Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


domingo, 20 de mayo de 2018

GDPR y empresas latinoamericanas


¿Qué es el GDPR y por qué es bueno saber que también afectará a las empresas latinoamericanas?

Por Basterrica

Acá te damos la respuesta a qué es el GDPR. Un reglamento al que, quizás sin saberlo, empresas del continente deben regirse también.



Varias empresas latinoamericanas y del mundo se están preparando para el GDPR de manera más formal. Pero, ¿De qué diantres estamos hablando cuando utilizamos esta sigla?.
Básicamente se trata del Reglamento General de Protección de Datos de la Unión Europea, ley que entró en vigencia el 25 de mayo de 2016 y que es "relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de sus datos".
Lo que muchos hasta ahora no sabían, es que este nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección  a todas las compañías extranjeras que procesan datos de residentes de la Unión Europea. Para cumplir con estas regulaciones, sin embargo, esto implica el costo de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial.
Las bases legales para el procesamiento de datos según este reglamento son:
  • El interesado ha dado su consentimiento para el procesamiento de sus datos personales con uno o más propósitos específicos.
  • El procesamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
  • El procesamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto.
  • El procesamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
  • El procesamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
  • El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando los datos sujeto es un niño.
  • Para aclarar más el tema, hablamos con Alex Pessó, director de Asuntos Legales de Microsoft Chile, quien nos explicó a fondo de qué se trata el reglamento y cómo afectará a la región.
    ¿Qué es la GDPR?
    El Reglamento General de Protección de Datos (más conocido como GDPR, por sus siglas en inglés) -que entrará en vigencia el próximo 25 de mayo- es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos. Todas las compañías con operaciones en la Unión Europea y quienes hacen negocios con sus 500 millones de habitantes deberán acatar este reglamento y además tiene aplicación extraterritorial en el caso de organización establecida fuera de la UE, cuando dicho tratamiento esté relacionado con la oferta de bienes o servicios a esas personas o al monitoreo de su comportamiento.
    Por lo anterior este Reglamento terminará impactando al mundo entero y se convertirá posiblemente en el estándar más estricto en materia de tratamiento de datos personales. Este nuevo referente definirá un conjunto de reglas que los países, las empresas y finamente los titulares incorporarán en su forma de tratar de datos y de ejercer los derechos asociados, respectivamente.

    ¿Qué implica la GDPR para los usuarios?
    La nueva reglamentación aumenta los derechos de los titulares de los datos personales, y por consiguiente, las obligaciones de los controladores de los datos, sean entidades públicas o privadas, que ofrezcan servicios a los ciudadanos de la UE pero también y de manera indirecta elevarán el estándar al que accederán otros usuarios en el mundo. Se regulan importantes derechos como  El “Derecho al Olvido” y el Derecho a la Portabilidad de los Datos, así como la ampliación del Consentimiento Previo Informado. Esta materia es crítica porque con la nueva reglamentación el controlador  deberá informar a los titulares/usuarios la base legal para el tratamiento de los datos, el período de conservación de éstos, la posibilidad de realizar reclamos, y en general cumplir con una serie de obligaciones de información que beneficiarán a los usuarios al momento de definir la forma en que controlan sus datos.
     ¿Cómo afecta a las empresas?
    El GDPR cambiará las reglas del juego en Estados Unidos y en varias geografías y para muchas empresas.
    El concepto de "privacidad por diseño" deberá ser incluido dentro de los servicios y productos desde el principio, con un consentimiento suficiente y una mayor claridad acerca del uso de los datos y, como resultado, los usuarios, consumidores y titulares de Estados Unidos y todo el mundo obtendrán el gran beneficio de esto, que se traducirá en tener mayor control de sus datos personales.
    Es importante destacar que GDPR tiene un alcance extraterritorial, por lo que empresas ubicadas fuera de la Unión Europea que realicen negocios con personas o empresas de dichos países, o que realicen tratamiento de datos de ciudadanos o residentes europeos podrían estar sujetas también al cumplimiento de la GDPR y esto podría afectar directamente a varias empresas chilenas.

miércoles, 25 de abril de 2018

El precio de tus datos


Protección de datos personales, nueva oportunidad de negocio

Protección de datos personales, nueva oportunidad de negocio


La controversia generada alrededor de la consultora política Cambridge Analytica y Facebook por la filtración de datos personales de más de 50 millones de usuarios para elaborar perfiles de votantes y apoyar la campaña presidencial de Trump en 2016 revela una oportunidad de crear nuevos negocios en cuanto a la protección de datos personales se refiere, de acuerdo a expertos en comunicación digital y ciberseguridad.
Y es que el valor comercial de los datos es cada vez mayor. De acuerdo a La Comisión Europea, dicho mercado ronda los 400,000 millones de dólares (mdd) y prevé que esta cifra ascienda hasta los 900.000 millones para 2020.
“Los mercados no se equivocan. Si la obtención de tu información personal ya es un negocio para las empresas, la protección de los mismos es la otra cara de la moneda,”afirma Alonso Cedeño, experto en comunicación estratégica y especialista en uso y aplicación de nuevas tecnologías.

De acuerdo a las mismas cifras de crecimiento que Facebook ha compartido, la red social valora el perfil de cada usuario y establece una tarifa en dólares por su información. Esta varía entre las diferentes regiones del globo y es para que las empresas tengan la posibilidad de segmentar su publicidad a niveles muy particulares.
Por ejemplo, el precio promedio por el perfil de un ciudadano a nivel mundial está valuado en 6.18 dólares. Mientras que un ciudadano europeo tiene un valor 8.76 dólares, y un usuario canadiense o de Estados Unidos, puede alcanzar un valor de casi 27 dólares.
Facebook Q4 2017 Results
Foto tomada de investor.fb.com
A todo esto, el Gerente de Seguridad de GeneXus Consulting, Gerardo Canedo, explica que más que el derecho al olvido en la red, la oportunidad para el surgimiento de nuevos negocios radica en consultorías a cumplimiento que se dediquen a la capacitación de usuarios en cuanto a compartir información que pueda comprometer la seguridad de sus datos o los de la empresa en la que laboran.
“El negocio estará en el análisis de riesgo para las empresas y en la concientización de los usuarios”, sostiene el experto en ciberseguridad de GeneXus.
En cuanto al panorama nacional se refiere, el estudio de “Privacidad en México 2016”, elaborado por la consultora PwC, mostró que las empresas en el país no cuentan con el conocimiento adecuado para manejar datos personales de clientes, proveedores y/o trabajadores, que no capacita a su personal para tal procedimiento y que no tiene planeado invertir en tales temas.
“Todo lo que está en la red se guarda. Incluso si se borra un tuit, el internet ya tiene un registro y una copia de lo que se borró”, asegura Canedo y afirma que “los desafíos técnicos para regular el intercambio de información en la red son gigantescos” y que los negocios que quieran emprender en este sector primero deben apegarse a las leyes de cada país y al reglamento interno de cada red social.  
A las acusaciones de Facebook se suma la serie de correos electrónicos y documentos obtenidos por The Intercept en los que se demostraba que el Servicio de Inmigración y Control de Aduanas de Estados Unidos utilizó los datos de la red social para rastrear inmigrantes y deportarlos.
“Hay que tener mucho cuidado y dejar de pensar que las redes sociales son fuente de anonimato, aunque falta una mayor regulación en el espacio virtual, las regulaciones van a evolucionar en temas de regular al usuario”, sostiene Alonso Cedeño.

Luego de este embrollo con Cambridge Analytica y las repercusiones que tuvo en la elección estadounidense del 2016, el fundador de la plataforma social más popular del mundo, Mark Zuckerberg, ofreció disculpas y prometió medidas más estrictas ante al Congreso de EU para proteger la información de sus usuarios, y aunque los nervios de Wall Street le ocasionaron pérdidas de más de 60,000 mdd a su valor de mercado, tras sus comparecencias, las acciones de Facebook subieron más de 5% e impulsaron el valor de la empresa en más de 24,000 mdd.

sábado, 17 de marzo de 2018

Multa Whatsapp y Facebook


AEPD multa con 600.000 euros a Whatsapp y Facebook por usar datos sin permiso

AEPD multa con 600.000 euros a Whatsapp y Facebook por usar datos sin permiso


Madrid, 15 mar (EFE).- La Agencia Española de Protección de Datos (AEPD) ha sancionado con 600.000 euros a las empresas Whatsapp y Facebook (300.000 a cada una) por cesión y tratamiento de datos personales de sus usuarios sin consentimiento.
La Agencia ha concluido que existen dos infracciones graves de la Ley Orgánica de Protección de Datos, en el caso de Whatsapp por comunicar datos a Facebook sin autorización del usuario y en el de Facebook por el tratamiento de esos datos para sus propios fines.
La resolución de la AEPD concluye que la comunicación y tratamiento de datos realizados por Whatsapp a Facebook no se ajustan a lo exigido por la normativa española y europea de protección de datos.
En una nota de prensa, la Agencia recuerda que Whatsapp fue adquirida por Facebook en 2014 y que dos años después la primera actualizó los términos de su servicio y la política de privacidad, e introdujo el intercambio de información sobre usuarios.
La aceptación de esas nuevas condiciones se impuso como obligatoria para poder hacer uso de la aplicación de mensajería, y la comunicación de datos personales a Facebook se llevó a cabo sin la adecuada información a los usuarios, a los que se privó de la posibilidad de negarse a estas condiciones.
En el caso de los usuarios que ya tenían instalada la aplicación Whatsapp, informa la AEPD, la compañía permitía rechazar que la información cedida pudiera ser utilizada para mejorar la experiencia con los productos y publicidad en Facebook, pero no con otros fines, y les obligaba a aceptar las nuevas condiciones antes de un plazo concreto para seguir utilizando el servicio.
Los usuarios nuevos no contaban con la opción de negarse a que sus datos fueran cedidos a Facebook para fines publicitarios o de mejora de experiencia y no podían hacer uso de la app si no aceptaban los nuevos términos del servicio.
La AEPD recuerda que, según el artículo 11 de la Ley Orgánica de Protección de Datos, la comunicación de datos personales exige el consentimiento del afectado y que dicho permiso debe ser libre, específico e informado.
Por ello, la exigencia de que los usuarios prestaran su consentimiento como requisito para poder hacer uso de la aplicación "ejerce una influencia real en la libertad de elección del interesado" y este permiso no puede considerarse libre, detalla la nota.
Además, la AEPD resuelve que la ausencia de información o una información insuficiente determina igualmente la falta de consentimiento.
En el caso de Facebook, la AEPD considera que la red social utiliza la información de los usuarios cedida por Whatsapp en beneficio de su actividad y que para ello requiere de un consentimiento libre, específico e informado del usuario, que no existe al reproducirse las deficiencias observadas en la actuación de Whatsapp. EFE

lunes, 12 de marzo de 2018

Gestión de datos personales


GDPR, cómo responder los desafíos en la gestión de documentos

GDPR, cómo responder los desafíos en la gestión de documentos



Jeff Segarra, Senior Director Imaging Product Marketing en Nuance Communications
12/03/2018



Con la llegada del nuevo Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), todas las organizaciones que gestionan información personal tendrán nuevas responsabilidades y obligaciones en lo relativo a la gestión de documentos y datos confidenciales de los usuarios.
Las empresas se preparan a contrarreloj para hacer frente a las nuevas especificaciones sobre protección de datos personales que señala el GDPR. Es evidente pues, que la cuenta atrás hacia la implementación de la nueva normativa ha comenzado.
El nuevo y amplio marco regulatorio fortalece la protección de datos personales para los ciudadanos y residentes de la Unión Europea. Por ello, cumplir con las nuevas implicaciones que propone la normativa puede ser un reto para aquellas compañías que recopilan, procesan y almacenan documentos que contienen datos personales.
Las soluciones avanzadas de captura y gestión de documentos pueden responder de forma efectiva a los nuevos desafíos en seguridad, acceso, privacidad y transparencia de los datos personales que propone la normativa. A mí parecer, estas soluciones cuentan con algunas funcionalidades que permiten a las empresas cumplir con las demandas planteadas por el GDPR.

Digitalización. Convertir los documentos en papel en archivos digitales es un primer paso en el cumplimiento de la nueva regulación. Las soluciones de captura de documentos son capaces de transformar, de forma rápida y eficiente, grandes volúmenes de documentos a formatos digitales protegidos. Así pues, los archivos que contienen información personal son más seguros y se reduce el número de copias de un documento.
Cifrado. Estas soluciones permiten que el cifrado de documentos y la configuración de permisos para controlar la visualización, impresión y modificación de archivos sea un proceso ágil y sencillo.
Detección de contenido. Cuando los documentos son compartidos electrónicamente, entre los propios empleados y partners, aumenta las posibilidades de incumplir el GDPR. Las soluciones de captura de documentos abordan estos riesgos examinando los documentos y poniendo en cuarentena aquellos que son considerados susceptibles de incumplir con la normativa. De esta forma, las notificaciónes se envían directamente al emisor del documento, al supervisor y al equipo de seguridad.
Redacción. Las soluciones de captura de documentos automatizan la redacción de datos personales. Los documentos enviados a través de la red son supervisados minuciosamente en busca de datos personales. Una vez que estos datos son identificados, se redactan automáticamente y el contenido se almacena y se registra para una mayor supervisión.
Integración. Este tipo de plataformas de captura y gestión de documentos están diseñadas para integrarse perfectamente donde se necesite la protección de datos, desde aplicaciones o sistemas colaborativos hasta archivos, fax, correo electrónico, impresoras e incluso dispositivos personales. Esto se traduce en un mayor control de los documentos que contienen datos personales.
Por todo lo mencionado, la nueva regulación devolverá el control de los datos personales a los usuarios, añadiendo o ampliando nuevas normas de protección de la información. Por lo tanto, las empresas que gestionan estos datos deben adoptar una estrategia solida que incluya la implementación de soluciones de captura y gestión de documentos que faciliten la protección de la información en toda la organización.

miércoles, 28 de febrero de 2018

Aborto

DERECHO A LA PROTECCIÓN DE DATOS SOBRE LA SALUD, DATOS SENSIBLES, ABORTO NO PUNIBLE



La Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, inició de oficio una actuación con la finalidad de recabar información sobre los procedimientos que culminaron a fines del año 2012 con la difusión pública de información acerca de una paciente de 32 años, víctima de trata de personas, que se sometería a un aborto no punible en el Hospital General de Agudos “Dr. José María Ramos Mejía” de la Ciudad de Buenos Aires.

Los hechos que llevaron a la apertura de la actuación sucedieron los primeros días de octubre del año 2012, circulando públicamente que se realizaría un aborto no punible en un hospital de la Ciudad de Buenos Aires. Ante esta divulgación se planteó una acción de amparo por la que se dispuso la suspensión de la referida práctica médica. Esta acción finaliza con la intervención de la Corte Suprema de Justicia de la Nación, mediante el fallo “Pro Familia Asociación Civil c/GCBA y otros s/impugnación de actos administrativos” del 11 de octubre de 2012, que hizo lugar a la práctica médica autorizando la interrupción del embarazo. En la prensa  había circulado que la damnificada habría dicho “…me he visto afectada de modo personal por los “escraches” efectuados frente a mi domicilio particular.  Cabe recordar que en estos momentos estoy siendo acompañada y protegida por la Oficina de Rescate a Víctimas de Trata del Ministerio de Justicia de la Nación. En consecuencia, la divulgación de mis datos personales, como mi domicilio (donde vivo con mi familia y mis hijos), no sólo importa una grave afectación a mi intimidad y vida privada, sino también una exposición a riesgos por parte de los tratantes, que me afecta a mí y a mi grupo familiar. Cabe destacar que esta situación se generó como resultado de la violación del secreto profesional que debió proteger la intimidad de mi historia clínica, la intervención indebida de terceros y la actuación de la Justicia en violación a mi derecho a la privacidad, la dignidad y el respeto integral de mi salud.”
Ante ello, el Centro de Protección de Datos Personales, dependiente de la Defensoría indicada, envió oficio al Hospital General de Agudos “Dr. José María Ramos Mejía” a fin de interiorizarse de la situación y alertar al nosocomio sobre el manejo que deben cumplir respecto de los datos personales de carácter sensible. Asimismo le recuerda que la ley 1845 de protección de datos personales local, considera a la información referente a la salud como un dato sensible (Art. 3) y el Art. 9 de “Datos relativos a la salud” establece: “Los establecimientos sanitarios dependiente de la Ciudad de Buenos Aires y los profesionales vinculados a las ciencias de la salud que presten servicios en los mismos pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.” Y se considera que este extremo en el caso no se ha cumplido. (del considerando I de la Resolución 0950/13)

La Protección a la intimidad y el tratamiento de los datos sensibles

El Art. 3 de la ley 1845 define a los datos sensibles como aquellos que “…revelan origen racial o étnico, opiniones políticas, convicciones religiosas o morales, afiliación sindical, información referente a la salud o a la vida sexual o cualquier otro dato que pueda producir, por su naturaleza o su contexto, algún trato discriminatorio al titular de los datos.”
El Art. 8 de la ley indicada se refiere a los datos sensibles estableciendo que ninguna persona puede ser obligada a proporcionar datos sensibles, pudiéndose tratar sólo cuando medien razones de interés general autorizados por ley.  Prohíbe la formación de archivos, registros o bases de datos que almacenen información que revele datos sensibles y los datos relativos a antecedentes penales o contravenciones administrativas sólo podrán ser tratados por las autoridades públicas competentes.
Expresa que la normativa aborda dos elementos centrales, por un lado el carácter sensible de la información referente a la salud y por el otro la obligación de proteger la intimidad a través del cumplimiento de “guardar secreto” Agrega, que la salud es un bien supremo que forma parte de la vida privada de las personas, por ello las leyes han otorgado una protección acorde con tal bien. Por ello, acceder y dar a conocer datos relativos a la salud de una persona pueden afligir a su titular, provocar efectos negativos para el desarrollo de su vida y hasta ser la causa de discriminación por parte de terceros. En este caso además, se trata de la divulgación de aspectos que involucran situaciones de violencia que incluso podrían poner en peligro su vida e integridad personal. Por ello la garantía legal es la obligación de “guardar secreto” por parte de los profesionales de la salud. Concluye el considerando señalando que frente al estado público que tomaron los hechos del caso, no hay dudas que la privacidad fue vulnerada. La garantía de protección y cuidado de la información sobre la salud y privacidad pesa sobre el Hospital desde donde se debe poner el esfuerzo para lograr los recursos materiales y culturales para proteger a las pacientes. Por tal razón es esa Institución que en pos de preservar la vida privada de la damnificada, a la que está obligada, debe garantizar la reserva, guardar discreción y no divulgar información personal. (del considerando III de la Resolución 0950/13)

Situación sobre el aborto en Argentina

En nuestro país el aborto es un delito, pero en algunas circunstancias se permite su realización sin sanción penal. Así, el Art. 86 del Código Penal de la Nación establece “…El aborto practicado por un médico diplomado con el consentimiento de la mujer encinta, no es punible: 1°) Si se ha hecho con el fin de evitar un peligro para la vida o la salud de la madre y si este peligro no puede ser evitado por otros medios. 2°) Si el embarazo proviene de una violación o de un atentado al pudor cometido sobre una mujer idiota o demente. En este caso, el consentimiento de su representante legal deberá ser requerido para el aborto.”
La Corte Suprema de Justicia de la Nación en el fallo “F.,A.L. s/medida autosatisfactiva del 13 de marzo de 2012 ha señalado el alcance que se le debe dar al Art. 86, inc. 2° del C.P. En el caso se trató la solicitud de un aborto de una niña de 15 años que había sido violada por su padrastro. La CSJN considera que a partir de la interpretación de las normas constitucionales y convencionales  (tratados y convenciones internacionales) no se deriva mandato alguno que imponga interpretar en forma restrictiva el Art. 86, inc. 2° del C.P., en cuanto regula supuestos de abortos no punibles que son consecuencia de una violación, es necesario remarcar que existen otras cláusulas de igual jerarquía  y principios básicos que obligan a interpretar dicha norma con un alcance amplio.
Agrega, la CSJN que “…reducir por vía de interpretación la autorización de la interrupción de los embarazos sólo a los supuestos que sean consecuencia de una violación cometida contra una incapaz mental implicaría establecer una distinción irrazonable de trato respecto de toda otra víctima de análogo delito que se encuentre en igual situación y que, por no responder a ningún criterio válido de diferenciación, no puede ser admitida (…). Máxime cuando, en la definición del alcance de la norma, está involucrado el adecuado cumplimiento del deber estatal de protección de toda víctima de esta clase de hechos en cuanto obliga a brindarle atención médica integral, tanto de emergencia como de forma continuada. (…) Asimismo, añade la CSJN  “Que teniendo a la luz aquella manda constitucional es que debe interpretarse la letra del artículo 86, inciso 2°, del Código Penal y por dicha razón, se debe concluir que quien se encuentre en las condiciones allí descriptas, no puede ni debe ser obligada a solicitar una autorización judicial para interrumpir su embarazo, toda vez que la ley no lo manda, como tampoco puede ni debe ser privada del derecho que le asiste a la interrupción del mismo ya que ello, lejos de estar prohibido, está permitido y no resulta punible.” Adicionalmente, exhortó “… a las autoridades nacionales y provinciales a implementar y hacer operativos, mediante normas del más alto nivel, protocolos hospitalarios para la concreta atención de los abortos no punibles a los efectos de remover todas las barreras administrativas o fácticas al acceso a los servicios médicos. En particular, deberán: contemplar pautas que garanticen la información y la confidencialidad a la solicitante; evitar procedimientos administrativos o períodos de espera que retrasen innecesariamente la atención y disminuyan la seguridad de las prácticas; eliminar requisitos que no estén médicamente indicados; y articular mecanismos que permitan resolver, sin dilaciones y sin consecuencia para la salud de la solicitante, los eventuales desacuerdos que pudieran existir, entre el profesional interviniente y la paciente, respecto de la procedencia de la práctica médica requerida”. (del considerando IV de la Resolución 0950/13)


La Resolución que venimos reseñando concluye en que “…la protección de la privacidad de parte de los funcionarios constituye una garantía fundamental que debe cumplirse rigurosamente. Los actores del sistema de salud y funcionarios públicos deben trabajar en pos de asegurar el cumplimiento de este derecho básico para evitar intromisiones arbitrarias en la vida de las personas. En igual sentido deberán garantizarse las prácticas médicas de conformidad con la normativa vigente.” (del considerando V de la Resolución 0950/13)


Matilde Susana Martínez

23 de mayo de 2013.

domingo, 11 de febrero de 2018

WiFi "gratis" en BA



 
Imagen pública de promoción a la conexión Wifi del Metro de Buenos Aires.
Un reciente informe de VICE Argentina revela algunos datos inquietantes sobre los términos y condiciones que aceptan (generalmente, sin leer) los usuarios de la red de WiFi que ofrece la ciudad de Buenos Aires de forma gratuita.
Al igual que muchas ciudades modernas, Buenos Aires cuenta desde hace algunos años con una red de internet inalámbrica pública a la cual se accede desde los parques, plazas, terminales de bus y ómnibus e, incluso, dentro de la red de subterráneos, gracias a la instalación realizada por el Gobierno de la Ciudad de Buenos Aires (GCBA) en colaboración con Subterráneos de Buenos Aires Sociedad del Estado (SBASE).
El informe señala que todo usuario que desee hacer uso de la red BAWiFi debe registrarse y aceptar los términos y condiciones para acceder a la conexión. Estos términos, a los que los usuarios no suelen prestar mucha atención, incluyen otorgar permiso al GCBA y a SBASE para recopilar sus datos personales y de registro, como el nombre, usuario, contraseña, número de documento de identidad o clave de identificación laboral (CUIL), nacionalidad, género, teléfono, dirección postal y datos de geolocalización, además de las fotografías y datos de voz almacenados en el dispositivo conectado a la red.
Otro aspecto llamativo de los términos y condiciones de la red de WiFi de Buenos Aires es que, al aceptarlos, el usuario otorga su consentimiento para que el Gobierno de la Ciudad y SBASE hagan uso y difusión de sus fotos y voz con fines publicitarios y de comunicación:
SBASE se reserva el derecho a realizar la acción publicitaria, de prensa, promoción, publicación y difusión que considere conveniente de los datos proporcionados por los USUARIOS que hagan uso del Servicio. Con la sola proporción de datos y aceptación de los presentes términos y condiciones, los USUARIOS prestan su expresa conformidad para la utilización y difusión de sus datos e Imágenes (foto y voz) por los medios publicitarios y de comunicación que SBASE y/o el Gobierno de la Ciudad Autónoma de Buenos Aires disponga.
El trabajo de VICE, ilustra este fragmento en un ejemplo sencillo:
Si lo hizo [aceptar los términos y condiciones], no debería sorprenderse si un día al entrar a la estación, ve su cara en una gigantografía con la frase: “De lunes a viernes bien temprano, (su nombre y apellido) disfruta de nuestro servicio”.”
Sin embargo, lo descrito anteriormente no es tan serio como lo que citamos a continuación del Artículo 2, apartado sobre “Plazo y duración”:
SBASE podrá establecer nuevas condiciones y/o modificaciones a cualquiera de las cláusulas contenidas en los presentes términos y condiciones y las políticas de privacidad sin necesidad de contar con la autorización del USUARIO.
El usuario acepta un contrato que puede cambiar sus términos en cualquier momento sin necesitad de su autorización. De allí surgen muchas dudas sobre qué pasará con todos los datos e imágenes recopiladas y almacenadas por el Estado, y a la luz de la inminente reforma de la actual Ley N° 25.326 de Protección de Datos Personales argentina, que data de octubre del 2000, se enciende una señal de alarma.
¿Para qué necesita SBASE el número de clave laboral de los usuarios? ¿Para qué necesita el gobierno de la ciudad almacenar las fotografías y notas de voz personales de cualquier ciudadano? ¿Qué otro uso potencial podría darle a esta información amparado por futuras modificaciones de la ley de protección de datos o de los términos y condiciones del contrato mismo?
Teniendo en cuenta que el artículo cuarto de la ley de Protección de Datos Personales dice que los “datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”, se puede suponer que algunos de los datos recopilados por SBASE (en particular, las fotos de usuarios) podrían considerarse “excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”.
Al momento de la edición de este artículo, el texto del contrato no está subido al sitio oficial del Gobierno de la Ciudad o de SBASE para su lectura y consulta ulterior; sólo se accede al contenido cuando se está en el Subte para conectarse.
El usuario de Twitter Tomás publicó el texto completo del contrato de adhesión que había guardado en un documento de Google un tiempo atrás y, sobre el informe de VICE, comentó:

La “sociedad de la transparencia”

En las redes sociales, hubo muy pocas reacciones de los cibernautas frente a la publicación del informe de VICE (o de las condiciones en sí mismas). Javier Pallero, analista de políticas públicas de Internet de Access Now, explica que hay muy poca conciencia sobre la privacidad, y que lo más preocupante de todo esto es que sea el Estado quien recoja estos datos:  “Es el único que todavía tiene la capacidad de quitarte los bienes, privarte de la libertad o, bajo ciertas circunstancias, pegarte un tiro legalmente”.
El usuario que accede a las plataformas de redes sociales, aplicaciones y otros servicios digitales está habituado a aceptar sus términos y condiciones de uso sin leerlos. Valeria Milanés, directora de la Asociación por los Derechos Civiles (ADC) Digital, explica que “son contratos de adhesión sumamente largos y con terminología muy compleja. Lo que debería suceder es que el texto fuera acompañado de mensajes con ideas muy claras sobre para qué se van a usar los datos, durante cuánto tiempo, en el lenguaje más sencillo posible”.
La entrega de datos ya se ha naturalizado entre los usuarios a tal punto de reducirlo a un precio relativamente bajo que se paga para obtener el beneficio de una conexión “gratuita”:
En otros casos, se simplifica el problema y se propone una solución práctica: no utilizar el servicio.
La escasa resistencia de los usuarios para entregar sus datos refleja un preocupante desinterés o desconocimiento de los potenciales riesgos que implica aceptar términos y condiciones que no comprenden en su totalidad.

¿Censura en la red #BAWifi?

En otro orden de ideas, el blog El Disenso, abiertamente crítico del Gobierno de la Ciudad de Buenos Aires y del gobierno nacional, denunció el bloqueo de su sitio desde la red de WiFi de Buenos Aires tras haber publicado una serie de investigaciones que, según ellos, “incomodan al GCBA”. El blog alega que, el 1 de febrero, varios de sus lectores informaron que no podían acceder al sitio web cuando estaban conectados a la red BA WiFi.
Horacio Rodríguez Larreta es el Jefe de Gobierno de la ciudad de Buenos Aires, sucesor en el cargo que ocupara el actual presidente de la Nación, Mauricio Macri.
El Disenso presentó quejas ante la Defensoría del Pueblo de la Ciudad de Buenos Aires y la empresa Subte BA. El 7 de febrero confirmó que el acceso al sitio se había restablecido en la red, en lo que describieron como un “incidente de bloqueo erróneo de URL”.
Por supuesto, para muchos queda la duda sobre si el incidente fue accidental o intencional.