Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


Libro Hábeas Data Financiero

jueves, 27 de julio de 2017

Latinoamérica sigue los pasos de España


Latinoamérica sigue los pasos de España en protección de datos

María H. Santos

Latinoamérica sigue los pasos de España en protección de datos

  • Argentina y México toman como modelo de referencia la legislación española
  • El nuevo Reglamento europeo sirve de guía a la hora de legislar sobre la materia


La protección de datos es un tema candente en cualquier parte del mundo. El valor de la información que proporcionan dichos datos crece con el tiempo y tanto las empresas como los países lo saben. En Europa nos encontramos en pleno proceso de renovación legislativa gracias al Reglamento General de Protección de Datos (RGPD), que empieza a aplicarse el 25 de mayo de 2018, dos años después de su entrada en vigor.
En el caso de España, que es uno de los países de referencia en protección de datos en Europa, la influencia sobre los países latinoamericanos es muy pronunciada. Países como Argentina, cuya normativa en la materia es muy parecida a la española, y México, son algunos de los ejemplos de la dirección hacia la que se dirigen en la región.

En Latinoamérica, la situación es totalmente diferente. Al no existir una regulación común, cada país ha abordado la problemática de una manera distinta. Sin embargo, su intención es intentar que las normas sobre protección de datos sean comunes. Para ello existen organizaciones como la Red Iberoamericana de Protección de Datos (RIPD), donde se realiza el intercambio de buenas prácticas entre los principales actores del sector privado y público, con las principales agencias de protección de datos de los países miembros.
Precisamente, esta red está marcando las directrices para la futura creación normativa en la región. A finales del mes de junio tuvo lugar en Santiago de Chile el XV Encuentro Iberoamericano de Protección de Datos, cuyas conclusiones se han materializado en una lista de “estándares de Protección de Datos Personales para los Estados Iberoamericanos“, directrices a tener en cuenta a la hora de legislar en la materia en el futuro o para revisar la normativa ya existente.
El problema es que aún queda mucho camino por recorrer. Paloma Bru, of counselde Jones Day, reconoce la falta de regulación común. Sin embargo, destaca que en materia de protección de datos, los Estados “quieren una normativa compartida, como la europea”. Es precisamente esta última la que sirve como modelo a aquellos países de la región latinoamericana que quieren desarrollar una protección de datos eficiente y moderna.

El RGPD para todos

La idea es simple: usar el RGPD europeo como modelo para asegurar el cumplimiento de los estándares de protección de datos en Latinoamérica. Los beneficios para los países que tomen dicho reglamento como base pueden ser muchos. Paloma Bru destaca como principal beneficio que “cumplir el mínimo europeo de protección de datos sirve para atraer inversión”. Sin embargo reconoce que “existe un aspecto negativo, ya que invertir y cumplir con la norma conlleva un gasto grande”, aunque “les beneficiará cuando superen el escollo”.
El centro de esta cuestión radica en la obligatoriedad que existe para todas las empresas del mundo que cuenten con datos de clientes europeos, de respetar la norma europea aunque no tengan sede en la Unión Europea. Así, un hotel en Punta del Este, Uruguay, que reciba reservas de clientes franceses, por ejemplo, deberá tratar la información personal que estos faciliten con la diligencia pedida por el RGPD. Estamos, por tanto, ante una internacionalización de la protección de datos.
La decisión de tomar el derecho comunitario como referencia, dice Bru que “se debe a la centralización de las normas”. El hecho de que provengan de una sola autoridad y que sean iguales para todos los países en cualquier ámbito, tanto privado como público, facilita la homogenización. Por el contrario, esta experta de Jones Day explica que “la normativa estadounidense es más sectorial”, razón por la que no se ha constituido como ejemplo pese a compartir región.

Las deficiencias

A día de hoy el proceso de creación de un sistema completo y eficiente no ha concluido. Algunos países han tomado la delantera en la materia. Para Paloma Bru, destacan sobre los demás Uruguay, México, Argentina y Chile. Las razones, destaca, son dos. La primera es la antigüedad de la normativa, ya que “estos países cuentan con regulaciones específicas de protección datos desde hace ya años. De hecho algunos, como es el caso de Argentina, están ahora mismo revisando la mismas, tomando como base la nueva normativa europea de protección de datos”. La segunda razón, según Bru, es que “cuentan con autoridades especificas y especializadas en materia de protección de datos, lo que ayuda a la implementación práctica de la normativa existente y a crear cultura de protección de datos”. Por el contrario, a la cola de la implantación se encuentran países como Brasil y Panamá, que “aún discuten las que serán sus primeras normativas en materia de protección de datos”, advierte.
El camino ha empezado a andarse en la dirección correcta. Sin embargo, hay que prestar especial atención a las deficiencias encontradas hasta ahora para solventarlas antes de que sean un problema. La primera, dice Paloma Bru, es la “desigualdad de niveles normativos” que existe entre los países. Otro problema que destaca es “la falta de autoridad en materia de protección de datos, así como de reguladores independientes”. La buena señal es que se están tomando medidas hacia una regulación compartida o, al menos, común.

LAS DIRECTRICES DE LA NUEVA REGULACIÓN

La Red Iberoamericana de Protección de Datos se reunió a finales de junio, encuentro del que surgió el primer documento que sirve como base a las regulaciones y revisiones futuras de la normativa de protección de datos: los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”.
-Derecho Fundamental. El documento abre con una declaración de intenciones al destacar que la protección de datos de las personas físicas es un derecho fundamental y, por tanto, merece el máximo rango de protección.
-Falta de normas. Uno de los problemas que reconocen es que muchos países no tienen ni siquiera normativa en la materia, lo que supone un gran peligro para los usuarios.
-Contenido. Al tratarse de unas recomendaciones, no es obligatorio. Sin embargo, su objetivo es que sobre ellas se construyan regulaciones con elementos comunes, como las definiciones o los requisitos mínimos de protección.
-Aplicación. Según el documento, los estándares “serán aplicables a los datos personales de personas físicas”. Sin embargo, cada país podrá hacer extensible estas directrices también a las personas jurídicas.


domingo, 23 de julio de 2017

Deudor moroso


Fijate si sos deudor moroso y cómo solucionarlo

El Banco Central y empresas privadas registran la información financiera, pero puede haber errores que impiden gestionar un crédito o abrir una cuenta. 


Cualquier operación financiera, desde un crédito hipotecario hasta la apertura de una cuenta bancaria, pasa por un filtro informativo. El Banco Central y el Veraz tienen información sobre la actividad crediticia y comercial de cada uno. Aunque no siempre suele estar actualizada y puede contener errores. Son errores que, al gestionar un préstamo, pueden costar caro.
La Central de Deudores del Banco Central permite acceder a los datos financieros de cualquier persona con el número de CUIT. La semana pasada inauguró una nueva plataforma web, usuariosfinancieros.gob.ar, que simplifica el acceso a esa información.
¿Qué datos muestra el BCRA? Básicamente, la deuda de cada contribuyente, sean préstamos o tarjetas de crédito, y si tiene cheques rechazados.
Es información que los bancos entregan a la autoridad monetaria. Y que permite "calificar" a los deudores de 1 a 6.
Un deudor categoría 1 es aquel en "situación normal": tiene sus pagos al día. El 6 es el "irrecuperable". Cada banco informa el estado de cuenta. Con esos datos, las entidades financieras deciden si otorgarán tarjetas, créditos o hasta apertura de cuentas a un contribuyente.

¿Qué sucede si esa información es errónea? El cliente bancario debe, primero, pedir al banco en cuestión que la rectifique. De no tener éxito, puede hacer un reclamo ante el Banco Central.
Cómo solucionarlo con el Central
El BCRA permite completar un formulario de acceso, rectificación o supresión de datos personales. Exige haber hecho el reclamo previo ante el banco. A la petición, que se puede completar online, se deben adjuntar copias escaneadas del anverso y el reverso del DNI, copia escaneada de la respuesta que brindó la entidad en cuestión al hacer el reclamo y copias de la documentación que permita respaldar la denuncia (resúmenes de tarjeta, libre deuda, etcétera).
Antes de avanzar con el reclamo, es útil saber que existe cierta demora en la actualización de los datos. Los bancos, fideicomisos financieros y emisores de tarjetas de crédito deben ingresar los datos antes del día 20 del mes siguiente al periodo informado. Es decir, si cancelás una deuda hoy, esa información se procesará dentro de un mes.
Cómo solucionarlo con los privados
Con el Veraz y las otras empresas privadas de información comercial y financiera, el trámite es algo más complejo. La ley de Hábeas Data faculta a cada persona a pedir de manera gratuita los datos que estas firmas tienen sobre ella.
Estas compañías se manejan con información más o menos pública: la del Banco Central, la información de sociedades que surge del Boletín Oficial, fallos judiciales (como inhibiciones), etcétera. Por lo tanto, no suelen hacerse cargo de los errores de información.
Pero, a veces, manejan información desactualizada. O informan sobre deudas ya resueltas.
Si la deuda informada es errónea, la persona puede pedir que esa información sea rectificada en un plazo de cinco días. Es un trámite rápido y sencillo. Cualquier comprobante de pago (un resumen de cuenta de tarjeta de crédito, por ejemplo) sirve.
Si la deuda existió pero se regularizó, las empresas de información pueden mantener publicado ese antecedente por un plazo de dos años, pero debe estar aclarado que el conflicto fue resuelto.
En el caso de no pagar la deuda, la persona figurará como deudor moroso durante un plazo de cinco años. Luego de ese plazo, las empresas de información deben removerlo del listado, aunque la deuda no se extinguirá.
Conocé acá qué sabe de una persona el Banco Central.

domingo, 25 de junio de 2017

Anteproyecto de ley en España


El Gobierno impulsa el anteproyecto de ley de protección de datos para adaptarse al reglamento ...



El Gobierno impulsa el anteproyecto de ley de protección de datos para adaptarse al reglamento europeo

MADRID, 23 Jun. (EUROPA PRESS) - El Consejo de Ministros, a propuesta del ministro de Justicia, Rafael Catalá, ha impulsado el anteproyecto de Ley Orgánica de Protección de Datos con el fin de mejorar la regulación de este derecho fundamental en los datos de carácter personal y adaptar la legislación española a las disposiciones contenidas en el Reglamento UE 2016/679 del Parlamento Europeo cuya entrada en vigor está prevista para el próximo 25 de mayo de 2018. 

jueves, 11 de mayo de 2017

H. D. contra ART


Hacen lugar a un hábeas data contra cobertura de ART
El Cordillerano





El fallo indica que la presentación deberá ser realizada en el plazo de cinco días de su notificación, bajo apercibimiento de aplicar una multa diaria en concepto de astreintes por cada día de retraso desde el vencimiento del plazo otorgado.
La presentación se efectuó toda vez que la ART no entregó la historia clínica y otra documentación del trabajador, no obstante haber sido solicitada la misma, en virtud del agravamiento de su estado de salud y conforme lo dictaminado por la Comisión Médica.
En la sentencia, el Tribunal integrado por los jueces Jorge Serra, Alejandra Paolino y Rubén Marigo, recordó que "El habeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen datos atrasados; c) que se rectifiquen los datos inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros; y e) la supresión del registro de la llamada ‘información sensible’ -vida íntima, ideas políticas, religiosas o gremiales”.
De este modo, la inteligencia que debe guiar la interpretación de la cláusula examinada es aquella que logre asegurar en la práctica el efectivo y eficaz acceso a la información sobre él registrada por parte del titular de los datos (art. 14, Inc. 1, Ley 25.326).
En estas actuaciones el trabajador peticionante consignó que habiendo recibido tratamiento insuficiente y/o deficiente por las secuelas de un accidente laboral fue dado de alta por la ART. Pero ante el agravamiento de su cuadro requirió nuevo tratamiento y en consecuencia requirió su historia clínica para poder presentar al médico tratante. Ante la negativa de la ART de entregar la documentación requerida es que acudió a la figura del habeas data.
La sentencia señala que uno de los objetivos de la ART es reparar los daños derivados de los accidentes de trabajo, incluyendo su rehabilitación. La reparación a que se refiere la normativa no sólo se limita a las prestaciones dinerarias sino también a las reparaciones en especie. En este sentido se destacó que “El trabajador debe contar con todos los elementos y evaluaciones médicas referidas a su estado de salud para en su caso reclamar las prestaciones que estime pertinentes, aún las en especie”.
Cabe señalar que en estas actuaciones, “el silencio de la demandada ante los requerimientos extrajudiciales realizados por el trabajador y aún con la ausencia de contestación del pedido de informes formulado por este Tribunal, violenta los objetivos y finalidades referidos en el párrafo anterior, y en consecuencia corresponde aplicar al acto de autos lo normado en la Ley 26.529 - Derechos del Paciente en su Relación con los Profesionales e Instituciones de Salud”. (Fuente: Prensa Poder Judicial)

jueves, 4 de mayo de 2017

Los cambios que vienen


Cinco cambios de alta prioridad en las organizaciones para cumplir con el GDPR
Silicon ES

 1 5 No hay comentarios
El nuevo reglamento se aplicará no solo a las empresas de la UE, sino también a todas las organizaciones fuera de la UE que tratan datos personales para la oferta de bienes y servicios a la UE o supervisan el comportamiento de los sujetos comunitarios.
Gartner afirma que las organizaciones no están preparadas para el Reglamento Europeo de Protección de Datos(GDPR), que entrará en vigor el 25 de mayo de 2018.
El GDPR sustituye a la Directiva 95/46 / CE relativa a la protección de datos y está concebido para apoyar el mercado único, armonizar las leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de los datos de los ciudadanos de la UE y reformar la forma en que las organizaciones abordan la privacidad de los datos para los ciudadanos comunitarios dondequiera que trabajen en el mundo.
“El GDPR afectará no solo a las organizaciones de la UE, sino también a muchos controladores de datos y procesadores fuera de la UE. Existe la amenaza de multas fuertes y los responsables de la toma de decisiones deben reevaluar las medidas para procesar con seguridad los datos personales”, ha afirmado Bart Willemsen, director de investigación de Gartner.
La firma consultora recomienda que las organizaciones actúen ahora para asegurarse de que están en conformidad cuando la regulación entre en vigor y para ello deben centrarse en cinco cambios de alta prioridad.
Es crucial determinar el papel bajo el GDPR y nombrar un oficial de protección de datos. Muchas organizaciones estarán obligadas a designar un oficial de protección de datos (DPO). Esto es especialmente importante cuando la entidad es un organismo público, está procesando operaciones que requieren monitorización regular y sistemática o tiene actividades de procesamiento a gran escala.
Además, hay que demostrar responsabilidad en todas las actividades de procesamiento, ya que muy pocas organizaciones han identificado cada uno de los procesos en los que están involucrados los datos personales. En el futuro, la limitación del propósito, la calidad de los datos y la relevancia de los datos deben decidirse al iniciar una nueva actividad de procesamiento, ya que esto ayudará a mantener el cumplimiento en futuras actividades de procesamiento de datos personales.
Finalmente, se deben comprobar los flujos de datos transfronterizos. Se permitirá la transferencia de datos a cualquiera de los 28 Estados miembros de la UE, así como a Noruega, Liechtenstein e Islandia. Las transferencias a cualquiera de los otros 11 países de la Comisión Europea (CE), que se considere que tiene un nivel de protección “adecuado”, también serán posibles. Fuera de estas áreas se deben utilizar salvaguardias apropiadas, tales como las Reglas Corporativas Vinculadas (BCR) y las cláusulas contractuales estándar (es decir, los “Contratos Modelo” de la UE). Fuera de la UE, las organizaciones que procesan datos personales de residentes de la UE deben seleccionar el mecanismo apropiado para garantizar el cumplimiento del GDPR.

miércoles, 3 de mayo de 2017

Me Veraz Indemnizar


Por: Diario Judicial

La empresa Telefónica deberá abonarle a una clienta más de 20 mil pesos por haberla calificado erróneamente como deudora morosa del sistema financiero Veraz. Así lo confirmó la Cámara Civil en los autos P. M. A. c/ Telefónica de Argentina Sociedad Anónima y otro s/ daños y perjuicio”.
La mujer relató que en 2011 dio de baja una línea telefónica, meses más tarde un banco le informó que no podía acceder a ningún producto ni ser clienta debido a que la empresa Telefónica le había hecho una denuncia sobre su persona, calificándola como morosa en el Veraz.
Tras varios reclamos, la empresa decidió que “todo había sido parte de un error” y puso a disposición mediante órdenes de créditos los montos abonados por la mujer a partir de una deuda que nunca existió.
El juez de grado admitió parcialmente la demanda y condenó a Telefónica de Argentina S.A. a abonarle la suma de $ 20.222 con más sus intereses y costas. Asimismo, rechazó la demanda dirigida contra Organización Veraz Sociedad Anónima Comercial de Mandatos e Informes (Veraz).
El Tribunal de Alzada destacó el “actuar imprudente” de la empresa de telefonía al haber “calificado erróneamente a la actora como deudora morosa del sistema financiero Veraz S.A. a raíz de una deuda inexistente”.
Los vocales destacaron que la demandada, “pese a tener conocimiento de los hechos, no se preocupó en adoptar los mínimos recaudos para eliminar el nombre de la actora de los registros de la autoridad de aplicación”.
“Era la recurrente quien debía tomar todas las precauciones del caso previo a calificar a uno de sus clientes como moroso, incumplidor o para calificarlo -como ocurre en el caso- como ´deudor irrecuperable´, no sin antes haberlo intimado a que regularice su situación crediticia”, sostuvo el fallo
Así, los jueces consideraron que “de haber tomado una actitud más diligente, adoptando un mínimo de recaudos para verificar los extremos que le fueron puesto en conocimiento, por cuanto estaba en mejores condiciones de corroborar la legitimidad de la deuda que hace a la especialidad de su actividad, habría evitado los perjuicios innecesariamente generados a causa de su omisión”.
Finalmente, los vocales mencionaron que “en el ámbito de la economía de mercado las personas son sometidas a un minucioso escrutinio externo acerca de su solvencia, capacidad de pago y cumplimiento de las obligaciones, ello a través de distintas agencias y entidades que tienen como cometido reunir datos y brindar información al respecto”, por lo que concluyeron que “la difusión de estos datos requiere una conducta diligente y cuidadosa”.

jueves, 20 de abril de 2017

Datos en Iberoamérica


Hacia la gestión efectiva de los datos en Iberoamérica en la era de la innovación

  • En el trabajo, realizado desde el Observatorio Iberoamericano de Protección de datos, han intervenido 77 profesionales
Ha sido presentada en Buenos Aires (Argentina) la obra “Hacia una efectiva protección de los datos en IberoaméricaDeclaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos”, elaborada desde el Observatorio Iberoamericano de Protección de Datos y publicada por la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires.
La obra presentada recoge las diferentes Declaraciones elaboradas en el seno de la iniciativa del Observatorio, tanto por los propios colaboradores de la iniciativa como por profesionales, ciudadanos e Instituciones que cooperan en su redacción, en aras a una mayor concienciación de la importancia de aplicar criterios normativos en materia de privacidad, protección de datos y habeas data, así como la unificación de los mismos en los países iberoamericanos.
Para Daniel López Carballo, Director de la iniciativa del Observatorio y Socio del Área de Privacidad y Protección de Datos de ECIJA, “el ámbito normativo debe completarse con el establecimiento de mecanismos e instrumentos que hagan efectiva dicha protección, el análisis del impacto de las nuevas tecnologías y modelos de negocio, una concienciación clara de los ciudadanos estableciendo sistemas educativos en base a una mayor protección y conocimiento de sus propios datos y la generación de cultura de privacidad en el seno de las empresas, donde los datos se han consolidado como la moneda de la economía digital y su protección como valor diferenciador generador de confianza. En este sentido nacen las Declaraciones de la iniciativa, como compromiso claro de todas las partes que intervienen en el tratamiento de los datos de carácter personal”.
No debemos olvidar, como indica Eduardo Peduto, Director del Centro de Protección de Datos Personales de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, que “cuando protegemos datos protegemos personas. Esta es la esencia de nuestra acción tanto en la divulgación, capacitación, investigación o cuando receptamos denuncias sobre la vulneración de datos personales. Hacer hincapié, nunca suficiente nunca vasto, que cuando nos abocamos a la protección de datos personales estamos protegiendo personas. Estamos protegiendo su intimidad, su privacidad, su dignidad. Su ciudadanía, entendida ésta en el sentido amplio en que hoy es reconocida por el desarrollo de las ciencias sociales. En definitiva, estamos protegiendo su mayor atributo: su condición de ser humano”.
Las diferentes Declaraciones presentadas en Lima (Perú), Barranquilla (Colombia), Buenos Aires y La Plata (Argentina), Santiago de Chile (Chile), Riobamba (Ecuador), Ciudad de Panamá (Panamá), México D.F. (México) y San José (Costa Rica), abordan diferentes aspectos relacionados con el tratamiento de los datos personales, tales como la necesidad de abordar una unificación de criterios normativos en Iberoamérica, educación, protección de los menores, la necesidad de adoptar instrumentos para la protección efectiva, seguridad y protección de los datos en Internet, criterios y medidas de seguridad, la protección de la identidad digital y el derecho al olvido, la implementación de garantías en tratamientos big data y la implantación de un Sello para el tratamiento de los datos personales en Iberoamérica.
Conforme apunta Mauricio Garro, Ex-Director Nacional de la Agencia de Protección de Datos de los Habitantes, Ministerio de Justicia y Paz de la República de Costa Rica, “en la ponderación de los sistemas de Protección de Datos, se observa una clara tendencia, de armonizar las diferentes normativas. Ello, necesariamente implica, un cambio de paradigma en nuestra concepción de la Privacidad, dada la corriente que alimenta una mayor libertad en la transferencia de información, virtud tanto de las necesidades de seguridad estatal, como de la propia iniciativa de las nuevas generaciones en su diaria comunicación, aspectos que sin duda elevan el valor de la obra presentada”.
Para Sara Molina Pérez-Tomé, una de las colaboradoras de la obra y CEO de Marketingnize, “tenemos que entender que la sociedad evoluciona de una manera vertiginosa hacia sistemas de exigencia y garantía mayores, por lo que hoy en día las empresas y otras personas jurídicas deben pensar en un modelo de gestión diferente. Uno de los principales problemas en la sociedad de la digitalización, del IOT, del big data… es la falta de confianza en los productos y servicios tecnológicos. La satisfacción del cliente y la generación de su confianza es uno de los principales indicadores estratégicos de la calidad de un servicio en base a la relación entre percepciones y expectativas esperadas acerca de su privacidad y el tratamiento que se dará a sus datos personales”.
El resultado del trabajo realizado desde la iniciativa del Observatorio Iberoamericano de Protección de datos, es una Obra de constante actualidad, en cuya elaboración han intervenido 77 profesionales de reconocido prestigio, de diferentes nacionalidades (Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Guatemala, México, Panamá, Perú, Portugal, República Dominicana  y Uruguay), y que en sí misma es una evidencia de la cooperación internacional y la relevancia de los temas abordados en la misma, en un momento en que internet y el impacto de las nuevas tecnologías han cambiado la forma en que nos relacionamos, desarrollamos nuestra actividad profesional en una sociedad cada vez más global.
La obra ha sido elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, iniciativa cuya principal finalidad es extender la cultura de la privacidad y protección de datos en los distintos países, favoreciendo el conocimiento de la legislación y jurisprudencia existente al respecto, los derechos y las acciones que les asisten a sus ciudadanos, tratando de promover un clima de seguridad jurídica en el tratamiento de los datos de carácter personal que contribuya al desarrollo de las ciencias jurídicas en Iberoamérica.
Los contenidos del Observatorio son fruto del aprendizaje y la práctica diaria de los juristas, abogados, catedráticos, jueces y fiscales que participan en esta iniciativa colaborativa remitiendo desinteresadamente sus artículos y participando en sus diferentes Declaraciones y eventos organizados en el seno de la iniciativa, con la intención de lograr un mayor conocimiento de esta rama del derecho, tan fundamental y en ocasiones desconocida, no sólo en la comunidad jurídica internacional, si no entre la propia ciudadanía.
La iniciativa nace en enero de 2013 como un foro de encuentro, donde poder compartir experiencias e ideas en el ámbito jurídico y operacional de la privacidad y la protección de datos, sobre las diferentes normativas iberoamericanas y su aplicación. Actualmente la iniciativa cuenta con más de 130 colaboradores de 22 nacionalidades, teniendo presencia en la totalidad de países de Iberoamérica.
Puede accederse, de manera gratuita, a la Obra “Hacia una efectiva protección de los datos en Iberoamérica. Declaraciones de la iniciativa del Observatorio Iberoamericano de Protección de Datos” a través de la Biblioteca on-line de la Defensoría del Pueblo de la Cuidad Autónoma de Buenos Aires en el siguiente enlace.
Hacia la gestión efectiva de los datos en Iberoamérica en la era de la innovación

sábado, 15 de abril de 2017

Robo de datos


Alertan sobre robo de datos al sincronizar aplicaciones y perfiles

por (EL UNIVERSAL)
4/14/2017 9:05:00 AM



CIUDAD DE MÉXICO.- El Instituto Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos (Inai) advirtió que sincronizar aplicaciones digitales con redes sociales como Facebook o Twitter puede tener riesgos para la protección de datos personales, debido a que el intercambio de información puede llegar a países en los que no existen leyes que vigilen este derecho.
Al sincronizar aplicaciones con redes sociales se podría llegar a consentir el acceso a datos personales contenidos en el perfil del usuario como el domicilio, sus intereses y hábitos, fecha de nacimiento, centro de trabajo, academia de estudios, sitios visitados, opiniones personales, fotografías, videograbaciones y hasta comunicaciones privadas.
De estas últimas incluso puede desprenderse información de terceros como los contactos del titular de la cuenta en la red social.
“Esa información podría llegar a ser utilizada con finalidades de prospección comercial, por ejemplo, mediante la identificación de pautas de comportamiento de los usuarios con el fin de personalizar la publicidad dirigida o bien, compartirse con terceros ubicados fuera del territorio mexicano e incluso en países en los que no existen leyes de protección de datos personales”, destacó el instituto.
Por ello, la Secretaría de Protección de Datos Personales del Inai recomendó a los usuarios estar conscientes de que al menos una parte de sus datos provenientes de una red social serán compartidos con la aplicación.
Se recomienda revisar en las redes sociales (Facebook, Google+, Twitter) las opciones para gestionar los permisos del perfil.
“Se recomienda conocer la política y aviso de privacidad, tanto de las aplicaciones como de las redes sociales, para saber si son acordes con sus necesidades. Es necesario verificar si la configuración del perfil de privacidad permite un control adecuado y suficiente de datos personales”, detalló.
El instituto también sugirió corroborar la existencia de cláusulas que aludan a la posibilidad de que los proveedores de la aplicación se atribuyan “la propiedad” de sus datos personales por el uso de la aplicación y con ello se pueda estar privando de la posibilidad de disponer libremente de esos datos en el futuro.
Llamó a descargar las aplicaciones sólo en tiendas autorizadas como App Store o Google Store; revisar los comentarios respecto de las apps en las tiendas de venta para conocer la calificación de la misma y así tener algún parámetro fácil de consulta sobre su funcionalidad y confiabilidad.
“Los usuarios deben estar conscientes de que no se encuentran obligados a sincronizar sus aplicaciones con redes sociales, pero la decisión final radicará en la voluntad de cada individuo y atenderá a sus intereses particulares. Por lo tanto se sugiere no realizar alguna sincronización si no resulta realmente indispensable”, destacó.
La sincronización de aplicaciones con redes sociales consiste en la vinculación de información personal de las cuentas de redes sociales para que la aplicación suministre algún servicio como juegos, citas, edición de imágenes, servicios de transporte privado y música, entre otros.
“Para facilitar a las personas su utilización o bien optimizar el funcionamiento de las aplicaciones, previo a la instalación, algunas requieren la autorización de una serie de permisos que posibilitan obtener información adicional de los usuarios como el acceso a las cuentas asociadas a los dispositivos, a la agenda del móvil, los contactos registrados en el directorio y la ubicación en tiempo real del individuo, a través de la red o el sistema GPS, entre otros”, explicó el Inai.

lunes, 3 de abril de 2017

Ley de Comunicaciones de EE.UU



EEUU no aprobó una ley que permite a los proveedores de internet vender datosde usuarios
Computer World España (Comunicado de prensa)

Héctor Guzmán

Las reglas que pretendía establecer la norma desaprobada por el Congreso, incluían obligaciones de información que los operadores debían cumplir a través de la comunicación de sus políticas de privacidad a los usuarios



Este título vendría a ser la réplica o la antítesis del que aparece en este artículo, y de cierta información que también se divulga en el mismo.
Debemos indicar, eso sí, que no se trata del único artículo y medio de comunicación que ha difundido esta información, ya que muchos otros repitieron este “rumor” sobre la decisión legislativa adoptada recientemente en los Estados Unidos de América (EEUU). Ejemplos: aquíaquí y aquí.
Algunos podrán decir que sólo es una cuestión de semántica, pero discreparía abiertamente de esa posición, por lo que ahora voy a explicar.
Atendamos entonces a lo que realmente sucedió, y a las razones por las cuales sigue siendo importante saberlo:
El pasado 23 de marzo, la Cámara de Representantes y el Senado (el Congreso) de los EEUU resolvieron desaprobar una norma (rule), cuya autoría correspondió a la Comisión Federal de Comunicaciones y que, tome usted notaaún no había entrado en vigor en su totalidad.
Dicha norma, denominada “Protección de la privacidad de los clientes de servicios de banda ancha y otros servicios de telecomunicaciones” (Protecting the Privacy of Customers of Broadband and Other Telecommunications Services), tenía por objetivo reglamentar las disposiciones de la Sección 222 de la Ley de Comunicaciones de EEUU (47 U.S.C. 222) (denominada “privacidad de la información del consumidor”).
Conforme a lo anterior, y adelantando algunas conclusiones, debemos dejar de pensar que los usuarios de servicios de telecomunicaciones de los EEUU carecen de disposiciones que protejan su privacidad, puesto que dicha sección de su “Ley de Comunicaciones” está dirigida precisamente a ese objetivo. Cuestión distinta es que esta protección sea diferente y de alcance menor al que se brinda en la Unión Europea, por ejemplo.
 … debemos dejar de pensar que los usuarios de servicios de telecomunicaciones de los EEUU carecen de disposiciones que protejan su privacidad… 
En este orden de ideas, veamos que la norma desaprobada por el Congreso de los EEUU estaba orientada a modernizar las disposiciones de la susodicha Sección 222, y a establecer determinadas obligaciones para proteger, de manera específica, la privacidad de los usuarios de servicios de banda ancha.
Como botón de muestra, la desaparecida regulación disponía de reglas para proteger lo que denominaba como “información confidencial sensible del cliente” (sensitive customer proprietary information), entendiendo que este tipo de información comprendía:
1. Información financiera;
2. Información de salud;
3. Información relativa a menores de edad;
4. Números de la Seguridad Social;
5. Información de geo-localización precisa;
6. Contenido de las comunicaciones, e
7. Historial de navegación, historial del uso de aplicaciones y los equivalentes funcionales de cualquiera de dichos historiales.
Ahí lo tienen… el famoso historial de navegación que, erróneamente, se anuncia a la venta como producto de una “nueva ley” de los EEUU.
Las reglas que pretendía establecer la norma desaprobada por el Congreso, incluían obligaciones de información que los operadores debían cumplir a través de la comunicación de sus políticas de privacidad a los usuarios; esta información debía incluir, entre otras cuestiones:
a. La descripción de los tipos de datos del cliente que serían recabados por el operador, y los usos que se darían a esa información;
b. Describir bajo qué circunstancias el operador podía difundir o permitir el acceso a los datos de sus clientes;
c. Describir los destinarios de las cesiones o accesos a datos de sus clientes;
d. Describir los derechos de aprobación o desaprobación de los usuarios, en relación con el uso de sus datos (customers’ opt-in approval and/or opt-out approval rights);
e. Establecer el acceso a mecanismos para que los clientes puedan conceder, denegar o revocar su consentimiento para que los operadores puedan usar, divulgar o permitir el acceso a sus datos.
También es notorio, y de esto no he leído nada en los medios generalistas, saber que la norma repelida introducía obligaciones de notificación en caso de vulneraciones de datos personales (data breach notification), con cuestiones muy interesantes como la obligación de los operadores de notificar una vulneración de datos a la Comisión Federal de Comunicaciones, al FBI y al Servicio Secreto (en aquellos casos en que la brecha afectara a más de 5.000 clientes).
Se trataba, pues, de una norma que reglamentaba las disposiciones de una ley general (la Sección 222 de la Ley de Comunicaciones) que por muchas razones nunca fue bien vista por los propios operadores, a quienes establecía obligaciones específicas para salvaguardar la privacidad de los usuarios y la seguridad de sus datos personales.
Sin embargo, y en estricto sentido, la desaprobación de esta norma (producto sin duda de mucho cabildeo) no significa ni puede significar la aprobación de una ley que permite vender los datos de los usuarios; siendo además que (y esto no lo han informado los medios consultados), la norma revocada no prohibía de manera categórica “la venta de la información de los usuarios”, sino que regulaba de manera más clara y con mayores requisitos la obtención de su consentimiento para hacerlo.
Ante estas aclaraciones, cabe entonces preguntar: ¿por qué se ha anunciado que el acto del Congreso de los EEUU permitirá la venta de información de usuarios de internet, tal como el historial de sus búsquedas?
La respuesta la brinda la propia sección 222 a que ya nos hemos referido, que en su apartado (c)(3) dispone: “Un operador de telecomunicaciones que recibe u obtiene información confidencial de la red del cliente, en virtud de la prestación de un servicio de telecomunicaciones, puede utilizar, revelar o permitir el acceso a la información agregada del cliente, [excepto para los fines descritos en el párrafo 1)]. Un operador local puede usar, divulgar o permitir el acceso a la información agregada del cliente, excepto para los propósitos descritos en el párrafo (1), si proporciona dicha información agregada a otros operadores o personas, bajo términos y condiciones razonables y no discriminatorias, previa solicitud razonada para tales efectos”. (la traducción es nuestra).
 Que la normativa vigente de telecomunicaciones de los EEUU permita el acceso a (o la venta de) información agregada de los usuarios de servicios de telecomunicaciones, constituye el meollo de la confusión noticiosa… 
Que la normativa vigente de telecomunicaciones de los EEUU permita el acceso a (o la venta de) información agregada de los usuarios de servicios de telecomunicaciones, constituye el meollo de la confusión noticiosa que deseamos aclarar. Y es por ello que debemos entender a qué nos referimos cuando hablamos de “INFORMACIÓN AGREGADA”.
La respuesta la brinda una vez más la Ley de Comunicaciones, que define este tipo de información (apartado (h)(2)) de la siguiente forma: El término "información agregada del cliente" significa los datos colectivos que se relacionan con un grupo o categoría de servicios o de clientes, de los cuales se han eliminado las identidades y características individuales del cliente. (la traducción es nuestra).
Ante esta aclaración, no sorprende que, después del revuelo inicial, nos encontremos ahora con artículos como los que han publicado Slate o Forbes, en los cuales se refieren de manera divertida (you cannot call up Comcast and be like, ‘hi can I buy lawmakers’ browsing histories. that’s a no.’) o francamente directa (So why are media reports getting this story so wrong?) a la desinformación propagada.
Y es que, aunque cualquier experto pueda demostrar en laboratorio que la información agregada no excluye la posibilidad de identificar de manera individual a una persona, existe un consenso más o menos general en que este tipo de información no proporciona de manera directa e inmediata la identidad de personas específicas.
Para los que nos dedicamos a la privacidad y a la protección de datos personales, la naturaleza de la información agregada puede no resultar del todo consoladora de cara la POSIBILIDAD de ser perfectamente identificados a partir de nuestro historial de navegación (y otra información relacionada); sin embargo, podemos considerar que, en este momento, la anunciada venta de esta información seguirá teniendo como propósito principal mejorar el tipo de publicidad que los usuarios americanos reciben todos los días al navegar por internet.
A nivel personal, y puestos a comparar, creo que es bueno que esta posibilidad no la concibamos en el territorio de la Unión Europea, dado el nivel y la forma en que se protegen en este territorio la privacidad y los datos personales.
Por lo demás, juzgue usted si después de este embrollo legal que le he contado, sigue pensando lo mismo de todo lo que había leído sobre este tema.

Héctor Guzmán
Es abogado y socio de BGBG Abogados, responsable del área de protección de datos y privacidad. Ejerce en España y México. Está certificado en PRINCE2 e ITIL Fundamentos.