La falsa nota sobre la protección de los derechos en Facebook

Como sucede año tras año, se viralizan falsas noticias (HOAX) de distintos temas, pero siempre suelen ser efectivos aquellos relacionados con Facebook o Whatsapp. En esta oportunidad, se ha difundido de forma viral un supuesto texto legal que pretende proteger a los usuarios contra el “robo” de información en Facebook

“Dejo establecido que debido al hecho de que Facebook ha optado por incluir software que le permitirá el robo de información personal: hoy, 20 de Febrero de 2016, en respuesta a las nuevas directrices de Facebook, de conformidad con los artículos L.111, 112 y 113 del código de la propiedad intelectual, declaro que mis derechos están conectados a todos mis datos personales dibujos, pinturas, fotografías, textos, música, etc... publicado en mi perfil. Para uso comercial de lo expuesto anteriormente se requiere en todo momento mi consentimiento. Aquellos que leen este texto pueden hacer un copy/ paste en su muro de Facebook. Esto les permitirá colocarse bajo la protección del derecho de autor. Por esta declaración, le digo a Facebook que queda estrictamente prohibido divulgar, copiar, distribuir, transmitir o tomar cualquier otra acción contra mí en base a este perfil y o su contenido. Las acciones antes mencionadas se aplicarán también a los empleados, estudiantes, agentes y/o cualquier otro personal bajo la dirección de Facebook. El contenido de mi perfil contiene información privada. La violación de mi intimidad es castigada por la ley (UCC 1-308 1-308 1-103 y el estatuto de Roma). Facebook ahora es una entidad de capital abierto. Todos los miembros están invitados a enviar un aviso de este tipo, o si lo prefieren, pueden copiar y pegar esta versión. Nota: Si no has publicado esta declaración al menos una vez, tácitamente permites el uso de elementos tales como tus fotos, así como la información contenida en la actualización del perfil.”

Para comenzar, es importante aclarar que los fundamentos legales citados no tienen ningún tipo de relación con lo que se pretende lograr, toda vez que son artículo del Código Comercial Unificado de los EEUU, de forma que dicha normativa es aplicable solamente para aspectos comerciales.

Los derechos, ya sean de propiedad intelectual o relacionados a tu privacidad, son regulados por la Declaración de Derechos y Responsabilidades de Facebook (https://www.facebook.com/legal/terms), acuerdo de adhesión que aceptas por tener una cuenta de Facebook y que de ninguna manera podría ser modificado por una declaración del usuario realizada en su muro. Es decir que si somos usuarios de Facebook, es porque lo hemos aceptado, y por lo tanto desde el comienzo de la relación, todos los aspectos relativos a la privacidad, protección de datos personales, propiedad intelectual de los contenidos y otros aspectos, son regulados por dichas cláusulas.

De hecho, expresamente a través del art. 19 (Otros) inc. 5, el usuario acepta que: “Cualquier enmienda a esta Declaración o exención de esta deberá hacerse por escrito y estar firmada por nosotros.” Confirmando nuevamente que una publicación por parte de un usuario de una manifestación unilateral (posteando dicha leyenda en su muro) posterior a la celebración de un contrato para la utilización de un servicio, no tiene ningún tipo de validez.

Más allá de eso, intentaremos razonar jurídicamente si fuera realmente posible aplicar la leyenda, y que básicamente se resume a que el usuario desea prohibir el uso de los datos personales a Facebook. ¿Podría un usuario de Facebook revocar su consentimiento para el tratamiento de sus datos personales?

De acuerdo a la legislación Argentina (Ley Nº 25.326 – art. 5), “el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.” ¿Podría alegar un usuario de Facebook que no sabía que tipo de tratamiento se le iba a dar a sus datos personales? Probablemente NO, precisamente por lo que antes señalamos: al ingresar como usuarios a Facebook, declaramos haber leído (cosa que realmente deberían hacer todos los usuarios) y aceptado las condiciones del Servicio, incluídas las políticas de privacidad y demás documentación aplicable.

No obstante, no debemos olvidarnos que en las propias DDR de Facebook, más precisamente en el art. 15 inc. 1, aceptamos la aplicación de la jurisdicción del Tribunal de Distrito de los Estados Unidos para el Distrito del Norte de California o en un tribunal estatal del condado de San Mateo. Esta cláusula es aplicable para todo el mundo (literalmente) excepto para Alemania, quien a través de sus diferentes “peleas” con Facebook por la privacidad, logró que a través del art. 16 inc. 3 se incluyera excepciones para los usuarios de Alemania, entre los cuáles existen un reemplazo del art. 16 inc. 5, afirmando que sus contratos si se les aplica la legislación alemana. Para todo el resto de nosotros (incluídos los argentinos por supuesto), de acuerdo a este art. 16 inc. 1, estamos dando nuestro consentimiento para que tus datos personales se transfieran y se procesen en los Estados Unidos.

Por otro lado, es interesante analizar si más allá del aspecto legal, dicha leyenda realmente podría aplicarse al servicio. El propio funcionamiento de una red social (cualquiera sea) es basado sobre el hecho de compartir contenidos entre usuarios, interactuando con ellos, y donde gran parte de esos contenidos, contienen una amplia gama de datos personales. En consecuencia, si un usuario realmente quisiera revocar el consentimiento para el tratamiento de sus datos personales,  básicamente debería cerrar su cuenta, dado que de otra manera el Servicio en sí de la red social se haría de realización imposible. Este aspecto tiene una estrecha relación con el funcionamiento de la cesión de derechos de uso sobre los contenidos que el usuario transmite a la plataforma, y sobre las características particulares de esa licencia. Sin embargo, ello será motivo de otro post diferente, para no extendernos más en el presente.

Para finalizar, me tomaré la licencia de realizar una apreciación personal sobre el fenómeno analizado y su relación con la privacidad. Considero que por un lado, existe una gran población de usuarios de las redes sociales (Facebook y otras) que desconocen realmente las “reglas de juego” para participar de alguna red social, donde es la información del usuario la moneda de cambio por la utilización del servicio. 

Desde otra perspectiva, es interesante observar el comportamiento de los usuarios en relación a la protección de su privacidad. Creo que existe una especie de intención de reclamo externalizado a través de este tipo de leyendas, que son utilizadas más bien como “banderas”, donde el usuario se siente identificado con todo o parte del texto, y quiere creer que copiando y pegando un texto en su muro, mejorará su situación sobre la privacidad de sus datos.

La privacidad en sí, es un concepto personal y mutable, que se va construyendo y forjando con el tiempo. La decisión de mantener una cierta actitud de resguardo sobre la privacidad, debe ser construido día a día, primero decidiendo y auto respetando el ámbito de privacidad que deseo tener, y luego, si exigiendo que otros terceros respeten esa línea que personalmente he demarcado. ¿Cómo? 

Se construye dedicando 30 minutos a comprender cuáles son las condiciones del servicio. Si realmente comprendo y decido aceptar, entonces debería dedicar 10 minutos a repasar la configuración de privacidad. Y día a día se deberá reservar algunos de reflexión antes de comentar en un muro, antes de subir las fotos donde se vea la familia, la patente del auto y la dirección de la casa, antes de etiquetar a otra persona, antes de postear donde vamos a ir este verano de vacaciones, segundos de reflexión antes de... compartir algún contenido que afecte en algo esas ganas de tener un poco más de privacidad.

Abog. Marcelo Temperini (Abogado, especializado en Derecho Informático. Doctorando de CONICET dedicado a la investigación de Delitos Informáticos y Cibercrimen en el Centro de Investigación de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Socio Fundador de AsegurarTe, Consultora en Seguridad de la Información)

Read More

Registro No Llamar y la Protección de Datos Personales

Estabas en el medio de algo importante... suena un llamado de número desconocido (o privado), detenes el auto, dejas de trabajar, atendes con cara de suspenso y del otro lado de la línea alguien dice... "Buen día Señor, le estamos llamando de XXXXX para ofrecerle un descuento por haber sido elegido la mejor persona de su calle". Particularmente a mi, me suele pasar algo más grave (?), que es la interrupción de una costumbre milenaria en Santa Fe... que es la siesta. Ese breve descanso tan necesario, termina muchas veces siendo interrumpido por un mensaje de texto que termina por despertarme para ver si no es alguna urgencia o cliente en apuros. Ni una cosa ni otra, resulta que fui elegido para competir por un premio de $500.000 e incluso, ganar un premio sorpresa gratis! :O

La publicidad no solicitada que llega a nuestros mails y teléfonos (vía llamada o vía mensaje de texto) no es novedad, sin embargo, es uno de los problemas (molestos) que aún no se ha podido combatir. La idea de los "Registros No llame" es una buena alternativa para enfrentar el desafío. Para aquellos que aún no conozcan el sistema, el sentido es obligar a todas las empresas de telemarketing (del ámbito de jurisdicción de la norma), a notificarse de la lista "negra" de números telefónicos que han optado por no recibir llamados o mensajes de publicidad no solicitada. Básicamente, un sistema de opt-out gestionado por algún nivel estatal (Municipal o Provincial), que aplican sanciones a las empresas infractoras (en principio al menos).

En el ámbito de la Provincia de Buenos Aires el "Registro no llamar" se ha generado a partir de la Ley N° 14.326 (2011), en el cuál podrá anotarse "toda persona física o jurídica titular de una línea telefónica fija o celular, que manifieste su decisión de no ser llamado o notificado por mensajes de textos, por quienes haciendo uso de datos personales, utilizan el sistema de telemarketing para publicitar, ofertar, vender y/o regular bienes o servicios." (negrita a cargo del autor)

En Septiembre del 2013, dicha norma fue reglamentada a través del Decreto 559/2013, en el cuál se dispusieron las condiciones para que el sistema finalmente comenzara a funcionar. Por ejemplo, en dicha reglamentación establece que las empresas de telemarketing, podrán hacer telemarketing a los usuarios de servicios telefónicos no inscriptos en el "Registro No Llamar", solamente los días hábiles de 10.00 a 12.00 y de 16.00 a 19.00 horas, y que por supuesto, su incumplimiento se considerará infracción de acuerdo a la Ley citada (Nº 14.326).

Entre los diferentes modos de sumarse a dicho registro, ya se ha habilitado el sistema online para su inscripción. Todo iba bien hasta que el sistema me pregunta si soy una persona física o jurídica... y desde allí se desata el caos (de datos personales). En el caso que seamos una persona física que intenta sumarse a esta noble idea del registro no llame, deberemos informar al sistema: Nombre y Apellido, DNI, Domicilio, Partido, Localidad y Mail.  En el caso que seamos una persona jurídica, tendremos que ingresar CUIT, Razón Social, Domicilio Legal, Partido, Localidad y Mail. A estos datos, obviamente se le suman los realmente necesarios para llevar a cabo la finalidad del propio registro, es decir, el Nro. de teléfono y la Empresa de Telefonía (sobre este último, aún no estoy convencido de su pertinencia, pero puede aceptarse siempre y cuando el mismo aporte a una mejor eficacia del sistema de no llame). 

Sin embargo, sobre esa primera gama de datos personales que citamos (6 campos), nos permitimos dudar (por decirlo de forma elegante) de su pertinencia en relación a la finalidad del registro. ¿Cumplen estos datos con el principio de calidad del art. 4 inc. 1 de la Ley de Protección de Datos Personales Nº 25.326? Desde mi humilde opinión, sostengo que no, que estos datos son excesivos y no pertinentes en relación a la finalidad. Uno de los razonamientos posibles sería: ¿cabe acaso la posibilidad de negarme la inscripción al registro por algún tipo de validación con los otros datos personales? Si a fin de cuentas, la inscripción en esta "lista negra", sólo impedirá que me llamen aquellas empresas de telemarketing, pero no evitará de forma alguna que aquellas empresas con las cuáles tengo algún tipo de relación contractual (por ejemplo, donde compre una tostadora en 24 cuotas para el mundial), me llamen cuando lo crean necesario para informarme de alguna novedad sobre dicha relación. 

La no validación (si es que existe) de estos datos ¿Que podrá ocasionar? ¿Que alguien decida vía web incorporar mi número de teléfono sin mi consentimiento? ¿Sería tan terrible?. A veces una idea, supera muchos problemas. El registro No llame de la Ciudad de Buenos Aires, propone sólo el ingreso del número de línea interesado en sumarse al registro. Posteriormente, alguien se comunica solicitando confirmación: problema solucionado sin necesidad de recolectar datos personales que no corresponden.

Volviendo al sistema implementado por la Provincia de Buenos Aires, así como está diseñado, lo que se puede observar a simple vista es que el administrador de dicha base de datos, tiene la posibilidad de saber con sólo un número de teléfono celular, todos los datos que identifican al titular de dicha línea, una información más que interesante para "perderse" el mercado de la información no?. ¿Quién tiene estos datos? ¿Quien es el responsable registrado ante la Dirección Nacional de Protección Datos Personales? ¿Cuál es el número de registro de inscripción de dicha base de datos? ¿Quién se hace responsable de que se adopten todos los principios (incluídas las medidas de seguridad obligatorias) que establece la normativa vigente?. ¿Donde está la declaración de la finalidad de dicha base de datos, que me asegure como usuarios que dichos datos no serán cedidos, no serán vendidos, no serán utilizados para otros fines distintos a los nobles que tiene originalmente el registro no llame? Muchas preguntas sin responder con claros incumplimientos a una normativa que ya no es novedad, sobre todo por tratarse de una iniciativa por parte del gobierno provincial. Como extra, cabe agregar que el "Registro No Llame" es precisamente una iniciativa de protección a los titulares de datos personales, ya que la problemática raíz se debe precisamente a un incumplimiento de esta norma por parte de las empresas que realizan este tipo de publicidad, quienes realizan un tratamiento ilegítimo de datos personales. 

Como yapa del artículo, y para comprobar la legitimidad de estos llamados publicitarios, la próxima vez que lo llamen, con tono amable pregunte al que está del otro lado de la línea, de donde sacó su número de teléfono (el cuál muchas veces viene acompañado de su nombre y otros datos), quien le dió consentimiento para utilizar sus datos personales, y que por favor le diga quien es el responsable de dicha base de datos, a fin de poder realizar la denuncia correspondiente y ejercer los derechos que incluso están consagrados constitucionalmente (art. 43 3er párrafo). Inténtelo, es divertido ;)

A modo de conclusión, más allá de las precisiones sobre el cumplimiento de la normativa vigente en relación al funcionamiento de los registros, celebramos la idea del funcionamiento de los Registros No Llamen, incentivamos su buen funcionamiento, la aplicación de sanciones a las empresas infractoras, y sobre todo, ante casos de llamadas o mensajes no solicitados, fomentamos al usuario a  la realización de denuncias ante los organismos correspondientes.

Publicado en Segu-Info - Boletín Nº 198

Read More

Obligacion legal de solucionar Heartbleed

La ahora conocida falla "Heartbleed" sigue teniendo consecuencias desde el punto de vista de la seguridad de los sistemas de información, pero también podría traer consecuencias desde el punto de vista legal, en el caso de sistemas que incluyan de alguna forma el tratamiento de datos personales.

Brevemente (podrán encontrar miles de artículos técnicos con detalles sobre la falla), Heartbleed es un vulnerabilidad crítica que afecta a SSL, una de las librerías criptográficas más utilizadas para mantener la confidencialidad de la información en Internet. En la práctica, el hecho que dicho bug siga existiendo en un sistema, implica que un tercero podría estar accediendo a toda la información confidencial, a todo el contenido de las comunicaciones (incluyendo usuarios y contraseñas). 

Desde el punto de vista legal, el hecho que un responsable de una base de datos personales no haya "parcheado" (solucionado) este grave problema de seguridad en sus sistemas, implica en Argentina, un incumplimiento a la Ley de Protección de Datos Personales Nº 25.326, particularmente a las obligaciones de Seguridad del Art. 9 inc. 1, en la cuál se afirma que:

"El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado."

En relación a las obligaciones de seguridad, es un buen momento para recordar que los niveles de seguridad exigidos por la Dirección Nacional de Protección de Datos Personales (Autoridad de Aplicación de la Ley Nº 25.326), son detallados en la Disposición 11/2006. En dicha reglamentación, se distinguen tres niveles de medidas de seguridad que deberán ser aplicadas por el responsable titular de la  base de datos, de acuerdo al tipo de datos personales que son tratados.

El hecho que los sistemas donde se realiza el tratamiento de datos personales, tenga aún sin solucionar la brecha de seguridad de Heartbleed, implicaría que el titular no estaría garantizando la seguridad y confidencialidad de los datos personales, existiendo en consecuencia un incumplimiento legal del art. 9 inc. 1 Ley Nº 25.326, pasible de las sanciones administrativas previstas en el Capítulo VI de la citada normativa.

En otro orden de ideas, debe recordarse al responsable de una base de datos personales, que en el caso que en sus sistemas verifique el acceso no autorizado a través de la explotación de esta falla, dicho hecho podría ser denunciado penalmente, toda vez que (en principio) sería un caso tipificado penalmente en el art. 157 bis inc. 1:

Artículo 157 bis: Será reprimido con la pena de prisión de un (1) mes a dos (2) años el que: 

1. A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; [...]

En conclusión, si como responsable de sistemas aún no estaba decidido a realizar las acciones pertinentes para reparar este bug, si por ejemplo las razones de seguridad informática no le parecieran de gravedad (que aseguramos que lo son), la idea de este artículo es reforzar esas razones informando que, en los casos donde exista tratamiento de datos personales, el hecho que la falla siga aún vigente, implica un incumplimiento legal por no garantizar la seguridad y confidencialidad de la información.

Nota publicada en Segu-Info:  http://blog.segu-info.com.ar/2014/04/no-solucionar-heartbleed-incumple-la.html

Read More