elías, al finalizar cada panel, relataba un extracto con las ideas más claras que iban quedando de las charlas (si es posible, intentaremos conseguirlo para poder publicarlo y que ustedes puedan acceder a ese resumen detallado de las conclusiones y debates presentados).

Otro extra de la organización, fue que al finalizar cada evento, se realizaba una votación anónima por parte de los asistentes, a la empresa inscripta que se consideraba que merecían el premio por las buenas prácticas desarrolladas sobre el tratamiento de datos personales. Al final de todo el evento, ante escribano se hizo recuento de los votos y se declararon los ganadores. No recuerdo todos los ganadores de cada panel, por eso no quisiera ser injusto y sólo nombrar algunos, pero pronto conseguiremos en la info oficial y complementaremos la noticia.

En fin, en mi opinión personal, el II Debate de Habeas Data ha sido todo un éxito, realizado con toda la intención de seguir planteando de modo expreso, una necesidad de hablar y tratar adecuadamente y con el respeto y la importancia que se merece, la cuestión de la protección de datos personales. Es positiva y siempre bien recibida la realización de estos encuentros, a fin de poder fomentar lo que siempre transmitimos desde la red, que es tener ese punto de encuentro en el cuál poder debatir, consensuar, informarse y conocer sobre prácticas, desarrollo y evolución de temas relativos al Derecho Informático.

Read More

Publicación y Exposición de Ponencia “La protección de datos personales como Responsabilidad Social Empresaria (RSE)”

 

Dentro del marco del XIV Encuentro de Jóvenes Investigadores 2010 - Universidad Nacional del Litoral, se ha presentado, aprobado y defendido la investigación “La protección de datos personales como Responsabilidad Social Empresaria (RSE)”.

Tras la exposición y defensa del trabajo, el mismo ha sido elegido como Ganador de la mención al mejor trabajo en área de Ciencias Sociales - Derecho.

En las Jornadas, competían trabajos de Investigación tanto de la Universidad Nacional del Litoral, así como de la Universidad Católica de Santa Fe y la Universidad Tecnológica Nacional.

Read More

Publicación y Disertación de Investigación "El círculo virtuoso para la Protección de Datos Personales: Legislación, control y Responsabilidad Social Empresaria"

Se disertó en las Jornadas de JAIIO 39º (Jornadas Argentinas de Informática), celebradas en Buenos Aires. Más concretamente, se expuso en el Simposio de Informática y Derecho, en el cuál se presentaron 2 ponencias: una sobre Delitos Informáticos, y la otra que es objeto de este post.

La investigación se titula "El círculo virtuoso para la Protección de Datos Personales: Legislación, control y Responsabilidad Social Empresaria", y fue realizada en coautoría con la Dra. María Laura Spina.

El presente trabajo se enmarca dentro del Plan de Investigación de “La Protección de Datos Personales como Responsabilidad Social Empresaria en las Pequeñas y Medianas Empresas de la ciudad de Santa Fe”, el que depende del Proyecto de Investigación y Desarrollo CAI+D titulado “Gobierno Corporativo y Responsabilidad Social Empresaria, acreditado por la Secretaría de Ciencia y Técnica de la Facultad de Derecho y Ciencias Sociales, de la Universidad Nacional del Litoral.

A continuación se deja el abstract del trabajo para aquellos interesados con un enlace para su descarga.

Abstract en Español. La República Argentina posee a nivel nacional una legislación constitucional y legal sobre habeas data buena y suficiente, pero para su efectiva protección debe concretarse el armado de la Red Argentina de Protección de Datos Personales por parte de los Estados Provinciales. Para ello, debe regularse las cuestiones que le son propias en materia de procedimiento y control, de manera armónica tanto por razones de coordinación como seguridad jurídica. En la Sociedad de la Información, además del cumplimiento de las normas jurídicas aplicables, las empresas y corporaciones, privadas y públicas, deben tener un comportamiento ético sobre los datos personales que manejan por razones de responsabilidad social.

Descargar Investigación

Read More