La rana sobre la calavera

La rana sobre la calavera

miércoles, 17 de noviembre de 2010

Seminario Una década de protección de datos en Argentina - Ponencia "Marketing del Comportamiento en Internet"

En los próximo días 24 y 25 de noviembre de 2010, se llevará a cabo en la Universidad Austral y en la Universidad de San Andrés, el Seminario denominado Una década de protección de datos personales en Argentina.

Se encuentra abierta la inscripción al seminario y el registro de ponencias hasta el día 25 de noviembre. 


PONENCIA PARA SEMINARIO DE PROTECCIÓN DE DATOS PERSONALES.
UNA DECADA DE PROTECCION DE DATOS PERSONALES EN ARGENTINA

Autor: Manuel Pardi (mpardi@datamanaging.com.ar)

Tema: Marketing del Comportamiento en Internet

Propuesta: Se propone la reforma del artículo 27 de la ley 25.326 y su Decreto Reglamentario 1558/01, en orden a asegurar en el marco del tratamiento de datos personales para marketing del comportamiento en Internet, el cumplimiento del principio del consentimiento (artículo 5º), y los derechos de información (artículo 6º) y de retiro de las bases de datos que refiere el artículo 27, inc.3º (opt-out).

Fundamentos:

El marketing del comportamiento en Internet nos introduce en un complejo mundo de cuestiones técnicas y legales, que sugieren que la legislación actual habría quedado rezagada en relación a los avances tecnológicos.

Creemos que aún en este contexto, los principios y derechos tuitivos establecidos por la ley son eficaces, pero resultaría necesario adecuarlos a la realidad actual de las técnicas de marketing del comportamiento.    

En Internet, muchos operadores de sitios web –y también los usuarios- dependen de las cookies para que estos sitios funcionen correcta y provechosamente. Esta técnica se puede utilizar para rastrear las actividades de los usuarios en ese u otros sitios web. Las cookies son pequeños archivos de texto que se bajan automáticamente en el navegador del ordenador del usuario cuando este ingresa a los sitios web que utilizan esta tecnología. El almacenamiento y tratamiento de esta información, permite crear un perfil on line del usuario que determina sus gustos, intereses, hábitos de consumo, capacidad de compra, etc.. Así se puede hacer llegar a ese usuario ofertas de bienes o servicios y publicidad personalizada.
  
Veremos pues como inciden estas técnicas en los principios y derechos del ciudadano a la protección de su intimidad y autodeterminación informativa y también como se puede afectar los intereses de la actividad comercial en Internet por el rechazo que puede ocasionar al usuario el sentirse espiado en la web y no poder controlar su información[1].

I.- Consentimiento e Información:

La regla general y fundamental de todo sistema de protección de los datos personales es que se requiere el consentimiento de su titular para que sean utilizados con fines legítimos y los datos para marketing no figuran entre las excepciones a este principio previstas por el art. 5 y 11 LPDP[2].

Sin embargo, se observa que la reglamentación del artículo 27 de la ley por el Decreto 1558/01, estaría en colisión con esta regla, pues establece que podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular. Ya se ha señalado que: “En suma, la excepción reglamentariamente dispuesta a los datos que pueden ser recolectados, tratados y cedidos con fines de publicidad, constituye una violación más al régimen de la ley[3]”.

De tal modo, se observa que tal vez en aras de la promoción de la actividad comercial, probablemente siguiendo el art. 4º de la Ley 19.628 sobre Protección de la Vida Privada de Chile, de 1999, se relevó el principio del consentimiento para los fines de marketing.

Pero en el contexto internacional actual, verificamos que la U.E. ha establecido en la Directiva 136/2009[4], el requisito del consentimiento expreso e informado del usuario, antes de que se proceda a “bajar” una cookie en su ordenador. Este sistema que debe ser implementado por los países miembro para el 18-11-2011, ha producido significativos cambios, pues según el artículo 5.3 solo se permitirá el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal de un usuario, bajo la condición de que este haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos con arreglo a lo dispuesto por la Directiva 95/46/CE.

Asimismo el WP 29, aclaró que el consentimiento no será suficiente con la configuración de opciones del navegador del ordenador para aceptar o no cookies[5], como sugería una posible interpretación del considerando 66 de la Directiva 136/09.

En México, la Ley Federal de Protección de Datos Personales[6], prevé en el art. 8º que el consentimiento será tácito para el tratamiento de datos personales, cuando habiéndose puesto a disposición el aviso de privacidad el titular del dato no manifieste su oposición.

Además establece que cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, al menos la información relativa a la identidad y domicilio del responsable que los recaba y la finalidad del tratamiento de estos datos (cfr. art. 17:II de la ley Mexicana).

Por su parte en los E.E.U.U., si bien solo existen principios de autorregulación establecidos por la Federal Trade Comission conocidos como Behavioral Marketing Principles[7], hay proyectos legislativos que abordan el tema exigiendo un mayor control en torno al deber de información y consentimiento del usuario[8].

Este proyecto además de establecer requisitos para fijar avisos de privacidad visibles, claros y comprensibles para el usuario, establece importantes definiciones en relación a los distintos actores que participan en el sistema lo que ayuda a comprender el contexto tecnológico y a identificar a los responsables del tratamiento.
II.- Opt-Out

Creemos que el derecho al retiro de la base de datos con fines de marketing, previsto por el art. 27:3 de la ley 24.326 se encuentra desactualizado, pues la ley enuncia que el titular podrá solicitar el retiro o bloqueo de su “nombre”. Pues bien, estas tecnologías funcionan y almacenan información relativa al usuario sin necesariamente asociarla a su nombre, se valen de otros tipos de identificadores asociados a los objetos que normalmente utilizamos para conectarnos en Internet, por lo que la referencia en la ley al retiro del nombre carecería de sentido práctico.    

El proyecto norteamericano ya referido establece que su ámbito de aplicación comprende -entre otros supuestos- a cualquier identificador permanente, como un número de cliente, seudónimo único, dirección IP u otro identificador único, en los que estos se utilizan para recolectar, almacenar, o identificar información sobre una persona específica o una computadora, aplicación de software de su titularidad o que es usada por un usuario particular o que es asociada con un usuario en particular (cfr. art. 5:H). De este modo, no es necesaria la relación con el nombre de una persona para obtener protección legal, pues lo que nos identifica en este contexto no es necesariamente nuestro nombre sino el ordenador que normalmente utilizamos.

Cabe señalar que en los E.E.U.U. las normas de auto regulación de la industria han conducido a que se pueda ejercer el opt-out de las cadenas de anunciantes participantes de la Network Advertising Initiative[9], pero aún así la Federal Trade Comission proyecta establecer un registro “Do Not Track” similar al registro “Do Not Call” para acciones de telemarketing, que habilitaría al usuario el opt-out de las prácticas de marketing del comportamiento[10].   

Conclusión:

Las circunstancias descriptas sugieren la necesidad de modernizar la legislación incorporando las actuales técnicas de identificación de las personas que prescinden del uso del nombre pero que aún así tienen consecuencias para estas; y eliminar las contradicciones existentes entre la ley y decreto. 

Ello a fin de lograr por un lado el cumplimiento del principio del consentimiento y de derechos de información y opt-out en el contexto tecnológico actual y por el otra la armonización legislativa internacional.  

Creemos que en un escenario en el que el usuario no cuenta con la posibilidad de control de su información, no se genera la confianza necesaria para el máximo aprovechamiento de las posibilidades que ofrece Internet para el desarrollo de actividades comerciales o de cualquier otro tipo.


[1] Ver trabajo de investigación de las Universidades de Pennsylvania y Berkeley, disponible en: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1478214
[2] Cfr. Gils Carbó, Alejandra. Régimen Legal de las Bases de Datos y Hábeas Data. La Ley 2001, pg. 156.
[3] Peyrano, Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data. Lexis Nexis – De Palma 2002, pg. 183.
[8] El texto del proyecto de ley presentado por el exrepresentante Rick Boucher se encuentra disponible en: http://www.boucher.house.gov/images/stories/Privacy_Draft_5-10.pdf
[9] Se pueden desactivar cookies de rastreo de muchos operadores de esta tecnología accediendo al sitio: www.networkadvertising.org
[10] Ver al respecto artículo del diario The Wall Street Journal disponible en:  http://online.wsj.com/article/SB10001424052748704416904575502261335698370.html?mod=WSJ_hpp_LEFTWhatsNewsCollection

miércoles, 3 de noviembre de 2010

Demora en notificación a afectados por Brecha de Seguridad de Datos provoca demanda en E.E.U.U.

El Fiscal General del Estado de Indiana, promovió demanda el 29-10-2010 contra la empresa de Seguros WellPoint Inc., por no notificar en un plazo razonable al Fiscal y a los titulares de datos personales sobre la existencia de una brecha de seguridad de datos que afectó datos personales de cerca de 32.000 personas.

La brecha de seguridad se produjo en el website de la empresa WellPoint Inc. durante 137 días. Los clientes de la empresa de seguros, al asociarse llenaban formularios con datos personales tales como nombre, fecha de nacimiento, teléfono, e-mail, información de cobertura de seguro anterior, información histórica de salud y cuentas bancarias. Esta información era almacenada en una base de datos de la empresa, que notificaba al asociado una dirección web URL donde podían chequear sus datos personales, pero también los correspondientes a todos los demás clientes de WellPoint Inc..

A pesar de haber recibido reclamos individuales para que proteja inmediatamente el acceso a esta información (la brecha duró más de tres meses), WellPooint Inc. falló también en cumplir con la ley de notificación de brechas de seguridad de datos de Indiana (Ind. Code 24-4.9-3-1(a) y (c)., pues no puso oportunamente sobre aviso al Fiscal General de Indiana y tampoco a los titulares de datos para que estos tomen las medidas de seguridad razonables para evitar ser víctimas de posibles delitos de robo de identidad.

El Estado de Indiana está reclamando la suma de u$s 300.000 dólares por daños provocados por la falta de notificación al Fiscal y a los residentes de Indiana afectados.

Esta demanda muestra la importancia que una investigación y resolución rápida de este tipo de incidentes de seguridad; así como el aviso oportuno a los afectados, ayudan a mejorar la protección integral de los datos personales y a mitigar los riesgos asociados a las brechas de seguridad.

lunes, 25 de octubre de 2010

Conferencia The Public Voice. (Promoviendo el dialogo entre ONG´s y la Autoridad de Protección de Datos)

En el recientemente concluido encuentro de The Public Voice, hemos recibido de twiteros y blogueros excelentes aportes en relación a la situación actual de las Autoridades de Protección de Datos (APD) y las ONG´s. (#thepublicvoice).

Por un lado se observa la experiencia recogida en E.E:U.U., donde según David Vladeck  de la Federal Trade Comission se reciben 1,3 millones de denuncias al año. Realmente mucho trabajo. Afortunadamente disponen de un sistema informático adecuado para recibir y procesar adecuadamente semejante volumen de denuncias.

Giovanni Butarelli de Italia, sostiene que las ONG´s deberían utilizar las herramientas disponibles, iniciando denuncias ante la APD por violaciones a la privacidad y protección de datos personales.

Pero de acuerdo a Jaqueline Peschard (Presidente de IFAI, México) afirmó que a pesar de que en ese país no hay ONG´s que esten actualmente interesadas en colaborar con la APD, se esta buscando una mayor cooperación con las mismas. Es que sostuvo que las ONG´s tienen la potencialidad de ofrecer un buen contrabalance al poder de la industria. 

En Brasil y Argentina, se observa la misma falta de colaboración y protagonismo de la actividad de ONG´s, en el campo de la privacidad y protección de datos.

Por su parte, sostuvo Cristos Velasco de NACPEC, que no es que haya falta de interes de las ONG´s, sino que es necesario fijar una política para financiar adecuadamente la actividad de estas organizaciones, para que sean creibles en sus propuestas.

El debate, por cierto muy interesante, nos muestra que existe en latinoamérica un largo camino por recorrer para lograr un mejor nivel de privacidad y control de datos personales, gracias a la actividad de las ONG´s. 

Creemos que deberemos apelar en consecuencia a  nuestra capacidad de conversar y-o asesorar a las organizaciones existentes para advertirlas sobre la potencialidad que su participación activa en cuestiones de privacidad y protección de datos puede llegar a tener.

Habrá que buscarle la vuelta, tal como nuestra realidad latinoamericana siempre nos ha enseñado.

Conferencia The Public Voice. Alessandro Acquisti - Discounting the Past: Bad Weighs Heavier than Good

Por algunos problemas técnicos, no hemos podido seguir los paneles de la conferencia realizados por la mañana.
Sin embargo, de los tweets de otros colegas, me pareció muy interesante la exposición del Profesor Alessandro Acquisti, de la Universidad Carnegie Mellon.

El panelista expuso sobre su trabajo de investigación en el cual intenta probar que tenemos maneras diferentes de descartar la información. La información positiva se olvidar con más facilidad que la negativa.

El trabajo se puede obtener en: "Discounting the Past: Bad Weighs Heavier than Good".

viernes, 22 de octubre de 2010

Francia asegura el "Derecho al Olvido" en Internet

En una reciente publicación en el blog del estudio Hunton & Williams, se informa sobre la adopción por parte del gobierno francés de dos Códigos de Buenas Prácticas que regulan por un lado el llamado droit à l’oubli numerique o derecho al olvido digital y por otro una guía de buenas prácticas para la publicidad personalizada y protección del usuario en internet.

- Código de Buenas Prácticas en Publicidad Personalizada y Protección de Ususarios en Internet (“Charte sur la publicité ciblée et la protection des internautes”)

- Código de Buenas Práctivas en el Derecho al Olvido en Redes Sociales y Motores de Búsqueda (“Charte du Droit à l’oubli dans les sites collaboratifs et les moteurs de recherche”)

Estos Códigos son el resultado de la campaña iniciada en noviembre de 2009 por Nathalie Kosciusko-Morizet, Secretaría de Estado para la Economía Digital de Francia, que tuvo por objetivo asegurar el derecho al olvido en internet.

Seguramente, el Presidente de la CNIL, Alex Turk aportará mayor información al respecto en el panel "Right to Oblivion" que presidirá en la 32º Conferencia Internacional de Autoridades de Protección de Datos Personales y Privacidad que se llevará a cabo en Jerusalén del 27 al 29 de octubre de este año.

viernes, 15 de octubre de 2010

Conferencia de Privacidad de la ONG The Public Voice en la Ciudad de Jerusalén

El próximo 25 de octubre se llevará a cabo en la ciudad de Jerusalén el evento denominado "Next Generation Privacy Challenges and Opportunities", organizada por la coalición de organizaciones de consumidores y organismos de la sociedad civil, The Public Voice.  Este evento será transmitido en vivo mediante videostream desde la página http://thepublicvoice.org/.

El último panel expondrá sobre el tema relativo a la cooperación y dialogo entre las ONG`s y la Autoridad de Protección de Datos Personales.

En la Argentina se observa poca actividad de estas organizaciones en el campo de la protección de los datos personales.

Es de destacar que según la normativa que regula el procedimiento sancionador de la Dirección Nacional de Protección de Datos Personales, las Asociaciones de Consumidores están expresamente legitimadas para formular denuncias (cfr. art. 1º.a) del Decreto 1160/2010).

Por su parte en el ámbito judicial, se observa un fallo de la Sala E de la Cámara Nacional de Apelacione en lo Comercial: "Unión de Usuarios y Consumidores c/ Citibank N.A. s/ Sumarísimo", que constituye un valioso antecedente jurisprudencial del año 2006. Admitió el Tribunal la representación colectiva de las asociaciones de consumidores y el consiguiente efecto erga omnes que la actividad de estas organizaciones no gubernamentales pueden obtener.

A pesar de contar con estos valisosos antecedentes, no he encontrado en la Argentina antecedentes de denuncias de ONG´S en la DNPDP, ni otros logros judiciales además del señalado.

De tal modo la exposición del último panel del programa, será de gran utilidad a fin de advertir los avances en este campo en el contexto internacional .

Bloguearé y tweetearé sobre este panel en este blog y en twitter @manupardi, en español .(RAE perdón por utilizar verbos inexistentes en la lengua española!).

A continuación el programa con traducción propia:

 

Programa “Desafíos y Oportunidades para la Privacidad de la Próxima Generación”


9:00 Bienvenida
Lillie Coney, EPIC (USA)
Yoram Hacohen, Director, ILITA
9:30 "La Declaración de Madrid: Un año después"
Hace un año, organizaciones de la sociedad civil, propusieron y se adoptó en Madrid “La Declaración de Privacidad de Madrid”, que reafirma normas de privacidad internacionales, identifica nuevos desafíos, y explicita objetivos. Este panel revisará los progresos desde entonces.
Moderador: Pablo Molina, Georgetown University Law Center (ESP)
Gus Hosein, Privacy International (GBR)
Rafael García Gozalo, Agencia Española de Protección de Datos (ESP)
Katitza Rodriguez, Electronic Frontier Foundation (PER)
Jennifer Stoddart, Privacy Commissioner, Canada (CAN)
Peter Schaar, Federal Commissioner for Privacy (GER)
[NGO]
10:30 Discusión abierta sobre Campañas de Privacidad y Nuevos Asuntos.
Este panel revisará algunas estrategias clave para las campañas de publicidad, y resaltará los logros desde el año pasado. Los participantes de la conferencia serán alentados a compartir sus ideas y experiencias.
Moderador: Simon Davies, Privacy International (GBR)
11:00 "Asuntos de Privacidad emergentes"
Las nuevas tecnologías presentan nuevos desafíos para la protección de la privacidad. Ejemplos de ello son las redes eléctricas inteligentes, registros médicos electrónicos, venta on-line, publicidad en celulares, rastreo de geo localización, minería de datos, etiquetas RFID. Este panel  explorará los desafíos clave y la respuesta de las organizaciones civiles.
Moderador: Prof. Kristina Irion, Center for Media and Communication Studies (HUN)
Alessandro Acquisti, Carnegie Melon University (ITA)
Amit Ashkenazi, ILITA (ISR) *
Shahid Buttar, Bill of Rights Defense Committee (USA) *
Jeff Chester, Center for Digital Democracy (USA)
Michiel Karskens, Consumentenbond (NLD)
Lee Tien, EFF (USA)
Cristos Velasco, North American Consumer Project on Electronic, Commerce (MEX)
12:30 Discusión de Almuerzo
"Biometría, Identidad y Privacidad"
Adi Shamir, Weizmann Institute (ISR) *
14:00 "Estableciendo un marco Internacional para la Protección de la Privacidad"
Aún con la celebración del 30º aniversario de las Guías de Privacidad de la OECD, hay un interés creciente en el marco internacional para la protección de la privacidad que ayudará a asegurar los derechos de privacidad fundamentales. Este panel revisará los diversos marcos para la protección de la privacidad, y explorará las diversas nuevas oportunidades, incluyendo el “Acuerdo sombrilla” además  de cuestiones de privacidad en países en desarrollo.
Moderador: Prof. Julie Cohen, Georgetown University Law (USA)
Kirsten Bock, Office of Data Protection Schleswig-Holstein (GER)
Marie-Hélène Boulanger, European Commission (FRA)
Rajan R. Gandhi, Society in Action Group (IND)
Jaiok Kim, Consumers Korea (KOR)
Spiros Simitis, Goethe-University, Frankfurt (GER) *
Nigel Waters, Australian Privacy Foundation (AUS)
15:00 "La campaña contra los scanners de cuerpo y tarjetas de identidad biométrica”
Hay una creciente oposición al uso de scanners de cuerpo completo e identidad biométrica. Organizaciones de libertades civiles, expertos en salud y organizaciones religiosas, han dejado en claro sus argumentos contra estos scanners y tarjetas de identificación biométrica. Este panel explorará estas preocupaciones y discutirá los próximos pasos a seguir.
Moderador: Prof. Jeffrey Rosen, author (USA)
Rocco Bellanova, Vrije Universiteit (BEL)
Malavika Jayaram, Jayaram and Jayaram (IND)
Avner Pinchuk, Association for Civil Rights in Israel (ISR)
16:00 "Promoviendo el dialogo entre ONGs y las Autoridades de Protección de Datos"
Resulta crítico para el progreso de la privacidad la comunicación entre ONGs y las Autoridades de Protección de Datos Personales. Este panel examinará el rol de las campañas, peticiones y denuncias; cómo las ONGs, pueden ayudar a formar resultados políticos y cómo las autoridades de protección de datos pueden responder a estas preocupaciones públicas.
Moderador: Anna Fielder, TACD, Privacy International (UK)
Giovanni Buttarelli, EDPS (ITA) *
Alexander Dix , Commissioner for Data Protection and Access to Information, Berlin (GER)
Monique Goyens, BEUC (BEL) *
David Vladeck, Federal Trade Commission (USA)
Jacqueline Peschard Mariscal, Commissioner President, Access to Information and Data Protection (MEX)

miércoles, 13 de octubre de 2010

Congreso Internacional de Derecho y Tecnología en la Universidad Blas Pascal

El próximo 14 y 15 de octubre se llevará a cabo en la Universidad Blas Pascal, un Congreso Internacional de Derecho y Teconología con destacados conferencistas y temas.

A continuación el programa de conferencistas y temas:


Día 1 - Jueves 14 de octubre
ConferencistasHorarioTema
Rector de la UBP, Directores Ejecutivos del Congreso: Waldo Geremia y Matías Altamira.09:10 a 09:30Apertura del Congreso
Waldo Geremia y Matías Altamira09:30 a 10:30La sociedad virtual y el Derecho. Nuevos paradigmas.
Coffee Break10:30 a 11:00
MÓDULO I:
Seguridad de la Información Vs. Derechos del Trabajador:
¿Cómo protejo mi información sensible y a mi sensible trabajador?
Alberto Soto11:00 a 12:00Estrategias para conjugar productividad y seguridad
Danilo Doneda12:00 a 13:00Datos personales - redes sociales
Almuerzo13:00 a 14:30( Libre )
MÓDULO 2:
Redes Sociales Vs. Información Personal:
¿Siguen siendo míos, mis datos en tu red social?
Martin Frascarolli y Matías Altamira14:30 a 15:30Nuevos formatos: + creatividad, + posibilidades, + desafios
Coffee Break15:30 a 16:00
Marta Astaco y Hernán Santiso16:00 a 17:30Defensa de Usuarios
Julio Ardita17:30 a 18:30Experiencias en el manejo de incidentes de seguridad

Día 2 - Viernes 15 de octubre
ConferencistasHorarioTema
MÓDULO 3:
Libertad de Expresión Vs. Derechos del Anónimo “Nick”
¿Tiene Derechos quien no firma sus dichos?
Ezequiel Sallis y Cédric Laurant09:00 a 11:00Efectos jurídicos y de seguridad de las redes sociales en el ámbito laboral y las medidas prácticas que se pueden tomar para controlarlos basado en experiencias
Coffee Break11:00 a 11:30
Pablo Molina 11:30 a 12:30Dimensiones legales y tecnicas de la expresion anonima y la difamacion en redes sociales, blogs y otros foros virtuales, desde una perspectiva estadounidense.
Eduardo Torres12:30 a 13:30Cloud Computing
Almuerzo13:30 a 15:00( Libre )
MÓDULO 4:
Creaciones Intelectuales “Las Mías, las Tuyas y las Nuestras”
¿Quién conoce al creador?
Pedro Huichalaf 15:00 a 16:00Rol de la Sociedad Civil en la generación de Políticas Públicas Tecnológicas por el Estado de Chile
Coffee Break16:00 a 16:30
Lila Pagola16:30 a 17:30Copyleft,cultura libre y arte
Gilberto Almeida17:30 a 18:30Propiedad Intelectual
CIERRE DEL CONGRESO18:30 a 18.45