Cuando el Estado Malgasta Nuestra Información Personal (y Nuestros Recursos)

Cualquier gobierno en la actualidad posee una vasta (y peligrosa) recopilación de datos personales de cada uno de nosotros. Algunos por razones de seguridad y otros por prevención o administración. Lo cierto es que todos nuestros datos, desde el nacimiento hasta la defunción, pasando por los antecedentes judiciales, todo se encuentra electrónicamente accesible (aunque sea sólo entre funcionarios) desde cualquier oficina estatal.

Justamente, uno de los puntos que tratamos hoy tiene que ver con la solicitud de partidas o certificados de Estado Civil, por parte del gobierno, para realizar cualquier trámite. Y es aquí dónde el Estado malgasta nuestro tiempo, nuestra información personal, los recursos administrativos, y por supuesto, nuestros recursos monetarios, porque cualquier trámite hay que pagarlo.

Veamos el ejemplo de solicitar el pasaporte de un menor de edad en Uruguay:

Para ello, es necesario, de acuerdo a lo que expresa el Ministerio del Interior en el portal de trámites en línea, presentar la Partida de Nacimiento (certificado) del menor a la hora de comenzar los trámites y posteriormente.

¿Qué sucede con ello y qué no está bien?

  • Primero, para poder realizar un trámite (aunque éste lo haga en un portal de Gobierno Electrónico), debo previamente realizar otro trámite estatal.
  • Segundo, debo retirar un documento del Estado, para llevarlo…al Estado (nuevamente). Esta tarea debería ser interna, digital, electrónica o entre oficinas estatales ¿Para qué yo sacaría del custodio del Gobierno, algo, para luego llevárselo nuevamente? No tiene sentido.
  • Tercero, forzosamente se nos hace custodios a nosotros, de un documento oficial.
  • Cuarto, el costo. Todo ello tiene un costo que en este caso conlleva a un doble tributo por parte del ciudadano: debe pagar por la partida y debe volver a pagar por el trámite de solicitud del pasaporte. Si el ánimo es el recaudador, no hace falta realizar todo lo anterior. Perfectamente se puede cargar el costo fijo de una partida electrónica a la cuenta telefónica, bancaria o tarjeta de crédito/débito.
  • Quinto, afecta al medio ambiente. Imprimir papeles que ya están digitalizados y en poder del Estado, es un gasto innecesario y además significa un derroche importante de papel y tala de árboles. No es el momento para ello.
  • Sexto, todos los procesos y personas o personal involucrados en un simple trámite: 1) solicitamos la partida por Internet; 2) debemos pagar la solicitud en un servicio de cobro; 3) el correo estatal nos lleva la partida a nuestra casa; 4) nosotros debemos llevar la partida para solicitar hora para el pasaporte; 5) debemos concurrir nuevamente con la partida el día y hora fijados a los efectos.

Si la idea de simplificar trámites, rapidez y costos significa un proceso doble, híbrido y que además involucre tener que retirar un documento del Gobierno, para devolverlo, entonces no es éste el camino. Podemos tomar como ejemplo, la solicitud de trámites en España, dónde todo pasa por lo digital, acompañado de la firma electrónica como certificación, y que solamente se emiten certificados, a pedido expreso del titular y solo para uso personal privado, porque los trámites internos del Estado, son eso: trámites internos. Para ello se usa y abusa de nuestros datos personales y de nuestra privacidad.

Pasos Necesarios Para que el Responsable de Tratamiento de una Base de Datos Personales Cumpla con la Ley

Estos son los pasos necesarios que un responsable de una base de datos personales (de una empresa o institución) adopte en concordancia con las leyes vigentes y con el objeto de evitar sanciones:

  1. Informar a los titulares cuándo se les solicitan sus datos.
  2. Explicar para qué se les solicitan los datos.
  3. Obtener el consentimiento previo de los titulares de los datos personales para poder tratarlos (OPT-IN).
  4. Inscribir la base de datos en la agencia u órgano de control para que la misma sea legal.
  5. Adoptar las medidas de seguridad que protejan los datos de tratamiento externo o de fuga de información.
  6. Informar al titular de los datos personales recogidos, de su derecho a ejercer la supresión o cancelación de los mismos (OPT-OUT).
  7. En caso de que un titular invoque un derecho, se debe ejecutar en el plazo establecido en cada ley.

La doctrina de los objetivos de protección: Seguridad Informática y Protección de Datos

Los objetivos de protección han jugado un papel básico en la organización de sistemas técnicos cuya seguridad debe ser garantizada desde finales de los años 80. Los objetivos de protección clásicos de la seguridad de los datos son:

Disponibilidad, este objetivo refleja la exigencia de que los datos personales estén disponibles para ser utilizados de forma adecuada en el proceso para ellos previsto. Para ello deben ser accesibles para las personas previstas y se les deben poder aplicar los métodos previstos para su tratamiento, eso incluye, entre otras cosas, que los metodos sean aplicable al formato en el que los datos están disponibles. La disponibilidad incluye que los datos sean localizables, que los sistemas implicados los puedan presentar de forma adecuada y que esa presentación sea semánticamente comprensible.

Integridad, en este caso el objetivo de protección resalta como exigencia que los procesos y sistemas informáticos sean capaces de mantener las características que son esenciales para la realización de las funciones imprescindibles para alcanzar la finalidad establecida y, al mismo tiempo, que los datos tratados permanezcan indemnes, completos y actuales. Posibles efectos secundarios deben ser evitados o tenidos en cuenta y tratados. Este objetivo de protección exige que entre las exigencias y la realidad haya una garantía suficiente, tanto en los detalles técnicos como en lo que afecta al tratamiento en general y su ajuste a las finalidades establecidas.

Confidencialidad, este objetivo de protección recoge como exigencia que nadie pueda acceder a los datos personales sin autorización. En ocasiones el acceso a los datos permite que el sujeto afectado sea identificado porque el contexto en el que los datos son almacenados permite sacar conclusiones sobre ese sujeto. Cuando nos referimos a personas no autorizadas, eso no significa que se trate necesariamente de terceros ajenos a la organización, que pueden actuar con intenciones criminales o de otro tipo, sino que puede tratarse también de empleados de servicios técnicos que para prestar esos servicios no precisan de acceso a los datos personales, o de personas activas en departamentos de la organización que no tienen ninguna relación con un determinado proceso o con el sujeto afectado.

Estos tres objetivos de protección han sido aceptados por los responsables por iniciativa propia, ya que los consideraban como necesarios para su propia protección sin que existiera una normativa legal que les obligara a aplicarlos. En un principio fueron formulados para su aplicación en el ámbito de la seguridad informática y describe exigencias para un operativo seguro, especialmente en lo que afecta a procesos en el marco de organizaciones y en relación con su negocio o administración. Esas organizaciones tienen que que proteger sus procesos, independientemente de que los posibles atacantes sean personas ajenas a ellas miembros de las mismas.

En función de la normativa aplicable, el nivel de exigencia en lo que afecta a estos objetivos de protección es variable. Por ejemplo, en el ámbito privado el objetivo de la disponibilidad se cumple siempre que los datos no sean destruidos ni se pierdan.

Aparte de los ya mencionados objetivos de protección originados en el campo de la seguridad informática, se han desarrollado otros objetivos cuyo interés se centra en la Protección de Datos basados en normativa existente en la materia y a partir de los cuales se pueden derivar medidas técnicas y organizativas. Desde el punto de vista de la normativa de Protección de Datos, las organizaciones deben proteger sus procesos de posibles ataques, siempre que esos procesos afecten a datos de carácter personal. Los objetivos de protección de la Protección de Datos precisan, en comparación con los objetivos de protección de la seguridad informática, de un grado de comprensión más amplio, ya que la Protección de Datos tiene en cuenta una perspectiva de protección adicional, al tener en cuenta los riesgos que las actividades de la organización en sí mismas pueden originar para el sujeto afectado, tanto en el ambito de sus procesos de negocio/administración como fuera de ellos. Desde el punto de vista metodológico eso significa que no sólo una persona debe demostrar ante una organización que es de confianza, sino que la organización debe ser capaz de demostrar frente a una persona que es de confianza. Por ese motivo es preciso establecer objetivos de protección que garanticen la protección de los sujetos afectados frente a diferentes tipos de organizaciones.

Estos objetivos de protección específicos de la Protección de Datos, cuya finalidad es la protección del sujeto afectado, son:

No encadenabilidad, refleja la exigencia de que los datos sólo sean tratados y valorados para la finalidad para la que fueron recogidos.

Transparencia, requiere que, aunque en diferentes niveles, tanto el sujeto afectado, como el responsable de los sistemas y posibles autoridades de control puedan reconocer qué datos y para qué finalidad han sido recogidos y tratados en un proceso, que sistemas y procesos han sido utilizados, en qué dirección y para qué fines fluyen los datos y quien es el responsable legal de los datos y sistemas en las diferentes fases de un tratamiento de datos. La transferencia es imprescindible para el control y dirección de los datos, procesos y sistemas desde su inicio hasta su cancelación, y un requisito previo para que un tratamiento de datos sea legítimo y, en caso de necesidad, los sujetos afectados puedan otorgar su consentimiento.

La transparencia de un tratamiento de datos en su conjunto y de las partes implicadas puede permitir que especialmente los sujetos afectados y las autoridades de control puedan detectar posibles fallos y exigir que se lleven a cabo las modificaciones necesarias para suprimirlos.

Capacidad de intervenir, exige que el sujeto afectado pueda ejercer de forma efectiva sus derechos ARCO en cualquier momento, y que el responsable está obligado a tomar las medidas necesarias para hacer efectivos esos derechos. Para alcanzar este objetivo debe ser posible modificar el tratamiento de datos en cualquier momento y en cualquiera de sus fases, desde la recogida de los datos hasta su cancelación.

En principio conjuntos o paquetes de datos son adecuados para ser utilizados para otros fines y para ser combinados con otros datos, posiblemente de acceso público. Cuanto mayores son esos paquetes de datos y cuanto más información aporten, mayor es el interés que despiertan. Desde el punto de vista legal, esas combinaciones sólo son aceptables en condiciones muy especiales y estrictamente fijadas. La normativa de Protección de Datos exige que el tratamiento sea separado en función de las finalidades y/o que los datos sean almacenados de forma separada en función de la finalidad para la que son tratados-

Al igual que sucede con los objetivos de protección clásicos, los de la Protección de Datos también están influenciados por la normativa que les es aplicable y por el ámbito en el que deben ser aplicados. Por ejemplo, en el ámbito privado la transparencia no es imprescindible en cada caso de uso de los datos en el campo de actuación de un responsable, salvo que ese uso suponga una modificación de los datos.

Órganos de Control e Instituciones Importantes en materia de Protección de Datos

En varios países existen órganos de control así como instituciones que influyen en el tratamiento y protección de datos personales y privacidad. Es por ello que listamos las seis más renombradas a la fecha debido a su alto grado de efectividad y comunicación internacional de datos:

Agencia Española de Protección de Datos. Ubicada en la calle Jorge Juan, 6. 28001 – Madrid, es la encargada de fiscalizar y hacer cumplir la Ley Orgánica de Protección de Datos (LOPD) 15/1999.

Federal Trade Comission (FTC). A pesar de basarse en el área comercial y privada, no nos dejemos engañar por su nombre: es la gran protectora y ejecutora de sanciones que permiten resguardar los datos personales, conocidos en EEUU como “data privacy”. Sus oficinas principales se encuentran en 600 Pennsylvania Avenue, NW, Washington, DC 20580.

Federal Communications Commission (FCC). Esta oficina gubernamental no es oficialmente el órgano de control como podría serlo la FTC. Sin embargo, debido a que su labor es la regulación de las comunicaciones en EEUU, muchas de las acciones que realiza repercuten directamente en el beneficio de los ciudadanos en cuanto a la protección de datos personales. Se encuentra ubicada en 445 12th Street SW, Washington, DC 20554.

Unidad Reguladora y de Control de Datos Personales (URCDP). Es el órgano de control y fiscalización de Uruguay. su labor es muy importante y ha dictado normas que se alinean con España y con la Unión Europea. En el ámbito de comunicaciones internacionales de datos personales, la URCDP es el primer país no europeo en ratificar y unirse al Convenio 108 de Europa sobre la Protección de las Personas frente al Tratamiento Automatizado de Datos Personales. Su dirección es Andes 1365 piso 7, 11100 Montevideo, Uruguay.

Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (IFAI). El IFAI es el órgano de control del tratamiento de datos personales (entre otras actividades) de México. Su labor es importante, porque en un estado tan grande, ha sabido actuar con diligencia y también ha marcado el terreno con iniciativas a copiar por otros países. Su dirección es Insurgentes Sur No. 3211 Col. Insurgentes Cuicuilco, Delegación Coyoacán, C.P. 04530.

Grupo de Estudio de Protección de Datos del Artículo 29. Referido al artículo 29 de la Directiva Europea 95/46/CE, es un órgano consultivo europeo independiente dedicado a la protección de datos y de la intimidad. Se encuentra ubicado en la Dirección C (Derechos Fundamentales y Ciudadanía de la Unión) de la ComisiónEuropea, Dirección General de Justicia, B-1049 Bruselas, Bélgica, Despacho MO59 06/036.

#AEPD #LOPD #FTC #FCC #IFAI #URCDP #ARTICLE29 #ProteccionDeDatos #DataPrivacy

El Hackeo a un Jeep es Más Importante de lo que Parece

En el día de hoy, se publicó la noticia de que un grupo de expertos en seguridad informática habían hackeado un Jeep Cherokee y tomaron el control del mismo de manera remota logrando conducirlo con su propietario dentro.

¿Por qué esto es importante para la privacidad? Por tres razones:

La primera de ellas, es que en la actualidad, el uso de tecnologÍa de control externo o el uso de coches enlazados a Internet crece a pasos agigantados y ello significa que, además de los smartphones y smartwatches, los autos serán cada vez más vulnerables a los ataques de terceros, como todos los instrumentos que forman parte del universo de Internet de las Cosas.

La segunda razón tiene que ver conque, además del peligro que significa que que un delincuente tome el control de tu coche y cometa con él un crimen o provoque un accidente, evidentemente, cualquiera que hackee un automóvil, tiene acceso a todo y ello signifca también, que tiene oídos y tiene vista, lo que implica el acceso a información personal e incluso a datos sensibles, y puede que tome estos datos sin el conocimiento de su titular.

La tercera y última se refiere al control y manejo de los datos personales por parte de un instrumento automatizado, o sea, sin intervención de humanos y con un grado suficiente de inteñigencia artificial. El hecho de que un robot, app o autómata tome las deciciones de compartir o comunicar datos personales a terceros, sin consentimiento y sin que la ley pueda protegerlos al no poder aplicarse a los que no son personas, le agrega más peligro de daño a todo el entramado, y confirma que estamos ante una autodeterminación informativa limitada, dentro del Síndrome de Hansel & Gretel.

¿Qué pasará cuando nos hackeen la cámara que vigila a nuestro bebé, o se encienda cualquier dispositivo que capture lo que una pareja hace en la intimidad, o cuando los malos o los instrumentos automatizados hackeen un ejército completo y decida atacar desde un ordenador, a toda una nación porque se les entoja? Será la era de #Skynet?

Por qué los Datos Personales relacionados con la Salud Deben ser Datos Sensibles

Hace poco cuando una persona conocida debió realizarse unos exámenes muy importantes y delicados, se le hizo firmar previamente una autorización por escrito para que sus datos y su historia clínica pasaran a integrar la base de datos de ese laboratorio. Antes de que la firmara el titular, el responsable le comunicó que ello era necesario porque existía una ley que prohibía que se vendieran las bases de datos.

En verdad, esa no es la explicación que se debió otorgar, así como tampoco la realidad de la norma.

En verdad, y debido a la gravedad de la información manipulada, los datos relativos a la salud de cada persona son considerados sensibles y por ende tienen una especial protección, porque su tratamiento no autorizado o para fines que no sean los autorizados, puede traer consecuencias desastrosas e irreversibles al titular.

Es por ello que se consideran sensibles, y es por ello que para poder ser tratados (y solamente para el objetivo que tiene que ver con la mejora de la salud del paciente), su titular debe otorgar el previo, inequívoco y expreso consentimiento, el cual debe realizarse por escrito.

El tratamiento no autorizado de los datos sensibles relacionados con la salud de un titular, puede acarrear las siguientes situaciones:

  1. Ser objeto de discriminación laboral o social si se conocen las patologías del mismo.
  2. Ser objeto de tratamiento de salud para otros fines que no sean los correctos, incluyendo el arribo a la muerte del paciente.
  3. Ser objeto de extorsiones o chantajes del paciente o grupo familiar.
  4. Ser objeto de comercialización y marketing despiadado tomando como rehén a la salud de la persona.
  5. Ser atacado directamente en su honor, intimidad y privacidad de manera irreversible.

Y éstos son solo algunos de los hechos a suscitarse de no tratarse adecuadamente y protegerse adecuadamente los datos sensibles relacionados con la salud de un paciente.

Principios Aplicables para las Relaciones entre las Personas y los Robots en Materia de Privacidad

Conforme avanza el Estado del Arte de la tecnología, de la robótica, de Internet de las Cosas, de las Apps, y de acuerdo al alto grado de inteligencia artificial y sofisticación que ya poseen, es necesario establecer una serie de principios que podrán determinar el correcto tratamiento de los datos personales por parte de los instrumentos automatizados, y lo que es mejor…respetar una decisión, cuando la misma significa que el titular no desea que sus datos se publiquen o se traten en una base de datos o fichero.

A continuación, algunos de los pilares:

  1. Seguridad y control. Tanto para el diseño como para el ensamblado de un instrumento automatizado, se deberán tomar medidas y precauciones que permitan a las autoridades tomar el control de los mismos así como limitar su interacción en aquellos escenarios que no revistan garantía alguna para las personas y para ellos mismos.
  2. Llave de control. Se deberá contar con una llave de control o software equivalente que evite el uso ilegal de los instrumentos automatizados.
  3. Rastreabilidad. Los instrumentos automatizados contarán con un sistema de trazabilidad o seguimiento similar al utilizado en las aeronaves comerciales, denominadas “cajas negras”.
  4. Autorregulación. A los efectos de garantizar la privacidad de las personas, se velará por la adopción de un código de buenas prácticas en todos sus términos.
  5. Interacción entre personas e instrumentos automatizados. Los Estados Miembros de la Unión Europea, los países signatarios del Convenio 108, así como la FTC (EEUU) podrán adoptar medidas necesarias para realizar o proponer la realización de controles de salud a aquellas personas que poseen instrumentos automatizados a su cuidado a los efectos de prevenir daños físicos y mentales o garantizar asistencia inmediata en caso de percatarse los mismos.
  6. Principio de desconexión preventiva. Aquellos instrumentos automatizados que sean propiedad de personas podrán contar con un sistema de apagado manual o sistema que permita a su propietario tomar el control del mismo a los solos efectos de evitar la vulneración de los derechos de las personas.
  7. Principio de estandarización de controles. El ensamblaje, funcionamiento y mantenimiento de los instrumentos automatizados se realizará bajo normas estandarizadas a los efectos de evitar daños físicos y lesiones, así como violaciones a los derechos fundamentales, ya sea entre los mismos o para con las personas.

Guía Para Disuadir a los Espectadores Pasivos y Activos en el #Bullying y #Cyberbullying

Tanto en el acoso escolar tradicional (Bullying) como en los ataques realizados por niños y adolescentes a otros pares a través de medios electrónicos (Cyberbullying) siempre se repite una constante que fortalece al agresor y que es parte indivisible del problema: el público espectador. Sin este público, el agresor ni siquiera atacaría a la víctima, porque necesita de una platea o de otros que lo alienten o le festejen lo que hace. Es en el fondo un problema grave de autoestima disimulado por la “aparente” popularidad o fortaleza del chico agresor. Curiosamente, en el Curso de “Stop Bullying y Cyberbullying“que brindamos a través de la plataforma educativa #UDEMY, llegamos a la conclusión de que estos niños o adolescentes que son meros espectadores (pasivos) o que se ríen y festejan los ataques de los agresores a la víctima (activos) son tan culpables y responsables como el propio agresor. De hecho, en los casos de denuncia penal, se les imputa perfectamente como cómplices o coautores de delitos de lesiones, injurias, violencia privada, ayuda al suicidio y otros.

Y digo curiosamente, porque hace muy poco, accedí a un material que explica un método muy bueno utilizado en Dinamarca para la disminución de los ataques escolares, con una cifra récord de casi un 80% de casos anuales menos que años anteriores.

Este método se basa en prevenir el bullying y cyberbullying, desarticulando previamente a los espectadores o posibles espectadores mediante charlas educativas y trabajos de concientización en todas las clases escolares. Al no contar el agresor con un público que le festeje lo que hace, o el daño que causa, éste pierde interés en hacerlo, y la posibilidad de agredir a la víctima disminuye muchísimo.

Este método se denomina KiVa, que es una contracción de la frase “Kiusaamista Vastaan (contra el acoso escolar).

Pues basado en ese método, he elaborado esta pequeña guía que puede se utilizada tanto por educadores, instituciones como por alumnos y padres para desactivar un ataque o posible ataque de bullying o cyberbullying:

  1. Identificar al tridente Agresor – Víctima – Espectadores
  2. Fijar especial atención en los espectadores o posibles espectadores
  3. Explicarles que reírse, festejar o simplemente mirar sin hacer nada, los hace cómplices directos de los agresores y que por ende pueden ser objeto de sanciones institucionales, como también sanciones criminales y sus padres llevados a juicio económico de daños.
  4. Convencerlos, de que en caso de presenciar un ataque, deben actuar de la siguiente manera:
    1. No reirse o festejar. Enfrentar al agresor y decirle “Basta de Acosar”.
    2. Defender a la víctima o ponerse de su lado, en ese momento, y también posteriormente, explicándole que “no es su culpa”.
    3. Retirarse o disolverse en caso de ataques. Bloquear al agresor
    4. Los puntos anteriores, realizarlos simultáneamente o en cadena. O al menos, comenzar con retirarse o disolverse como grupo y luego apoyar a la víctima en privado.
    5. Se puede a su vez, disuadir aún más al agresor con la Guía de Stop Bullying y Cyberbullying

Un saludo

Privacidad. Como Cerrar el Círculo de Información en #Facebook y #Twitter

Muchas veces, nos encontramos en nuestra red social favorita, y por alguna razón aparece cierta información, contacto o noticia que nos desvía la atención. Lo hace porque nos llega algo que nos es familiar o porque se han contactado con nosotros cuando no conocemos a esa persona.
Lo que sucede es que tenemos una fuga de información que perjudica notoriamente nuestra privacidad y ataca nuestra protección de datos.

En el caso de Facebook, la razón pasa por lo siguiente:

  • Nuestra configuración de “Privacidad” se encuentra abierta a “amigos de amigos” o al “público”, lo que significa que otros terceros pueden acceder a nuestros datos privados e intimidad así como leer lo que publicamos en el muro.
  • Porque somos muy compulsivos con el botón Me Gusta (Me Mola) y ello conlleva a que del otro lado del mismo, cada vez que lo pulsamos, se llevan nuestros datos personales para crear perfiles comerciales o con otros fines.
  • Porque tenemos más de 200 “amigos”

Para proteger nuestra privacidad e intimidad en Facebook, ésto es lo que debemos hacer:

  1. Configurar el apartado privacidad para que nuestros datos y publicaciones solamente sean accesibles a “Amigos”.
  2. No pulsar tantas veces el botón “Me Gusta”, en especial cuando se trata de publicidad, eventos, tiendas, servicios y otros ajenos a un comentario de genuino de algún “amigo”.
  3. Eliminar y bloquear aquellos amigos que en realidad, no son “tan amigos” y reducir la lista de los mismos. Con ello, reducimos el riesgo de ser víctimas de ataques, acosos, grooming y fraudes.

Con Twitter, sucede algo diferente. Generalmente podemos tener en peligro nuestra información más sensible y privada a través de Twitter porque:

  • Cuando un seguidor nuestro o alguien a quien seguimos se comunica con nosotros, y a pesar de no tener referencias del mismo, le contestamos de todas maneras.
  • Porque utilizamos muchas veces el @nombredeusuario o retwiteamos incluyendo nombres de usuarios que no conocemos.

La solución para disminuir ataques y violaciones a nuestra privacidad en Twitter es la siguiente:

  1. No retwitear los nombres de usuarios que no seguimos o no conocemos, o tenemos dudas de su seriedad.
  2. En vez de usar nombres de usuarios en nuestros tweets, mejor usar hashtags de eventos o situaciones con el símbolo #.
  3. Cuidado: si un usuario al que no conocemos nos ataca o presiona, debemos bloquearlo y evitar que nos siga. Si este usuario proviene a través de otro al cual seguimos, debemos dejar de seguir a ese también.
  4. Ser cuidadosos con los mensajes privados (MP).
  5. Desenlazar las cuentas de Twitter y Facebook con nuestro perfil de #Instagram.
  6. Bajo ningún concepto, utilizar #Snapchat.

un saludo

#R2D2 Ya Protegía Nuestra Intimidad. #StarWars

Y no es raro que en la ficción, un androide perteneciente al ejército de los buenos (Rogue Squadron) se alíe con un personaje místico con deseos de justicia, como lo es un #Jedi. Ambos poseen aquello que a la sociedad muchas veces le cuesta promover: buenos valores y un código de honor. Gracias a ello, en la Saga Star Wars (La Guerra de las Galaxias), su asociación para combatir el mal (bajo el mando de Darth Vader) fue obra del destino. Entonces, toda la sociedad, incluyendo quiénes leen este trabajo y por supuesto quién lo escribe pueden ser amigos de R2d2 (Ar-tu-ri-to), un instrumento automatizado que a todos les dio clases de buenos valores, por encima de las actitudes de muchos hombres, allá por 1977, cuando se proyectó por primera vez La Guerra de las Galaxias, Episodio IV, Una Nueva Esperanza (el primero de ellos en ir a la pantalla grande). Pero ¿quién es R2D2? Es un androide de baja estatura, con dos ruedas adelante y una trasera que lo mantienen inclinado 45 grados hacia atrás y que ha sido el fiel servidor y confidente de la Princesa Leia, quién en la Saga de Star Wars, fuera perseguida por el Imperio de los Sith, con el apoyo del malvado Darth Vader (quién fuera su padre) para asesinarla ya que ella era la heredera directa al gobierno de la República, derrocado por el Imperio. Cuando finalmente dan con la Princesa Leia, la hacen prisionera, pero no sin que ella previamente, le entregue a R2D2, información digitalizada sobre la ubicación de la base de los rebeldes y sobre las vulneraciones del sistema de defensa del Imperio, por si los primeros decidían perpetrar un ataque que los pudiera conducir a la libertad de varias sociedades planetarias. Las instrucciones de la Princesa fueron claras: solamente podría acceder a dicho mensaje, su tío Obi-Wan-Kenobi, antiguo Jedi y defensor de la República. Por así decirlo, la misión de R2D2 era la de dar con el paradero de Obi-Wan y entregar el mensaje, pero también debía proteger dicho legado de las ambiciones de los soldados del Imperio (y del propio Darth Vader) y de oportunistas que querrían vender la información en el mercado negro, pero sobre todo, proteger su integridad. Si los datos caían en manos equivocadas, podría significar el fin de la república y la matanza de todos los rebeldes allegados a la princesa Leia. Ahora, lo destacable de esta historia es que R2D2, siendo un instrumento automatizado, a través de su conjunto de valores, logra determinar quién es bueno y quién es malo, hasta dar con Obi-Wan-Kenobi para enseñarle el mensaje de la princesa. La determinación de la conducta de este androide es digna de copiar hasta por parte de los humanos, y el mensaje que este filme le deja a la sociedad, es que tanto las personas como los instrumentos automatizados, pueden tomar las decisiones correctas, basados en valores pre establecidos, en sus propios códigos de honor y en los principios. Incluso, a pesar de que la princesa Leia le ordenara a R2D2 que le mostrara el mensaje a su tío y solamente a él, lo cierto es que, el androide, por su propia convicción y por sus valores, decide por sí mismo, compartir la misma con una segunda persona: el aprendiz de Jedi, Luke Skywalker, el héroe de la saga. Un ejemplo digno de seguir, que seguramente se podrá aprovechar gracias a la incorporación de un código de conducta entre las relaciones de las personas y los instrumentos automatizados, que garantice una “autodeterminación informativa In Totum”.

El Camino Exitoso del Smartwatch. Tecnología Disruptiva

Me atrevo a vaticinar que en los próximos años, así cómo sucedió en el 2007 con la llegada del #iPhone y luego en el 2013 con la masificación de #WhatsApp, todos llevaremos un #smartwatch (teléfono inteligente, conectado a nuestro móvil) en la muñeca y dependeremos de él para las tareas más sencillas del quehacer cotidiano. Y ésto es así porque su uso es tan, pero tan sencillo, que produce adicción. No importa la marca o el modelo. Si usamos un smartwatch, veremos cómo se simplifica notablemente atender una llamada, verificar el sms o el mensaje de WhatsApp que nos envían, recibir un aviso del Calendario o de las Tareas, o hasta leer el encabezado de nuestros e-mails ¿Por qué? Porque nos acostumbraremos a hacer todo eso sin necesidad de retirar el celular de nuestro bolsillo o cartera. Entonces, esa simplicidad de uso, se impondrá definitivamente en nuestras vidas. Es lo que se denomina “Tecnología Disruptiva” (Disruptive Technology), porque llega para “romper” con los paradigmas anteriores y provoca que todas nuestras costumbres de vida ya aceitadas, se adapten nuevamente a esta nueva forma. Así como todo el mundo ahora aprovecha un tiempito libre para mandar y recibir material por WhatsApp (en vez de salir a fumar), lo mismo sucederá cuando tengamos el smartwatch con nosotros. De hecho, cuando no lo tengamos y estemos utilizando un reloj convencional, nos pasará que giraremos la muñeca para ver quién nos envía un mensaje, cada vez que suena nuestro smartphone. A ello debemos sumarle el hecho de que las grandes compañías han invertido muchísimo dinero en toda una maquinaria comercial de nuevas Apps dedicadas en exclusiva a los smartwatches, y que se ha visto potenciado con la llegada del Apple Watch al mercado.

Pero ello también modifica otros parámetros de la vida misma. A modo de ejemplo, lo que sucede en #Uruguay con las normas de #RENAEMSE (RE.NA.EM.SE), que prohíben el uso de celulares y otros medios de comunicación dentro de instituciones bancarias se verá totalmente afectado por el uso de smartwatches, ya que es muchísimo más difícil pedirle a una persona que “apague” su reloj, se lo quite o no mire la hora dentro de una institución. Por ello, las normas de dudosa efectividad como la que acabamos de mencionar, se volverán inaplicables ipso facto.

Pero modificará también los modus operandi de sectores como la enseñanza. En efecto, ahora los colegios y universidades deberán adoptar medidas para que los alumnos no se distraigan constantemente mirando su reloj frente a la avalancha de mensajes de #WhatsApp por ser más fácil y tentativo que estar operando el móvil en cada momento. Toda una futura adicción.

Cómo Limpiar Los Datos Personales de Nuestros Hijos que Pululan en Internet

Si bien, eliminar nuestros datos de la web es una tarea difícil, con los menores de edad existen otros parámetros que pueden jugar a favor: al ser menores de edad, al tratarse de un mayor amparo del Estado y al tener una mayor protección de las leyes de protección de datos, los efectos pueden ser mayores y más rápidos.

Éstos son algunos puntos recomendables para disminuir o eliminar el tráfico indiscriminado de los datos de nuestros hijos en la Web y las redes sociales:

  1. Realizar una búsqueda en Google y otros buscadores del nombre completo de nuestros hijos y anotar los sitios dónde se encuentran.
  2. Solicitar vía web la eliminación de los datos personales o de la información dañina.
  3. Solicitar vía carta postal la misma eliminación y enviarla a la oficina regional del servicio o web dónde se encuentra. Con ello, evitamos que se amparen en que no recibieron la solicitud.
  4. Visitar sitios como JustDeleteMe para aprender el grado de dificultad que podemos tener al querer eliminar un dato o cuenta de un sitio Web. Además, se nos muestra cómo realizarlo en la mayoría de los casos.
  5. Visitar AccountKiller para solicitar también por este medio la baja de nuestra cuenta de un sitio o red social.
  6. En caso de que continúe la información, iniciar acción de protcción de datos y de habeas data ante los tribunales correspondientes.

La Especial Protección de los Niños Frente al Tratamiento de los Datos Personales

Los menores de edad merecen especial protección de las leyes en cuanto al tratamiento de datos y sería muy acertado que los mismos sean considerados datos sensibles, ya que su vulnerabilidad es mayor, como se expresa a continuación:

  1. Desconocen el acto de “otorgar o no otorgar” el previo consentimiento informado.
  2. Pueden sentirse intimidados ante la solicitud de datos por parte de un tercero y con ello no atreverse a negar la entrega de los mismos.
  3. Desconocen el alcance de lo que es un “dato personal” ya que muchas veces no sabrían relacionar que una imagen, un vídeo, una información de verdad los identifica.
  4. Al ser niños o menores, son más proclives a ser “embaucados” por terceros en cuanto a la entrega involuntaria de datos personales, datos sensibles y otra información relativa a su persona, su familia o sus bienes.
  5. Se encuentran totalmente desprotegidos ante depredadores sexuales, acoso escolar y ataques a través de Internet, smartphones o redes sociales.

Por lo pronto, las consecuencias del tratamiento no autorizado o sin el previo consentimiento de un adulto, de datos personales recogidos de los menores, son devastadoras y su daño es mayor en todo el grupo familiar que le rodea. La no protección adecuada por parte del Estado, de aquellos a los que les recae las obligaciones inherentes a la Patria Potestad significa la vulneración de otros derechos fundamentales como la integridad física, la integridad moral y hasta la vida.

Es muy importante que los responsables de la recogida de datos de menores, informen previamente a los mismos y a los mayores a su cargo de manera simultánea, claramente, solicitando el previo consentimiento de ambos y además, especificando concretamente el objeto o para qué se utilizan los mismos (ejemplo: subirlos a Internet, redes sociales, publicidad, venta de datos) y ofreciendo sencillos mecanismos y voluntades para que sus titulares ejerzan sus derechos ARCO en caso de que así lo entiendan, en especial, la cancelación (supresión) de los mismos, cumpliendo así con la LPDP, la LOPD, la Directiva 95/46/CE y la Data Privacy Act entre otras.

RFID, NFC y la Violación de la Protección de Datos Personales y Sensibles

RFID es la sigla de Radio Frequency IDentification, (en español identificación por radiofrecuencia), mientras que NFC significa Near-Field Communication o Comunicación de Campo Cercano, ambos conceptos definidos en Wikipedia.

¿Qué significan? Refiere a los dispositivos, sistemas, etiquetas y campos que permiten identificar o comunicar a dos dispositivos electrónicos para transmitirse información sin necesidad de “tocarse”. Solamente hace falta estar cerca uno del otro y que se identifiquen. Este tipo de tecnología es muy utilizado, por ejemplo en tarjetas de transporte público, dónde el usuario acerca una de ellas a un lector que emite el boleto, le descuenta el pago y además le avisa del saldo cargado en esa cuenta. Otro uso común, referente a las RFID, es el de las tiendas de ropa que poseen detectores de etiquetas activadas en las prendas, las cuales son identificadas cuando una persona traspasa su campo invisible y avisa de un posible robo.

Sin embargo, el problema surge debido al “desconocimiento” por parte de los usuarios, de la existencia de este tipo de etiquetas o tecnologías, que permiten identificar los movimientos del usuario, el tiempo en que se encuentran en un espacio y también recopilar información que permite establecer un perfil, que en manos inescrupulosas se presta para violar nuestra privacidad e intimidad (una vez más, sufrimos El Síndrome de Hansel & Gretel).

En base a ésto, la senadora del estado de California Debra Bowen preguntó en una audiencia: “¿Cómo se sentiría usted si, por ejemplo, un día se diera cuenta de que su ropa interior permite revelar su paradero?”.

Y a ello se le suma una mayor amenaza a nuestro derecho fundamental, ya que se han creado nuevos modelos de etiquetas de RFID que ahora son activas respecto a la recogida de datos. La mayoría de las preocupaciones giran alrededor del hecho de que las etiquetas RFID puestas en los productos siguen siendo funcionales incluso después de que se hayan comprado los productos y se hayan llevado a casa, y esto puede utilizarse para vigilancia y otros propósitos cuestionables sin relación alguna con sus funciones de inventario en la cadena de suministro.

Evidentemente, mientras no exista una normativa que las regule, siguen siendo una amenaza a nuestros datos personales y sensibles.

El Análisis del “Big Data”: todo lo que busques en Amazon…te será ofrecido luego en Facebook

Es increíble, pero no ilógico y quizá a otros no sorprende. Sin embargo, el análisis del Big Data con tecnología e inteligencia artificial tan avanzada permiten a las grandes compañías, prever (si, saber con casi certeza) que queremos o vamos a comprar o aquello que buscamos y luego nos olvidamos…para volvernos a ofrecer.

Esto sucede normalmente en las búsquedas de productos o servicios a través de los buscadores como Google, Bing, Yahoo y similares, sin embargo, un buen ejemplo “verificable” involucra a Amazon y Facebook. En efecto, solo basta hacer la prueba de buscar un producto, ropa, calzado o gadget en el portal de Amazon y no comprarlo, sino esperar. Al cabo de unas semanas, en el sector derecho de Facebook, dónde se nos muestra la publicidad teledirigida a nosotros, aparecerá una oferta del mismo producto, o…lo más increíble aún…de la competencia, y hasta más barato. Aquellos que buscamos en Amazon y no adquirimos, vuelve a nuestras vidas ¿cómo es posible? Pues ello es así gracias a que padecemos el Síndrome de Hansel & Gretel, y como tal, cada vez que vivimos, cada día, dejamos guijarros, rastros para que otros, con la tecnología adecuada puedan rastrear nuestros datos personales, cruzar la información y predecir una línea de acción de nuestra vida, incluyendo aquello que queremos, pero que no pudimos comprar en su momento, y por ello…nos tientan nuevamente a hacerlo…sin importar nuestra privacidad e intimidad. Es evidente que terceros saben más de nuestra vida y comportamiento (y padecimientos, intimidades) que nosotros mismos. Ello es un peligro para nuestros derechos fundamentales y debe ser regulado de manera inmediata.

El Origen de la Privacidad: the “Right to be Alone”

El origen de la tutela de la intimidad asociada a la vida privada, proviene de EEUU, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Como consecuencia de ello, los periodistas obviaban el consentimiento del titular de la imagen, pero además el propio Warren no tenía conocimiento sobre el verdadero tratamiento de las mismas sumándole el hecho de que previamente era observado para ser fotografiado. Como bien lo expresa Ana GARRIGA, lo que se relaciona con la intimidad es la noción de aislamiento físico.

Siguiendo con la evolución de la intimidad, se llega al concepto de privacidad no visto solo como una facultad para ejercer un control más allá de ocultar el dato personal o volverlo secreto, sino como la posibilidad de que ese control sea ejercido frente al responsable del tratamiento de la información existente sobre uno mismo, tanto desde un punto de vista negativo como positivo. Como podemos apreciar, el derecho norteamericano de la mano de Warren y Brandeis (WARREN & BRANDEIS, 1890) ha evolucionado hasta presentar un concepto unificado de protección del derecho a la intimidad junto con la autodeterminación informativa al otorgarle el ordenamiento, la facultad al ciudadano de determinar qué información ventilará y cuál no. Que sea un concepto único, no significa ello que se ha caído en la desgracia de olvidarnos del derecho a decidir qué hacer con nuestras imágenes, con nuestros vídeos, con nuestra información personal, porque lo que estos pioneros han marcado, justamente es el comienzo de la separación entre el derecho a defender la privacidad de ataques exteriores, de la propia autodeterminación respecto a si comunico o no parte de mi vida para que se haga pública, y en definitiva me convierta en un esclavo de las opiniones de las demás personas, siendo incluso víctima de ataques por parte de terceros y del mismísimo gobierno.

Luego de lo ocurrido con el caso Brandeis y Warren, la legislación norteamericana ha tomado cartas en el asunto. Así, en 1966 se aprobaría la Freedom of Information Act (FOIA) entrando en vigor el 05 de julio de 1967, la cual reconoce el derecho de cualquier persona a acceder a la información almacenada en las oficinas federales de gobierno, salvo que las mismas estuviesen protegidas o reservadas por leyes federales o por mandato justificado, ambos pertenecientes a una lista taxativa. Cualquier persona, dentro de los EEUU puede solicitar información al gobierno, determinando qué agencia deberá entregársela y ésta tendrá la obligación de hacerlo en un plazo prudencial. De acuerdo a lo que dice el portal de FOIA, es la ley que permite al ciudadano estar “a sabiendas“ de lo que sucede en el Estado. Claro que existe un listado de las agencias a las que se aplica el derecho de acceso a la información pública, así como también aquellas oficinas o poderes que quedan exceptuados de otorgar cualquier tipo de datos. De todas formas, ello es muy positivo en el ámbito de contralor de la información por parte de cualquier persona que en su derecho de acceso, puede solicitar se le comunique qué información maneja el Estado sobre sí misma, para determinar hasta dónde tiene comprometida su privacidad, su intimidad, y si acaso alguna agencia federal ha violado su derecho a la autodeterminación informativa.

Curso de Stop Cyberbullying Online y con Descuento

Todos conocemos el daño que produce el acoso escolar en las redes sociales y en las TIC, incluyendo smartphones, Whatsapp, Snapchat y similares, al punto de que niños que no llegan a los 10 años de edad han terminado por suicidarse.

Para ayudar a los padres, tutores, amigos, niños, adolescentes y familias, he elaborado un curso online dentro de la plataforma #Udemy que entregará las herramientas necesarias para terminar con el bullying y cyberbullying.

Para los lectores de esta revista y a los primeros que se anoten, hay disponible un descuento directo, accediendo a este link o escaneando el código QR más abajo.

Muchas gracias,
Un saludo

IMG_1315

Qué debemos hacer para Perder nuestra Privacidad en Facebook y Google

En esta revista siempre nos esmeramos por proteger nuestros derechos fundamentales, en especial nuestra privacidad e intimidad a través de los datos personales. Sin embargo, esta vez, vamos a mostrar cómo hacer para dejar toda nuestra vida privada…a merced de todos.

  1. Activar el “Recordar contraseña” y no cerrar sesión en Facebook y otras redes sociales. Así, cuando otra persona accede desde ese mismo dispositivo, puede entrar con nuestro usuario y contraseña y hacer delicias con nuestros datos.
  2. Crear contraseñas muy fáciles, del estilo de “123456” o con nuestro apellido, aniversario, datos de familia, y sobretodo, sin colocar una letra en mayúscula ni agregar un número (o agregando una fecha, así es más fácil de hackear).
  3. Permitir que miembros de la familia o cercanos, conozcan la contraseña, enviarla a alguien por sms, decirla en voz alta o por teléfono, o quizá mejor aún, escribirla en otro lado o post it, o cuaderno, pero por sobre todo, que quede a la vista de terceros.
  4. No cambiar nunca la contraseña y usar la misma para entrar a varios lugares.
  5. Permitir que “amigos de sus amigos” puedan acceder a toda su información y a lo que publicamos. Permitir a todas las extensiones, aplicaciones y demás, acceder a nuestra información privada.
  6. Tener más de 300 “amigos” y en especial, aceptar la amistad de cualquier persona, aunque no estemos seguros de conocerla.
  7. Establecer un patrón de actividad de todo lo que hacemos y documentarlo en las redes sociales.
  8. Registrarse en todos los sitios posibles y en especial, activar la notificación por mail o la llegada de newsletter semanal.
  9. Utiliza el mismo correo electrónico personal con el que acostumbras a comunicarte con amigos y seres queridos, para registrarte en las redes sociales y buscadores.

Seguramente muchos se habrán sentido identificados con algunos de estos puntos.

Un saludo

La Norma Autorreguladora como Instrumento de Apoyo a la Protección de Datos

Una norma autorreguladora, debidamente redactada y adoptada por todos los involucrados, servirá de apoyo para un mejor cumplimiento de las leyes de protección de datos y la privacidad. Con este contexto, esa misma norma puede dar un paso más hacia la realidad, incluyendo la interacción entre las personas y las apps, software, wearables y dispositivos dotados con inteligencia artificial.

Un punto a tener en cuenta en la redacción del Código de Conducta para las Relaciones entre las Personas y los Instrumentos Automatizados tiene que ver directamente con la “privacidad electrónica”, basada en aquellos datos de carácter personal que son tratados por los robots, con el consentimiento de sus titulares para determinado fin, pero que no deben ser publicados en Internet, o de serlo, solamente en sitios Web que cuenten con los mecanismos de seguridad necesarios para velar por la no propagación de la información mediante el acceso de terceros a los ficheros. En efecto, en este caso se habla del tratamiento autorizado de los datos personales por parte de los robots cuando los mismos rozan la “ilegalidad” de su ventilación en la red de redes, lo que debe quedar debidamente documentado en el cuerpo de la norma reguladora a los solos efectos de que se limite el acceso (el de los instrumentos automatizados) en Internet solamente a sus titulares o a las instituciones que las leyes determinen.

Cada vez que nace una práctica (sea esta lícita o ilícita) y repercute en las relaciones de la sociedad, el orden jurídico inmediatamente busca su regulación con el objeto de mantener la igualdad de los derechos fundamentales recogidos en la Constitución, así como la ponderación de aquellas garantías que permiten a las democracias gozar de buena salud.

Entonces, si el engranaje que hace funcionar a la Sociedad de la Información se desempeña adecuadamente, ¿Cuál es la razón para sujetarse a más normativa, especialmente a una norma de autorregulación? La respuesta es muy sencilla: porque lo que el ordenamiento jurídico logra regular con la normativa aplicable, es un “ideal de excelencia” o funcionamiento correcto que no es suficiente con su aplicación. Esto es así, debido a la magnitud de las interrelaciones sociales y a la variedad de derechos en juego, lo que obliga a la normativa a ejercer un manto de generalidad con el objeto de cumplir su cometido en términos medios y suficientes para que ello no quede fuera de la esfera jurídica.

Hoy: Día Mundial de la Protección de Datos #DPD15

Hoy, 28 de enero de 2015 celebramos el Día Mundial de la Protección de Datos (Data Protection Day / Data Privacy Day).

Es importante tener en cuenta, que nuestra información es lo que nos identifica, que nuestra privacidad e intimidad forman parte de nuestros Derechos Fundamentales…o sea: son preexistentes a cualquier Constitución y no pueden ser vulnerados ni siquiera por otras leyes, salvo en función de proteger otro derecho fundamental.

La protección de nuestros datos personales, nuestra privacidad, nuestra intimidad y el ejercicio de nuestra autodeterminación informativa son presupuestos para garantizar otras libertades fundamentales, como la vida y la integridad física.

Solamente con nuestro consentimiento previo y expreso se pueden tratar nuestros datos. Y debemos protegerlos en todos los ámbitos: público, privado, social, redes sociales, apps, smartphones, tablets, software, hardware, familiar y hasta con nuestros amigos.

Es nuestra voluntad, nuestro deber y la obligación de los demás, de cuidar lo que nos pertenece y nos hace personas.

Data Privacy Day / Data Protection Day #DPD15

Este 28 de enero celebramos el día internacional de la protección de datos personales (Data Protection Day / Data Privacy Day).

Es por ello que compartimos entonces unas premisas dedicadas a la protección de datos a nivel comercial y de empresas, cortesía de la National Cybersecurity Alliance:

La Privacidad es Buena para los Negocios

1. Si lo recolectas, lo proteges
2. Sé abierto y sincero explicando cómo recolectas, usas y compartes información personal de tus consumidores
3. Genera confianza haciendo exactamente lo que dijiste que harías
4. Crea una cultura de privacidad en tu organización
5. No basta sólo con notificar a tu organización y a consumidores acerca de la existencia de privacidad. Debes ser pro activo
6. Sé diligente y vigila tus socios y tercerizados en el manejo adecuado de la privacidad de los consumidores y clientes. Tú también eres responsable por lo que ellos hagan o dejen de hacer con los datos personales

Internet de las Cosas: y la Protección de Datos?

Internet de las Cosas (IOT en inglés) es una verdadera movida fabulosa: ha modificado todo lo que conocemos y de aquí a poco (menos de lo que creemos) ya que permite conectar cualquier objeto que existe a Internet, una App o software y volverlo inteligente e interactivo, especialmente desde un smartphone o smartwatch.

Sin embargo, ello implica que nuestra privacidad y nuestros datos personales serán tratados por cada “nuevo objeto inteligente” dentro de una morada, lo que implica que pueden ser filtrados, robados, hackeados o utilizados para fines espurios sin siquiera saber que ello sucede. O sea que nuestra intimidad, nuestro concepto constitucional del domicilio sagrado, será seriamente vulnerado…y ello puede incluir a nuestros menores hijos y su intimidad. Evidentemente, el padecimiento del Síndrome de Hansel & Gretel no solo es real sino que además cada vez más notorio sus efectos. El efecto de la vulneración de la privacidad es también la causa del tratamiento descarado de los instrumentos automatizados.

Curiosamente, en un artículo publicado por El Economista de México denominado “Privacidad e Internet de las cosas, la tormenta perfecta”, expresa claramente que “Los beneficios potenciales como la mejora del cuidado de la salud, la modernización de las ciudades o el impulso al crecimiento económico son también riesgos potenciales pues al mismo tiempo que los dispositivos conectados mejoran los servicios, también recolectan, transmiten, almacenan y comparten una gran cantidad de datos altamente personales de los consumidores, lo que crea una riesgos significativos a la privacidad”.

Es por ello que nuevamente insistimos en la adopción de los Nuevos Principios de Protección de Datos Personales.

un saludo

Los Nuevos Actores en la Privacidad: los Instrumentos Automatizados

Es importante entender profundamente este nuevo concepto ya que los instrumentos automatizados son nóveles actores que entran en escena de manera permanente en el manejo de la privacidad de las personas y la protección de datos personales. Los mismos generan en esta sociedad de la información, derechos y deberes en el entorno, por lo tanto, se les puede considerar sujetos de derecho y obligaciones.

Los instrumentos automatizados son aquellos aparatos dotados con inteligencia artificial lo que les permite realizar ciertas tareas de forma automatizada, sin necesidad de la colaboración o asistencia de la mano del hombre o de otros instrumentos como los robots. A su vez, estas características les permiten establecer parámetros y arribar a sus propias conclusiones para luego, en virtud de ello y de la situación en que se encuentren, tomar decisiones basados en propias convicciones.
Estas características se relacionan en un todo con las aplicaciones o software para ordenadores así como para las llamadas “apps“ o aplicaciones para tabletas y móviles inteligentes. De facto, el llamado “Robot Eugene“ es un claro ejemplo de una aplicación Web para ordenador que cuenta con dotes de inteligencia artificial.
La referencia más cercana a un instrumento automatizado en los tiempos que corren es la de un robot (aunque no es la única referencia).
El origen de la palabra robot se remonta a la búsqueda de las personas por obtener el “auto movimiento”. Así entonces, ha sido más fácil definir a los instrumentos automatizados que al propio robot.
Es por ello, que conviene definir entonces la palabra “autómata”: (Del lat. automăta, t. f. de -tus, y este del gr. αὐτόματος, espontáneo). 1. m. Instrumento o aparato que encierra dentro de sí el mecanismo que le imprime determinados movimientos. 2. m. Máquina que imita la figura y los movimientos de un ser animado. Según Isaac (ASIMOV, 1985), el concepto estaría conformado por las palabras griegas “sí mismo” y “mover”.
Por su parte, el concepto de “robot” que más se adapta a la realidad de la Sociedad de la Información ha sido proporcionado por KAREL CAPEK el cual se define como “trabajo obligatorio, semejante a la servidumbre” (del checo “Rabota”).

Cuando una Norma Obsoleta Atenta Contra el Uso de Tecnologías y Derechos Fundamentales

Este artículo formará parte de la edición impresa de esta revista en su número 2

Existen muchas razones, y en especial de seguridad ciudadana para permitir o prohibir el uso de Tecnologías de Información Comunicación en determinados recintos, como es el extraño caso de Uruguay, dónde una norma muy antigua y su actualización de 2011 a cargo del Registro Nacional de Empresas de Seguridad (RE.NA.EM.SE.) prohíbe desde hace casi 15 años, el uso de móviles (celulares) y otros medios de comunicación dentro de instituciones públicas y en especial, dentro de bancos, sean éstos públicos o privados. Ello es así para evitar robos u otros delitos de clientes al salir de esas instituciones, si es que los posibles delincuentes avisan por sms u otros medios a sus cómplices fuera para “señalar” a la futura víctima “cargada” de dinero (o para avisar de que ahora es un momento oportuno para entrar a robar un banco).

Sin embargo, los tiempos cambian, los modus operandi de los malhechores también, así como las necesidades y derechos fundamentales de las personas, lo que vuelve totalmente obsoleto el criterio de prohibir el uso de tecnología en una ciudad.

Pero ello no es todo, ya que las normas antiquísimas de RENAEMSE en este caso, atentan directamente e indirectamente contra algunos derechos fundamentales, lo que supone además que las mismas se han vuelto inconstitucionales y que perjudican de manera agresiva a las libertades de los usuarios.

Con la prohibición del uso de TIC dentro de oficinas públicas e instituciones bancarias, se violan las siguientes libertades que a continuación se explican:

  1. Derecho de Igualdad, recogido en varios artículos de la Constitución. El hecho de que ahora, las comunicaciones móviles son un derecho adquirido y una necesidad en la población, su prohibición lo ataca directamente.
  2. Derecho de el acceso a la sociedad a la información y el conocimiento, recogido por el Plan Ceibal para llevar One Laptop Per Child a todos los niños del país. Una buena iniciativa estatal que choca directamente con esta otra norma.
  3. Viola las normativas e iniciativas gubernamentales para disminuir y erradicar la Brecha Digital, las cuales forman parte de las Agendas de Gobierno Electrónico fomentadas por el Gobierno de Uruguay.
  4. Indirectamente, viola los derechos y libertades a la información, a la libre expresión y otros, ya que Uruguay cuenta con un alto porcentaje de penetración de smartphones por habitantes, lo que implica que la convergencia de muchos servicios y derechos se encuentran accesibles solamente desde el móvil, y al prohibirse su uso, se prohíbe su acceso a los mismos
  5. Atenta directamente contra el bien jurídico colectivo Medio Ambiente, ya que al prohibir el uso de móviles y tablets, no se le permite al usuario, acceder a trámites, datos o servicios online vinculados directamente con la institución a la que se está visitando. No se le permite usar las apps ni ingresar a la Web para descargar un formulario entre otros, lo que obliga al ciudadano a imprimir el formulario, malgastando papel y generando un gasto extra, a pesar de que el servicio online podría estar disponible.
  6. Como consecuencia del punto anterior, viola directamente las leyes y decretos de Gobierno Electrónico que impulsan una gestión moderna, eficaz y eficiente.
  7. Pero además, atenta contra las telecomunicaciones, o…las telecomunicaciones atentan contra RENAEMSE, ya que por definición, esta norma se aplica por igual a todas las instituciones públicas. Pero hay una, ANTEL que es la telefónica estatal, que necesita que los usuarios utilicen sus móviles en el recinto para realizar todo tipo de trámites asociados, y de hecho, así lo hacen. Entonces, por lo pronto y por necesidad, los usuarios están implícitamente violando la norma de RENAEMSE así como también la institución pública.

En definitiva, una norma errónea u obsoleta, puede provocar un sinfín de vulneraciones a los derechos fundamentales, como es el caso de ejemplo.

Campeones del Data Privacy Day 2015. National Cyber Security Alliance

Con orgullo, ponemos en conocimiento a través de este medio, que nuestra filial Meridian PDP dedicada a brindar servicios de protección de datos, ha sido galardonada con el DATA PRIVACY DAY 1015 AWARD y se compromete a promocionar una mejor protección de nuestros datos, en especial el 28 de enero de 2015, día Mundial de la Protección de Datos.

Todos pueden colaborar intentando concientizar a la población de que la privacidad es un verdadero Derecho Fundamental que es nuestro y que debemos cuidarlo, ingresando en StaySafeOnline o siguiendo en Twitter a #DPD15.

Aquí se puede descargar la certificación.

un saludo y muchas gracias

dpd15 champ

Data Privacy Day Champion

El Efecto Posterior (en nuestra privacidad) al Darse de Baja de Facebook

Hace poco tiempo me dí de baja de la red social más grande e influyente de todos los tiempos: #Facebook. No fue fácil tomar la decisión, ya que:

  1. Eran muchos años de historia escrita en esas páginas virtuales (desde 2009)
  2. Mucha información, fotografías, amigos e interactividad
  3. Si decidía darme de baja, aún así Facebook me la mantenía en suspenso por quince días por si decidías volver o si alguna app o web asociada se dirigía hacia nuestra cuenta.
  4. El punto anterior: muchos servicios, apps, webs y otros se loguean directamente con Facebook o Twitter, lo que hace la vida más fácil a la hora de tener que registrarse de cero (además de olvidarse de tener que ingresar con usuario y contraseña)

Sin embargo, a pesar de las excusas anteriores, un día tomé la decisión, lo cual ahora considero muy acertada, además de sentir un verdadero alivio en cuanto al manejo de mis datos privados en la red.

Los puntos que tomé en cuenta para la baja son los siguientes:

  1. Demasiada información recopilada por un solo sitio y disponible a otras personas y terceros
  2. Las políticas de privacidad de Facebook fueron cambiando conforme el tiempo pasa…y no son protectoras de nuestros datos personales (mucho menos de nuestra intimidad)
  3. El hecho de olvidarme de ingresar a los sitios registrados: es demasiado cruzamiento de datos personales entre terceros. Es peligroso
  4. Al final, tenía amigos que en realidad no eran amigos, y por cortesía, pulsaba el botón “Like” por nimiedades que a lo mejor yo no compartía en su totalidad
  5. Creo que Facebook tiene mucho de catapulta para levantar el ego de quiénes publican en ella, o buscan un reconocimiento de los demás con los “Like”. También, de acuerdo a análisis, produce envidias y genera conflictos de acuerdo al perfil y publicaciones de los amigos (viajes, fiestas, nuevos smartphones, etc). Todo ello además, crea un perfil de nuestras vidas y un registro de nuestro modus operandi muy delicado (me acabo de levantar. Voy al baño. Voy al banco. Comí pastel. Subo foto de lo que sea) que recoge nuestros puntos fuertes…y nuestras debilidades.
  6. Al final…todo ello me aburría.
  7. Existen otras redes sociales como Twitter, Instagram, Pinterest, Dronestagram, Google+ con las cuales también interactuamos, así que no es ni cerca el fin del mundo.
  8. Muchas de las actividades propias de Facebook ahora las ejercitamos en Whatsapp o Telegram, con nuestros contactos.

Y no fue el fin del mundo. Quizá esa percepción de que ahora menos datos personales están en la nube (mmmm…) nos hace sentir más seguros, pero creo que vale la pena intentarlo si realmente creemos que nuestra privacidad ya no se encuentra debidamente protegida o si no somos coherentes con las conductas de lo que publicamos. Recordemos que en Facebook, NO TODOS son nuestros amigos (empezando por la propia Red Social).

Recomendaciones de la Comisión Europea…¿a un paso de ser aprobadas?

Mientras seguimos esperando la aprobación de las reformas en materia de protección de datos personales en el bloque europeo, recordemos algunas de ellas que valen la pena tener en cuenta para ejercer nuestras libertades:

  1. Derecho al olvido para todos los países miembros
  2. Protección de datos desde el inicio (PDP by default) por parte de los responsables del tratamiento de una base de datos.
  3. Una Agencia de Protección de Datos Centralizada para todos los paises miembros de la UE
  4. Los países no europeos deberán adoptar y adaptarse a la normativa del bloque si pretende interactuar con ficheros de datos que involucren a países de la Unión Europea.

Bien, sin embargo hasta el momento no han habido señales, salvo por el hecho de que en este 2014 el Parlamento Europeo votó a favor de la adopción irreversible de estas recomendaciones en una supuesta nueva Directiva, lo que implica que estaríamos ya a pocos meses de la adopción final y publicación de estas nuevas medidas.

No debemos olvidar, que estas propuestas llevan ya casi tres años de ser tratadas una vez que fueron propuestas por la Comisión Europea.

Apple Pay y la Privacidad de Nuestros Datos Personales

Esta nota será parte integrante de su publicación en le Número 2 de la Revista Internacional de Protección de Datos y Derecho Informático, a publicarse en papel en breve.

Hace un tiempo ya, en una institución bancaria en Uruguay, se promocionó la inclusión del sistema de pago, retiro y cobro mediante el uso de la tecnología NFC cuyo significado es “Near Field Communication”. Quizá muchos de nosotros ya hayamos experimentado esta tecnología sin que supiéramos que se denominaba así. En efecto, al menos hace una década, empresas de transporte urbano de muchas ciudades del mundo contaban con una tarjeta plástica recargable que luego “descontaba” el pago de un billete cada vez que acercábamos la misma a un dispositivo instalado dentro de los autobuses, trenes o tranvías, emitiendo un pitido para avisarnos de la aceptación y pago. Su uso es hoy moneda corriente.

A su vez, éste tipo de tecnologías también fue llevada a los smartphones hace pocos años, como es el caso de Google Wallet, la plataforma de pago promocionada por Google con el uso de móviles con Android. Sin embargo, esta tecnología no lograba despegar del todo, hasta que se dió un hecho que cambiaría la escena y la catapultaría: entró Apple a la cancha con su Apple Pay y todo indica que estaremos utilizando el pago de productos y servicios varios, solamente con acercar nuestro smartphone a una plataforma de pago (NFC), porque la compañía de Palo Alto ya hizo varios acuerdos con grandes cadenas en EEUU y pronto se extenderá a otros mercados internacionales.

Volviendo al ejemplo del banco y su adopción al sistema de pago mediante NFC, la idea fracasó antes de ser llevada a la práctica, debido a una sola palabra: privacidad. En efecto, lo que el banco no pudo garantizar fue que no se vulneraría la privacidad de las personas y se robaran las cuentas bancarias de aquellas tarjetas que se acercaran a un scanner NFC, por la sencilla razón de que aún no se ha podido añadir encriptación eficiente y en tiempo real que permita disasociar los datos personales de las personas, sus contraseñas y la información del contenido de sus cuentas bancarias. No funciona igual a una tarjeta de crédito/débito, y por ello su uso tuvo cierta reticencia. Pero llegó Apple Pay y ha comenzado a masificarse, y como casi todo producto, software o hardware que Apple lanza, marca una tendencia y se transforma en un ícono cultural de inmediato, seguramente ello sucederá con Apple Pay, por la única razón de que es muy fácil de utilizar y es un alivio para los consumidores diarios.

Sin embargo, a la fecha, aún no se han garantizado las medidas de seguridad suficientes para que un pago o transacción no sea interceptada o clonada “en el aire” y vulnere nuestros datos personales y cuentas bancarias.

Por ello, mientras se intenta mejorar este sistema, mi recomendación es que intenten realizar los pagos sin una persona cerca de vosotros, y además revisen si el scanner NFC no lleva otro instrumento pegado que sea capaz de clonar o robar la información a distancia, como ocurre a veces en los ATMs, en especial en Europa.

El Origen de la Intimidad en EEUU. El Comienzo del Derecho a Proteger Nuestros Datos

El origen de la tutela de la intimidad asociada a la vida privada, proviene de ese país, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Como consecuencia de ello, los periodistas obviaban el consentimiento del titular de la imagen, pero además el propio Warren no tenía conocimiento sobre el verdadero tratamiento de las mismas sumándole el hecho de que previamente era observado para ser fotografiado. Como bien lo expresa Ana GARRIGA, lo que se relaciona con la intimidad es la noción de aislamiento físico y sentará las bases para el desarrollo del concepto de intimidad a nivel internacional, como lo es la Declaración Universal de los Derechos Humanos de 10 de diciembre de 1948, en especial en su artículo 12.

Realizando una comparativa de aquellos años con la Sociedad de la Información actual, lo que percibimos es una increíble similitud, especialmente cuando las personas interactúan con instrumentos automatizados, y no perciben el alcance de la discrecionalidad con que éstos pueden recopilar datos, hábitos y estadísticas de los primeros. ¿Qué sucede luego? Ex post facto ¿A dónde van a parar los datos y con qué propósitos? El hecho de ser propietario de un robot o interactuar con un instrumento automatizado no significa que la persona esté otorgando su consentimiento para el tratamiento indiscriminado de sus datos personales. De hecho, el predominio en Estados Unidos en los orígenes del derecho a la intimidad se relaciona mucho más con la convicción del Juez COOLEY de que el derecho defendido es el de “No ser molestado” especialmente en los “sagrados recintos de la vida privada y hogareña”.

Si esos medios electrónicos actúan con total discreción, sin interferir en la aparente paz de la vida cotidiana de una persona pero recopilando información e “invadiendo“ su privacidad y su intimidad sin el previo consentimiento de su titular, o peor aún, sin que el mismo se de por enterado de que una aplicación o un instrumento automatizado dedica su tiempo a la recogida de datos personales y a la elaboración de un fichero el cual puede ser objeto de comunicaciones con otros similares o con terceros, evidentemente nos encontramos ante un profeso caso de violación de la Constitución, más que nada de un ataque a nuestra intimidad representada a través de nuestros derechos fundamentales por encima de todas las cosas, como los recogidos expresamente en el artículo 18 (18.1 y 18.4) y que tiene su reflejo en el cumplimiento de la Cuarta Enmienda a la Constitución de los Estados Unidos de América que permitía en una flagrante violación a los derechos fundamentales del hombre, a ser allanados sin ninguna garantía y sin un fundamento claro, las moradas de los habitantes por mandatos de los Reyes de Inglaterra, Jorge II y Jorge III

El Principio Más Importante y el Menos Respetado: El Previo Consentimiento Informado

El Principio del Previo Consentimiento Informado (y por escrito en casos de tratamiento de datos sensibles) sigue siendo el más relevante para nosotros los titulares de datos personales, y por ello también es el menos respetado de todos nuestros derechos, por parte de los responsables de bases y ficheros de datos. Es un escollo importante para los terceros y por esa razón hacen caso omiso a esa libertad, volviendolo un problema para los afectados ¿Cómo ha evolucionado en los últimos años? Éstos son algunos ejemplos:

1) Política de utilización de cookies. Ahora los sitios de Internet, en especial los europeos muestran un banner diferente al de hace dos años cuando la medida fue impuesta. Ahora simplemente avisan que de seguir navegando en su portal, estamos implícitamente aceptando sus políticas de uso de cookies. Pues, difiero conque ello sea un consentimiento previo e informado.

2) Tampoco creo que sea adecuada la técnica de informar en documentos, formularios o apps sobre el uso de datos personales y de que en caso de no estar de acuerdo, ejercer nuestros derechos ARCO frente al responsable. Lo correcto es que en esas apps, documentos o formularios, se muestre una ventana u opción de aceptar o denegar la utilización de nuestra información preciada marcando o desmarcando un cuadrado o espacio con un tic. De esta manera, continuar o no con los servicios dependerá de ello, pero el usuario debe tener la chance de poder decidir previamente si quiere que le usen sus datos o no.

Es básico porque es un derecho fundamental el que está en juego. un derecho fundamental como lo es La Vida.

La Privacidad en España: la Solicitud del Código Postal

Hace poco escribí en esta revista sobre la privacidad en EEUU vista por un outsider (vide aquí).
Ahora, en España, la protección de datos se siente a flor de piel en los ciudadanos. No quiere decir esto que no se entregue o se trate de manera indiscriminada e ilícita, sino que el propio titular es consciente de lo que hace y conoce un poco más sus derechos. Un buen trabajo de la AEPD y Comisión Europea en cuanto a informar a la población. Sin embargo, y previendo esto, las tiendas, comercios y demás, cada vez que realizamos una compra física (o hasta solicitamos información en un Centro Comercial) nos solicitan nuestro código postal. De hecho, es terminar de consultar y nos preguntan “¿su código postal?”, casi cuando estamos dando las gracias y retirándonos ¿Para qué? Resulta que para eludir esa ‘concientización’ de las personas y el respaldo de la LOPD, se solicita una ‘inocente’ información (solo el CP). Quién se negaría? Seguramente sea para fines porcentuales, para conocer de qué zona viene la mayoría de la gente. Sin embargo, al poco tiempo de entregarlo, misteriosamente nos llegan cientos de folletos de publicidad a nuestro nombre. El truco es el siguiente: el Big Data en su máxima expresión. Basta el código postal, una imágen de una cámara se seguridad y quizá los datos extraídos de alguna compra con nuestra tarjeta de crédito/débito para obtener un perfil detallado de nuestra identidad y preferencias. Es padecer el Síndrome de Hansel y Gretel en su máxima expresión.

Si en el trajín de las cosas y la interacción social, podemos evitar entregarlo, mejor hacerlo.
Debemos recordar, que en EEUU, más precisamente en Massachussets, existe una sentencia de condena contra Apple por solicitar y casi obligar a los usuarios de una Apple Store a entregar el código postal, ya que es considerado un dato personal.

Más información aquí.

Referencia del Código Penal a Cada Acto Comprendido dentro de la Figura del Bullying

Esta nota se complementa con el “Desglose Penal de la Figura del Bullying” a publicarse en la Revista Número 2 de la edición impresa.

A continuación se detallan cada una de las figuras delictivas que comprenden el Bullying y Cyberbullying, de acuerdo al Código Penal de Uruguay (aplicable a todos los códigos penales con sus respectivas modificaciones o adecuaciones) en especial en aquellos países dónde no existe la figura penal de Bullying propiamente dicha:

Privación de libertad. Artículo 281. El que de cualquier manera privare a otro de su libertad personal, será castigado con un año de prisión a nueve años de penitenciaría.
La pena será disminuida de la tercera parte a la mitad, siempre que el autor del hecho o un copartícipe de éste, liberara a la víctima de su cautiverio dentro del tercer día de producido.

Lesiones. Artículos 316 a 319.
316 (Lesiones personales) El que, sin intención de matar causare a alguna persona una lesión personal,, será castigado con pena de prisión de tres a doce meses.
Es lesión personal cualquier trastorno fisiológico del cual se derive una enfermedad del cuerpo o de la mente.

317 (Lesiones graves) La lesión personal prevista en el artículo anterior es grave, y se aplicará la pena de veinte meses de prisión a seis años de penitenciaría, si del hecho se deriva :
Una enfermedad que ponga el peligro la vida de la persona ofendida, o una incapacidad para atender las ocupaciones ordinarias, por un término superior a veinte días.
La debilitación permanente de un sentido o de un órgano.
La anticipación del parto de la mujer ofendida.

318 (Lesiones gravísimas) La lesión personal es gravísima y se aplicará la pena de veinte meses de prisión a ocho años de penitenciaría, si del hecho se deriva :
Una enfermedad cierta o probablemente incurable.
La pérdida de un sentido.
La pérdida de un miembro o una mutilación que le tome inservible o la pérdida de un órgano, o de la capacidad de generar, o una grave y permanente dificultad de la palabra.
Una deformación permanente en el rostro.
El aborto de la mujer ofendida.

319 (Lesión o muerte ultraintencional, Traumatismo) Si del hecho se derivare la muerte de la persona agredida o una lesión más grave que la que se pretendía inferir, la pena será la del homicidio o la lesión, disminuida de un tercio a la mitad.
Cuando de la agresión no resultare lesión personal, la pena será de 20 U.R. (veinte unidades reajustables) a 600 U.R. (seiscientas unidades reajustables).

Injurias. Artículo 334. El que fuera de los casos previstos en el artículo precedente, ofendiere de cualquier manera, con palabras, escritos o hechos, el honor, la rectitud o el decoro de una persona, será castigado con pena de tres a dieciocho meses de prisión o multa de 60 U.R. (sesenta unidades reajustables) a 400 U.R. (cuatrocientas unidades reajustables).

Ayuda al suicidio. Artículo 315. El que determinare a otro al suicidio o le ayudare a cometerlo, si ocurriere la muerte, será castigado con seis meses de prisión a seis años de penitenciaría.
Este máximo puede ser sobrepujado hasta el límite de doce años, cuando el delito se cometiere respecto de un menor de dieciocho años, o de un sujeto de inteligencia o de voluntad deprimidas por enfermedad mental o por el abuso del alcohol o el uso de estupefacientes.

Violencia privada. Artículo 288. El que usare violencia o amenazas para obligar a alguno a hacer, tolerar o dejar de hacer alguna cosa, será castigado con tres meses de prisión a tres años de penitenciaría.

Amenazas. Artículo 290. El que fuera de los casos previstos en el artículo 288 amenazare a otro con un daño injusto, será castigado con multa de 25 U.R. (veinticinco unidades reajustables) a 700 U.R. (setecientas unidades reajustables).
Son circunstancias agravantes especiales de este delito, la gran importancia del daño con que se amenazare, y todas las indicadas en el artículo anterior, con excepción de la última.

Tesis doctoral publicada: La Autodeterminación Informativa Limitada

Con orgullo quiero compartir la noticia de que ha sido publicada la tesis doctoral de mi autoria sobre proteccion de datos, defendida en la Universidad de Zaragoza (UNIZAR). Su titulo es “La Autodeterminacion Informativa Limitada. El Sindrome de Hansel & Gretel y la Proteccion de Datos In Totum“.

Refiere al gran avance de las TIC en esta sociedad de la informacion y a la recoleccion indiscriminada de datos personales por Apps, smartphones, robots, drones, software y otros instrumentos automatizados. Muchos de ellos comparten responsabilidad con seres humanos, pero existen casos en que la privacidad es vulnerada y nuestra informacion mas preciada es compartida de instrumento en instrumento sin nuestro consentimiento o conocimiento, haciendo que las leyes sean inaplicables si quien trata nuestros datos no es persona (autodeterminacion informativa limitada), especialmente cuando continuamente estamos entregando informacion a toda hora y momento de nuestras vidas (Sindrome de Hansel y Gretel).

En dicho trabajo ofrezco una solucion basada en la adopcion de nuevos principios de proteccion de datos (Proteccion de Datos In Totum) y de esta manera, poder ejercer la defensa integra de nuestros derechos fundamentales ante terceros.

 

Este es el ISBN: 978-3-659-02311-8 para los interesados en saber mas y aqui el link directo a la editorial: https://www.morebooks.de/store/es/book/la-autodeterminaci%C3%B3n-informativa-limitada/isbn/978-3-659-02311-8

En esta revista iremos compartiendo pasajes de esta tesis y analizando los mismos.

Muchas gracias

 

Derecho al Olvido. Cómo actuar

extracto relacionado con publicación de agosto de la Revista Doctrina & Jurisprudencia CADE

En caso de que cualquiera de nosotros nos sintamos invadidos o lesionados por una información obsoleta que involucra datos personales, evidentemente, afectara nuestro honor y privacidad, mas aun si la misma ha sido publicada en portales de Internet o es mostrada como devolucion de busqueda de Google y otros similares.

A tales efectos, Google habiltó un formulario[1] online solamente para los europeos (o que vivan en Europa) para que puedan ejercer la petición del derecho al olvido y así lograr el borrado de datos.

Ahora, en el caso de no europeos, el derecho al olvido se puede invocar, aunque los resultado siempre dependeran de que el sitio que contiene la informacion, la baje. Para ello, el primer paso es solicitar la baja al sitio primero y luego a Google, para evitar una negativa del buscador y la siguiente imagen.

derecho al olvidoFORM UY

 

[1] https://support.google.com/legal/contact/lr_eudpa?product=websearch# , visitado el 31 de julio de 2014

Regulación de los Drones. Es Necesaria.

Esta nota será parte integrante del Número 2 de la versión impresa de la Revista

Varias noticias han llamado poderosamente la atención en los últimos meses, en relación con el uso de Drones (UAV) tanto para uso doméstico como militar o administrativo estatal. De hecho, yo mismo he comprado un AR.Drone con el objeto de analizar el alcance de su posible intromisión en la privacidad de las personas y sí: es realmente muy peligroso si no se regula adecuadamente.

En junio salía a la luz una regulación en España que pretende delimitar el uso adecuado de los drones para determinados fines y con la debida protección del espacio aéreo en materia de seguridad.

En julio, EEUU tomó la iniciativa de prohibir el uso de drones o vehículos no tripulados por personas en todos sus parques nacionales incluyendo Yelowstone y Yosemite para preservar accidentes en sus reservas naturales, que sean irreversibles.

También en estos meses ha salido a la luz que el órgano recaudador de impuestos de Argentina AFIP ha utilizado drones para fiscalizar aquellas propiedades y verificar si se habían declarado piscinas y otros agregados a las moradas, alegando así que muchas habían evadido impuestos declarados.

Con estas noticias, queda muy claro que debe existir regulación que proteja a las personas del uso indiscriminado de los drones en perjuicio de la privacidad y la intimidad. Lo que más preocupa es el caso argentino, ya que con la excusa de fiscalizar, se produce una verdadera intromisión de privacidad. Recordemos que estos aparatos son silenciosos, de distintos tamaños (los hay pequeños) con cámaras HD y transmite en directo al smartphone o tablet todo lo que ven. Toman fotos y pueden introducirse en espacios dónde el hombre no puede.

Tomemos un hipotético ejemplo: un drone fiscalizador se aparece en el jardín de mi casa dónde mi pequeña hija está jugando y corriendo de un lado a otro. Yo suponía que mi morada era mi propiedad privada y constitucionalmente es inquebrantable. Y si a eso le agregamos que el drone la sigue, la graba y le toma fotos (quizá con otros motivos no muy claros o ajenos al objetivo de la AFIP)…mmmm…no puede ser bueno. Cuidado.

O si una pareja se encuentra en la intimidad de su casa en actividades íntimas y de repente al mirar por la ventana divisan un aparato en el aire que, estático graba todo lo que hacen. Qué casualidad que luego ese video es robado y aparece publicado en Internet y distribuido a mansalva por Whatsapp.

Adiós privacidad, adiós intimidad, adiós protección de datos, adiós derechos fundamentales, bienvenida impunidad e violación de las libertades.

Debemos optar por la elaboración de normas que regulen correctamente el uso de los drones (no prohibirlos porque son un buen invento) y que proteja las libertades y castigue a quienes las violen.

La Privacidad en EEUU vista por un Outsider

Este artículo será parte integrante en el número 2 de la revista impresa.
Analizando cómo viven los americanos su preocupación por la privacidad (especialmente si mencionamos a Snowden o la última noticia de que la NSA monitoreaba 9 de cada 10 comunicaciones que no eran terroristas), llegamos a la conclusión de que…no les preocupa mucho. Y esto lo podemos apreciar en los siguientes puntos:

1. Si les consultamos por las normas de protección de datos, nos van a decir que es cierto que existen y es un tema de preocupación, de seriedad. De hecho, conoce. La existencia de la Privacy Act.

2. Cualquier estadounidense, al momento de entablar una conversación con él, ya te reveló de dónde viene, cuál es su nombre y profesión y qué está haciendo en ese lugar. A los 3 minutos ya te mostró las fotos en su smartphone pertenecientes a su familia, nietos, hijos, cónyuges y casa dónde vive. Lo hace orgulloso. A los 5 minutos te comenta de alguna boda o acontecimiento familiar y seguramente de alguna enfermedad. Son demasiados datos como para crear un perfil personalísimo. Son datos personales y hasta sensibles entregados con consentimiento y ganas a un extraño.

3. Porque como lo expresamos en el punto 2, ese compartir compulsivo de la información, es muy inocente y nunca lo relacionan con posibles consecuencias que afecten un derecho que para nosotros es fundamental. No tienen nada que ocultar, aparentemente y la confianza en el tercero es total.

4. Si una persona decide tomar fotos en lugares públicos dónde hay concurrencia, ninguno de los presentes te dirá que no le tomes una foto, salvo excepciones de alguna madre o padre por proteger a sus hijos de posibles depredadores. No logran relacionarlo con el derecho de protección de datos.

5. Este punto es muy importante: sí creen que un gobierno debe intervenir para cuidar la seguridad frente a posibles ataques terroristas. En este sentido, saben de los abusos de la NSA y otras agencias en materia de violaciones de la privacidad, sin embargo lo aceptan rendidos, convencidos de que no hay nada que puedan hacer para frenarlos o de que mejor no enfrentarse a ellos. Es un país con muchas normas y directivas privadas y así se manejan. Si ven una cámara en la vía pública o un cartel que dice “No….”, por algo está ahí y se debe respetar.

6. Aún así, la privacidad es algo que consideran muy importante, sólo que no logran conectar todos los puntos (connecting all the dots)

¿Qué sucede con las reformas propuestas por la Comisión Europea?

¿Qué ha sucedido? En febrero de 2012 se plantearon las reformas necesarias (y justificadas) en materia de protección de datos y de protección de las personas frente al tratamiento automatizado de datos personales, con base en que la actual Directiva 95/46/CE, si bien mantiene su vigencia, los efectos ya no son los mismos sobre las libertades fundamentales relacionadas con la autodeterminación informativa. Por algo estamos hablando de una norma de casi 19 años de edad frente a un nuevo orden, a una nueva exigencia social, pero especialmente frente al gran avance de las TIC, del Big Data y del tratamiento masivo de datos en todos sus órdenes habidos y por haber. 

Pues, se suponía que para fines de ese año 2012 contaríamos con una nueva Directiva, especialmente si la Comisión Europea ha tomado en cuenta los últimos barómetros que indican un descontento y una desconfianza de los titulares de datos en cuanto a la transparencia de su tratamiento que ronda el 70% de los europeos (eso es mucha, muchísima gente).

Hasta ahora estamos esperando (y van casi dos años de atraso que repercuten de manera negativa y agresiva en nuestro derecho fundamental, en nuestra privacidad) el día en que se disparen los titulares que avisen que efectivamente se han tomado los recaudos en materia de exigencias de las personas:

  • Privacidad por defecto y privacidad por diseño
  • Mayor facilidad de los afectados titulares de acceder a sus propios datos personales tratados por terceros
  • Un órgano de control unificado a nivel de bloque europeo y no muchas agencias que funcionan con distintos criterios de protección dependiendo del país en que se apliquen las normas

Seguiremos esperando y soñando con lo que nos pertenece.

Entrevista a Gustavo Azambuja. CEO de UNO | WIFI (Nota publicada en la edición impresa Número 1)

Extracto perteneciente a la nota publicada en la edición impresa número 1:

La entrevista fue realizada en Q´Café, uno de los mejores café gourmet de Montevideo.

 Actualmente, UNO WIFI se encuentra operativo en Montevideo (UY), Los Angeles (US), Sao Paulo (BR) y disponible para todo el mundo.

 

Revista Internacional de Protección de Datos: ¿Qué es UNO WIFI y cuál es la diferencia con un servicio de conexión convencional en un bar o restaurante?

Gustavo Azambuja: Recientemente se publicó un informe mostrando como el tráfico a las páginas web de los comercios, tiendas y restaurantes es cada vez menor y crece de forma exponencial las visitas a las páginas de estos mismos comercios dentro de las redes sociales. Los comercios que utilizan UNO WiFi para ofrecer Internet a sus clientes maximizan la presencia en Facebook de sus comercios de la mano de los propios usuarios. En pocas palabras, donde UNO WiFi está instalado, cada cliente que accede a Internet verá en su teléfono móvil lo que el comercio desea comunicar y le permite al usuario compartir esto con sus amigos.

RIDAT: ¿UNO WIFI recoge datos? ¿Afecta la privacidad o intimidad de los usuarios?

GA: Primero decir que nos tomamos muy en serio la privacidad e intimidad de nuestros usuarios. Efectivamente UNO WiFi recoge datos anónimos y nominativos. Los anónimos nos permitirán responder preguntas para mejorar la ciudad y calidad de vida. Los nominativos le permiten a los comercios entender mejor como atender a cada visitante. 

– RIDAT: ¿Crees que una persona que sea muy poderosa y que obtenga muchos beneficios económicos tratando ilegalmente datos personales, esté dispuesta a matar para conservar o aumentar esos beneficios?

– GA: Cuando de avaricia de poder se habla, muchos no tienen límites. Quiero creer que no, hay que recordar que la información es un comodity y cada día se multiplican las fuentes de donde conseguirla. Pero tratar esta información no es trivial y los beneficios económicos pueden ser muy importantes.

Entrevista completa en la edición impresa

Se lanzó la Versión en Papel de la Revista Internacional de Protección de Datos y Derecho Informático

Un día muy especial para nosotros. Una alegría plasmada gracias al esfuerzo de varios meses de haber sido lanzada la versión online. Con el ISSN 2301-1556, hoy salió a la calle el Número 1 de la Revista en papel. Una edición de 32 páginas que acompañará con trabajos completos y se complementa con la presente edición en la Web.

En este primer número, contamos con los siguientes trabajos:

  • Nuestros amigos….los Drones
  • Protección de Datos. A dónde vamos y a dónde vamos/queremos ir
  • Los Datos que regalamos. Entrevista a Gustavo Azambuja. CEO de UNO | WIFI
  • Guía práctica para prevenir y neutralizar el Bullying
  • El Síndrome de Hansel y Gretel

Muchas gracias

Andrés

Imagen

 

Las Recomendaciones de la Comisión Europea para Actualizar la Protección de Datos

Evidentemente, contar con una Directiva que tiene ya 19 años en el aire, da lugar a dos lecturas simultáneas: la primera de ellas es que, la Directiva 95/46/CE sobre Protección de las Personas frente al Tratamiento de los Datos Personales es una norma robusta que ha sabido ser fuente de aplicación para defender nuestros derechos fundamentales. Sin embargo, el segundo punto es que, efectivamente, lleva muchos años ya, y ello se multiplica si nos referimos al avance de las TIC, especialmente en el tratamiento de nuestra información. Es evidente que su aplicación no sea entonces, lo eficiente que debería ser, y por ende, como nos referimos a un derecho fundamental, la Comisión Europea entiende que urge aplicar una serie de actualizaciones en dicha materia. 

Estamos a la espera entonces, de que estas propuestas finalmente se conviertan en una Directiva del Parlamento Europeo y del Consejo en materia de protección de datos, velando por un efectivo tratamiento de los ficheros a través de autoridades competentes en cuanto a la prevención, detección, investigación y enjuiciamiento de hechos criminales así como la ejecución de las penas impuestas, garantizando además el libre y correcto intercambio de información, basados en la Directiva 95/46/CE así como en el Tratado de Funcionamiento de la Unión Europea (TFUE), artículo 16, apartado 1, dónde se expresa que toda persona tiene derecho a la protección de datos de carácter personal y el apartado 2 (Tratado de Lisboa) en el que se establecen las normas legales de limitación del tratamiento de los datos personales y la Decisión Marco la 2008/977/JAI (la cual puede ser objeto de derogación si se aprueba el proyecto de la nueva Directiva) que en su artículo 3 fija las pautas para el tratamiento automatizado y no, de los datos personales

 

Los cambios más prometedores a la protección de datos se pueden apreciar en los artículos 18 a 23 incluído del proyecto de Directiva referidos entre otros al responsable del tratamiento de los ficheros y de los datos personales y el cambio de postura que ahora se fortalece con la protección desde el diseño y protección por defecto con motivo de garantizar la misma desde el comienzo de su tratamiento luego de haber sido cedida la información por su titular.

La Comisión Europea quiere entonces que todos los ciudadanos sean conscientes de lo que significa el manejo de datos personales sin tomar las debidas precauciones a la hora de comunicarlos a cualquier tercero, y así lo expresa en su página Web “Justice” refiriéndose a que cada vez que abrimos una cuenta bancaria, compartimos información en una red social o simplemente reservamos un billete de avión online, entregamos valiosa información como el nombre, dirección o número de tarjeta de crédito. Las preguntas que nos debemos hacer son: ¿Qué sucede con estos datos? ¿Caen en manos equivocadas? ¿Con qué derechos contamos para defender nuestros datos y nuestra privacidad?

El uso de una norma uniforme que sea la reguladora de toda la Unión Europea es lo que el 90% de las personas de la región quieren, y ello hoy no existe. El movimiento de la sociedad de la información sugiere que los hábitos más comunes y diarios de las personas se han mudado de las prácticas tradicionales hacia la red y los móviles, y ello no puede ser tomado a la ligera ni permitir que algunas instituciones, compañías e instrumentos automatizados acompañados de las últimas aplicaciones dotadas de inteligencia artificial, nucleen y manipulen los datos personales de millones de personas, sin su consentimiento o sin el uso adecuado, con fines distintos y hasta ilegales. Las propuestas de la Comisión Europea son acertadas porque responden a las exigencias de las personas acorde con el uso del sentido común en la protección de sus derechos fundamentales.

Un Gran Paso Hacia Adelante: la UE Ratifica el Derecho al Olvido

En estos días, se ha logrado avanzar muchísimos metros en la defensa del derecho fundamental a la protección de datos personales: el Tribunal de Justicia de la Unión Europea ha respaldado a la Agencia Española de Protección de Datos y ha sentenciado a Google a eliminar los datos desactualizados de un titular cuya información publicada en el motor de búsqueda, le perjudica. Y le perjudica, porque la relación de morosidad a la que hace referencia, ya no existe, y por ello, tampoco debería existir el motivo para que el responsable del tratamiento de los datos siguiera utilizando los mismos. En otras palabras, si se agota la razón justificada para que un tercero utilice los datos personales de una persona, entonces, esa información debe ser eliminada. Y si además, dicha información le perjudica porque socialmente, moralmente y honoríficamente, el titular aparece ante el mundo como un moroso cuando no lo es (lo fue), entonces, más todavía. Y es un gran paso porque, en realidad, la UE no protege aún al derecho al olvido, pero con esta sentencia ha querido dar un doble mensaje: a los grandes, que no os hagais los vivos. Al resto de Europa, que la preocupación que tiene la Comisión Europea y que fuera presentada hace dos años (2012) como propuestas renovadoras de la protección de datos personales (dónde se contempla en derecho al olvido) deben aprobarse ya. No hay más tiempo.

En definitiva, a veces, nos sorprende para bien, el uso del sentido común. Y este es uno de los casos. 

Seguridad en el tratamiento de nuestros datos personales. Nuevos principios rectores

Conforme los tiempos avanzan, también lo hace la tecnología y el manejo de nuestros ficheros de información personal. En base a ello, he planteado una actualización o creación de nuevos principios rectores de la seguridad en el tratamiento de los datos personales que describo a continuación: 

Principio de máxima seguridad. Cada instrumento automatizado adoptará un nivel alto en la recolección y tratamiento de los datos personales. Se entiende por nivel alto de protección, aquel que permite establecer medidas para garantizar la calidad y confiabilidad de los servicios, así como la integridad de los datos tratados, el objetivo de tratamiento de los mismos y el no acceso o filtración por parte de terceros no autorizados así como garantizar el no repudio de los mismos por parte de su titular.

 Principio de seguridad de acceso autorizado. Entre las medidas de seguridad, se  reconocen como   válidas  aquellas que permitan la encriptación de archivos mediante criptografía avanzada que no permitan  el  acceso no autorizado, el crackeo y hackeo de dicha información y sí su acceso  mediante  clave o contraseña.  En caso de ser necesario, los instrumentos automatizados adoptarán la firma electrónica reconocida para el envío y recepción de datos de carácter personal. Se respetará en lo aplicable, la Directiva 1999/93/CE, en especial el artículo 5.1. La implementación de la firma electrónica se realizará acorde con la Ley 59/2003 de 19 de diciembre sobre firma electrónica, especialmente en lo relacionado con el artículo 3.3 de dicha norma referente a la firma electrónica reconocida. Los instrumentos automatizados deberán utilizar medidas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad.

 Principio de debida firma. De corresponder su adopción y de acuerdo a lo establecido en la Ley 59/2003 de 19 de diciembre, la firma electrónica y la firma electrónica reconocida se basarán en certificados reconocidos que serán emitidos por prestadores de servicios de certificación, ejecutada por un Dispositivo Seguro de Creación de Firma (Infraestructura de Clave Pública o PKI) de manera que satisfaga los requisitos jurídicos, de la misma forma que lo hace una firma manuscrita. Bajo las mismas condiciones descritas anteriormente en que sea de aplicación la Firma Electrónica Reconocida y sea necesario enviar y recibir archivos o documentos de cualquier tipo, los mismos serán debidamente firmados electrónicamente para su envío y recepción.

 Principio de encriptación en tiempo real. En todos los demás casos en que no amerite el uso de firma electrónica o firma electrónica reconocida para el envío y recepción de datos personales en todos sus términos, los instrumentos automatizados adoptarán un sistema de encriptación de los datos a tratar en tiempo real. Ello deberá permitir la disociación inmediata, así como el proceso inverso de asociación y desencriptación de los datos en concordancia con la normativa vigente.

 Principio de debida información. Los instrumentos automatizados informarán al ciudadano de la utilización de firma electrónica (si corresponde su uso) para la información a la que desea acceder, así como de la identificación de las personas y entidades que intervienen el proceso de cifrado digital.

 Principio de comunicación permanente. Los instrumentos automatizados deberán contar con acceso a Internet, o en el caso de no disponer de conexión, se procederá a su instalación en un plazo de treinta días desde la adopción de un código de conducta. Se adoptará a los efectos, al menos dos sistemas de conexión inalámbrica distintos entre sí. La utilización de la conexión a Internet e Intranet será para el cumplimiento de los siguientes objetivos:

 

  • Interacción con las personas
  • Tratamiento adecuado de los datos
  • Cooperación entre personas e instrumentos automatizados
  • Identificación en línea de los instrumentos automatizados
  • Tele operaciones, tele presencia, video conferencia y conferencias basadas en la web
  • Aprendizaje
  • Realizar consultas y plantear dudas e inquietudes.

 

Principio de doble notificación en casos de falta o fallos de seguridad. Establece que aún en casos de adoptar todas las medidas de seguridad pertinentes y establecidas en los principios actuales, si se produce alguna situación de inestabilidad en la protección de los datos personales por el responsable de su tratamiento debido a fallas de seguridad, el mismo deberá comunicar inmediatamente de ello a los titulares de los datos afectados y a la unidad reguladora correspondiente.

Las Instituciones Bancarias y el Cruzamiento de Nuestros Datos

Fragmento de próxima publicación en Revista “Doctrina & Jurisprudencia” de CADE.

Realidad hipotética: Nos llaman al teléfono de nuestro hogar, y cuando atendemos nos dicen: “Buenos días ¿el señor Mario Xxxx?“ “Sí“, contesto. Y a continuación me explican: “Mi nombre es Lorena. Lo llamo del DDDDTTT Bank para comunicarle que tiene aprobada una tarjeta VAAA Internacional gratis con un crédito de 1500 dólares mensuales a su nombre. Solo debe indicarnos sus horarios de disponibilidad, así le haremos llegar la misma junto con el contrato a firmar y la fecha que prefiere para el cierre. Solamente deberá usted entregar la copia firmada en nuestras oficinas de Atención Al Cliente, en Benito Blanco xxxx de lunes a viernes, de 13 a 17 horas. Que tenga un buen día señor Xxxx“. Conversación telefónica terminada. 

Lo cierto es que en la práctica, la empresa devenida call-center o data-center encargada de procesar y comunicarse con los ciudadanos, ha recibido una base de datos, de parte de una institución bancaria o de otra empresa, cuyos perfiles de los integrantes de ese fichero de datos les hace asequibles para generar nuevos clientes, tanto de los bancos como de las prestadoras de tarjetas de crédito y débito. ¿Cómo obtuvieron mis datos personales? Esa pregunta tiene varias respuestas: debido a que la propia institución bancaria ya contaba con ellos y los derivó a una empresa tercerizada para que se contactara con nosotros; o porque esa base de datos fue vendida o entregada por otra institución bancaria o de otro rubro a este último banco para que contratara a una empresa tercerizada; o quizá, porque esa empresa compró esa base de datos a una institución, y ahora ofrece los servicios de fidelización de futuros clientes para otras empresas o instituciones bancarias, sin importar la legalidad o la violación de un derecho fundamental como el de la privacidad, la intimidad o la autodeterminación informativa. En otras palabras, se manipula nuestra información sin tener en cuenta que se viole la protección de nuestros datos personales recogidos en la Constitución y respaldados por la Ley 18331, la Unidad Reguladora y de Control de Datos Personales (URCDP) y el Convenio 108 de Europa sobre la protección de las personas frente al tratamiento de los datos personales, del cual Uruguay es miembro ratificante.

El responsable de una base de datos con nuestra información, no podrá bajo ningún concepto, tratar o ceder los mismos en las siguientes situaciones:

Cuando el titular de los datos personales no haya otorgado su consentimiento para que los mismos sean utilizados con una finalidad distinta, siendo ésta la de ceder la información a una institución bancaria o call-center o tercero o para cualquier fin comercial o diferente del original.

Cuando el titular de los datos personales, haya otorgado su consentimiento, pero posteriormente lo haya revocado mediante presentación de escrito de supresión ante el responsable del tratamiento de los datos u obtenga sentencia favorable judicial en acción de habeas data.

Cuando se haya otorgado el previo consentimiento informado por parte del titular, para que sus datos sean tratados con fines comerciales solamente por quién los recopiló, pero no se otorgó el mismo para que sea tratado o cedido por otro tercero u otra institución, incluidos otros bancos o call-centers.

Cuando alguno o algunos de los destinatarios para el tratamiento de los datos personales ha recibido los mismos mediante transferencia internacional y no cumple con las prohibiciones establecidas en la Ley 18331, artículo 23 así como con la Ley 19030 de 07 de enero de 2013 sobre el Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y el Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos.

En definitiva, cuando no se cuenta con el previo consentimiento informado para dichas finalidades, sin importar si quién los ha recogido sea una institución bancaria, un call-center o un tercero.

Las Tres Leyes de la Robótica y el Artículo 18.4 de la Constitución Española

Primera Ley: Un robot no puede hacer daño a un ser humano o, por inacción, permitir que un ser humano sufra daño.
Segunda Ley: Un robot debe obedecer las órdenes dadas por los seres humanos, excepto si estas órdenes entrasen en conflicto con la Primera Ley.
Tercera Ley: Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la Primera o la Segunda Ley.

Estas tres leyes de la robótica, elaboradas por Isaac Asimov y que vieran la luz por primera vez en un el relato Runaround (1942), servirían como preámbulo de lo que la sociedad espera de una relación fructífera entre las personas y los instrumentos automatizados, las aplicaciones inteligentes y los robots, y serían precargadas en la memoria de los mismos (especialmente los robots) a los efectos de que fueran acatadas sin opción a su desobediencia. Existe además Zero Law, la cual hace referencia al derecho colectivo y a la humanidad en sí como objeto de protección.

Lo cierto es que al realizar un paralelismo de la primera ley con el artículo 18.4 de la Constitución Española, podemos apreciar que el objeto de ambas es el mismo: evitar el daño causado por un tercero, solo que en este caso no es un ser humano. La referencia es correcta, y más aún al considerar la violación a los datos personales por lo que es: un daño producido con nefastas consecuencias. Entonces de facto, en ningún momento se puede expresar que ambas normas son incompatibles o contrarias sino que el espíritu de la salvaguarda del ser humano y de la preservación se encuentran recogidas tanto en la carta magna como en la primera ley. Respecto a la elaboración de principios que permitan la adopción de un código de conducta o una modificación a las leyes existentes para salvaguardar las relaciones sanas entre las personas y los instrumentos automatizados dentro de la sociedad de la información, necesariamente la primera ley de la robótica estará presente como pilar o principio ya que garantiza así el cumplimiento de la autodeterminación informativa in totum y por ende el pleno goce de los derechos fundamentales.

Teniendo en cuenta el perfil humanista de la norma, la misma pone a la persona como centro de atención ya que el objetivo es su integridad y la vida frente al accionar ajeno, que curiosamente se expresa en dos aspectos: positivo y negativo al referirse a la prohibición de hacer, pero además a la prohibición de no hacer. Al pre cargar en los instrumentos automatizados los principios que rigen la autodeterminación informativa in totum y el respeto por las normas sobre protección de datos incluida la ejecución de la primera ley de la robótica, se garantizará así el cumplimiento del artículo 18.4, así como la efectividad de la libertad fundamental de las personas.

La segunda ley de la robótica corresponde con las limitaciones y delimitaciones de los instrumentos automatizados establecidas en el código de conducta a los efectos de evitar que sus acciones y decisiones queden libradas al azar. Si bien éstos están dotados de inteligencia artificial e informática decisional avanzada, ello no evita que sus decisiones y posteriores actuaciones afecten y vulneren las libertades fundamentales de las personas. En ese contexto, la segunda ley es clara y así lo será la norma de conducta que se base en los principios que regulen el comportamiento entre todas las partes, al garantizar un mínimo de control por parte de las personas evitando así el exceso en las actuaciones de los instrumentos automatizados. Sin embargo, lo justo en su medida justa, las decisiones de las personas pueden muchas veces ser malintencionadas o negligentes lo que producirá sin dudas un daño mayor tanto a los propios instrumentos automatizados como a las personas. Para ello, la excepción a la segunda regla es justamente, el ejercicio pleno de las leyes y del sistema jurídico, que refiere a la primera ley como corolario para que no pueda ser vulnerada.

Por último y muy importante, la balanza se nivela con la tercera ley cuando se garantiza la integridad de los que no son personas. Es lógico que así sea, porque en una sociedad dónde conviven seres humanos con instrumentos automatizados y dónde todos cuentan con poder de decisión, todas las partes estarán garantizadas en el cumplimiento de sus obligaciones así como también en la defensa de sus derechos. Si tanto los instrumentos automatizados como las personas producen efectos jurídicos en los otros y si el ordenamiento jurídico garantiza el respeto de las libertades de los segundos, lo natural entonces es que se garanticen también las libertades de los primeros, siempre y cuando no interfiera con los derechos ajenos, tal como lo expresa la tercera ley, que no debe entrar en conflicto con sus dos predecesoras.

La Sociedad de Riesgo

¿Se podría decir que la Sociedad de la Información es una Sociedad del Riesgo? ¿Acaso forma parte de una evolución que debe ser regulada por el ordenamiento jurídico?
¿Por qué una sociedad entera es víctima de sus propias acciones y termina por considerarse “en cuarentena” para evitar que propague sus males (o para no contagiarse de otros peores)?
Porque, como bien lo expresa ULRICH BECK (Beck, 1998) en su trabajo La sociedad del riesgo, hacia una nueva modernidad”, la misma modernización en vez de solucionar los problemas que azotaban a la sociedad del siglo XX, en vez de brindarle a las personas, mayores libertades que ampararan los derechos fundamentales, terminó por crear una sensación de vivir rodeados de nuevos peligros y un gran porcentaje los mismos culminaron por volverse una realidad que ahora ataca directamente la Sociedad de la Información y a las libertades personales gracias a la falta de control adecuado desde la esfera jurídica.
A decir de VELARDE, al abundar el acceso y el tratamiento de la información, cada individuo elige aquella que más se adecua a su propia perspectiva (por no decir “conveniencia“), creando su propia realidad, formando grupos de intereses comunes, pero aislándose de la verdadera sociedad, lo que además contribuye a que se pierda el verdadero rumbo de los valores, con la consecuencia directa de un actuar por encima de las normas que protegen a la privacidad y a la intimidad.
De facto, la sociedad actual no comparte los lineamientos de décadas pasadas, tales como la Edad Media, dónde predominaba el factor de la miseria como resultado no querido del destino o de un actuar infortunado de las personas, sino que la misma se subsume en otro factor: el miedo y el riesgo. ¿Qué sentido tiene entonces llegar a la miseria si antes la propia sociedad se ahogará en su propio vaso de agua debido al miedo que existe de que sus datos sean ventilados y publicados en espacios que no deberían, por quiénes no deberían y previendo consecuencias nefastas para la intimidad y privacidad de sus titulares? Es así entonces que ponemos el ojo avizor en el derecho fundamental a la protección de los datos personales y en especial a la autodeterminación informativa que buscará proteger aún más la vida privada, especialmente la propiedad personal antes de sucumbir en la miseria. Ya se han advertido indicios de ello al verificar la gran proliferación de normativa de distintas ramas del Derecho que hacen su referencia a la informática y a la sociedad de la información como marco regulatorio. Esta no es otra sospecha de la importancia y magnitud que representan las Tecnologías de la Información y Comunicación en la vida cotidiana. Se suma además una característica única de la mencionada sociedad: la trascendencia más allá del espacio y el tiempo. En efecto, su velocidad para adoptar nuevas aplicaciones tecnológicas, abandonar las anteriores y desarrollar prácticas distintas constantemente, no es algo que el ordenamiento jurídico deba tomar a la ligera ni tampoco que le sea fácil de regular.

El Oficial de Protección de Datos en América Latina

También llamado Data Protection Officer (DPO) en la Union Europea, es el guardian de la informacion. Aquel cuya tarea es la de prevenir violaciones a la Ley de Proteccion de Datos dentro de una institucion, asi como adecuar el correcto tratamiento y seguridad en el manejo de la informacion privada ya sea adentro como afuera de la misma, especialmente en las relaciones con el exterior cuando se ficheros de datos se trata. Por que es necesario? Porque a pesar de que cada empresa, institucion o trabajador unipersonal lleva un control de sus ficheros, y a pesar de que existe un responsable de las bases de datos, su tratamiento, proteccion y seguridad no se encuentra al alcance de la media, y tampoco es una tarea que deban especializarse las instituciones, sobre todo cuando han recopilado muchos datos, en mas de un fichero (no olvidemos, que las grabaciones de videos de seguridad tambien son consideradas bases de datos y pueden contener informacion privada e identificable), y al ser un derecho fundamental el que estamos tratando, se hace importantisimo contar con un experto en la materia, alguien que explique que hacer con los datos recogidos, como protegerlos, como cumplir con el consentimiento de su titular, con el objeto de la entrega de los datos, con las notificaciones obligatorias a las agencias o unidades que regulan dicha proteccion, y en especial, para evitar que los datos personales sean vendidos o comunicados a terceros sin el consentimiento o conocimiento, para otro fin diferente al que fueron entregados.

En Europa, es la Directiva 95/46/CE, en su articulo 18 y relacionados, que refiere a la necesidad de contar con un data protection officer. La obligacion de comunicar la estructura de los ficheros a las agencias, como la Agencia Española de Proteccion de Datos, lleva a ello, a que existan especialistas encargados de que los responsables cumplan con la LOPD y con la Constitucion.

En la region de America Latina, si bien existe la obligacion legal de comunicar la estructura de las bases de datos a las agencias de proteccion (Ley 18331 LPDP en Uruguay, obliga a los responsables de ficheros a comunicar los mismos a la Unidad Reguladora y de Control de Datos Personales), no existe la figura del Oficial de Datos Personales (DPO), debido a que aun no se toma conciencia de la seriedad que significa el tratamiento adecuado de la informacion personal como un derecho fundamental, y del daño que causa su vulneracion. Para ello, es indispensable que la propia Unidad Reguladora y de Control de Datos Personales, exija el cumplimiento de la LPDP respecto a las comunicaciones y aplique sanciones en caso de que no se cumplan. De esa manera, la figura del DPO surgira por necesidad y su cometido sera el de proteger el derecho fundamental de los titulares de ficheros de datos personales.

Los drones y nuestra privacidad

Los unmanned aerial vehicles (UAV) también denominados drones o aviones robots existen hace ya un buen tiempo, solo que ahora su uso será permitido tanto para públicos como para privados. Lo que en un principio fue diseñado para uso estrictamente militar, ahora trasciende las fronteras hacia el sector público dentro de lo que puede ser el control policial en materia de sociedades y más aún para el uso en el ámbito privado empresarial así como amateur. Lo que caracteriza a estos drones es que son aeronaves que no son piloteadas por ningún ser humano (al menos físicamente dentro de la nave) y pueden ser controlados por terceros mediante control a distancia o smartphone, vía satelital por otros instrumentos automatizados, o la novedad, contar con su propio sistema de inteligencia artificial para la resolución de situaciones y la toma de decisiones en el acto sin intervención de terceros. Estos drones a su vez han sido diseñados en al menos tres tamaños, que se clasifican en micro y mini UAVs, UAVs tácticos y UAVs estratégicos. Esta variedad de envergaduras les permite adaptarse a distintos escenarios de vigilancia y acción que van desde los más grandes, utilizados con fines bélicos militares hasta los más pequeños cuyo objetivo es ingresar en espacios dónde una persona no puede llegar, como lo son los rincones estrechos o los hogares de las distintas poblaciones. En la mayoría de los casos, todos los drones cuentan con sistemas avanzados de video vigilancia y reconocimiento biométrico de las personas, y es justamente aquí dónde nuestra privacidad entra en juego, quedando totalmente expuesta a la discrecionalidad de terceras personas o de instrumentos automatizados, no ya sin nuestro previo consentimiento, sino sin nuestro entero conocimiento de que estamos siendo espiados e invadidos en nuestra vida privada, algo que como podemos apreciar, resulta extremadamente sencillo para estos pequeños drones, dotados de inteligencia artificia y tecnología de avanzada. Tal es el abuso que se puede lograr con este tipo de instrumentos auto piloteados, que de momento no existe regulación alguna que protéjalos derechos fundamentales frente a esta arremetida que ha tomado a todos por sorpresa debido a la operabilidad actual de dichos instrumentos automatizados. De hecho, la sociedad civil y distintos abogados privados en EEUU se han organizado para protestar contra esta invasión de la privacidad y lograr que se legisle de manera inmediata velando por la defensa de la libertad y la intimidad personal. Existe jurisprudencia en los EEUU que ponen en evidencia que estamos frente a una inmensa desprotección de nuestros derechos fundamentales, como es el caso de la sentencia en Kyllo v. United States dónde se explicita de que no es de recibo el uso de tecnología térmica para detectar la presencia de un ser humano en determinada área, a base de lecturas de la temperaturas de su cuerpo, mediante instrumentos aéreos radio controlados, sin las debidas garantías que implican haber obtenido el permiso o el previo consentimiento del afectado. Y más recientemente, en el año 2011, en el caso de la Suprema Corte de los EEUU, United States v. Jones, se llegó a la conclusión de que para realizar el seguimiento de vehículos en autovías mediante sistemas de rastreo por GPS y que los mismos sean amparados por la Cuarta Enmienda, se deberá contar con las debidas garantías de un tribunal judicial. Todo ello demuestra que dejar libradas nuestras libertades fundamentales al arbitrio de la video vigilancia y recolección de datos a través de instrumentos automatizados y robots aéreos sin la adopción previa de principios que nos respalden, es uno de los peores errores que el sistema jurídico permite que se cometan y que quizá sea ya tarde para defender nuestra autodeterminación informativa (o a vida). 

La Sociedad de la Información y la Autodeterminación Informativa

A decir de EMILE LITTRÉ, “Hace algunos años la sociología no existía, y Mr. Comte ha sido el primero en trazar el cuadro de dicha ciencia. Este cuadro, en sus líneas principales ¿es suficientemente exacto? Por mi parte, así lo creo; pero, en un asunto tan nuevo y tan complicado, conviene tener el espíritu abierto á la crítica, no desdeñar ninguna dificultad y estar dispuestos siempre á aceptar las fiscalizaciones, es decir, á someter la teoría á la prueba de los hechos, y sobre todo de los hechos nuevos.”, al cual se le puede complementar con la idea de que un asunto nuevo ahora llama la atención de las personas, como lo es la autodeterminación, en virtud de la cual, el hombre la escoge para sí mismo o para su comportamiento personal153.
La hoy derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000) establecía en la exposición de motivos las pautas del derecho de autodeterminación informativa, el cual permite proteger los datos de un uso indebido como una de las garantías de los ciudadanos154 acompañada de la definición que FERNANDEZ MARTINEZ hace en su Diccionario Jurídico al referirse a un “derecho de todos los ciudadanos“ a conocer dónde, por quiénes y cuáles datos se recogen por medio de la informática referentes a nuestras vidas privadas155.
El Derecho Fundamental a la autodeterminación informativa es en realidad una libertad cuyo ejercicio es bastante reciente. Esto conspira contra el resultado querido por la propia Carta Magna, debido a que su texto data de años anteriores a la conformación de lo que hoy es la sociedad de la información. Ello demuestra que a pesar de su inclusión como derecho fundamental156, la misma no deja de ser considerada emergente157.
Reza el artículo 18 CE: “1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Como se puede apreciar, si bien el derecho a la autodeterminación informativa se recoge claramente en el punto 4 del mencionado artículo, en su conjunto se aprecian las protecciones fundamentales de varios derechos, incluyendo la intimidad, acopiada en el punto 1. Sin embargo, nada explicita sobre la vida privada en sí158, elemento fundamental de defensa en una relación de convivencia entre personas (y ahora personas e instrumentos automatizados) dentro de la sociedad de la información. La acotación es válida a la hora de su interpretación, motivo que lleva a la elaboración de este trabajo. Y si bien, el artículo 18.4 expresa que es la Ley la que deberá limitar el uso de la informática, en la actualidad, es la informática la que limita a la Ley, y por ello el título de este trabajo: La autodeterminación informativa limitada.
Podemos remitirnos a lo que expresa el fallo de la sentencia del Tribunal Constitucional159 (TC) 254/1993 de 20 de julio cuando expresa “De este modo, nuestra Constitución ha incorporado una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona, de forma en último término no muy diferente a como fueron originándose e incorporándose históricamente los distintos derechos fundamentales. En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática»“.
En resumen, a decir de GREGORIO ROBLES, lo que se reconoce a la persona titular del derecho a la autodeterminación informativa, es un poder como sujeto de la acción160 (sea ésta negativa o positiva), aunque en los hechos la misma no se realice.

El Síndrome de Hansel & Gretel (Parte V. Final)

volviendo al hecho de que cada día de nuestras vidas, cuando regresamos a nuestros hogares luego de una jornada de trabajo, de tareas, de compromisos o de descanso y licencia y ni nos percatamos de que hemos dejado guijarros de información personal (y sensible) para que extraños nos rastreen y sepan como secuestrar nuestra privacidad, nuestra vida y utilizarlos para sus propios y espurios intereses en desmedro de nuestra intimidad, sin diferenciar ahora si el agente y el destinatario final es una persona o un instrumento automatizado que actúa bajo sus propios parámetros evidentemente estamos ante la primera fase del Síndrome de Hansel & Gretel (éste todavía no termina de configurarse) en el cual, tal como en el cuento de los hermanos Grimm, podemos ser rastreados por terceros y así vulnerados en nuestros derechos fundamentales.

A decir de GUASTINI, puede distinguirse la intención de los constituyentes según sea subjetiva u objetiva (suponiendo que esta última refiera a una intención racional150), pero si ellos estuvieran vivos en este momento, no dudarían ni un segundo en reclamar el cumplimento íntegro del artículo 18.4 bajo cualquier circunstancia y bajo cualquier amenaza; y ello incluye sin lugar a dudas a los instrumentos automatizados y a las aplicaciones de software inteligentes. Sin embargo comienzan a darse cuenta de que el sistema jurídico no les ofrece alternativa alguna lo que lleva a cada titular de los datos personales vulnerados a perder las esperanzas de recuperar su honor, su integridad, a que se respete su decisión y su vida privada, su intimidad. Como consecuencia, la depresión en la que termina atrapada la persona producto de la sensación de indefensión e impunidad le lleva a darse cuenta de que no existe salida aparente de una situación que le supera y que le viola sus libertades fundamentales, al punto de que el ciudadano ahora duda de la efectividad de un sistema jurídico que se ha tornado obsoleto y que actúa frente a la intromisión de otras personas pero es ineficaz frente a aquellos que no lo son, pero que producen un daño sin ser regulados. Entonces, el daño sí se produce, la violación al derecho fundamenta a la autodeterminación informativa existe, pero no se computa ilegalidad, la ley no se viola y como la LOPD nada dice al respecto, nada puede hacer la autoridad por resguardar un derecho fundamental a la protección de datos personales cuando es atacado por un instrumento automatizado, una aplicación inteligente, un software de móvil o de tableta ¿Contra quién quiere que actuemos? 

Será la respuesta con pregunta de parte de la Agencia Española de Protección de Datos151 ¿contra una máquina? Claro, no se puede. No hay cómo. Entonces aquí se configura el Síndrome de Hansel & Gretel, luego de corroborarse la fase 2, lo que determina que la Autodeterminación Informativa recogida en la Constitución Española en su artículo 18.4 dentro del capítulo de Derechos Fundamentales, es en realidad una autodeterminación informativa limitada; limitada a que sean personas aquellas que se rigen por la LOPD porque en cuanto a instrumentos automatizados dotados de inteligencia artificial y capaces de causar un daño en la esfera personal de su titular…a ellos no les alcanza. La impunidad tiene distintas caras y en este caso su alimento es un ordenamiento jurídico que acusa muchos años de vida sin actualizarse a las exigencias reales de las personas en este siglo que ahora vivimos y padecemos.

Sin embargo, así como los óleos perfumados en el bautismo representan a los discípulos que defenderán la palabra en cualquier adversidad, aquí también los que reconocen mediante la empatía de los juristas que el derecho siempre debe aplicarse para vivir una vida digna y con respeto y tolerancia, buscarán la forma de encontrar victoriosos la libertad en las personas y en la sociedad. Es forma, se denomina Autodeterminación Informativa In Totum.