El Hackeo a un Jeep es Más Importante de lo que Parece

En el día de hoy, se publicó la noticia de que un grupo de expertos en seguridad informática habían hackeado un Jeep Cherokee y tomaron el control del mismo de manera remota logrando conducirlo con su propietario dentro.

¿Por qué esto es importante para la privacidad? Por tres razones:

La primera de ellas, es que en la actualidad, el uso de tecnologÍa de control externo o el uso de coches enlazados a Internet crece a pasos agigantados y ello significa que, además de los smartphones y smartwatches, los autos serán cada vez más vulnerables a los ataques de terceros, como todos los instrumentos que forman parte del universo de Internet de las Cosas.

La segunda razón tiene que ver conque, además del peligro que significa que que un delincuente tome el control de tu coche y cometa con él un crimen o provoque un accidente, evidentemente, cualquiera que hackee un automóvil, tiene acceso a todo y ello signifca también, que tiene oídos y tiene vista, lo que implica el acceso a información personal e incluso a datos sensibles, y puede que tome estos datos sin el conocimiento de su titular.

La tercera y última se refiere al control y manejo de los datos personales por parte de un instrumento automatizado, o sea, sin intervención de humanos y con un grado suficiente de inteñigencia artificial. El hecho de que un robot, app o autómata tome las deciciones de compartir o comunicar datos personales a terceros, sin consentimiento y sin que la ley pueda protegerlos al no poder aplicarse a los que no son personas, le agrega más peligro de daño a todo el entramado, y confirma que estamos ante una autodeterminación informativa limitada, dentro del Síndrome de Hansel & Gretel.

¿Qué pasará cuando nos hackeen la cámara que vigila a nuestro bebé, o se encienda cualquier dispositivo que capture lo que una pareja hace en la intimidad, o cuando los malos o los instrumentos automatizados hackeen un ejército completo y decida atacar desde un ordenador, a toda una nación porque se les entoja? Será la era de #Skynet?

Por qué los Datos Personales relacionados con la Salud Deben ser Datos Sensibles

Hace poco cuando una persona conocida debió realizarse unos exámenes muy importantes y delicados, se le hizo firmar previamente una autorización por escrito para que sus datos y su historia clínica pasaran a integrar la base de datos de ese laboratorio. Antes de que la firmara el titular, el responsable le comunicó que ello era necesario porque existía una ley que prohibía que se vendieran las bases de datos.

En verdad, esa no es la explicación que se debió otorgar, así como tampoco la realidad de la norma.

En verdad, y debido a la gravedad de la información manipulada, los datos relativos a la salud de cada persona son considerados sensibles y por ende tienen una especial protección, porque su tratamiento no autorizado o para fines que no sean los autorizados, puede traer consecuencias desastrosas e irreversibles al titular.

Es por ello que se consideran sensibles, y es por ello que para poder ser tratados (y solamente para el objetivo que tiene que ver con la mejora de la salud del paciente), su titular debe otorgar el previo, inequívoco y expreso consentimiento, el cual debe realizarse por escrito.

El tratamiento no autorizado de los datos sensibles relacionados con la salud de un titular, puede acarrear las siguientes situaciones:

  1. Ser objeto de discriminación laboral o social si se conocen las patologías del mismo.
  2. Ser objeto de tratamiento de salud para otros fines que no sean los correctos, incluyendo el arribo a la muerte del paciente.
  3. Ser objeto de extorsiones o chantajes del paciente o grupo familiar.
  4. Ser objeto de comercialización y marketing despiadado tomando como rehén a la salud de la persona.
  5. Ser atacado directamente en su honor, intimidad y privacidad de manera irreversible.

Y éstos son solo algunos de los hechos a suscitarse de no tratarse adecuadamente y protegerse adecuadamente los datos sensibles relacionados con la salud de un paciente.

Principios Aplicables para las Relaciones entre las Personas y los Robots en Materia de Privacidad

Conforme avanza el Estado del Arte de la tecnología, de la robótica, de Internet de las Cosas, de las Apps, y de acuerdo al alto grado de inteligencia artificial y sofisticación que ya poseen, es necesario establecer una serie de principios que podrán determinar el correcto tratamiento de los datos personales por parte de los instrumentos automatizados, y lo que es mejor…respetar una decisión, cuando la misma significa que el titular no desea que sus datos se publiquen o se traten en una base de datos o fichero.

A continuación, algunos de los pilares:

  1. Seguridad y control. Tanto para el diseño como para el ensamblado de un instrumento automatizado, se deberán tomar medidas y precauciones que permitan a las autoridades tomar el control de los mismos así como limitar su interacción en aquellos escenarios que no revistan garantía alguna para las personas y para ellos mismos.
  2. Llave de control. Se deberá contar con una llave de control o software equivalente que evite el uso ilegal de los instrumentos automatizados.
  3. Rastreabilidad. Los instrumentos automatizados contarán con un sistema de trazabilidad o seguimiento similar al utilizado en las aeronaves comerciales, denominadas “cajas negras”.
  4. Autorregulación. A los efectos de garantizar la privacidad de las personas, se velará por la adopción de un código de buenas prácticas en todos sus términos.
  5. Interacción entre personas e instrumentos automatizados. Los Estados Miembros de la Unión Europea, los países signatarios del Convenio 108, así como la FTC (EEUU) podrán adoptar medidas necesarias para realizar o proponer la realización de controles de salud a aquellas personas que poseen instrumentos automatizados a su cuidado a los efectos de prevenir daños físicos y mentales o garantizar asistencia inmediata en caso de percatarse los mismos.
  6. Principio de desconexión preventiva. Aquellos instrumentos automatizados que sean propiedad de personas podrán contar con un sistema de apagado manual o sistema que permita a su propietario tomar el control del mismo a los solos efectos de evitar la vulneración de los derechos de las personas.
  7. Principio de estandarización de controles. El ensamblaje, funcionamiento y mantenimiento de los instrumentos automatizados se realizará bajo normas estandarizadas a los efectos de evitar daños físicos y lesiones, así como violaciones a los derechos fundamentales, ya sea entre los mismos o para con las personas.

Guía Para Disuadir a los Espectadores Pasivos y Activos en el #Bullying y #Cyberbullying

Tanto en el acoso escolar tradicional (Bullying) como en los ataques realizados por niños y adolescentes a otros pares a través de medios electrónicos (Cyberbullying) siempre se repite una constante que fortalece al agresor y que es parte indivisible del problema: el público espectador. Sin este público, el agresor ni siquiera atacaría a la víctima, porque necesita de una platea o de otros que lo alienten o le festejen lo que hace. Es en el fondo un problema grave de autoestima disimulado por la “aparente” popularidad o fortaleza del chico agresor. Curiosamente, en el Curso de “Stop Bullying y Cyberbullying“que brindamos a través de la plataforma educativa #UDEMY, llegamos a la conclusión de que estos niños o adolescentes que son meros espectadores (pasivos) o que se ríen y festejan los ataques de los agresores a la víctima (activos) son tan culpables y responsables como el propio agresor. De hecho, en los casos de denuncia penal, se les imputa perfectamente como cómplices o coautores de delitos de lesiones, injurias, violencia privada, ayuda al suicidio y otros.

Y digo curiosamente, porque hace muy poco, accedí a un material que explica un método muy bueno utilizado en Dinamarca para la disminución de los ataques escolares, con una cifra récord de casi un 80% de casos anuales menos que años anteriores.

Este método se basa en prevenir el bullying y cyberbullying, desarticulando previamente a los espectadores o posibles espectadores mediante charlas educativas y trabajos de concientización en todas las clases escolares. Al no contar el agresor con un público que le festeje lo que hace, o el daño que causa, éste pierde interés en hacerlo, y la posibilidad de agredir a la víctima disminuye muchísimo.

Este método se denomina KiVa, que es una contracción de la frase “Kiusaamista Vastaan (contra el acoso escolar).

Pues basado en ese método, he elaborado esta pequeña guía que puede se utilizada tanto por educadores, instituciones como por alumnos y padres para desactivar un ataque o posible ataque de bullying o cyberbullying:

  1. Identificar al tridente Agresor – Víctima – Espectadores
  2. Fijar especial atención en los espectadores o posibles espectadores
  3. Explicarles que reírse, festejar o simplemente mirar sin hacer nada, los hace cómplices directos de los agresores y que por ende pueden ser objeto de sanciones institucionales, como también sanciones criminales y sus padres llevados a juicio económico de daños.
  4. Convencerlos, de que en caso de presenciar un ataque, deben actuar de la siguiente manera:
    1. No reirse o festejar. Enfrentar al agresor y decirle “Basta de Acosar”.
    2. Defender a la víctima o ponerse de su lado, en ese momento, y también posteriormente, explicándole que “no es su culpa”.
    3. Retirarse o disolverse en caso de ataques. Bloquear al agresor
    4. Los puntos anteriores, realizarlos simultáneamente o en cadena. O al menos, comenzar con retirarse o disolverse como grupo y luego apoyar a la víctima en privado.
    5. Se puede a su vez, disuadir aún más al agresor con la Guía de Stop Bullying y Cyberbullying

Un saludo

Privacidad. Como Cerrar el Círculo de Información en #Facebook y #Twitter

Muchas veces, nos encontramos en nuestra red social favorita, y por alguna razón aparece cierta información, contacto o noticia que nos desvía la atención. Lo hace porque nos llega algo que nos es familiar o porque se han contactado con nosotros cuando no conocemos a esa persona.
Lo que sucede es que tenemos una fuga de información que perjudica notoriamente nuestra privacidad y ataca nuestra protección de datos.

En el caso de Facebook, la razón pasa por lo siguiente:

  • Nuestra configuración de “Privacidad” se encuentra abierta a “amigos de amigos” o al “público”, lo que significa que otros terceros pueden acceder a nuestros datos privados e intimidad así como leer lo que publicamos en el muro.
  • Porque somos muy compulsivos con el botón Me Gusta (Me Mola) y ello conlleva a que del otro lado del mismo, cada vez que lo pulsamos, se llevan nuestros datos personales para crear perfiles comerciales o con otros fines.
  • Porque tenemos más de 200 “amigos”

Para proteger nuestra privacidad e intimidad en Facebook, ésto es lo que debemos hacer:

  1. Configurar el apartado privacidad para que nuestros datos y publicaciones solamente sean accesibles a “Amigos”.
  2. No pulsar tantas veces el botón “Me Gusta”, en especial cuando se trata de publicidad, eventos, tiendas, servicios y otros ajenos a un comentario de genuino de algún “amigo”.
  3. Eliminar y bloquear aquellos amigos que en realidad, no son “tan amigos” y reducir la lista de los mismos. Con ello, reducimos el riesgo de ser víctimas de ataques, acosos, grooming y fraudes.

Con Twitter, sucede algo diferente. Generalmente podemos tener en peligro nuestra información más sensible y privada a través de Twitter porque:

  • Cuando un seguidor nuestro o alguien a quien seguimos se comunica con nosotros, y a pesar de no tener referencias del mismo, le contestamos de todas maneras.
  • Porque utilizamos muchas veces el @nombredeusuario o retwiteamos incluyendo nombres de usuarios que no conocemos.

La solución para disminuir ataques y violaciones a nuestra privacidad en Twitter es la siguiente:

  1. No retwitear los nombres de usuarios que no seguimos o no conocemos, o tenemos dudas de su seriedad.
  2. En vez de usar nombres de usuarios en nuestros tweets, mejor usar hashtags de eventos o situaciones con el símbolo #.
  3. Cuidado: si un usuario al que no conocemos nos ataca o presiona, debemos bloquearlo y evitar que nos siga. Si este usuario proviene a través de otro al cual seguimos, debemos dejar de seguir a ese también.
  4. Ser cuidadosos con los mensajes privados (MP).
  5. Desenlazar las cuentas de Twitter y Facebook con nuestro perfil de #Instagram.
  6. Bajo ningún concepto, utilizar #Snapchat.

un saludo

#R2D2 Ya Protegía Nuestra Intimidad. #StarWars

Y no es raro que en la ficción, un androide perteneciente al ejército de los buenos (Rogue Squadron) se alíe con un personaje místico con deseos de justicia, como lo es un #Jedi. Ambos poseen aquello que a la sociedad muchas veces le cuesta promover: buenos valores y un código de honor. Gracias a ello, en la Saga Star Wars (La Guerra de las Galaxias), su asociación para combatir el mal (bajo el mando de Darth Vader) fue obra del destino. Entonces, toda la sociedad, incluyendo quiénes leen este trabajo y por supuesto quién lo escribe pueden ser amigos de R2d2 (Ar-tu-ri-to), un instrumento automatizado que a todos les dio clases de buenos valores, por encima de las actitudes de muchos hombres, allá por 1977, cuando se proyectó por primera vez La Guerra de las Galaxias, Episodio IV, Una Nueva Esperanza (el primero de ellos en ir a la pantalla grande). Pero ¿quién es R2D2? Es un androide de baja estatura, con dos ruedas adelante y una trasera que lo mantienen inclinado 45 grados hacia atrás y que ha sido el fiel servidor y confidente de la Princesa Leia, quién en la Saga de Star Wars, fuera perseguida por el Imperio de los Sith, con el apoyo del malvado Darth Vader (quién fuera su padre) para asesinarla ya que ella era la heredera directa al gobierno de la República, derrocado por el Imperio. Cuando finalmente dan con la Princesa Leia, la hacen prisionera, pero no sin que ella previamente, le entregue a R2D2, información digitalizada sobre la ubicación de la base de los rebeldes y sobre las vulneraciones del sistema de defensa del Imperio, por si los primeros decidían perpetrar un ataque que los pudiera conducir a la libertad de varias sociedades planetarias. Las instrucciones de la Princesa fueron claras: solamente podría acceder a dicho mensaje, su tío Obi-Wan-Kenobi, antiguo Jedi y defensor de la República. Por así decirlo, la misión de R2D2 era la de dar con el paradero de Obi-Wan y entregar el mensaje, pero también debía proteger dicho legado de las ambiciones de los soldados del Imperio (y del propio Darth Vader) y de oportunistas que querrían vender la información en el mercado negro, pero sobre todo, proteger su integridad. Si los datos caían en manos equivocadas, podría significar el fin de la república y la matanza de todos los rebeldes allegados a la princesa Leia. Ahora, lo destacable de esta historia es que R2D2, siendo un instrumento automatizado, a través de su conjunto de valores, logra determinar quién es bueno y quién es malo, hasta dar con Obi-Wan-Kenobi para enseñarle el mensaje de la princesa. La determinación de la conducta de este androide es digna de copiar hasta por parte de los humanos, y el mensaje que este filme le deja a la sociedad, es que tanto las personas como los instrumentos automatizados, pueden tomar las decisiones correctas, basados en valores pre establecidos, en sus propios códigos de honor y en los principios. Incluso, a pesar de que la princesa Leia le ordenara a R2D2 que le mostrara el mensaje a su tío y solamente a él, lo cierto es que, el androide, por su propia convicción y por sus valores, decide por sí mismo, compartir la misma con una segunda persona: el aprendiz de Jedi, Luke Skywalker, el héroe de la saga. Un ejemplo digno de seguir, que seguramente se podrá aprovechar gracias a la incorporación de un código de conducta entre las relaciones de las personas y los instrumentos automatizados, que garantice una “autodeterminación informativa In Totum”.

El Camino Exitoso del Smartwatch. Tecnología Disruptiva

Me atrevo a vaticinar que en los próximos años, así cómo sucedió en el 2007 con la llegada del #iPhone y luego en el 2013 con la masificación de #WhatsApp, todos llevaremos un #smartwatch (teléfono inteligente, conectado a nuestro móvil) en la muñeca y dependeremos de él para las tareas más sencillas del quehacer cotidiano. Y ésto es así porque su uso es tan, pero tan sencillo, que produce adicción. No importa la marca o el modelo. Si usamos un smartwatch, veremos cómo se simplifica notablemente atender una llamada, verificar el sms o el mensaje de WhatsApp que nos envían, recibir un aviso del Calendario o de las Tareas, o hasta leer el encabezado de nuestros e-mails ¿Por qué? Porque nos acostumbraremos a hacer todo eso sin necesidad de retirar el celular de nuestro bolsillo o cartera. Entonces, esa simplicidad de uso, se impondrá definitivamente en nuestras vidas. Es lo que se denomina “Tecnología Disruptiva” (Disruptive Technology), porque llega para “romper” con los paradigmas anteriores y provoca que todas nuestras costumbres de vida ya aceitadas, se adapten nuevamente a esta nueva forma. Así como todo el mundo ahora aprovecha un tiempito libre para mandar y recibir material por WhatsApp (en vez de salir a fumar), lo mismo sucederá cuando tengamos el smartwatch con nosotros. De hecho, cuando no lo tengamos y estemos utilizando un reloj convencional, nos pasará que giraremos la muñeca para ver quién nos envía un mensaje, cada vez que suena nuestro smartphone. A ello debemos sumarle el hecho de que las grandes compañías han invertido muchísimo dinero en toda una maquinaria comercial de nuevas Apps dedicadas en exclusiva a los smartwatches, y que se ha visto potenciado con la llegada del Apple Watch al mercado.

Pero ello también modifica otros parámetros de la vida misma. A modo de ejemplo, lo que sucede en #Uruguay con las normas de #RENAEMSE (RE.NA.EM.SE), que prohíben el uso de celulares y otros medios de comunicación dentro de instituciones bancarias se verá totalmente afectado por el uso de smartwatches, ya que es muchísimo más difícil pedirle a una persona que “apague” su reloj, se lo quite o no mire la hora dentro de una institución. Por ello, las normas de dudosa efectividad como la que acabamos de mencionar, se volverán inaplicables ipso facto.

Pero modificará también los modus operandi de sectores como la enseñanza. En efecto, ahora los colegios y universidades deberán adoptar medidas para que los alumnos no se distraigan constantemente mirando su reloj frente a la avalancha de mensajes de #WhatsApp por ser más fácil y tentativo que estar operando el móvil en cada momento. Toda una futura adicción.

Cómo Limpiar Los Datos Personales de Nuestros Hijos que Pululan en Internet

Si bien, eliminar nuestros datos de la web es una tarea difícil, con los menores de edad existen otros parámetros que pueden jugar a favor: al ser menores de edad, al tratarse de un mayor amparo del Estado y al tener una mayor protección de las leyes de protección de datos, los efectos pueden ser mayores y más rápidos.

Éstos son algunos puntos recomendables para disminuir o eliminar el tráfico indiscriminado de los datos de nuestros hijos en la Web y las redes sociales:

  1. Realizar una búsqueda en Google y otros buscadores del nombre completo de nuestros hijos y anotar los sitios dónde se encuentran.
  2. Solicitar vía web la eliminación de los datos personales o de la información dañina.
  3. Solicitar vía carta postal la misma eliminación y enviarla a la oficina regional del servicio o web dónde se encuentra. Con ello, evitamos que se amparen en que no recibieron la solicitud.
  4. Visitar sitios como JustDeleteMe para aprender el grado de dificultad que podemos tener al querer eliminar un dato o cuenta de un sitio Web. Además, se nos muestra cómo realizarlo en la mayoría de los casos.
  5. Visitar AccountKiller para solicitar también por este medio la baja de nuestra cuenta de un sitio o red social.
  6. En caso de que continúe la información, iniciar acción de protcción de datos y de habeas data ante los tribunales correspondientes.

La Especial Protección de los Niños Frente al Tratamiento de los Datos Personales

Los menores de edad merecen especial protección de las leyes en cuanto al tratamiento de datos y sería muy acertado que los mismos sean considerados datos sensibles, ya que su vulnerabilidad es mayor, como se expresa a continuación:

  1. Desconocen el acto de “otorgar o no otorgar” el previo consentimiento informado.
  2. Pueden sentirse intimidados ante la solicitud de datos por parte de un tercero y con ello no atreverse a negar la entrega de los mismos.
  3. Desconocen el alcance de lo que es un “dato personal” ya que muchas veces no sabrían relacionar que una imagen, un vídeo, una información de verdad los identifica.
  4. Al ser niños o menores, son más proclives a ser “embaucados” por terceros en cuanto a la entrega involuntaria de datos personales, datos sensibles y otra información relativa a su persona, su familia o sus bienes.
  5. Se encuentran totalmente desprotegidos ante depredadores sexuales, acoso escolar y ataques a través de Internet, smartphones o redes sociales.

Por lo pronto, las consecuencias del tratamiento no autorizado o sin el previo consentimiento de un adulto, de datos personales recogidos de los menores, son devastadoras y su daño es mayor en todo el grupo familiar que le rodea. La no protección adecuada por parte del Estado, de aquellos a los que les recae las obligaciones inherentes a la Patria Potestad significa la vulneración de otros derechos fundamentales como la integridad física, la integridad moral y hasta la vida.

Es muy importante que los responsables de la recogida de datos de menores, informen previamente a los mismos y a los mayores a su cargo de manera simultánea, claramente, solicitando el previo consentimiento de ambos y además, especificando concretamente el objeto o para qué se utilizan los mismos (ejemplo: subirlos a Internet, redes sociales, publicidad, venta de datos) y ofreciendo sencillos mecanismos y voluntades para que sus titulares ejerzan sus derechos ARCO en caso de que así lo entiendan, en especial, la cancelación (supresión) de los mismos, cumpliendo así con la LPDP, la LOPD, la Directiva 95/46/CE y la Data Privacy Act entre otras.

RFID, NFC y la Violación de la Protección de Datos Personales y Sensibles

RFID es la sigla de Radio Frequency IDentification, (en español identificación por radiofrecuencia), mientras que NFC significa Near-Field Communication o Comunicación de Campo Cercano, ambos conceptos definidos en Wikipedia.

¿Qué significan? Refiere a los dispositivos, sistemas, etiquetas y campos que permiten identificar o comunicar a dos dispositivos electrónicos para transmitirse información sin necesidad de “tocarse”. Solamente hace falta estar cerca uno del otro y que se identifiquen. Este tipo de tecnología es muy utilizado, por ejemplo en tarjetas de transporte público, dónde el usuario acerca una de ellas a un lector que emite el boleto, le descuenta el pago y además le avisa del saldo cargado en esa cuenta. Otro uso común, referente a las RFID, es el de las tiendas de ropa que poseen detectores de etiquetas activadas en las prendas, las cuales son identificadas cuando una persona traspasa su campo invisible y avisa de un posible robo.

Sin embargo, el problema surge debido al “desconocimiento” por parte de los usuarios, de la existencia de este tipo de etiquetas o tecnologías, que permiten identificar los movimientos del usuario, el tiempo en que se encuentran en un espacio y también recopilar información que permite establecer un perfil, que en manos inescrupulosas se presta para violar nuestra privacidad e intimidad (una vez más, sufrimos El Síndrome de Hansel & Gretel).

En base a ésto, la senadora del estado de California Debra Bowen preguntó en una audiencia: “¿Cómo se sentiría usted si, por ejemplo, un día se diera cuenta de que su ropa interior permite revelar su paradero?”.

Y a ello se le suma una mayor amenaza a nuestro derecho fundamental, ya que se han creado nuevos modelos de etiquetas de RFID que ahora son activas respecto a la recogida de datos. La mayoría de las preocupaciones giran alrededor del hecho de que las etiquetas RFID puestas en los productos siguen siendo funcionales incluso después de que se hayan comprado los productos y se hayan llevado a casa, y esto puede utilizarse para vigilancia y otros propósitos cuestionables sin relación alguna con sus funciones de inventario en la cadena de suministro.

Evidentemente, mientras no exista una normativa que las regule, siguen siendo una amenaza a nuestros datos personales y sensibles.

El Análisis del “Big Data”: todo lo que busques en Amazon…te será ofrecido luego en Facebook

Es increíble, pero no ilógico y quizá a otros no sorprende. Sin embargo, el análisis del Big Data con tecnología e inteligencia artificial tan avanzada permiten a las grandes compañías, prever (si, saber con casi certeza) que queremos o vamos a comprar o aquello que buscamos y luego nos olvidamos…para volvernos a ofrecer.

Esto sucede normalmente en las búsquedas de productos o servicios a través de los buscadores como Google, Bing, Yahoo y similares, sin embargo, un buen ejemplo “verificable” involucra a Amazon y Facebook. En efecto, solo basta hacer la prueba de buscar un producto, ropa, calzado o gadget en el portal de Amazon y no comprarlo, sino esperar. Al cabo de unas semanas, en el sector derecho de Facebook, dónde se nos muestra la publicidad teledirigida a nosotros, aparecerá una oferta del mismo producto, o…lo más increíble aún…de la competencia, y hasta más barato. Aquellos que buscamos en Amazon y no adquirimos, vuelve a nuestras vidas ¿cómo es posible? Pues ello es así gracias a que padecemos el Síndrome de Hansel & Gretel, y como tal, cada vez que vivimos, cada día, dejamos guijarros, rastros para que otros, con la tecnología adecuada puedan rastrear nuestros datos personales, cruzar la información y predecir una línea de acción de nuestra vida, incluyendo aquello que queremos, pero que no pudimos comprar en su momento, y por ello…nos tientan nuevamente a hacerlo…sin importar nuestra privacidad e intimidad. Es evidente que terceros saben más de nuestra vida y comportamiento (y padecimientos, intimidades) que nosotros mismos. Ello es un peligro para nuestros derechos fundamentales y debe ser regulado de manera inmediata.

El Origen de la Privacidad: the “Right to be Alone”

El origen de la tutela de la intimidad asociada a la vida privada, proviene de EEUU, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Como consecuencia de ello, los periodistas obviaban el consentimiento del titular de la imagen, pero además el propio Warren no tenía conocimiento sobre el verdadero tratamiento de las mismas sumándole el hecho de que previamente era observado para ser fotografiado. Como bien lo expresa Ana GARRIGA, lo que se relaciona con la intimidad es la noción de aislamiento físico.

Siguiendo con la evolución de la intimidad, se llega al concepto de privacidad no visto solo como una facultad para ejercer un control más allá de ocultar el dato personal o volverlo secreto, sino como la posibilidad de que ese control sea ejercido frente al responsable del tratamiento de la información existente sobre uno mismo, tanto desde un punto de vista negativo como positivo. Como podemos apreciar, el derecho norteamericano de la mano de Warren y Brandeis (WARREN & BRANDEIS, 1890) ha evolucionado hasta presentar un concepto unificado de protección del derecho a la intimidad junto con la autodeterminación informativa al otorgarle el ordenamiento, la facultad al ciudadano de determinar qué información ventilará y cuál no. Que sea un concepto único, no significa ello que se ha caído en la desgracia de olvidarnos del derecho a decidir qué hacer con nuestras imágenes, con nuestros vídeos, con nuestra información personal, porque lo que estos pioneros han marcado, justamente es el comienzo de la separación entre el derecho a defender la privacidad de ataques exteriores, de la propia autodeterminación respecto a si comunico o no parte de mi vida para que se haga pública, y en definitiva me convierta en un esclavo de las opiniones de las demás personas, siendo incluso víctima de ataques por parte de terceros y del mismísimo gobierno.

Luego de lo ocurrido con el caso Brandeis y Warren, la legislación norteamericana ha tomado cartas en el asunto. Así, en 1966 se aprobaría la Freedom of Information Act (FOIA) entrando en vigor el 05 de julio de 1967, la cual reconoce el derecho de cualquier persona a acceder a la información almacenada en las oficinas federales de gobierno, salvo que las mismas estuviesen protegidas o reservadas por leyes federales o por mandato justificado, ambos pertenecientes a una lista taxativa. Cualquier persona, dentro de los EEUU puede solicitar información al gobierno, determinando qué agencia deberá entregársela y ésta tendrá la obligación de hacerlo en un plazo prudencial. De acuerdo a lo que dice el portal de FOIA, es la ley que permite al ciudadano estar “a sabiendas“ de lo que sucede en el Estado. Claro que existe un listado de las agencias a las que se aplica el derecho de acceso a la información pública, así como también aquellas oficinas o poderes que quedan exceptuados de otorgar cualquier tipo de datos. De todas formas, ello es muy positivo en el ámbito de contralor de la información por parte de cualquier persona que en su derecho de acceso, puede solicitar se le comunique qué información maneja el Estado sobre sí misma, para determinar hasta dónde tiene comprometida su privacidad, su intimidad, y si acaso alguna agencia federal ha violado su derecho a la autodeterminación informativa.

Curso de Stop Cyberbullying Online y con Descuento

Todos conocemos el daño que produce el acoso escolar en las redes sociales y en las TIC, incluyendo smartphones, Whatsapp, Snapchat y similares, al punto de que niños que no llegan a los 10 años de edad han terminado por suicidarse.

Para ayudar a los padres, tutores, amigos, niños, adolescentes y familias, he elaborado un curso online dentro de la plataforma #Udemy que entregará las herramientas necesarias para terminar con el bullying y cyberbullying.

Para los lectores de esta revista y a los primeros que se anoten, hay disponible un descuento directo, accediendo a este link o escaneando el código QR más abajo.

Muchas gracias,
Un saludo

IMG_1315

Qué debemos hacer para Perder nuestra Privacidad en Facebook y Google

En esta revista siempre nos esmeramos por proteger nuestros derechos fundamentales, en especial nuestra privacidad e intimidad a través de los datos personales. Sin embargo, esta vez, vamos a mostrar cómo hacer para dejar toda nuestra vida privada…a merced de todos.

  1. Activar el “Recordar contraseña” y no cerrar sesión en Facebook y otras redes sociales. Así, cuando otra persona accede desde ese mismo dispositivo, puede entrar con nuestro usuario y contraseña y hacer delicias con nuestros datos.
  2. Crear contraseñas muy fáciles, del estilo de “123456” o con nuestro apellido, aniversario, datos de familia, y sobretodo, sin colocar una letra en mayúscula ni agregar un número (o agregando una fecha, así es más fácil de hackear).
  3. Permitir que miembros de la familia o cercanos, conozcan la contraseña, enviarla a alguien por sms, decirla en voz alta o por teléfono, o quizá mejor aún, escribirla en otro lado o post it, o cuaderno, pero por sobre todo, que quede a la vista de terceros.
  4. No cambiar nunca la contraseña y usar la misma para entrar a varios lugares.
  5. Permitir que “amigos de sus amigos” puedan acceder a toda su información y a lo que publicamos. Permitir a todas las extensiones, aplicaciones y demás, acceder a nuestra información privada.
  6. Tener más de 300 “amigos” y en especial, aceptar la amistad de cualquier persona, aunque no estemos seguros de conocerla.
  7. Establecer un patrón de actividad de todo lo que hacemos y documentarlo en las redes sociales.
  8. Registrarse en todos los sitios posibles y en especial, activar la notificación por mail o la llegada de newsletter semanal.
  9. Utiliza el mismo correo electrónico personal con el que acostumbras a comunicarte con amigos y seres queridos, para registrarte en las redes sociales y buscadores.

Seguramente muchos se habrán sentido identificados con algunos de estos puntos.

Un saludo

La Norma Autorreguladora como Instrumento de Apoyo a la Protección de Datos

Una norma autorreguladora, debidamente redactada y adoptada por todos los involucrados, servirá de apoyo para un mejor cumplimiento de las leyes de protección de datos y la privacidad. Con este contexto, esa misma norma puede dar un paso más hacia la realidad, incluyendo la interacción entre las personas y las apps, software, wearables y dispositivos dotados con inteligencia artificial.

Un punto a tener en cuenta en la redacción del Código de Conducta para las Relaciones entre las Personas y los Instrumentos Automatizados tiene que ver directamente con la “privacidad electrónica”, basada en aquellos datos de carácter personal que son tratados por los robots, con el consentimiento de sus titulares para determinado fin, pero que no deben ser publicados en Internet, o de serlo, solamente en sitios Web que cuenten con los mecanismos de seguridad necesarios para velar por la no propagación de la información mediante el acceso de terceros a los ficheros. En efecto, en este caso se habla del tratamiento autorizado de los datos personales por parte de los robots cuando los mismos rozan la “ilegalidad” de su ventilación en la red de redes, lo que debe quedar debidamente documentado en el cuerpo de la norma reguladora a los solos efectos de que se limite el acceso (el de los instrumentos automatizados) en Internet solamente a sus titulares o a las instituciones que las leyes determinen.

Cada vez que nace una práctica (sea esta lícita o ilícita) y repercute en las relaciones de la sociedad, el orden jurídico inmediatamente busca su regulación con el objeto de mantener la igualdad de los derechos fundamentales recogidos en la Constitución, así como la ponderación de aquellas garantías que permiten a las democracias gozar de buena salud.

Entonces, si el engranaje que hace funcionar a la Sociedad de la Información se desempeña adecuadamente, ¿Cuál es la razón para sujetarse a más normativa, especialmente a una norma de autorregulación? La respuesta es muy sencilla: porque lo que el ordenamiento jurídico logra regular con la normativa aplicable, es un “ideal de excelencia” o funcionamiento correcto que no es suficiente con su aplicación. Esto es así, debido a la magnitud de las interrelaciones sociales y a la variedad de derechos en juego, lo que obliga a la normativa a ejercer un manto de generalidad con el objeto de cumplir su cometido en términos medios y suficientes para que ello no quede fuera de la esfera jurídica.

Hoy: Día Mundial de la Protección de Datos #DPD15

Hoy, 28 de enero de 2015 celebramos el Día Mundial de la Protección de Datos (Data Protection Day / Data Privacy Day).

Es importante tener en cuenta, que nuestra información es lo que nos identifica, que nuestra privacidad e intimidad forman parte de nuestros Derechos Fundamentales…o sea: son preexistentes a cualquier Constitución y no pueden ser vulnerados ni siquiera por otras leyes, salvo en función de proteger otro derecho fundamental.

La protección de nuestros datos personales, nuestra privacidad, nuestra intimidad y el ejercicio de nuestra autodeterminación informativa son presupuestos para garantizar otras libertades fundamentales, como la vida y la integridad física.

Solamente con nuestro consentimiento previo y expreso se pueden tratar nuestros datos. Y debemos protegerlos en todos los ámbitos: público, privado, social, redes sociales, apps, smartphones, tablets, software, hardware, familiar y hasta con nuestros amigos.

Es nuestra voluntad, nuestro deber y la obligación de los demás, de cuidar lo que nos pertenece y nos hace personas.

Data Privacy Day / Data Protection Day #DPD15

Este 28 de enero celebramos el día internacional de la protección de datos personales (Data Protection Day / Data Privacy Day).

Es por ello que compartimos entonces unas premisas dedicadas a la protección de datos a nivel comercial y de empresas, cortesía de la National Cybersecurity Alliance:

La Privacidad es Buena para los Negocios

1. Si lo recolectas, lo proteges
2. Sé abierto y sincero explicando cómo recolectas, usas y compartes información personal de tus consumidores
3. Genera confianza haciendo exactamente lo que dijiste que harías
4. Crea una cultura de privacidad en tu organización
5. No basta sólo con notificar a tu organización y a consumidores acerca de la existencia de privacidad. Debes ser pro activo
6. Sé diligente y vigila tus socios y tercerizados en el manejo adecuado de la privacidad de los consumidores y clientes. Tú también eres responsable por lo que ellos hagan o dejen de hacer con los datos personales

Internet de las Cosas: y la Protección de Datos?

Internet de las Cosas (IOT en inglés) es una verdadera movida fabulosa: ha modificado todo lo que conocemos y de aquí a poco (menos de lo que creemos) ya que permite conectar cualquier objeto que existe a Internet, una App o software y volverlo inteligente e interactivo, especialmente desde un smartphone o smartwatch.

Sin embargo, ello implica que nuestra privacidad y nuestros datos personales serán tratados por cada “nuevo objeto inteligente” dentro de una morada, lo que implica que pueden ser filtrados, robados, hackeados o utilizados para fines espurios sin siquiera saber que ello sucede. O sea que nuestra intimidad, nuestro concepto constitucional del domicilio sagrado, será seriamente vulnerado…y ello puede incluir a nuestros menores hijos y su intimidad. Evidentemente, el padecimiento del Síndrome de Hansel & Gretel no solo es real sino que además cada vez más notorio sus efectos. El efecto de la vulneración de la privacidad es también la causa del tratamiento descarado de los instrumentos automatizados.

Curiosamente, en un artículo publicado por El Economista de México denominado “Privacidad e Internet de las cosas, la tormenta perfecta”, expresa claramente que “Los beneficios potenciales como la mejora del cuidado de la salud, la modernización de las ciudades o el impulso al crecimiento económico son también riesgos potenciales pues al mismo tiempo que los dispositivos conectados mejoran los servicios, también recolectan, transmiten, almacenan y comparten una gran cantidad de datos altamente personales de los consumidores, lo que crea una riesgos significativos a la privacidad”.

Es por ello que nuevamente insistimos en la adopción de los Nuevos Principios de Protección de Datos Personales.

un saludo

Los Nuevos Actores en la Privacidad: los Instrumentos Automatizados

Es importante entender profundamente este nuevo concepto ya que los instrumentos automatizados son nóveles actores que entran en escena de manera permanente en el manejo de la privacidad de las personas y la protección de datos personales. Los mismos generan en esta sociedad de la información, derechos y deberes en el entorno, por lo tanto, se les puede considerar sujetos de derecho y obligaciones.

Los instrumentos automatizados son aquellos aparatos dotados con inteligencia artificial lo que les permite realizar ciertas tareas de forma automatizada, sin necesidad de la colaboración o asistencia de la mano del hombre o de otros instrumentos como los robots. A su vez, estas características les permiten establecer parámetros y arribar a sus propias conclusiones para luego, en virtud de ello y de la situación en que se encuentren, tomar decisiones basados en propias convicciones.
Estas características se relacionan en un todo con las aplicaciones o software para ordenadores así como para las llamadas “apps“ o aplicaciones para tabletas y móviles inteligentes. De facto, el llamado “Robot Eugene“ es un claro ejemplo de una aplicación Web para ordenador que cuenta con dotes de inteligencia artificial.
La referencia más cercana a un instrumento automatizado en los tiempos que corren es la de un robot (aunque no es la única referencia).
El origen de la palabra robot se remonta a la búsqueda de las personas por obtener el “auto movimiento”. Así entonces, ha sido más fácil definir a los instrumentos automatizados que al propio robot.
Es por ello, que conviene definir entonces la palabra “autómata”: (Del lat. automăta, t. f. de -tus, y este del gr. αὐτόματος, espontáneo). 1. m. Instrumento o aparato que encierra dentro de sí el mecanismo que le imprime determinados movimientos. 2. m. Máquina que imita la figura y los movimientos de un ser animado. Según Isaac (ASIMOV, 1985), el concepto estaría conformado por las palabras griegas “sí mismo” y “mover”.
Por su parte, el concepto de “robot” que más se adapta a la realidad de la Sociedad de la Información ha sido proporcionado por KAREL CAPEK el cual se define como “trabajo obligatorio, semejante a la servidumbre” (del checo “Rabota”).

Cuando una Norma Obsoleta Atenta Contra el Uso de Tecnologías y Derechos Fundamentales

Este artículo formará parte de la edición impresa de esta revista en su número 2

Existen muchas razones, y en especial de seguridad ciudadana para permitir o prohibir el uso de Tecnologías de Información Comunicación en determinados recintos, como es el extraño caso de Uruguay, dónde una norma muy antigua y su actualización de 2011 a cargo del Registro Nacional de Empresas de Seguridad (RE.NA.EM.SE.) prohíbe desde hace casi 15 años, el uso de móviles (celulares) y otros medios de comunicación dentro de instituciones públicas y en especial, dentro de bancos, sean éstos públicos o privados. Ello es así para evitar robos u otros delitos de clientes al salir de esas instituciones, si es que los posibles delincuentes avisan por sms u otros medios a sus cómplices fuera para “señalar” a la futura víctima “cargada” de dinero (o para avisar de que ahora es un momento oportuno para entrar a robar un banco).

Sin embargo, los tiempos cambian, los modus operandi de los malhechores también, así como las necesidades y derechos fundamentales de las personas, lo que vuelve totalmente obsoleto el criterio de prohibir el uso de tecnología en una ciudad.

Pero ello no es todo, ya que las normas antiquísimas de RENAEMSE en este caso, atentan directamente e indirectamente contra algunos derechos fundamentales, lo que supone además que las mismas se han vuelto inconstitucionales y que perjudican de manera agresiva a las libertades de los usuarios.

Con la prohibición del uso de TIC dentro de oficinas públicas e instituciones bancarias, se violan las siguientes libertades que a continuación se explican:

  1. Derecho de Igualdad, recogido en varios artículos de la Constitución. El hecho de que ahora, las comunicaciones móviles son un derecho adquirido y una necesidad en la población, su prohibición lo ataca directamente.
  2. Derecho de el acceso a la sociedad a la información y el conocimiento, recogido por el Plan Ceibal para llevar One Laptop Per Child a todos los niños del país. Una buena iniciativa estatal que choca directamente con esta otra norma.
  3. Viola las normativas e iniciativas gubernamentales para disminuir y erradicar la Brecha Digital, las cuales forman parte de las Agendas de Gobierno Electrónico fomentadas por el Gobierno de Uruguay.
  4. Indirectamente, viola los derechos y libertades a la información, a la libre expresión y otros, ya que Uruguay cuenta con un alto porcentaje de penetración de smartphones por habitantes, lo que implica que la convergencia de muchos servicios y derechos se encuentran accesibles solamente desde el móvil, y al prohibirse su uso, se prohíbe su acceso a los mismos
  5. Atenta directamente contra el bien jurídico colectivo Medio Ambiente, ya que al prohibir el uso de móviles y tablets, no se le permite al usuario, acceder a trámites, datos o servicios online vinculados directamente con la institución a la que se está visitando. No se le permite usar las apps ni ingresar a la Web para descargar un formulario entre otros, lo que obliga al ciudadano a imprimir el formulario, malgastando papel y generando un gasto extra, a pesar de que el servicio online podría estar disponible.
  6. Como consecuencia del punto anterior, viola directamente las leyes y decretos de Gobierno Electrónico que impulsan una gestión moderna, eficaz y eficiente.
  7. Pero además, atenta contra las telecomunicaciones, o…las telecomunicaciones atentan contra RENAEMSE, ya que por definición, esta norma se aplica por igual a todas las instituciones públicas. Pero hay una, ANTEL que es la telefónica estatal, que necesita que los usuarios utilicen sus móviles en el recinto para realizar todo tipo de trámites asociados, y de hecho, así lo hacen. Entonces, por lo pronto y por necesidad, los usuarios están implícitamente violando la norma de RENAEMSE así como también la institución pública.

En definitiva, una norma errónea u obsoleta, puede provocar un sinfín de vulneraciones a los derechos fundamentales, como es el caso de ejemplo.

Campeones del Data Privacy Day 2015. National Cyber Security Alliance

Con orgullo, ponemos en conocimiento a través de este medio, que nuestra filial Meridian PDP dedicada a brindar servicios de protección de datos, ha sido galardonada con el DATA PRIVACY DAY 1015 AWARD y se compromete a promocionar una mejor protección de nuestros datos, en especial el 28 de enero de 2015, día Mundial de la Protección de Datos.

Todos pueden colaborar intentando concientizar a la población de que la privacidad es un verdadero Derecho Fundamental que es nuestro y que debemos cuidarlo, ingresando en StaySafeOnline o siguiendo en Twitter a #DPD15.

Aquí se puede descargar la certificación.

un saludo y muchas gracias

dpd15 champ

Data Privacy Day Champion

El Efecto Posterior (en nuestra privacidad) al Darse de Baja de Facebook

Hace poco tiempo me dí de baja de la red social más grande e influyente de todos los tiempos: #Facebook. No fue fácil tomar la decisión, ya que:

  1. Eran muchos años de historia escrita en esas páginas virtuales (desde 2009)
  2. Mucha información, fotografías, amigos e interactividad
  3. Si decidía darme de baja, aún así Facebook me la mantenía en suspenso por quince días por si decidías volver o si alguna app o web asociada se dirigía hacia nuestra cuenta.
  4. El punto anterior: muchos servicios, apps, webs y otros se loguean directamente con Facebook o Twitter, lo que hace la vida más fácil a la hora de tener que registrarse de cero (además de olvidarse de tener que ingresar con usuario y contraseña)

Sin embargo, a pesar de las excusas anteriores, un día tomé la decisión, lo cual ahora considero muy acertada, además de sentir un verdadero alivio en cuanto al manejo de mis datos privados en la red.

Los puntos que tomé en cuenta para la baja son los siguientes:

  1. Demasiada información recopilada por un solo sitio y disponible a otras personas y terceros
  2. Las políticas de privacidad de Facebook fueron cambiando conforme el tiempo pasa…y no son protectoras de nuestros datos personales (mucho menos de nuestra intimidad)
  3. El hecho de olvidarme de ingresar a los sitios registrados: es demasiado cruzamiento de datos personales entre terceros. Es peligroso
  4. Al final, tenía amigos que en realidad no eran amigos, y por cortesía, pulsaba el botón “Like” por nimiedades que a lo mejor yo no compartía en su totalidad
  5. Creo que Facebook tiene mucho de catapulta para levantar el ego de quiénes publican en ella, o buscan un reconocimiento de los demás con los “Like”. También, de acuerdo a análisis, produce envidias y genera conflictos de acuerdo al perfil y publicaciones de los amigos (viajes, fiestas, nuevos smartphones, etc). Todo ello además, crea un perfil de nuestras vidas y un registro de nuestro modus operandi muy delicado (me acabo de levantar. Voy al baño. Voy al banco. Comí pastel. Subo foto de lo que sea) que recoge nuestros puntos fuertes…y nuestras debilidades.
  6. Al final…todo ello me aburría.
  7. Existen otras redes sociales como Twitter, Instagram, Pinterest, Dronestagram, Google+ con las cuales también interactuamos, así que no es ni cerca el fin del mundo.
  8. Muchas de las actividades propias de Facebook ahora las ejercitamos en Whatsapp o Telegram, con nuestros contactos.

Y no fue el fin del mundo. Quizá esa percepción de que ahora menos datos personales están en la nube (mmmm…) nos hace sentir más seguros, pero creo que vale la pena intentarlo si realmente creemos que nuestra privacidad ya no se encuentra debidamente protegida o si no somos coherentes con las conductas de lo que publicamos. Recordemos que en Facebook, NO TODOS son nuestros amigos (empezando por la propia Red Social).

Recomendaciones de la Comisión Europea…¿a un paso de ser aprobadas?

Mientras seguimos esperando la aprobación de las reformas en materia de protección de datos personales en el bloque europeo, recordemos algunas de ellas que valen la pena tener en cuenta para ejercer nuestras libertades:

  1. Derecho al olvido para todos los países miembros
  2. Protección de datos desde el inicio (PDP by default) por parte de los responsables del tratamiento de una base de datos.
  3. Una Agencia de Protección de Datos Centralizada para todos los paises miembros de la UE
  4. Los países no europeos deberán adoptar y adaptarse a la normativa del bloque si pretende interactuar con ficheros de datos que involucren a países de la Unión Europea.

Bien, sin embargo hasta el momento no han habido señales, salvo por el hecho de que en este 2014 el Parlamento Europeo votó a favor de la adopción irreversible de estas recomendaciones en una supuesta nueva Directiva, lo que implica que estaríamos ya a pocos meses de la adopción final y publicación de estas nuevas medidas.

No debemos olvidar, que estas propuestas llevan ya casi tres años de ser tratadas una vez que fueron propuestas por la Comisión Europea.

Apple Pay y la Privacidad de Nuestros Datos Personales

Esta nota será parte integrante de su publicación en le Número 2 de la Revista Internacional de Protección de Datos y Derecho Informático, a publicarse en papel en breve.

Hace un tiempo ya, en una institución bancaria en Uruguay, se promocionó la inclusión del sistema de pago, retiro y cobro mediante el uso de la tecnología NFC cuyo significado es “Near Field Communication”. Quizá muchos de nosotros ya hayamos experimentado esta tecnología sin que supiéramos que se denominaba así. En efecto, al menos hace una década, empresas de transporte urbano de muchas ciudades del mundo contaban con una tarjeta plástica recargable que luego “descontaba” el pago de un billete cada vez que acercábamos la misma a un dispositivo instalado dentro de los autobuses, trenes o tranvías, emitiendo un pitido para avisarnos de la aceptación y pago. Su uso es hoy moneda corriente.

A su vez, éste tipo de tecnologías también fue llevada a los smartphones hace pocos años, como es el caso de Google Wallet, la plataforma de pago promocionada por Google con el uso de móviles con Android. Sin embargo, esta tecnología no lograba despegar del todo, hasta que se dió un hecho que cambiaría la escena y la catapultaría: entró Apple a la cancha con su Apple Pay y todo indica que estaremos utilizando el pago de productos y servicios varios, solamente con acercar nuestro smartphone a una plataforma de pago (NFC), porque la compañía de Palo Alto ya hizo varios acuerdos con grandes cadenas en EEUU y pronto se extenderá a otros mercados internacionales.

Volviendo al ejemplo del banco y su adopción al sistema de pago mediante NFC, la idea fracasó antes de ser llevada a la práctica, debido a una sola palabra: privacidad. En efecto, lo que el banco no pudo garantizar fue que no se vulneraría la privacidad de las personas y se robaran las cuentas bancarias de aquellas tarjetas que se acercaran a un scanner NFC, por la sencilla razón de que aún no se ha podido añadir encriptación eficiente y en tiempo real que permita disasociar los datos personales de las personas, sus contraseñas y la información del contenido de sus cuentas bancarias. No funciona igual a una tarjeta de crédito/débito, y por ello su uso tuvo cierta reticencia. Pero llegó Apple Pay y ha comenzado a masificarse, y como casi todo producto, software o hardware que Apple lanza, marca una tendencia y se transforma en un ícono cultural de inmediato, seguramente ello sucederá con Apple Pay, por la única razón de que es muy fácil de utilizar y es un alivio para los consumidores diarios.

Sin embargo, a la fecha, aún no se han garantizado las medidas de seguridad suficientes para que un pago o transacción no sea interceptada o clonada “en el aire” y vulnere nuestros datos personales y cuentas bancarias.

Por ello, mientras se intenta mejorar este sistema, mi recomendación es que intenten realizar los pagos sin una persona cerca de vosotros, y además revisen si el scanner NFC no lleva otro instrumento pegado que sea capaz de clonar o robar la información a distancia, como ocurre a veces en los ATMs, en especial en Europa.

El Origen de la Intimidad en EEUU. El Comienzo del Derecho a Proteger Nuestros Datos

El origen de la tutela de la intimidad asociada a la vida privada, proviene de ese país, especialmente con la tesis de Samuel Warren y Louis Brandeis (WARREN & BRANDEIS, 1890) buscando soluciones a problemas muy concretos relacionados con la toma de fotografías por parte de periodistas hacia su persona y la de su esposa. Como consecuencia de ello, los periodistas obviaban el consentimiento del titular de la imagen, pero además el propio Warren no tenía conocimiento sobre el verdadero tratamiento de las mismas sumándole el hecho de que previamente era observado para ser fotografiado. Como bien lo expresa Ana GARRIGA, lo que se relaciona con la intimidad es la noción de aislamiento físico y sentará las bases para el desarrollo del concepto de intimidad a nivel internacional, como lo es la Declaración Universal de los Derechos Humanos de 10 de diciembre de 1948, en especial en su artículo 12.

Realizando una comparativa de aquellos años con la Sociedad de la Información actual, lo que percibimos es una increíble similitud, especialmente cuando las personas interactúan con instrumentos automatizados, y no perciben el alcance de la discrecionalidad con que éstos pueden recopilar datos, hábitos y estadísticas de los primeros. ¿Qué sucede luego? Ex post facto ¿A dónde van a parar los datos y con qué propósitos? El hecho de ser propietario de un robot o interactuar con un instrumento automatizado no significa que la persona esté otorgando su consentimiento para el tratamiento indiscriminado de sus datos personales. De hecho, el predominio en Estados Unidos en los orígenes del derecho a la intimidad se relaciona mucho más con la convicción del Juez COOLEY de que el derecho defendido es el de “No ser molestado” especialmente en los “sagrados recintos de la vida privada y hogareña”.

Si esos medios electrónicos actúan con total discreción, sin interferir en la aparente paz de la vida cotidiana de una persona pero recopilando información e “invadiendo“ su privacidad y su intimidad sin el previo consentimiento de su titular, o peor aún, sin que el mismo se de por enterado de que una aplicación o un instrumento automatizado dedica su tiempo a la recogida de datos personales y a la elaboración de un fichero el cual puede ser objeto de comunicaciones con otros similares o con terceros, evidentemente nos encontramos ante un profeso caso de violación de la Constitución, más que nada de un ataque a nuestra intimidad representada a través de nuestros derechos fundamentales por encima de todas las cosas, como los recogidos expresamente en el artículo 18 (18.1 y 18.4) y que tiene su reflejo en el cumplimiento de la Cuarta Enmienda a la Constitución de los Estados Unidos de América que permitía en una flagrante violación a los derechos fundamentales del hombre, a ser allanados sin ninguna garantía y sin un fundamento claro, las moradas de los habitantes por mandatos de los Reyes de Inglaterra, Jorge II y Jorge III

El Principio Más Importante y el Menos Respetado: El Previo Consentimiento Informado

El Principio del Previo Consentimiento Informado (y por escrito en casos de tratamiento de datos sensibles) sigue siendo el más relevante para nosotros los titulares de datos personales, y por ello también es el menos respetado de todos nuestros derechos, por parte de los responsables de bases y ficheros de datos. Es un escollo importante para los terceros y por esa razón hacen caso omiso a esa libertad, volviendolo un problema para los afectados ¿Cómo ha evolucionado en los últimos años? Éstos son algunos ejemplos:

1) Política de utilización de cookies. Ahora los sitios de Internet, en especial los europeos muestran un banner diferente al de hace dos años cuando la medida fue impuesta. Ahora simplemente avisan que de seguir navegando en su portal, estamos implícitamente aceptando sus políticas de uso de cookies. Pues, difiero conque ello sea un consentimiento previo e informado.

2) Tampoco creo que sea adecuada la técnica de informar en documentos, formularios o apps sobre el uso de datos personales y de que en caso de no estar de acuerdo, ejercer nuestros derechos ARCO frente al responsable. Lo correcto es que en esas apps, documentos o formularios, se muestre una ventana u opción de aceptar o denegar la utilización de nuestra información preciada marcando o desmarcando un cuadrado o espacio con un tic. De esta manera, continuar o no con los servicios dependerá de ello, pero el usuario debe tener la chance de poder decidir previamente si quiere que le usen sus datos o no.

Es básico porque es un derecho fundamental el que está en juego. un derecho fundamental como lo es La Vida.

La Privacidad en España: la Solicitud del Código Postal

Hace poco escribí en esta revista sobre la privacidad en EEUU vista por un outsider (vide aquí).
Ahora, en España, la protección de datos se siente a flor de piel en los ciudadanos. No quiere decir esto que no se entregue o se trate de manera indiscriminada e ilícita, sino que el propio titular es consciente de lo que hace y conoce un poco más sus derechos. Un buen trabajo de la AEPD y Comisión Europea en cuanto a informar a la población. Sin embargo, y previendo esto, las tiendas, comercios y demás, cada vez que realizamos una compra física (o hasta solicitamos información en un Centro Comercial) nos solicitan nuestro código postal. De hecho, es terminar de consultar y nos preguntan “¿su código postal?”, casi cuando estamos dando las gracias y retirándonos ¿Para qué? Resulta que para eludir esa ‘concientización’ de las personas y el respaldo de la LOPD, se solicita una ‘inocente’ información (solo el CP). Quién se negaría? Seguramente sea para fines porcentuales, para conocer de qué zona viene la mayoría de la gente. Sin embargo, al poco tiempo de entregarlo, misteriosamente nos llegan cientos de folletos de publicidad a nuestro nombre. El truco es el siguiente: el Big Data en su máxima expresión. Basta el código postal, una imágen de una cámara se seguridad y quizá los datos extraídos de alguna compra con nuestra tarjeta de crédito/débito para obtener un perfil detallado de nuestra identidad y preferencias. Es padecer el Síndrome de Hansel y Gretel en su máxima expresión.

Si en el trajín de las cosas y la interacción social, podemos evitar entregarlo, mejor hacerlo.
Debemos recordar, que en EEUU, más precisamente en Massachussets, existe una sentencia de condena contra Apple por solicitar y casi obligar a los usuarios de una Apple Store a entregar el código postal, ya que es considerado un dato personal.

Más información aquí.

Referencia del Código Penal a Cada Acto Comprendido dentro de la Figura del Bullying

Esta nota se complementa con el “Desglose Penal de la Figura del Bullying” a publicarse en la Revista Número 2 de la edición impresa.

A continuación se detallan cada una de las figuras delictivas que comprenden el Bullying y Cyberbullying, de acuerdo al Código Penal de Uruguay (aplicable a todos los códigos penales con sus respectivas modificaciones o adecuaciones) en especial en aquellos países dónde no existe la figura penal de Bullying propiamente dicha:

Privación de libertad. Artículo 281. El que de cualquier manera privare a otro de su libertad personal, será castigado con un año de prisión a nueve años de penitenciaría.
La pena será disminuida de la tercera parte a la mitad, siempre que el autor del hecho o un copartícipe de éste, liberara a la víctima de su cautiverio dentro del tercer día de producido.

Lesiones. Artículos 316 a 319.
316 (Lesiones personales) El que, sin intención de matar causare a alguna persona una lesión personal,, será castigado con pena de prisión de tres a doce meses.
Es lesión personal cualquier trastorno fisiológico del cual se derive una enfermedad del cuerpo o de la mente.

317 (Lesiones graves) La lesión personal prevista en el artículo anterior es grave, y se aplicará la pena de veinte meses de prisión a seis años de penitenciaría, si del hecho se deriva :
Una enfermedad que ponga el peligro la vida de la persona ofendida, o una incapacidad para atender las ocupaciones ordinarias, por un término superior a veinte días.
La debilitación permanente de un sentido o de un órgano.
La anticipación del parto de la mujer ofendida.

318 (Lesiones gravísimas) La lesión personal es gravísima y se aplicará la pena de veinte meses de prisión a ocho años de penitenciaría, si del hecho se deriva :
Una enfermedad cierta o probablemente incurable.
La pérdida de un sentido.
La pérdida de un miembro o una mutilación que le tome inservible o la pérdida de un órgano, o de la capacidad de generar, o una grave y permanente dificultad de la palabra.
Una deformación permanente en el rostro.
El aborto de la mujer ofendida.

319 (Lesión o muerte ultraintencional, Traumatismo) Si del hecho se derivare la muerte de la persona agredida o una lesión más grave que la que se pretendía inferir, la pena será la del homicidio o la lesión, disminuida de un tercio a la mitad.
Cuando de la agresión no resultare lesión personal, la pena será de 20 U.R. (veinte unidades reajustables) a 600 U.R. (seiscientas unidades reajustables).

Injurias. Artículo 334. El que fuera de los casos previstos en el artículo precedente, ofendiere de cualquier manera, con palabras, escritos o hechos, el honor, la rectitud o el decoro de una persona, será castigado con pena de tres a dieciocho meses de prisión o multa de 60 U.R. (sesenta unidades reajustables) a 400 U.R. (cuatrocientas unidades reajustables).

Ayuda al suicidio. Artículo 315. El que determinare a otro al suicidio o le ayudare a cometerlo, si ocurriere la muerte, será castigado con seis meses de prisión a seis años de penitenciaría.
Este máximo puede ser sobrepujado hasta el límite de doce años, cuando el delito se cometiere respecto de un menor de dieciocho años, o de un sujeto de inteligencia o de voluntad deprimidas por enfermedad mental o por el abuso del alcohol o el uso de estupefacientes.

Violencia privada. Artículo 288. El que usare violencia o amenazas para obligar a alguno a hacer, tolerar o dejar de hacer alguna cosa, será castigado con tres meses de prisión a tres años de penitenciaría.

Amenazas. Artículo 290. El que fuera de los casos previstos en el artículo 288 amenazare a otro con un daño injusto, será castigado con multa de 25 U.R. (veinticinco unidades reajustables) a 700 U.R. (setecientas unidades reajustables).
Son circunstancias agravantes especiales de este delito, la gran importancia del daño con que se amenazare, y todas las indicadas en el artículo anterior, con excepción de la última.

Tesis doctoral publicada: La Autodeterminación Informativa Limitada

Con orgullo quiero compartir la noticia de que ha sido publicada la tesis doctoral de mi autoria sobre proteccion de datos, defendida en la Universidad de Zaragoza (UNIZAR). Su titulo es “La Autodeterminacion Informativa Limitada. El Sindrome de Hansel & Gretel y la Proteccion de Datos In Totum“.

Refiere al gran avance de las TIC en esta sociedad de la informacion y a la recoleccion indiscriminada de datos personales por Apps, smartphones, robots, drones, software y otros instrumentos automatizados. Muchos de ellos comparten responsabilidad con seres humanos, pero existen casos en que la privacidad es vulnerada y nuestra informacion mas preciada es compartida de instrumento en instrumento sin nuestro consentimiento o conocimiento, haciendo que las leyes sean inaplicables si quien trata nuestros datos no es persona (autodeterminacion informativa limitada), especialmente cuando continuamente estamos entregando informacion a toda hora y momento de nuestras vidas (Sindrome de Hansel y Gretel).

En dicho trabajo ofrezco una solucion basada en la adopcion de nuevos principios de proteccion de datos (Proteccion de Datos In Totum) y de esta manera, poder ejercer la defensa integra de nuestros derechos fundamentales ante terceros.

 

Este es el ISBN: 978-3-659-02311-8 para los interesados en saber mas y aqui el link directo a la editorial: https://www.morebooks.de/store/es/book/la-autodeterminaci%C3%B3n-informativa-limitada/isbn/978-3-659-02311-8

En esta revista iremos compartiendo pasajes de esta tesis y analizando los mismos.

Muchas gracias

 

Derecho al Olvido. Cómo actuar

extracto relacionado con publicación de agosto de la Revista Doctrina & Jurisprudencia CADE

En caso de que cualquiera de nosotros nos sintamos invadidos o lesionados por una información obsoleta que involucra datos personales, evidentemente, afectara nuestro honor y privacidad, mas aun si la misma ha sido publicada en portales de Internet o es mostrada como devolucion de busqueda de Google y otros similares.

A tales efectos, Google habiltó un formulario[1] online solamente para los europeos (o que vivan en Europa) para que puedan ejercer la petición del derecho al olvido y así lograr el borrado de datos.

Ahora, en el caso de no europeos, el derecho al olvido se puede invocar, aunque los resultado siempre dependeran de que el sitio que contiene la informacion, la baje. Para ello, el primer paso es solicitar la baja al sitio primero y luego a Google, para evitar una negativa del buscador y la siguiente imagen.

derecho al olvidoFORM UY

 

[1] https://support.google.com/legal/contact/lr_eudpa?product=websearch# , visitado el 31 de julio de 2014

Regulación de los Drones. Es Necesaria.

Esta nota será parte integrante del Número 2 de la versión impresa de la Revista

Varias noticias han llamado poderosamente la atención en los últimos meses, en relación con el uso de Drones (UAV) tanto para uso doméstico como militar o administrativo estatal. De hecho, yo mismo he comprado un AR.Drone con el objeto de analizar el alcance de su posible intromisión en la privacidad de las personas y sí: es realmente muy peligroso si no se regula adecuadamente.

En junio salía a la luz una regulación en España que pretende delimitar el uso adecuado de los drones para determinados fines y con la debida protección del espacio aéreo en materia de seguridad.

En julio, EEUU tomó la iniciativa de prohibir el uso de drones o vehículos no tripulados por personas en todos sus parques nacionales incluyendo Yelowstone y Yosemite para preservar accidentes en sus reservas naturales, que sean irreversibles.

También en estos meses ha salido a la luz que el órgano recaudador de impuestos de Argentina AFIP ha utilizado drones para fiscalizar aquellas propiedades y verificar si se habían declarado piscinas y otros agregados a las moradas, alegando así que muchas habían evadido impuestos declarados.

Con estas noticias, queda muy claro que debe existir regulación que proteja a las personas del uso indiscriminado de los drones en perjuicio de la privacidad y la intimidad. Lo que más preocupa es el caso argentino, ya que con la excusa de fiscalizar, se produce una verdadera intromisión de privacidad. Recordemos que estos aparatos son silenciosos, de distintos tamaños (los hay pequeños) con cámaras HD y transmite en directo al smartphone o tablet todo lo que ven. Toman fotos y pueden introducirse en espacios dónde el hombre no puede.

Tomemos un hipotético ejemplo: un drone fiscalizador se aparece en el jardín de mi casa dónde mi pequeña hija está jugando y corriendo de un lado a otro. Yo suponía que mi morada era mi propiedad privada y constitucionalmente es inquebrantable. Y si a eso le agregamos que el drone la sigue, la graba y le toma fotos (quizá con otros motivos no muy claros o ajenos al objetivo de la AFIP)…mmmm…no puede ser bueno. Cuidado.

O si una pareja se encuentra en la intimidad de su casa en actividades íntimas y de repente al mirar por la ventana divisan un aparato en el aire que, estático graba todo lo que hacen. Qué casualidad que luego ese video es robado y aparece publicado en Internet y distribuido a mansalva por Whatsapp.

Adiós privacidad, adiós intimidad, adiós protección de datos, adiós derechos fundamentales, bienvenida impunidad e violación de las libertades.

Debemos optar por la elaboración de normas que regulen correctamente el uso de los drones (no prohibirlos porque son un buen invento) y que proteja las libertades y castigue a quienes las violen.

La Privacidad en EEUU vista por un Outsider

Este artículo será parte integrante en el número 2 de la revista impresa.
Analizando cómo viven los americanos su preocupación por la privacidad (especialmente si mencionamos a Snowden o la última noticia de que la NSA monitoreaba 9 de cada 10 comunicaciones que no eran terroristas), llegamos a la conclusión de que…no les preocupa mucho. Y esto lo podemos apreciar en los siguientes puntos:

1. Si les consultamos por las normas de protección de datos, nos van a decir que es cierto que existen y es un tema de preocupación, de seriedad. De hecho, conoce. La existencia de la Privacy Act.

2. Cualquier estadounidense, al momento de entablar una conversación con él, ya te reveló de dónde viene, cuál es su nombre y profesión y qué está haciendo en ese lugar. A los 3 minutos ya te mostró las fotos en su smartphone pertenecientes a su familia, nietos, hijos, cónyuges y casa dónde vive. Lo hace orgulloso. A los 5 minutos te comenta de alguna boda o acontecimiento familiar y seguramente de alguna enfermedad. Son demasiados datos como para crear un perfil personalísimo. Son datos personales y hasta sensibles entregados con consentimiento y ganas a un extraño.

3. Porque como lo expresamos en el punto 2, ese compartir compulsivo de la información, es muy inocente y nunca lo relacionan con posibles consecuencias que afecten un derecho que para nosotros es fundamental. No tienen nada que ocultar, aparentemente y la confianza en el tercero es total.

4. Si una persona decide tomar fotos en lugares públicos dónde hay concurrencia, ninguno de los presentes te dirá que no le tomes una foto, salvo excepciones de alguna madre o padre por proteger a sus hijos de posibles depredadores. No logran relacionarlo con el derecho de protección de datos.

5. Este punto es muy importante: sí creen que un gobierno debe intervenir para cuidar la seguridad frente a posibles ataques terroristas. En este sentido, saben de los abusos de la NSA y otras agencias en materia de violaciones de la privacidad, sin embargo lo aceptan rendidos, convencidos de que no hay nada que puedan hacer para frenarlos o de que mejor no enfrentarse a ellos. Es un país con muchas normas y directivas privadas y así se manejan. Si ven una cámara en la vía pública o un cartel que dice “No….”, por algo está ahí y se debe respetar.

6. Aún así, la privacidad es algo que consideran muy importante, sólo que no logran conectar todos los puntos (connecting all the dots)

¿Qué sucede con las reformas propuestas por la Comisión Europea?

¿Qué ha sucedido? En febrero de 2012 se plantearon las reformas necesarias (y justificadas) en materia de protección de datos y de protección de las personas frente al tratamiento automatizado de datos personales, con base en que la actual Directiva 95/46/CE, si bien mantiene su vigencia, los efectos ya no son los mismos sobre las libertades fundamentales relacionadas con la autodeterminación informativa. Por algo estamos hablando de una norma de casi 19 años de edad frente a un nuevo orden, a una nueva exigencia social, pero especialmente frente al gran avance de las TIC, del Big Data y del tratamiento masivo de datos en todos sus órdenes habidos y por haber. 

Pues, se suponía que para fines de ese año 2012 contaríamos con una nueva Directiva, especialmente si la Comisión Europea ha tomado en cuenta los últimos barómetros que indican un descontento y una desconfianza de los titulares de datos en cuanto a la transparencia de su tratamiento que ronda el 70% de los europeos (eso es mucha, muchísima gente).

Hasta ahora estamos esperando (y van casi dos años de atraso que repercuten de manera negativa y agresiva en nuestro derecho fundamental, en nuestra privacidad) el día en que se disparen los titulares que avisen que efectivamente se han tomado los recaudos en materia de exigencias de las personas:

  • Privacidad por defecto y privacidad por diseño
  • Mayor facilidad de los afectados titulares de acceder a sus propios datos personales tratados por terceros
  • Un órgano de control unificado a nivel de bloque europeo y no muchas agencias que funcionan con distintos criterios de protección dependiendo del país en que se apliquen las normas

Seguiremos esperando y soñando con lo que nos pertenece.

Entrevista a Gustavo Azambuja. CEO de UNO | WIFI (Nota publicada en la edición impresa Número 1)

Extracto perteneciente a la nota publicada en la edición impresa número 1:

La entrevista fue realizada en Q´Café, uno de los mejores café gourmet de Montevideo.

 Actualmente, UNO WIFI se encuentra operativo en Montevideo (UY), Los Angeles (US), Sao Paulo (BR) y disponible para todo el mundo.

 

Revista Internacional de Protección de Datos: ¿Qué es UNO WIFI y cuál es la diferencia con un servicio de conexión convencional en un bar o restaurante?

Gustavo Azambuja: Recientemente se publicó un informe mostrando como el tráfico a las páginas web de los comercios, tiendas y restaurantes es cada vez menor y crece de forma exponencial las visitas a las páginas de estos mismos comercios dentro de las redes sociales. Los comercios que utilizan UNO WiFi para ofrecer Internet a sus clientes maximizan la presencia en Facebook de sus comercios de la mano de los propios usuarios. En pocas palabras, donde UNO WiFi está instalado, cada cliente que accede a Internet verá en su teléfono móvil lo que el comercio desea comunicar y le permite al usuario compartir esto con sus amigos.

RIDAT: ¿UNO WIFI recoge datos? ¿Afecta la privacidad o intimidad de los usuarios?

GA: Primero decir que nos tomamos muy en serio la privacidad e intimidad de nuestros usuarios. Efectivamente UNO WiFi recoge datos anónimos y nominativos. Los anónimos nos permitirán responder preguntas para mejorar la ciudad y calidad de vida. Los nominativos le permiten a los comercios entender mejor como atender a cada visitante. 

– RIDAT: ¿Crees que una persona que sea muy poderosa y que obtenga muchos beneficios económicos tratando ilegalmente datos personales, esté dispuesta a matar para conservar o aumentar esos beneficios?

– GA: Cuando de avaricia de poder se habla, muchos no tienen límites. Quiero creer que no, hay que recordar que la información es un comodity y cada día se multiplican las fuentes de donde conseguirla. Pero tratar esta información no es trivial y los beneficios económicos pueden ser muy importantes.

Entrevista completa en la edición impresa

Se lanzó la Versión en Papel de la Revista Internacional de Protección de Datos y Derecho Informático

Un día muy especial para nosotros. Una alegría plasmada gracias al esfuerzo de varios meses de haber sido lanzada la versión online. Con el ISSN 2301-1556, hoy salió a la calle el Número 1 de la Revista en papel. Una edición de 32 páginas que acompañará con trabajos completos y se complementa con la presente edición en la Web.

En este primer número, contamos con los siguientes trabajos:

  • Nuestros amigos….los Drones
  • Protección de Datos. A dónde vamos y a dónde vamos/queremos ir
  • Los Datos que regalamos. Entrevista a Gustavo Azambuja. CEO de UNO | WIFI
  • Guía práctica para prevenir y neutralizar el Bullying
  • El Síndrome de Hansel y Gretel

Muchas gracias

Andrés

Imagen

 

Las Recomendaciones de la Comisión Europea para Actualizar la Protección de Datos

Evidentemente, contar con una Directiva que tiene ya 19 años en el aire, da lugar a dos lecturas simultáneas: la primera de ellas es que, la Directiva 95/46/CE sobre Protección de las Personas frente al Tratamiento de los Datos Personales es una norma robusta que ha sabido ser fuente de aplicación para defender nuestros derechos fundamentales. Sin embargo, el segundo punto es que, efectivamente, lleva muchos años ya, y ello se multiplica si nos referimos al avance de las TIC, especialmente en el tratamiento de nuestra información. Es evidente que su aplicación no sea entonces, lo eficiente que debería ser, y por ende, como nos referimos a un derecho fundamental, la Comisión Europea entiende que urge aplicar una serie de actualizaciones en dicha materia. 

Estamos a la espera entonces, de que estas propuestas finalmente se conviertan en una Directiva del Parlamento Europeo y del Consejo en materia de protección de datos, velando por un efectivo tratamiento de los ficheros a través de autoridades competentes en cuanto a la prevención, detección, investigación y enjuiciamiento de hechos criminales así como la ejecución de las penas impuestas, garantizando además el libre y correcto intercambio de información, basados en la Directiva 95/46/CE así como en el Tratado de Funcionamiento de la Unión Europea (TFUE), artículo 16, apartado 1, dónde se expresa que toda persona tiene derecho a la protección de datos de carácter personal y el apartado 2 (Tratado de Lisboa) en el que se establecen las normas legales de limitación del tratamiento de los datos personales y la Decisión Marco la 2008/977/JAI (la cual puede ser objeto de derogación si se aprueba el proyecto de la nueva Directiva) que en su artículo 3 fija las pautas para el tratamiento automatizado y no, de los datos personales

 

Los cambios más prometedores a la protección de datos se pueden apreciar en los artículos 18 a 23 incluído del proyecto de Directiva referidos entre otros al responsable del tratamiento de los ficheros y de los datos personales y el cambio de postura que ahora se fortalece con la protección desde el diseño y protección por defecto con motivo de garantizar la misma desde el comienzo de su tratamiento luego de haber sido cedida la información por su titular.

La Comisión Europea quiere entonces que todos los ciudadanos sean conscientes de lo que significa el manejo de datos personales sin tomar las debidas precauciones a la hora de comunicarlos a cualquier tercero, y así lo expresa en su página Web “Justice” refiriéndose a que cada vez que abrimos una cuenta bancaria, compartimos información en una red social o simplemente reservamos un billete de avión online, entregamos valiosa información como el nombre, dirección o número de tarjeta de crédito. Las preguntas que nos debemos hacer son: ¿Qué sucede con estos datos? ¿Caen en manos equivocadas? ¿Con qué derechos contamos para defender nuestros datos y nuestra privacidad?

El uso de una norma uniforme que sea la reguladora de toda la Unión Europea es lo que el 90% de las personas de la región quieren, y ello hoy no existe. El movimiento de la sociedad de la información sugiere que los hábitos más comunes y diarios de las personas se han mudado de las prácticas tradicionales hacia la red y los móviles, y ello no puede ser tomado a la ligera ni permitir que algunas instituciones, compañías e instrumentos automatizados acompañados de las últimas aplicaciones dotadas de inteligencia artificial, nucleen y manipulen los datos personales de millones de personas, sin su consentimiento o sin el uso adecuado, con fines distintos y hasta ilegales. Las propuestas de la Comisión Europea son acertadas porque responden a las exigencias de las personas acorde con el uso del sentido común en la protección de sus derechos fundamentales.

Un Gran Paso Hacia Adelante: la UE Ratifica el Derecho al Olvido

En estos días, se ha logrado avanzar muchísimos metros en la defensa del derecho fundamental a la protección de datos personales: el Tribunal de Justicia de la Unión Europea ha respaldado a la Agencia Española de Protección de Datos y ha sentenciado a Google a eliminar los datos desactualizados de un titular cuya información publicada en el motor de búsqueda, le perjudica. Y le perjudica, porque la relación de morosidad a la que hace referencia, ya no existe, y por ello, tampoco debería existir el motivo para que el responsable del tratamiento de los datos siguiera utilizando los mismos. En otras palabras, si se agota la razón justificada para que un tercero utilice los datos personales de una persona, entonces, esa información debe ser eliminada. Y si además, dicha información le perjudica porque socialmente, moralmente y honoríficamente, el titular aparece ante el mundo como un moroso cuando no lo es (lo fue), entonces, más todavía. Y es un gran paso porque, en realidad, la UE no protege aún al derecho al olvido, pero con esta sentencia ha querido dar un doble mensaje: a los grandes, que no os hagais los vivos. Al resto de Europa, que la preocupación que tiene la Comisión Europea y que fuera presentada hace dos años (2012) como propuestas renovadoras de la protección de datos personales (dónde se contempla en derecho al olvido) deben aprobarse ya. No hay más tiempo.

En definitiva, a veces, nos sorprende para bien, el uso del sentido común. Y este es uno de los casos. 

Seguridad en el tratamiento de nuestros datos personales. Nuevos principios rectores

Conforme los tiempos avanzan, también lo hace la tecnología y el manejo de nuestros ficheros de información personal. En base a ello, he planteado una actualización o creación de nuevos principios rectores de la seguridad en el tratamiento de los datos personales que describo a continuación: 

Principio de máxima seguridad. Cada instrumento automatizado adoptará un nivel alto en la recolección y tratamiento de los datos personales. Se entiende por nivel alto de protección, aquel que permite establecer medidas para garantizar la calidad y confiabilidad de los servicios, así como la integridad de los datos tratados, el objetivo de tratamiento de los mismos y el no acceso o filtración por parte de terceros no autorizados así como garantizar el no repudio de los mismos por parte de su titular.

 Principio de seguridad de acceso autorizado. Entre las medidas de seguridad, se  reconocen como   válidas  aquellas que permitan la encriptación de archivos mediante criptografía avanzada que no permitan  el  acceso no autorizado, el crackeo y hackeo de dicha información y sí su acceso  mediante  clave o contraseña.  En caso de ser necesario, los instrumentos automatizados adoptarán la firma electrónica reconocida para el envío y recepción de datos de carácter personal. Se respetará en lo aplicable, la Directiva 1999/93/CE, en especial el artículo 5.1. La implementación de la firma electrónica se realizará acorde con la Ley 59/2003 de 19 de diciembre sobre firma electrónica, especialmente en lo relacionado con el artículo 3.3 de dicha norma referente a la firma electrónica reconocida. Los instrumentos automatizados deberán utilizar medidas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad.

 Principio de debida firma. De corresponder su adopción y de acuerdo a lo establecido en la Ley 59/2003 de 19 de diciembre, la firma electrónica y la firma electrónica reconocida se basarán en certificados reconocidos que serán emitidos por prestadores de servicios de certificación, ejecutada por un Dispositivo Seguro de Creación de Firma (Infraestructura de Clave Pública o PKI) de manera que satisfaga los requisitos jurídicos, de la misma forma que lo hace una firma manuscrita. Bajo las mismas condiciones descritas anteriormente en que sea de aplicación la Firma Electrónica Reconocida y sea necesario enviar y recibir archivos o documentos de cualquier tipo, los mismos serán debidamente firmados electrónicamente para su envío y recepción.

 Principio de encriptación en tiempo real. En todos los demás casos en que no amerite el uso de firma electrónica o firma electrónica reconocida para el envío y recepción de datos personales en todos sus términos, los instrumentos automatizados adoptarán un sistema de encriptación de los datos a tratar en tiempo real. Ello deberá permitir la disociación inmediata, así como el proceso inverso de asociación y desencriptación de los datos en concordancia con la normativa vigente.

 Principio de debida información. Los instrumentos automatizados informarán al ciudadano de la utilización de firma electrónica (si corresponde su uso) para la información a la que desea acceder, así como de la identificación de las personas y entidades que intervienen el proceso de cifrado digital.

 Principio de comunicación permanente. Los instrumentos automatizados deberán contar con acceso a Internet, o en el caso de no disponer de conexión, se procederá a su instalación en un plazo de treinta días desde la adopción de un código de conducta. Se adoptará a los efectos, al menos dos sistemas de conexión inalámbrica distintos entre sí. La utilización de la conexión a Internet e Intranet será para el cumplimiento de los siguientes objetivos:

 

  • Interacción con las personas
  • Tratamiento adecuado de los datos
  • Cooperación entre personas e instrumentos automatizados
  • Identificación en línea de los instrumentos automatizados
  • Tele operaciones, tele presencia, video conferencia y conferencias basadas en la web
  • Aprendizaje
  • Realizar consultas y plantear dudas e inquietudes.

 

Principio de doble notificación en casos de falta o fallos de seguridad. Establece que aún en casos de adoptar todas las medidas de seguridad pertinentes y establecidas en los principios actuales, si se produce alguna situación de inestabilidad en la protección de los datos personales por el responsable de su tratamiento debido a fallas de seguridad, el mismo deberá comunicar inmediatamente de ello a los titulares de los datos afectados y a la unidad reguladora correspondiente.

Las Instituciones Bancarias y el Cruzamiento de Nuestros Datos

Fragmento de próxima publicación en Revista “Doctrina & Jurisprudencia” de CADE.

Realidad hipotética: Nos llaman al teléfono de nuestro hogar, y cuando atendemos nos dicen: “Buenos días ¿el señor Mario Xxxx?“ “Sí“, contesto. Y a continuación me explican: “Mi nombre es Lorena. Lo llamo del DDDDTTT Bank para comunicarle que tiene aprobada una tarjeta VAAA Internacional gratis con un crédito de 1500 dólares mensuales a su nombre. Solo debe indicarnos sus horarios de disponibilidad, así le haremos llegar la misma junto con el contrato a firmar y la fecha que prefiere para el cierre. Solamente deberá usted entregar la copia firmada en nuestras oficinas de Atención Al Cliente, en Benito Blanco xxxx de lunes a viernes, de 13 a 17 horas. Que tenga un buen día señor Xxxx“. Conversación telefónica terminada. 

Lo cierto es que en la práctica, la empresa devenida call-center o data-center encargada de procesar y comunicarse con los ciudadanos, ha recibido una base de datos, de parte de una institución bancaria o de otra empresa, cuyos perfiles de los integrantes de ese fichero de datos les hace asequibles para generar nuevos clientes, tanto de los bancos como de las prestadoras de tarjetas de crédito y débito. ¿Cómo obtuvieron mis datos personales? Esa pregunta tiene varias respuestas: debido a que la propia institución bancaria ya contaba con ellos y los derivó a una empresa tercerizada para que se contactara con nosotros; o porque esa base de datos fue vendida o entregada por otra institución bancaria o de otro rubro a este último banco para que contratara a una empresa tercerizada; o quizá, porque esa empresa compró esa base de datos a una institución, y ahora ofrece los servicios de fidelización de futuros clientes para otras empresas o instituciones bancarias, sin importar la legalidad o la violación de un derecho fundamental como el de la privacidad, la intimidad o la autodeterminación informativa. En otras palabras, se manipula nuestra información sin tener en cuenta que se viole la protección de nuestros datos personales recogidos en la Constitución y respaldados por la Ley 18331, la Unidad Reguladora y de Control de Datos Personales (URCDP) y el Convenio 108 de Europa sobre la protección de las personas frente al tratamiento de los datos personales, del cual Uruguay es miembro ratificante.

El responsable de una base de datos con nuestra información, no podrá bajo ningún concepto, tratar o ceder los mismos en las siguientes situaciones:

Cuando el titular de los datos personales no haya otorgado su consentimiento para que los mismos sean utilizados con una finalidad distinta, siendo ésta la de ceder la información a una institución bancaria o call-center o tercero o para cualquier fin comercial o diferente del original.

Cuando el titular de los datos personales, haya otorgado su consentimiento, pero posteriormente lo haya revocado mediante presentación de escrito de supresión ante el responsable del tratamiento de los datos u obtenga sentencia favorable judicial en acción de habeas data.

Cuando se haya otorgado el previo consentimiento informado por parte del titular, para que sus datos sean tratados con fines comerciales solamente por quién los recopiló, pero no se otorgó el mismo para que sea tratado o cedido por otro tercero u otra institución, incluidos otros bancos o call-centers.

Cuando alguno o algunos de los destinatarios para el tratamiento de los datos personales ha recibido los mismos mediante transferencia internacional y no cumple con las prohibiciones establecidas en la Ley 18331, artículo 23 así como con la Ley 19030 de 07 de enero de 2013 sobre el Convenio N° 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal y el Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos.

En definitiva, cuando no se cuenta con el previo consentimiento informado para dichas finalidades, sin importar si quién los ha recogido sea una institución bancaria, un call-center o un tercero.

Las Tres Leyes de la Robótica y el Artículo 18.4 de la Constitución Española

Primera Ley: Un robot no puede hacer daño a un ser humano o, por inacción, permitir que un ser humano sufra daño.
Segunda Ley: Un robot debe obedecer las órdenes dadas por los seres humanos, excepto si estas órdenes entrasen en conflicto con la Primera Ley.
Tercera Ley: Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la Primera o la Segunda Ley.

Estas tres leyes de la robótica, elaboradas por Isaac Asimov y que vieran la luz por primera vez en un el relato Runaround (1942), servirían como preámbulo de lo que la sociedad espera de una relación fructífera entre las personas y los instrumentos automatizados, las aplicaciones inteligentes y los robots, y serían precargadas en la memoria de los mismos (especialmente los robots) a los efectos de que fueran acatadas sin opción a su desobediencia. Existe además Zero Law, la cual hace referencia al derecho colectivo y a la humanidad en sí como objeto de protección.

Lo cierto es que al realizar un paralelismo de la primera ley con el artículo 18.4 de la Constitución Española, podemos apreciar que el objeto de ambas es el mismo: evitar el daño causado por un tercero, solo que en este caso no es un ser humano. La referencia es correcta, y más aún al considerar la violación a los datos personales por lo que es: un daño producido con nefastas consecuencias. Entonces de facto, en ningún momento se puede expresar que ambas normas son incompatibles o contrarias sino que el espíritu de la salvaguarda del ser humano y de la preservación se encuentran recogidas tanto en la carta magna como en la primera ley. Respecto a la elaboración de principios que permitan la adopción de un código de conducta o una modificación a las leyes existentes para salvaguardar las relaciones sanas entre las personas y los instrumentos automatizados dentro de la sociedad de la información, necesariamente la primera ley de la robótica estará presente como pilar o principio ya que garantiza así el cumplimiento de la autodeterminación informativa in totum y por ende el pleno goce de los derechos fundamentales.

Teniendo en cuenta el perfil humanista de la norma, la misma pone a la persona como centro de atención ya que el objetivo es su integridad y la vida frente al accionar ajeno, que curiosamente se expresa en dos aspectos: positivo y negativo al referirse a la prohibición de hacer, pero además a la prohibición de no hacer. Al pre cargar en los instrumentos automatizados los principios que rigen la autodeterminación informativa in totum y el respeto por las normas sobre protección de datos incluida la ejecución de la primera ley de la robótica, se garantizará así el cumplimiento del artículo 18.4, así como la efectividad de la libertad fundamental de las personas.

La segunda ley de la robótica corresponde con las limitaciones y delimitaciones de los instrumentos automatizados establecidas en el código de conducta a los efectos de evitar que sus acciones y decisiones queden libradas al azar. Si bien éstos están dotados de inteligencia artificial e informática decisional avanzada, ello no evita que sus decisiones y posteriores actuaciones afecten y vulneren las libertades fundamentales de las personas. En ese contexto, la segunda ley es clara y así lo será la norma de conducta que se base en los principios que regulen el comportamiento entre todas las partes, al garantizar un mínimo de control por parte de las personas evitando así el exceso en las actuaciones de los instrumentos automatizados. Sin embargo, lo justo en su medida justa, las decisiones de las personas pueden muchas veces ser malintencionadas o negligentes lo que producirá sin dudas un daño mayor tanto a los propios instrumentos automatizados como a las personas. Para ello, la excepción a la segunda regla es justamente, el ejercicio pleno de las leyes y del sistema jurídico, que refiere a la primera ley como corolario para que no pueda ser vulnerada.

Por último y muy importante, la balanza se nivela con la tercera ley cuando se garantiza la integridad de los que no son personas. Es lógico que así sea, porque en una sociedad dónde conviven seres humanos con instrumentos automatizados y dónde todos cuentan con poder de decisión, todas las partes estarán garantizadas en el cumplimiento de sus obligaciones así como también en la defensa de sus derechos. Si tanto los instrumentos automatizados como las personas producen efectos jurídicos en los otros y si el ordenamiento jurídico garantiza el respeto de las libertades de los segundos, lo natural entonces es que se garanticen también las libertades de los primeros, siempre y cuando no interfiera con los derechos ajenos, tal como lo expresa la tercera ley, que no debe entrar en conflicto con sus dos predecesoras.

La Sociedad de Riesgo

¿Se podría decir que la Sociedad de la Información es una Sociedad del Riesgo? ¿Acaso forma parte de una evolución que debe ser regulada por el ordenamiento jurídico?
¿Por qué una sociedad entera es víctima de sus propias acciones y termina por considerarse “en cuarentena” para evitar que propague sus males (o para no contagiarse de otros peores)?
Porque, como bien lo expresa ULRICH BECK (Beck, 1998) en su trabajo La sociedad del riesgo, hacia una nueva modernidad”, la misma modernización en vez de solucionar los problemas que azotaban a la sociedad del siglo XX, en vez de brindarle a las personas, mayores libertades que ampararan los derechos fundamentales, terminó por crear una sensación de vivir rodeados de nuevos peligros y un gran porcentaje los mismos culminaron por volverse una realidad que ahora ataca directamente la Sociedad de la Información y a las libertades personales gracias a la falta de control adecuado desde la esfera jurídica.
A decir de VELARDE, al abundar el acceso y el tratamiento de la información, cada individuo elige aquella que más se adecua a su propia perspectiva (por no decir “conveniencia“), creando su propia realidad, formando grupos de intereses comunes, pero aislándose de la verdadera sociedad, lo que además contribuye a que se pierda el verdadero rumbo de los valores, con la consecuencia directa de un actuar por encima de las normas que protegen a la privacidad y a la intimidad.
De facto, la sociedad actual no comparte los lineamientos de décadas pasadas, tales como la Edad Media, dónde predominaba el factor de la miseria como resultado no querido del destino o de un actuar infortunado de las personas, sino que la misma se subsume en otro factor: el miedo y el riesgo. ¿Qué sentido tiene entonces llegar a la miseria si antes la propia sociedad se ahogará en su propio vaso de agua debido al miedo que existe de que sus datos sean ventilados y publicados en espacios que no deberían, por quiénes no deberían y previendo consecuencias nefastas para la intimidad y privacidad de sus titulares? Es así entonces que ponemos el ojo avizor en el derecho fundamental a la protección de los datos personales y en especial a la autodeterminación informativa que buscará proteger aún más la vida privada, especialmente la propiedad personal antes de sucumbir en la miseria. Ya se han advertido indicios de ello al verificar la gran proliferación de normativa de distintas ramas del Derecho que hacen su referencia a la informática y a la sociedad de la información como marco regulatorio. Esta no es otra sospecha de la importancia y magnitud que representan las Tecnologías de la Información y Comunicación en la vida cotidiana. Se suma además una característica única de la mencionada sociedad: la trascendencia más allá del espacio y el tiempo. En efecto, su velocidad para adoptar nuevas aplicaciones tecnológicas, abandonar las anteriores y desarrollar prácticas distintas constantemente, no es algo que el ordenamiento jurídico deba tomar a la ligera ni tampoco que le sea fácil de regular.

El Oficial de Protección de Datos en América Latina

También llamado Data Protection Officer (DPO) en la Union Europea, es el guardian de la informacion. Aquel cuya tarea es la de prevenir violaciones a la Ley de Proteccion de Datos dentro de una institucion, asi como adecuar el correcto tratamiento y seguridad en el manejo de la informacion privada ya sea adentro como afuera de la misma, especialmente en las relaciones con el exterior cuando se ficheros de datos se trata. Por que es necesario? Porque a pesar de que cada empresa, institucion o trabajador unipersonal lleva un control de sus ficheros, y a pesar de que existe un responsable de las bases de datos, su tratamiento, proteccion y seguridad no se encuentra al alcance de la media, y tampoco es una tarea que deban especializarse las instituciones, sobre todo cuando han recopilado muchos datos, en mas de un fichero (no olvidemos, que las grabaciones de videos de seguridad tambien son consideradas bases de datos y pueden contener informacion privada e identificable), y al ser un derecho fundamental el que estamos tratando, se hace importantisimo contar con un experto en la materia, alguien que explique que hacer con los datos recogidos, como protegerlos, como cumplir con el consentimiento de su titular, con el objeto de la entrega de los datos, con las notificaciones obligatorias a las agencias o unidades que regulan dicha proteccion, y en especial, para evitar que los datos personales sean vendidos o comunicados a terceros sin el consentimiento o conocimiento, para otro fin diferente al que fueron entregados.

En Europa, es la Directiva 95/46/CE, en su articulo 18 y relacionados, que refiere a la necesidad de contar con un data protection officer. La obligacion de comunicar la estructura de los ficheros a las agencias, como la Agencia Española de Proteccion de Datos, lleva a ello, a que existan especialistas encargados de que los responsables cumplan con la LOPD y con la Constitucion.

En la region de America Latina, si bien existe la obligacion legal de comunicar la estructura de las bases de datos a las agencias de proteccion (Ley 18331 LPDP en Uruguay, obliga a los responsables de ficheros a comunicar los mismos a la Unidad Reguladora y de Control de Datos Personales), no existe la figura del Oficial de Datos Personales (DPO), debido a que aun no se toma conciencia de la seriedad que significa el tratamiento adecuado de la informacion personal como un derecho fundamental, y del daño que causa su vulneracion. Para ello, es indispensable que la propia Unidad Reguladora y de Control de Datos Personales, exija el cumplimiento de la LPDP respecto a las comunicaciones y aplique sanciones en caso de que no se cumplan. De esa manera, la figura del DPO surgira por necesidad y su cometido sera el de proteger el derecho fundamental de los titulares de ficheros de datos personales.

Los drones y nuestra privacidad

Los unmanned aerial vehicles (UAV) también denominados drones o aviones robots existen hace ya un buen tiempo, solo que ahora su uso será permitido tanto para públicos como para privados. Lo que en un principio fue diseñado para uso estrictamente militar, ahora trasciende las fronteras hacia el sector público dentro de lo que puede ser el control policial en materia de sociedades y más aún para el uso en el ámbito privado empresarial así como amateur. Lo que caracteriza a estos drones es que son aeronaves que no son piloteadas por ningún ser humano (al menos físicamente dentro de la nave) y pueden ser controlados por terceros mediante control a distancia o smartphone, vía satelital por otros instrumentos automatizados, o la novedad, contar con su propio sistema de inteligencia artificial para la resolución de situaciones y la toma de decisiones en el acto sin intervención de terceros. Estos drones a su vez han sido diseñados en al menos tres tamaños, que se clasifican en micro y mini UAVs, UAVs tácticos y UAVs estratégicos. Esta variedad de envergaduras les permite adaptarse a distintos escenarios de vigilancia y acción que van desde los más grandes, utilizados con fines bélicos militares hasta los más pequeños cuyo objetivo es ingresar en espacios dónde una persona no puede llegar, como lo son los rincones estrechos o los hogares de las distintas poblaciones. En la mayoría de los casos, todos los drones cuentan con sistemas avanzados de video vigilancia y reconocimiento biométrico de las personas, y es justamente aquí dónde nuestra privacidad entra en juego, quedando totalmente expuesta a la discrecionalidad de terceras personas o de instrumentos automatizados, no ya sin nuestro previo consentimiento, sino sin nuestro entero conocimiento de que estamos siendo espiados e invadidos en nuestra vida privada, algo que como podemos apreciar, resulta extremadamente sencillo para estos pequeños drones, dotados de inteligencia artificia y tecnología de avanzada. Tal es el abuso que se puede lograr con este tipo de instrumentos auto piloteados, que de momento no existe regulación alguna que protéjalos derechos fundamentales frente a esta arremetida que ha tomado a todos por sorpresa debido a la operabilidad actual de dichos instrumentos automatizados. De hecho, la sociedad civil y distintos abogados privados en EEUU se han organizado para protestar contra esta invasión de la privacidad y lograr que se legisle de manera inmediata velando por la defensa de la libertad y la intimidad personal. Existe jurisprudencia en los EEUU que ponen en evidencia que estamos frente a una inmensa desprotección de nuestros derechos fundamentales, como es el caso de la sentencia en Kyllo v. United States dónde se explicita de que no es de recibo el uso de tecnología térmica para detectar la presencia de un ser humano en determinada área, a base de lecturas de la temperaturas de su cuerpo, mediante instrumentos aéreos radio controlados, sin las debidas garantías que implican haber obtenido el permiso o el previo consentimiento del afectado. Y más recientemente, en el año 2011, en el caso de la Suprema Corte de los EEUU, United States v. Jones, se llegó a la conclusión de que para realizar el seguimiento de vehículos en autovías mediante sistemas de rastreo por GPS y que los mismos sean amparados por la Cuarta Enmienda, se deberá contar con las debidas garantías de un tribunal judicial. Todo ello demuestra que dejar libradas nuestras libertades fundamentales al arbitrio de la video vigilancia y recolección de datos a través de instrumentos automatizados y robots aéreos sin la adopción previa de principios que nos respalden, es uno de los peores errores que el sistema jurídico permite que se cometan y que quizá sea ya tarde para defender nuestra autodeterminación informativa (o a vida). 

La Sociedad de la Información y la Autodeterminación Informativa

A decir de EMILE LITTRÉ, “Hace algunos años la sociología no existía, y Mr. Comte ha sido el primero en trazar el cuadro de dicha ciencia. Este cuadro, en sus líneas principales ¿es suficientemente exacto? Por mi parte, así lo creo; pero, en un asunto tan nuevo y tan complicado, conviene tener el espíritu abierto á la crítica, no desdeñar ninguna dificultad y estar dispuestos siempre á aceptar las fiscalizaciones, es decir, á someter la teoría á la prueba de los hechos, y sobre todo de los hechos nuevos.”, al cual se le puede complementar con la idea de que un asunto nuevo ahora llama la atención de las personas, como lo es la autodeterminación, en virtud de la cual, el hombre la escoge para sí mismo o para su comportamiento personal153.
La hoy derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. (Vigente hasta el 14 de enero de 2000) establecía en la exposición de motivos las pautas del derecho de autodeterminación informativa, el cual permite proteger los datos de un uso indebido como una de las garantías de los ciudadanos154 acompañada de la definición que FERNANDEZ MARTINEZ hace en su Diccionario Jurídico al referirse a un “derecho de todos los ciudadanos“ a conocer dónde, por quiénes y cuáles datos se recogen por medio de la informática referentes a nuestras vidas privadas155.
El Derecho Fundamental a la autodeterminación informativa es en realidad una libertad cuyo ejercicio es bastante reciente. Esto conspira contra el resultado querido por la propia Carta Magna, debido a que su texto data de años anteriores a la conformación de lo que hoy es la sociedad de la información. Ello demuestra que a pesar de su inclusión como derecho fundamental156, la misma no deja de ser considerada emergente157.
Reza el artículo 18 CE: “1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial.
4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.”
Como se puede apreciar, si bien el derecho a la autodeterminación informativa se recoge claramente en el punto 4 del mencionado artículo, en su conjunto se aprecian las protecciones fundamentales de varios derechos, incluyendo la intimidad, acopiada en el punto 1. Sin embargo, nada explicita sobre la vida privada en sí158, elemento fundamental de defensa en una relación de convivencia entre personas (y ahora personas e instrumentos automatizados) dentro de la sociedad de la información. La acotación es válida a la hora de su interpretación, motivo que lleva a la elaboración de este trabajo. Y si bien, el artículo 18.4 expresa que es la Ley la que deberá limitar el uso de la informática, en la actualidad, es la informática la que limita a la Ley, y por ello el título de este trabajo: La autodeterminación informativa limitada.
Podemos remitirnos a lo que expresa el fallo de la sentencia del Tribunal Constitucional159 (TC) 254/1993 de 20 de julio cuando expresa “De este modo, nuestra Constitución ha incorporado una nueva garantía constitucional, como forma de respuesta a una nueva forma de amenaza concreta a la dignidad y a los derechos de la persona, de forma en último término no muy diferente a como fueron originándose e incorporándose históricamente los distintos derechos fundamentales. En el presente caso estamos ante un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos, lo que la Constitución llama «la informática»“.
En resumen, a decir de GREGORIO ROBLES, lo que se reconoce a la persona titular del derecho a la autodeterminación informativa, es un poder como sujeto de la acción160 (sea ésta negativa o positiva), aunque en los hechos la misma no se realice.

El Síndrome de Hansel & Gretel (Parte V. Final)

volviendo al hecho de que cada día de nuestras vidas, cuando regresamos a nuestros hogares luego de una jornada de trabajo, de tareas, de compromisos o de descanso y licencia y ni nos percatamos de que hemos dejado guijarros de información personal (y sensible) para que extraños nos rastreen y sepan como secuestrar nuestra privacidad, nuestra vida y utilizarlos para sus propios y espurios intereses en desmedro de nuestra intimidad, sin diferenciar ahora si el agente y el destinatario final es una persona o un instrumento automatizado que actúa bajo sus propios parámetros evidentemente estamos ante la primera fase del Síndrome de Hansel & Gretel (éste todavía no termina de configurarse) en el cual, tal como en el cuento de los hermanos Grimm, podemos ser rastreados por terceros y así vulnerados en nuestros derechos fundamentales.

A decir de GUASTINI, puede distinguirse la intención de los constituyentes según sea subjetiva u objetiva (suponiendo que esta última refiera a una intención racional150), pero si ellos estuvieran vivos en este momento, no dudarían ni un segundo en reclamar el cumplimento íntegro del artículo 18.4 bajo cualquier circunstancia y bajo cualquier amenaza; y ello incluye sin lugar a dudas a los instrumentos automatizados y a las aplicaciones de software inteligentes. Sin embargo comienzan a darse cuenta de que el sistema jurídico no les ofrece alternativa alguna lo que lleva a cada titular de los datos personales vulnerados a perder las esperanzas de recuperar su honor, su integridad, a que se respete su decisión y su vida privada, su intimidad. Como consecuencia, la depresión en la que termina atrapada la persona producto de la sensación de indefensión e impunidad le lleva a darse cuenta de que no existe salida aparente de una situación que le supera y que le viola sus libertades fundamentales, al punto de que el ciudadano ahora duda de la efectividad de un sistema jurídico que se ha tornado obsoleto y que actúa frente a la intromisión de otras personas pero es ineficaz frente a aquellos que no lo son, pero que producen un daño sin ser regulados. Entonces, el daño sí se produce, la violación al derecho fundamenta a la autodeterminación informativa existe, pero no se computa ilegalidad, la ley no se viola y como la LOPD nada dice al respecto, nada puede hacer la autoridad por resguardar un derecho fundamental a la protección de datos personales cuando es atacado por un instrumento automatizado, una aplicación inteligente, un software de móvil o de tableta ¿Contra quién quiere que actuemos? 

Será la respuesta con pregunta de parte de la Agencia Española de Protección de Datos151 ¿contra una máquina? Claro, no se puede. No hay cómo. Entonces aquí se configura el Síndrome de Hansel & Gretel, luego de corroborarse la fase 2, lo que determina que la Autodeterminación Informativa recogida en la Constitución Española en su artículo 18.4 dentro del capítulo de Derechos Fundamentales, es en realidad una autodeterminación informativa limitada; limitada a que sean personas aquellas que se rigen por la LOPD porque en cuanto a instrumentos automatizados dotados de inteligencia artificial y capaces de causar un daño en la esfera personal de su titular…a ellos no les alcanza. La impunidad tiene distintas caras y en este caso su alimento es un ordenamiento jurídico que acusa muchos años de vida sin actualizarse a las exigencias reales de las personas en este siglo que ahora vivimos y padecemos.

Sin embargo, así como los óleos perfumados en el bautismo representan a los discípulos que defenderán la palabra en cualquier adversidad, aquí también los que reconocen mediante la empatía de los juristas que el derecho siempre debe aplicarse para vivir una vida digna y con respeto y tolerancia, buscarán la forma de encontrar victoriosos la libertad en las personas y en la sociedad. Es forma, se denomina Autodeterminación Informativa In Totum. 

 

El Síndrome de Hansel & Gretel (Parte IV)

Así como tempranamente SAVIGNY le dio sentido a la ciencia jurídica como estandarte de la interpretación de las normas y de las instituciones jurídicas relacionadas con las Leyes, llevado a la actualidad, el Síndrome de Hansel y Gretel consiste en que cada persona, desde el momento que nace y hasta su fallecimiento, continuamente se encuentra dejando rastros (guijarros) relacionados con sus datos personales, información que lo hace identificable, que le permite desempeñar todo tipo de actividades y ejercer sus derechos en sociedad (regreso a su hogar) pero que conlleva el gran peligro de poder ser rastreable, identificable y vulnerado en su intimidad, su privacidad y en sus derechos fundamentales, desde la violación de los datos personales hasta el peligro por la vida (sociedad del riesgo) misma. De hecho, ello sucede en milésimas de segundos, muchas veces con el propio consentimiento (y conocimiento) y en otras sin el mismo y de las maneras menos pensadas. Hasta el propio resultado obtenido de la información otorgada por su titular se corresponde con el objetivo de los niños del cuento infantil: encontrar los guijarros, identificar el camino, seguir el rastro para llegar a su destino. Tal es así, que desde que una persona se levanta hasta que se vuelve a acostar para dormir, ha dejado infinidad de información rastreable e identificable sin siquiera notarlo. Lo peor de ello es que esa información muchas veces no desaparece por sí sola, sino por la acción del hombre. Al estar el ciudadano viviendo hoy en día dentro de la Sociedad de la Información, los efectos del Síndrome de Hansel y Gretel se multiplican por varias cantidades. Para determinar que existe un padecimiento del mencionado síndrome, se verificarán dos fases diferentes pero complementarias entre sí. En este caso se le denominará Fase 1, correspondiente a la etapa en que los guijarros que contienen los datos personales son depositados a lo largo y ancho de la sociedad, permitiendo a terceros su utilización a discreción y la identificación de la persona. La recogida de estos guijarros se encuentra sujeta a la voluntad de los terceros y no de los titulares, porque por más que exista una Ley que lo proteja, la misma, en esencia no es respetada. Entonces, en esta primera fase que existiría a lo largo y ancho de toda la vida de una persona, los guijarros de la información son depositados en los espacios físicos y virtuales que forman parte de la sociedad y quedarán a merced y de hecho serán recogidos por terceros, ya sea con o sin el consentimiento. Generalmente, y en el caso del padecimiento del mencionado síndrome, el titular ni se imagina que con el correr de cada día, deja información que le puede identificar o crear un perfil de su persona y comportamiento disponible para terceros. Al no tener conciencia de que ello sucede, tampoco otorga el consentimiento para que cualquier extraño utilice sus datos personales. Un ejemplo de ello es el hecho de transitar por las calles de Madrid, tomar el metro para ir a trabajar, llegar a un bar, tomar un café y luego por la tarde, volver a su hogar. En todo el trayecto, la persona se apoyó en la baranda de las escaleras del metro, dejando su huella dactilar marcada, se sentó a tomar un café, dejando quizá su ADN por algún cabello que se le pudo caer. Dejó su ADN también al beber de una taza donde apoyó sus labios y marcó con su saliva. Luego pasó andando por zonas comerciales dónde existen cámaras de vigilancia y seguridad en las afueras. En todos los momentos, dejó cientos de guijarros, indicios de su vida privada, de sus datos personales, de su vida, que con la tecnología actual, es muy sencillo para un tercero, para un robot, para una aplicación inteligente junto con el instrumento adecuado, hacerse de los mismos y así crear un perfil de determinada persona sin que ésta haya otorgado su consentimiento, y sin siquiera que se haya enterado de todo este proceso. Seguramente, y acorde con la LOPD y con el artículo 18.4, si a una persona se le consulta si se puede utilizar su huella dactilar dejada en el metro línea 2 de Madrid para uso discrecional, ésta hará uso de su derecho fundamental a la autodeterminación informativa y se negará a ello. Eso suena lógico, sin embargo, que se proceda de esa forma o no, es otro cantar. Pero lo cierto, además, es que si fuera una aplicación inteligente o un instrumento automatizado el que decida recoger la huella dactilar, y el titular se negara a su recogida, ello no impide que se realice de todas maneras, porque como se ha expresado infra y se explicará supra, las leyes se aplican para personas y no para instrumentos automatizados. Por lo tanto, el daño se produce al hacerse de los datos personales sin el consentimiento así como al utilizarse para fines distintos, sean éstos lícitos o ilícitos, pero no se configura la violación de la Ley Orgánica así como tampoco puede el titular accionar contra quién trata los datos por no quedar comprendido en las normas españolas. Significa que a la luz del sistema jurídico, existe daño, mas no existe responsabilidad por el daño, no existe una persona que haya violado la norma y por tanto, no existe sanción, ni reparación, así como tampoco existe una vía de prevención de la recogida de datos personales sin el consentimiento de su titular. La Constitución está; el artículo 18.4 existe, pero no se respeta en este caso al no existir un responsable previsto en la ley. Por lo tanto, el Síndrome de Hansel & Gretel incluye una Segunda Etapa (Fase 2) que refiere a la imposibilidad del sistema jurídico de poder ejercer la LOPD y defender el derecho fundamental frente al accionar de instrumentos automatizados y aplicaciones de software. Frente a esta realidad, el titular de derechos se encuentra en una situación que no tiene salida, que no soluciona su problema y que percibe como su información es violada sin que exista manera de detener y volver a la situación jurídica anterior a la que se encontraba. Por tanto, el sistema ha fallado. No puede ejecutar las leyes y permite que se viole el derecho fundamental. No se cumple, a decir de IGNACIO VILLAVERDE MENÉNDEZ, con la función que le competen a los derechos fundamentales, extraída de la Gesamtverfassung, que es justamente la de determinar ciertos espacios de autodeterminación de la conducta para ponerlos a disposición de los individuos, ni más ni menos, imponiéndose las libertades fundamentales por encima de todas las leyes y limitando así el poder del Estado frente a estos derechos en favor de las personas. Pues al no poder ejercerlo, esto es lo que se denomina Autodeterminación Informativa Limitada, porque se limita solamente a que quien vulnere la misma sea un individuo de carne y hueso, así se podría aplicar la LOPD, pero no se aplica la misma para el caso de que quién lo vulnere sea un instrumento o aplicación inteligente. De esta manera, se configura y se padece el Síndrome de Hansel y Gretel al corroborarse las dos fases del mismo; una de ellas existente desde el momento del nacimiento de la persona hasta la actualidad y sin un final aparente y la segunda fase que se configura desde el preciso momento en que el derecho es exigible ante terceras personas pero no ante instrumentos automatizados y aplicaciones de ordenador y de tabletas así como de móviles. Ambas fases conviven, pero es evidente que para contabilizar la segunda de ellas se puede tomar como punto de referencia, el momento exacto en que el titular de los datos personales decide invocar su derecho de autodeterminación informativa y recibe como respuesta del sistema, que ello es imposible ya que no se puede actuar contra una “máquina” o “software” porque no son sujetos de derecho y por ende, no se puede aplicar la LOPD. Para demostrar que ello sucede a gran escala y que padecemos todos el síndrome de Hansel & Gretel, basta prestar atención a las declaraciones del director de Asuntos Públicos de Facebook para Europa y Asia, Richard Allan respondiendo a la Comisión Europea sobre la intención de ésta de que las personas ejerzan el derecho al olvido previsto en las reformas sobre protección de las personas frente al tratamiento de los datos personales propuestas en 2012. Según Allan, en una entrevista con la agencia de noticias EFE, cree que en algunos casos es imposible eliminar el rastro de información personal de Internet (tal cual, síndrome de Hansel & Gretel), porque si bien Facebook está dispuesta a ser transparente en la eliminación de datos personales, muchas veces, asegura, no es posible porque los titulares, a través de la red social han comunicado los mismos a terceros y a terceras aplicaciones. Un claro ejemplo de que nuestros datos, al igual que los guijarros en la fábula, se encuentran dispersos al alcance de otros para ser recogidos sin nuestro consentimiento y conocimiento, a lo largo de nuestro camino por la vida. Estos guijarros (rastros de nuestra información personal) ya han sido recogidos por terceros y por terceras aplicaciones para fines espurios (es algo que ocurre en la actualidad) sin que existan sanciones al respecto, siendo Facebook, nuevamente a modo de ejemplo, uno de los grandes infractores, como cuando no se recoge el consentimiento previsto, en el caso de la utilización de cookies que no son necesarias para un servicio determinado (§ 4c. Abs 1 Nr.1 BDSG, Art.5.3 de la Directiva Europea de Privacidad).
¿Existe una salida? Aparentemente no…a menos que se puedan establecer nuevos parámetros, y ello es lo que explicaré y propondré a lo largo de este trabajo: la presentación de la Autodeterminación Informativa In Totum.
Como se ha comentado, desde el momento que se nace hasta la extinción, se padece irremediablemente el síndrome de Hansel y Gretel. Sin embargo aún dentro del mismo, lo ideal sería que existiera tecnología que cumpla con el objetivo de eliminar los rastros de las personas, una vez que esa información ha cumplido con su destino, de la misma manera que los pájaros se comieron las migas de pan, no dejando ningún tipo de rastro y posibilidad de ser encontrado. De hecho se invierte el proceso del cuento pero a favor del ciudadano.

30 cumpleaños de la Sentencia del Tribunal Constitucional alemán sobre el censo.

El 15 de diciembre se cumplieron 30 años desde que el TC alemán (Bundesverfassungsgericht) decidió, en el marco de las protestas populares contra el censo, que no era correcto almacenar información sobre los ciudadanos de forma ilimitada. En su sentencia el Tribunal definió el derecho a la autodeterminación informativa como nuevo derecho fundamental autónomo.

La sentencia, que ha pasado a la historia como la “sentencia sobre el censo” se basaba en un razonamiento que sigue de actualidad en la que podríamos calificar como la era de las redes sociales: “El derecho a la autodeterminación informativa presupone, también en el marco de las nuevas tecnologías de la información, que cada individuo pueda decidir de forma libre sobre posibles tratamientos de sus datos, así como de poder actuar en función de los mismos. El derecho a la autodeterminación informativa hace imposible la existencia de un sistema social y legal en el que los ciudadanos no puedan saber quién, qué, cuándo y en qué condiciones dispone de información sobre ellos”.

Contra la Ley del Censo se habían presentado diferentes recursos, entre ellos el del recientemente fallecido Wilhelm Steinmüller, en el que se desarrollaba el concepto de autodeterminación informativa que posteriormente sirvió de fundamento para la sentencia que nos ocupa. Ese recurso también hacía referencia al almacenamiento preventivo de datos, y cabe suponer que esa referencia fue la base para que el Tribunal suprimiera la posibilidad de comparar los datos del censo con el número de viviendas, ya que eso habría posibilitado una “re personalización” de los datos estadísticos.

Hoy en día disfrutamos, al menos de momento, de las consecuencias de esta sentencia, que también puede ser considerada la fuente del nuevo “derecho a la integridad y confidencialidad de los sistemas informáticos”surgido, de nuevo, de una sentencia del Tribunal Constitucional Alemán de 27 de febrero de 2008, que supone una concreción en la definición del alcance de la protección de datos frente a las nuevas tecnologías. La Sentencia responde a un recurso presentado contra la reforma de la ley de los servicios de inteligencia del Estado de Renania del Norte Westfalia, en virtud de la cual se permitía expresamente que esos servicios pudieran utilizar de forma secreta troyanos para espiar los ordenadores de cualquier sospechoso, lo cual significa entrar en el ordenador, reunir toda la información encontrada y analizarla posteriormente. El Tribunal consideró la reforma como inconstitucional y configuró el nuevo derecho ya mencionado.

Teniendo en cuenta el proyecto de nuevo Reglamento Europeo de Protección de Datos, me parece adecuado mencionar que uno de los problemas que plantea ese proyecto (y desgraciadamente no es el único) es que cerrará el acceso de los ciudadanos a recursos de amparo en materia de protección de datos ante los tribunales constitucionales de los países miembros. Eso es especialmente grave en el caso alemán, donde el Tribunal Constitucional ha sido especialmente activo en la materia y casi siempre en favor de los ciudadanos. Ese problema es más grave de lo que pueda parecer en principio, ya que la Unión Europea carece de un tribunal equivalente capaz de ofrecer una protección adecuada a los ciudadanos.

El Síndrome de Hansel & Gretel (Parte III)

Como se ha comentado, desde el momento que se nace hasta la extinción, se padece irremediablemente el síndrome de Hansel y Gretel. Sin embargo aún dentro del mismo, lo ideal sería que existiera tecnología que cumpla con el objetivo de eliminar los rastros de las personas, una vez que esa información ha cumplido con su destino, de la misma manera que los pájaros se comieron las migas de pan, no dejando ningún tipo de rastro y posibilidad de ser encontrado. De hecho se invierte el proceso del cuento pero a favor del ciudadano.

Como último elemento del Síndrome de Hansel y Gretel, el hecho de que toda la sociedad actual lo padezca irremediablemente, significa que la misma se encuentra totalmente expuesta a ser reconocible, a ser vulnerada en su intimidad, en su privacidad, en su vida personal, y que si ello no ha sucedido ha sido simplemente por un tema de tiempo, o porque alguien no ha querido. Lo mismo sucede en la fábula134, cuando los niños se encuentran en peligro. Ese riesgo es el que siempre estará latente en la sociedad de la información. Justamente, y en este término es cuando se nota claramente la diferencia entre “Derecho de” y “Derecho a” como lo expresa ROBLES MORCHÓN. En efecto, el derecho positivo ya ha recogido literalmente el derecho de protección de datos personales en la Ley Orgánica 15/1999 así como en la Constitución Española de 1978, en su artículo 18.1 y 18.4 del capítulo referido a derechos fundamentales. Dentro de esta lista de libertades, se destaca la autodeterminación informativa, o sea, la disposición, el control y la potestad que cada titular de derechos posee sobre la decisión intrínseca de comunicar o no a un tercero, su información privada. Sin embargo, ante el Síndrome de Hansel y Gretel, tal “derecho de” se ve fuertemente truncado debido a la recogida indiscriminada de datos personales sin el consentimiento (y sin que su titular lo sepa) por parte de cualquier persona ajena, al encontrarse los datos “ahí”, listos para ser recogidos por cualquiera que posea la capacidad y la tecnología suficientes como para hacerse de los mismos. Ahora bien, ¿qué sucede entonces, cuando el encargado de recopilar toda esa información, no es una persona sino un instrumento automatizado? ¿Cómo se le aplica el artículo 18.4 y la LOPD? ¿Cómo se le sanciona y cómo le alcanzan las obligaciones a un ser que no es persona? Aquí aparece el “Derecho a” que se respeten nuevamente los derechos fundamentales de los titulares. A que cada persona, amén de la existencia de una norma que ha sido superada en el ordenamiento jurídico por el avance de la sociedad y sus necesidades en la actualidad, reclame nuevamente su derecho recogido en la CE. Por tanto, si misteriosamente existía la convicción de que los hombres siempre se sometían a fuerzas externas, a leyes dictadas por otros, entonces esas fuerzas deben velar nuevamente por la protección de mi derecho fundamental

El Síndrome de Hansel & Gretel (Parte II)

Seamos sinceros: si fuera una aplicación inteligente o un instrumento automatizado el que decida recoger la huella dactilar, y el titular se negara a su recogida, ello no impide que se realice de todas maneras, porque como se ha expresado infra y se explicará supra, las leyes se aplican para personas y no para instrumentos automatizados. Por lo tanto, el daño se produce al hacerse de los datos personales sin el consentimiento así como al utilizarse para fines distintos, sean éstos lícitos o ilícitos, pero no se configura la violación de la Ley Orgánica así como tampoco puede el titular accionar contra quién trata los datos por no quedar comprendido en las normas españolas. Significa que a la luz del sistema jurídico, existe daño, mas no existe responsabilidad por el daño, no existe una persona que haya violado la norma y por tanto, no existe sanción, ni reparación, así como tampoco existe una vía de prevención de la recogida de datos personales sin el consentimiento de su titular. La Constitución está; el artículo 18.4 existe, pero no se respeta en este caso al no existir un responsable previsto en la ley. Por lo tanto, el Síndrome de Hansel & Gretel incluye una Segunda Etapa (Fase 2) que refiere a la imposibilidad del sistema jurídico de poder ejercer la LOPD y defender el derecho fundamental frente al accionar de instrumentos automatizados y aplicaciones de software. Frente a esta realidad, el titular de derechos se encuentra en una situación que no tiene salida, que no soluciona su problema y que percibe como su información es violada sin que exista manera de detener y volver a la situación jurídica anterior a la que se encontraba. Por tanto, el sistema ha fallado. No puede ejecutar las leyes y permite que se viole el derecho fundamental. No se cumple, a decir de IGNACIO VILLAVERDE MENÉNDEZ, con la función que le competen a los derechos fundamentales, extraída de la Gesamtverfassung, que es justamente la de determinar ciertos espacios de autodeterminación de la conducta para ponerlos a disposición de los individuos, ni más ni menos, imponiéndose las libertades fundamentales por encima de todas las leyes y limitando así el poder del Estado frente a estos derechos en favor de las personas. Pues al no poder ejercerlo, esto es lo que se denomina Autodeterminación Informativa Limitada, porque se limita solamente a que quien vulnere la misma sea un individuo de carne y hueso, así se podría aplicar la LOPD, pero no se aplica la misma para el caso de que quién lo vulnere sea un instrumento o aplicación inteligente. De esta manera, se configura y se padece el Síndrome de Hansel y Gretel al corroborarse las dos fases del mismo; una de ellas existente desde el momento del nacimiento de la persona hasta la actualidad y sin un final aparente y la segunda fase que se configura desde el preciso momento en que el derecho es exigible ante terceras personas pero no ante instrumentos automatizados y aplicaciones de ordenador y de tabletas así como de móviles.  

El Síndrome de Hansel & Gretel (Parte I)

Así como la filosofía del Derecho se remonta en los conceptos jurídicos al siglo V A.C., dedicando tiempo completo a los fenómenos sociales, en este mismo ambiente introduzco un nuevo concepto aplicable a la recopilación, tratamiento y manejo de datos de carácter personal.

Hansel y Gretel cuenta la historia de dos hermanos hijos de un leñador muy humilde que es convencido por la madrastra de ellos para que los lleve al bosque y los abandone a su suerte, temiendo por la hambruna de toda la familia. Hansel y Gretel al escuchar el plan, deciden llenar una bolsa con guijarros blancos y los dejan caer durante todo el recorrido al bosque, creando un rastro que fuera fácilmente detectable y que les permitiera regresar a su casa. Nuevamente son llevados al bosque con la intención de abandonarlos, y en el apuro no pudieron recoger guijarros mas solamente migas de pan. Al dejarlas nuevamente para marcar el rastro, los pájaros del bosque se las iban comiendo lo que en definitiva hizo que se perdieran y no supieran cómo regresar o ser ubicados.

Así como tempranamente SAVIGNY le dio sentido a la ciencia jurídica como estandarte de la interpretación de las normas y de las instituciones jurídicas relacionadas con las Leyes, llevado a la actualidad, el Síndrome de Hansel y Gretel consiste en que cada persona, desde el momento que nace y hasta su fallecimiento, continuamente se encuentra dejando rastros (guijarros) relacionados con sus datos personales, información que lo hace identificable, que le permite desempeñar todo tipo de actividades y ejercer sus derechos en sociedad (regreso a su hogar) pero que conlleva el gran peligro de poder ser rastreable, identificable y vulnerado en su intimidad, su privacidad y en sus derechos fundamentales, desde la violación de los datos personales hasta el peligro por la vida (sociedad del riesgo) misma. De hecho, ello sucede en milésimas de segundos, muchas veces con el propio consentimiento (y conocimiento) y en otras sin el mismo y de las maneras menos pensadas. Hasta el propio resultado obtenido de la información otorgada por su titular se corresponde con el objetivo de los niños del cuento infantil: encontrar los guijarros, identificar el camino, seguir el rastro para llegar a su destino. Tal es así, que desde que una persona se levanta hasta que se vuelve a acostar para dormir, ha dejado infinidad de información rastreable e identificable sin siquiera notarlo. Lo peor de ello es que esa información muchas veces no desaparece por sí sola, sino por la acción del hombre. Al estar el ciudadano viviendo hoy en día dentro de la Sociedad de la Información, los efectos del Síndrome de Hansel y Gretel se multiplican por varias cantidades. Para determinar que existe un padecimiento del mencionado síndrome, se verificarán dos fases diferentes pero complementarias entre sí. En este caso se le denominará Fase 1, correspondiente a la etapa en que los guijarros que contienen los datos personales son depositados a lo largo y ancho de la sociedad, permitiendo a terceros su utilización a discreción y la identificación de la persona. La recogida de estos guijarros se encuentra sujeta a la voluntad de los terceros y no de los titulares, porque por más que exista una Ley que lo proteja, la misma, en esencia no es respetada. Entonces, en esta primera fase que existiría a lo largo y ancho de toda la vida de una persona, los guijarros de la información son depositados en los espacios físicos y virtuales que forman parte de la sociedad y quedarán a merced y de hecho serán recogidos por terceros, ya sea con o sin el consentimiento. Generalmente, y en el caso del padecimiento del mencionado síndrome, el titular ni se imagina que con el correr de cada día, deja información que le puede identificar o crear un perfil de su persona y comportamiento disponible para terceros. Al no tener conciencia de que ello sucede, tampoco otorga el consentimiento para que cualquier extraño utilice sus datos personales. Un ejemplo de ello es el hecho de transitar por las calles de Madrid, tomar el metro para ir a trabajar, llegar a un bar, tomar un café y luego por la tarde, volver a su hogar. En todo el trayecto, la persona se apoyó en la baranda de las escaleras del metro, dejando su huella dactilar marcada, se sentó a tomar un café, dejando quizá su ADN por algún cabello que se le pudo caer. Dejó su ADN también al beber de una taza donde apoyó sus labios y marcó con su saliva. Luego pasó andando por zonas comerciales dónde existen cámaras de vigilancia y seguridad en las afueras. En todos los momentos, dejó cientos de guijarros, indicios de su vida privada, de sus datos personales, de su vida, que con la tecnología actual, es muy sencillo para un tercero, para un robot, para una aplicación inteligente junto con el instrumento adecuado, hacerse de los mismos y así crear un perfil de determinada persona sin que ésta haya otorgado su consentimiento, y sin siquiera que se haya enterado de todo este proceso. Seguramente, y acorde con la LOPD y con el artículo 18.4, si a una persona se le consulta si se puede utilizar su huella dactilar dejada en el metro línea 2 de Madrid para uso discrecional, ésta hará uso de su derecho fundamental a la autodeterminación informativa y se negará a ello. Eso suena lógico, sin embargo, que se proceda de esa forma o no, es otro cantar.