Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


lunes, 4 de noviembre de 2019

Descontro de datos personales

https://www.lapoliticaonline.com/nota/ciberseguridad/

El descontrol de ciberseguridad, protección de datos y tecnología en Cambiemos 
 Por Marcos Mansueti 
El Gobierno que termina el 10 de diciembre deja a Argentina en un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el Estado. 02/11/2019 Con total impunidad. Así se manejaron desde que asumieron el 10 de diciembre de 2015 los funcionarios relacionados con modernización, sistemas, ciberseguridad y tecnología de la gestión macrista. Mostrando en sus cuentas personales de las redes sociales como con dinero de los contribuyentes comenzaban a viajar a Google, Facebook, Twitter y otras empresas por el mundo para cerrar acuerdos insólitos que son por lo menos cuestionables y no fueron nunca necesarios para los ciudadanos más que para ellos recorrer el mundo y sumar fotos para sus perfiles de redes sociales. Apenas fue el comienzo. Lo siguen haciendo hasta incluso luego de haber perdido las elecciones. Pensaron que serían eternos, que nadie los estaría observando, que ellos eran los únicos que sabían y entendían lo que estaban haciendo. El resto no podría objetar algo. Así actuaban. Desde entonces la Argentina pasó ser un descontrol en materia de datos personales, información de los ciudadanos, contratos con empresas multinacionales, sistemas de control, gestión y seguridad informática en el estado. También hubo casos peores donde la justicia deberá investigar aquellos que de empresas privadas saltaron del mostrador renunciando a ellas para luego asumir cargos clave y contratar las empresas donde pertenecían, como por ejemplo en el famoso Ministerio de Modernización. Si bien la cabeza visible de esta área es Andrés Ibarra, su segundo Daniel Abadie, subsecretario de gobierno digital ha sido uno de estos personajes, que dice que el ministerio es una startup estatal. Pero sirvió solamente para recolectar información de manera indiscriminada como aparato de inteligencia de big data dentro del estado y además para crear cientos de cargos para la nada misma porque aplicaciones importantes las terminaron concursando por licitación para realizaciones externas. Gobierno Digital AR @GobDigitalAR 📲La aplicación #MiArgentina centraliza los trámites del estado y permite a los ciudadanos tener en su celular documentos y credenciales en formato digital y con plena validez legal. Conocé sus orígenes y desarrollo en el segundo capítulo de esta serie con @Dan_Abadie Embedded video 24 7:07 AM - Oct 25, 2019 Twitter Ads info and privacy 16 people are talking about this Organismos como la Dirección Nacional de Datos personales, hoy Agencia de Acceso a la Información Pública, miraron durante todo el tiempo hacia otro lado, sus funcionarios estaban para tapar lo evidente. Su función, era ser algo similar a la oficina anticorrupción, pero resguardando la información de los ciudadanos y actuar en consecuencia ante incumplimientos de las leyes. No sucedió. A los meses de haber asumido me presenté personalmente ante su titular, Eduardo Bertoni y cuestioné: "¿Cómo es posible que para registrar un dominio de Internet en Argentina haya que registrarse e ingresar con los datos a la AFIP y que pasen por el Ministerio de Modernización?" la respuesta fue: "no estábamos enterados de esto". Y así fue. En ningún país del mundo se relaciona un registro de dominio con un organismo fiscal ni menos pasando la información por un ministerio. Ni hablar de cómo se comenzó a ceder la soberanía de datos de los ciudadanos, información de correos estatales y sistemas cloud (servicios de almacenamiento) extranjeros. Algo que es técnicamente irreversible porque por más que algún día se quite de las nubes y se vuelva a alojar esa información en nuestro país, nada ni nadie garantiza que las nubes fehacientemente eliminen esa información. A esto debemos sumarle el festival de intercambio de datos en tiempo real que hoy entre los organismos estatales. Según el titular de la AAIP dice que es legal porque la ley de Datos Personales lo contempla, pero no es así, dado que cuando un ciudadano entrega sus datos los hace con una finalidad, y si luego recibe por ejemplo propaganda política, no es la finalidad ni el consentimiento prestado al consentir ceder sus datos. Ni hablar de la autorización de esa cesión de datos al extranjero que jamás fue informada a los titulares de los datos o las ventas de esas bases de datos que luego serían para fines de propaganda política y análisis de big data. Por eso cuando aquellos representantes de las nubes en Argentina hablan de compliance, vendiendo que la ley es totalmente compatible con lo que ofrecen están faltando a la verdad. Datos de organismos pululando por agencias de big data sin control de nadie. No hay ni existe registro ni control de uso de webservices ni de traspaso de base de datos entre organismos estatales, por una simple razón: no hay interés en el control amparándose en la falta de conocimiento y la falta de respeto hacia las leyes en quienes están "arriba". Saben que los datos y la información hoy equivalen a una mina de oro. Es así que entonces nacen TAD (Trámites a Distancia) y GDE (Gestión Documental Electrónica). Los tanques de recolección de datos de Modernización con la excusa de eliminar el papel para agilizar los trámites intra y extramuros del estado. Alojado en servidores que se encuentran en situaciones precarias (como se pudo ver en denuncias de El Destape en una nota de Ari Lijalad) y que el día del blackout algunos se apagaron (cuando no debía ser así) y casi no arrancaban nuevamente. Ni hablar de que no hay estructuras de backup y resguardo de información para todo lo existente. Gran parte del código fuente se desarrolló por empresas externas al estado, lo cual sorprende habiendo sido el ministerio que más creció desde sus comienzos, con un presupuesto enorme teniendo en cuenta que el desarrollador tiene posibilidades de acceder a un sistema en producción. Pero lo peor aún del Ministerio de Modernización es que hay muchos webservices que sin explicación alguna, entre un organismo y otro pasan en el medio por Modernización, pudiendo este guardar una copia de esos datos sin control alguno. Modernización habrá tenido en estos cuatro años una bola de información incalculable hasta incluso muy superior a la de la AFI. ¿Quién controló a Modernización? Recién en septiembre de 2019 un extenso e importante informe de la Auditoría General de la Nación alerta sobre el desastre técnico que es GDE y los riesgos del caos que podría llegar a generar cualquier falla. Otro divague de este ministerio fue algo que nos costó caro es Chat Crecer un (ro)bot sobre Facebook (https://www.argentina.gob.ar/chat-crecer) que no lo utiliza nadie y además nos costó otros miles en un viaje para recibir un premio intrascendente en plena crisis por la utilización y austeridad de los recursos estatales. Pero no, la jugaron a cyber rockstars con dinero del pueblo. The Webby Awards ✔ @TheWebbyAwards Today Webby Winners from around the world gather at @PublicHotels to record their #5WordSpeech! #Webbys View image on Twitter 16 5:49 PM - May 12, 2019 Twitter Ads info and privacy See The Webby Awards's other Tweets Modernización en teoría se creó para reducir gastos y optimizar recursos estatales. Por ello en el 2016 nombran a un tuitstar macrista llamado "supersifón" como Director Nacional de Políticas y Desarrollo de Internet. Cobrando más de $ 80 mil mensuales. Al día de hoy no se conoce al menos una política de desarrollo de Internet realizada por esta persona. Lo último en presentar este organismo fue la aplicación Mi Argentina que promete reemplazar el documento nacional de identidad y la licencia de conducir con algunas reservas. Ha tenido diferentes fallas desde su lanzamiento. Todo bajo el lema de Gobierno Abierto, Transformación Digital, etc. Cuestión que se desarrolló también por afuera del organismo, y una vez más nos preguntamos ¿para que contrataron tantas personas si los desarrollos son externos? En diversos organismos estatales, quienes están a cargo de los mismos no han logrado ponerse de acuerdo con los directivos de las áreas de sistemas y tecnologías. Resultado de esto, se terminan contratando conexiones residenciales personales para dentro de sus despachos. En muchos de estos han realizado pedidos de auditoría de ciberseguridad (a Modernización, por ejemplo) sin tener respuesta satisfactoria, pero con la reiteración de la imposibilidad de contratar auditorías externas. Funcionarios estatales han estado y/o están en peligro en materia de ciberseguridad sin responsables visibles y si alguna vez estuvo comprometida su privacidad seguramente nunca nos enteraremos. Tampoco en organismos estatales ha existido capacitación de prevención y concientización en el uso de herramientas tecnológicas de manera masiva. ¿Qué ha hecho estos años el comité de ciberseguridad creado y liderado por Marcos Peña con Andrés Ibarra? No hay respuesta a eso. Cuando se intenta consultar la respuesta es que "en realidad la seguridad dependía en la práctica de la ENACOM". Las principales problemáticas que podemos encontrar hoy en cualquier organismo son: a) falta de control del tráfico de datos, b) redes inseguras, c) utilización de emails personales y/o gratuitos, d) cero controles en credenciales y accesos para personas que ya no trabajan más o usuarios duplicados y falta de control de registro de accesos. d) códigos inseguros y servidores desactualizados, e) falta de documentación de desarrollos e infraestructura, f) falta de backups y políticas de disaster recovery, g) comunicación de funcionarios a través de Whatsapp como lo hace cualquier hijo de vecino h) no hay nada ni nadie que ante un evento de ciberdelito actúe brindando una solución en tiempo y forma, tanto para un civil, organismo o una fuerza de seguridad. La ENACOM tiene que controlar entre otras cosas a los operadores de cable e Internet. No lo ha hecho, uno de los ISP residenciales mas grandes del país ha repartido recientemente módems con un virus dentro (hijack), y nunca movió un dedo para investigar la situación. La competencia directa de este ISP no se quedó atrás, habilitó que los módems residenciales entregados a clientes sean además fuente de acceso a la red de Wi-Fi público, y tampoco hizo nada al respecto. Ni hablar de que algunas señales de la TDA por las noches emiten películas descargadas de Internet sin poseer los derechos que están en ese momento en el cine en calidad HD con total impunidad y sin control, violando la ley 11.723. También ENACOM hizo fanfarrias de anunciar y relanzar varias veces la campaña contra el robo de celulares y el bloqueo a través del IMEI (como si siempre fuera un logro, una novedad). Los robos no cesaron, al contrario, están en aumento. O acaso el registro no llame, ¿se cumplió alguna vez? No, solo se recolectaron datos que matcheaban nombres de líneas de teléfono con números de teléfono. En el Ministerio del Interior en el año 2018 se encontró una vulnerabilidad grave que permitió a través del sitio de Procrear realizar consultas sin control en tiempo real a la base de datos de RENAPER. Es importante destacar que varios organismos realizan consultas este último organismo, pero no se lleva control de quién, cuánto y para qué se consultan estos datos. Sólo en esta web de Procrear el servidor presentaba más de 50 fallas de seguridad. Nunca entenderé porque no se utilizó ARSAT para el alojamiento de toda la información estatal y porque este organismo creado para tal no fue el responsable de alojar todos los sistemas de todo el ámbito estatal como también sus correos. El Sistema Federal de Medios y Contenidos Públicos descartó lo realizado por la gestión anterior ODEON y lo reemplazó vendiéndolo como un Netflix Argentino a la plataforma Cont.ar gastando millones por una plataforma de VOD (Video on Demand) que ni por casualidad se asemeja a Netflix en su desarrollo y calidad. Además dejó de impulsar el BACUA (Banco de Contenidos Audiovisuales Argentino) fuente de contenido indispensable para la TDA como el desarrollo y crecimiento de la misma, a favor de los cableoperadoras para que la gente vuelva a contratar el cable. Cuando mínimamente al respecto podrían haber impulsado en épocas de crisis la instalación obligatorias de estas antenas receptoras y cableado en los edificios. En ANSES también hubo descontrol: se implementó el registro biométrico de huella dactilar para los jubilados, rara solución si se tiene contacto constante con los abuelos, basta con agarrarle la mano a cualquiera para saber que las huellas digitales en los adultos se deforman y no sirve siempre en la tercera edad como elemento de identificación biométrica. El organismo informa que si la huella no sirve, no hay que preocuparse, se emite un certificado. Entonces ¿quién?, ¿cómo y por qué se sugirió esta solución que no es tal gastando millones? Sin perjuicio de otros millones que se gastaron para la contratación de un Web Application Firewall por casi tres millones de dólares, un precio superior al del mercado. Pero los datos con ANSES también tuvieron situaciones por lo menos raras: En el año 2016 el organismo hace un "Convenio Marco de Cooperación" en conjunto con la Jefatura de Gabinete de Ministros, basta leer ese convenio para darse cuenta que: el convenio se hace posteriormente a la implementación del intercambio de información. Es decir, primero implementaron el webservice y luego un día se acordaron de documentarlo e informarlo. Espiar y sacar conclusiones de lo que se espía fue algo que comenzó a suceder desde el comienzo de esta gestión, en el 2016 el primer papelón nace del asesor digital de comunicación de Presidencia de la Nación que publicó fotos privadas de una periodista de Telefé en el powerpoint que utilizó en su conferencia en el Digital Media Latam, haciendo público algo privado de su vida en Instagram y opinando sobre ella con comentarios que lejos estaban de la realidad. Sin importar justamente eso: la privacidad, abusando de la impunidad de sus cargos. Con esta misma obsesión, Jefatura de Gabinete este año licita y contrata una empresa de Social Media Listening (control de publicaciones en redes sociales) con la particularidad de que la empresa contratada debía ser partner de Twitter. Cuando se revisa quién gana esa licitación: no es partner de Twitter. Nación Servicios es el área de sistemas e informática del Banco de la Nación Argentina desarrolló gastando más de $ 700 millones: PIM. Una billetera virtual que serviría para el cobro de la Asignación Universal por Hijo. La aplicación resultó inviable con fallas por todas partes a tal punto que tuvo que el gobierno tuvo que contratar la solución de dinero virtual de MercadoPago de la privada MercadoLibre. Esto fue informado en su momento por La Politica Online pero lo más curioso de todo, es que el pueblo se entera de esta situación por una denuncia de Juan Grabois en medio de una pelea con Marcos Galerín. Como frutilla de la torta, Nación Servicios también es quien desarrolla la tarjeta SUBE. En el último encuentro de hackers en Argentina llamado EkoParty, un ingeniero de software mostró como se puede vulnerar la carga de esta tarjeta. Nación Servicios no emitió opinión al respecto. La Administración Federal de Ingresos Públicos ha tenido varios temas cuestionables que nadie ha prestado atención: sus sistemas no tienen una disponibilidad del 100%, ejemplo de esto cada primero de cada mes donde muchos tienen como única herramienta de facturación el facturador web no funciona. Todavía muchos sistemas como el SIAP jamás se reemplazaron y si bien algunos módulos migraron a web, esos módulos son sólo compatibles con navegadores viejos y obsoletos. Luego la recolección masiva de datos biométricos como por ejemplo nuestro rostro como elemento de identificaciones me preocupa. Una contraseña se puede cambiar. Pero nuestra cara no. El acceso por parte del estado a un elemento de identificación biométrica por mi seguirá siendo por lo menos cuestionable. No nos olvidemos que detrás de los organismos hay empleados que muchas veces son infieles y no tienen control. Como por ejemplo quienes durante más de seis años vendieron información privada de la AFIP sobre sus contribuyentes a través de empresas de consulta financiera externas. Esos ex empleados hoy están presos por ese delito. Pero nadie informó ni pudo tomar real dimensión de cuanta información se filtró ni quienes fueron los perjudicados. En la justicia crecieron las unidades especializadas en cibercrimen y delitos informáticos. Los fiscales "especializados" son reactivos a investigaciones que provienen del exterior, pero no han demostrado proactividad. Proactividad debe ser generar un verdadero ciberpatrullaje de investigaciones con objetivos y logros locales reales. Lo que el Ministerio de Seguridad llamó reiteradas veces "ciberpatrullaje", solo sirvió para perseguir personas que piensen distinto al gobierno. Ni hablar de la cantidad de denuncias que quedan en la nada de los ciberdelitos que piden que se denuncien y se denuncian. Se quejan de que las principales empresas como Google, Facebook, Twitter y similares no responden los pedidos de la justicia o tardan bastante en hacerlo. Pero también estas empresas no tributan muchas veces impuestos en nuestro país, y nadie les dice nada. Muchos en el ámbito judicial han tenido primero el cargo de algo relacionado con la tecnología y luego la capacitación. Cuando deberían llegar con conocimientos, capacitados y luego tener el cargo que corresponda. Parece un juego de palabras, pero esta situación es parte del problema porque las capacitaciones no siempre llegan a ser lo necesariamente suficientes para los cargos y responsabilidades que se tienen. Peritos terminan haciendo desastres en causas por falta de capacitación o conocimiento sin importar el fuero, dado que hoy las pericias informáticas en muchos casos son la evidencia que define el resultado de una causa judicial. En el mundo de la tecnología y seguridad informática la capacitación debe ser constante. Si hoy se hiciere una evaluación sobre el personal estatal en cargos importantes donde combinemos trucos de ingeniería social, o bien analicemos las fuentes de datos de OSINT, pocos pasarían la prueba. Si revisamos los tachos de basura o impresoras del estado, encontraremos información que también nunca debió haber quedado disponible al acceso de cualquiera que pase. En muchas áreas de los estratos judiciales no hay dinero para comprar toners, menos hay aún para comprar discos rígidos para resguardar evidencias digitales. En educación se eliminaron las políticas de educación tecnológica como entrega de notebooks a alumnos y desarrollo de software educativo desde el estado. Han intentado volver a hacerles creer a la comunidad educativa que las computadoras son útiles solamente con sistemas operativos propietarios dejando de lado el software libre. Estoy convencido de que tiene que existir contenido educativo de tecnología y ciberseguridad desde primer grado cuando hoy los niños menores de seis años utilizan e ingresan contraseñas a dispositivos antes que aprender a leer y escribir. Modernización se encargó de mostrar constantemente la conectividad en escuelas de todo el país. ¿Pero qué hacemos si no hay computadoras para conectar que funcionen bien? ¿Qué hacemos si no hay capacitación a los docentes para poder enseñarles a los alumnos? y sobre todo ¿qué hacemos si no hay contenido didáctico estatal en Internet?. Eso que aún no llegué al punto de la seguridad y control de esas conexiones. Las fuerzas de seguridad han sufrido diferentes ataques en estos cuatro años: desde el deface (cambio en las portadas de sus sitios web) a organismos como Gendarmería, Ejército Argentino y Policía Federal hasta filtración de datos de agentes poniendo en riesgo la vida de ellos con la causa denominada GorraLeaks. Y es muy importante diferenciar las palabras filtración de hackeo. No es lo mismo. Pasando hasta por diversos casos de phishing que permitió el acceso a cuentas de correo del Ministerio de Seguridad o bien la cuenta de Twitter de la Ministra. Recientemente más del 50% de los equipos de las fiscalías de estado bonaerense han quedado bloqueados por un ataque de ransomware. Pero según las fuerzas están listos para operar con software de reconocimiento facial con cámaras de seguridad, muchas de ellas conectadas a DVR chinos (que no garantizan para nada la privacidad de las imágenes). Software que falló reiteradas veces con falsos positivos haciendo pasar pésimos momentos a quienes fueron víctimas de estas fallas. En el ámbito miltar, justo un día antes de las elecciones presidenciales se publica en el Boletín Oficial la creación de un CyberLab, un CSIRT y iSOC para CIBERDEFENSA https://www.boletinoficial.gob.ar/detalleAviso/primera/219968/20191029). Firmado por Aguad. Es un buen comienzo, pero tiene pocas definiciones y llega muy tarde. Posiblemente no sea ejecutado. Esta gestión de migraciones se despedirá con una polémica causa de espionaje a jueces también a través de la recolección de datos y descontrol en el uso de los mismos. No sorprende si recordamos que el mismo presidente llegó procesado por espionaje, aunque fue sobreseído automáticamente apenas asumió sin mayores explicaciones. Aunque el espionaje siguió también siendo durante el gobierno en lo que respecta a los propios. En junio de 2019 Juntos por el Cambio lanza la aplicación Defensores del Cambio que pide permisos para utilizar la cámara de fotos, micrófono, acceder a la lista de contactos, ver conexiones de red, e evitar que el equipo entre en un estado de inactividad para quienes la instalen. Peligroso, si estamos hablando de que se trata de una aplicación para informar sobre cuestiones de un partido político. La Ciudad Autónoma de Buenos Aires, en el área de ciberseguridad denominada BA-CSIRT tiene denuncias de que quienes están a cargo han almorzado de manera constante sushi pasando las facturas como gastos durante su gestión. También han cedido información de los ciudadanos a CRM extranjeros fácil de corroborar cuando llegan las encuestas o avisos de que tal funcionario dará una charla en una comuna. O de diversas contrataciones de monitoreo de redes sociales, sin ningún tipo de utilidad para los contribuyentes. Lo peor fue el "Tinder de Mascotas" por el que se pagó millones y hoy ya no existe. Durante los Juegos Olímpicos de la Juventud en 2018 han surgido denuncias en la contratación de un software de seguridad. En las provincias también existe el mismo descontrol. A comienzos de octubre de este año una investigación del diario La Voz del Interior en la provincia de Córdoba dejó al descubierto como la APP Movypark desarrollada para manejar los espacios de estacionamiento público a través de una falla dejó publicados los números de tarjeta de crédito, débito y datos personales de sus usuarios. Si se busca en repositorios de GitHub (código fuente de aplicaciones) hay decenas de usuarios y contraseñas de servicios del estado publicados a merced de cualquier hacker que tenga tiempo libre, sólo por descuido y falta de control. Si alguna vez eso se utiliza para robar información, posiblemente nos enteremos, porque son credenciales válidas, que fueron expuestas por inexpertos. ¿Nadie va a hablar de la responsabilidad de éstos y de quienes deben controlarlo? Google Street View es otra gran pregunta. ¿Quién, cómo y por qué habilita a una empresa extranjera a hacer un relevamiento fotográfico de imágenes fotográficas y satelitales por las calles del país al detalle publicándolo al mundo entero? Aunque muchos no lo vean como tal, esta aplicación es una herramienta de inteligencia. Y si nadie lo autorizó: ¿cómo puede ser que nadie diga nada? Nobleza obliga, el mundo bancario ha sido siempre otra historia -positiva- y las normativas de seguridad informática las cuales se implementan desde hace décadas en algunos casos son de avanzadas y se controla su cumplimiento efectivo por parte del BCRA. Aunque hay un gris. La cesión de datos de clientes del banco a empresas de marketing no es controlada. Por ejemplo hay bancos que envían un email a clientes segundos después de que extraen dinero de un cajero "consultándole por la experiencia de uso". No han tenido observaciones de nadie por este tipo de situaciones. Al cierre de este artículo hubo un incendio en el área de sistemas del Banco de la Nación Argentina, que si bien fue controlado no se informaron los daños causados ni mucho menos cómo fue posible que se haya originado. Para los recientes procesos electorales el descontrol no podía ser ajeno e incongruente. Se contrató a Smartmatic para el escrutinio provisorio, empresa que fue cuestionada por sus fallas en otros países y que jamás acató una orden de la justicia local en tiempo y forma. Teniendo fallas de seguridad por todas partes a lo largo del proceso y sin presentar nunca la totalidad del código fuente. También tuvo fallas en las transmisiones de datos. El gobierno avaló todo el tiempo esta contratación escandalosa. A días de las elecciones allanaron con una acusación a uno de los principales informáticos e impulsores de la boleta única de papel que denunció esta contratación (acusándolo de la filtración de GorraLeaks). Similar a lo que sucedió con las elecciones de 2015 donde sucedió lo mismo con otro informático que también denunció fallas en MSA (la empresa contratada en aquel momento). Seguramente quede sin explicación alguna ni responsables la demora de 100 minutos en la entrega de resultados la noche de las PASO, donde primero el oficialismo tuvo acceso a los datos antes que el resto de los ciudadanos. En otra investigación de Ari Lijalad junto con otros investigadores de seguridad informática encontraron que en los sitios de Jefatura de Gabinete y los ministerios de Defensa, Seguridad, Relaciones Exteriores y Justicia hay 258 vulnerabilidades muy conocidas. Es decir como mínimo 258 formas conocidas de hackear esos organismos. Si existiesen personas capacitadas trabajando ese número podría reducirse hasta un 90%. En la misma investigación uno de los sitios más desprotegidos es el de Presidencia de la Nación en casarosada.gob.ar. Le siguen el Centro de Información Judicial y el Poder Judicial. En el sitio web de la Agencia Federal de Información (AFI) falta lo más básico: un certificado de seguridad SSL cuando su lema es "Inteligencia al servicio de la Nación". El nuevo gobierno si desea hacer las cosas bien tiene el desafío de seleccionar personas que estén comprometidas con el mundo de la seguridad de la información, ciberseguridad, análisis de riesgos e impacto en organismos gubernamentales, normativas e infraestructuras críticas, con amplios conocimientos en telecomunicaciones evitando todo tipo de cargo por amistad. Es difícil pero no imposible. Argentina posee excelentes profesionales de primer nivel mundial, pero el estado deberá convencerlas para gestionar la herencia de estos temas que se encuentran en una situación bastante comprometida con salarios y presupuestos que ni por casualidad se asoman a los que existen en otros países y/o en el ámbito privado, quizá no por una cuestión de dinero, si no porque muchas veces quienes están arriba tomando decisiones piensan que todo esto solo sucede en las películas o que a la Argentina nada malo le puede suceder. Recién el 18 de septiembre de 2019 salió publicado en el Boletín Oficial el detalle y desglose de lo que son Infraestructuras Críticas para Argentina. Entonces me pregunto ¿qué hicieron hasta entonces los responsables que cobraron sueldos durante estos cuatro años? ¿Cuatro años para escribir un documento de dos páginas? No contentos con esto, el día siguiente se realizó en Buenos Aires, un evento privado llamado "ISACA 50 Buenos Aires Chapter" en donde un titular de la ciberseguridad del Ministerio de Defensa en un powerpoint muestra delante de un auditorio lleno "El esquema de composición, defensa, conectividad y ciberseguridad de ARSAT". Dejó expuesta la manera de como atacar al gobierno. Nadie dijo nada. No tiene remate. Mientras tanto durante los 4 años algo que funcionó perfectamente fue el troll center generando fake news, contenidos falsos, ataques a quienes pensaran distinto y generaciones de informes reservados para luego distribuir en grupos de whtasapp privados donde también se orquestaban los ataques. El último ejemplo desopilante luego de las últimas elecciones fue una especie de supuesta "lista negra de adherentes macristas en Twitter" creada por el mundo K. Lástima que fueron tan obvios de hacerla en Excel. Aplicación preferida de los que #sevan. Los temas más urgentes que a mi parecer se deberían abordar desde el comienzo: control de accesos de personas que ya no están en funciones, revocar accesos duplicados y revisión de absolutamente todo lo hecho por el Ministerio de Modernización (incluso revisar códigos fuente, conexiones remotas, acceso a servidores, webservices en uso y acceso a la información de quienes se van), crear un verdadero centro de ciberseguridad (que además incluya blue y red teams) independiente de toda agrupación política, periodística, financiera y/o empresarial en Argentina que implemente y verifique en el ámbito del estado normas cercanas a las ISO y/o IRAM en materias de seguridad de la información y ciberseguridad tanto civil como militar (separados). Controlando que cualquier tipo de información con datos de los ciudadanos no esté más en nubes extranjeras ni vendiéndose por parte de empleados infieles (como también denunció Alconada Mon en una nota de La Nación). Teniendo control unificado y total de la información estatal. En el ámbito judicial crear un protocolo y normativas de cómo generar, custodiar, preservar y presentar evidencia digital (principalmente para que estas no puedan ser impugnadas, que hoy por hoy es el gran flagelo de las causas judiciales) y descartar por completo la idea del allanamiento remoto digital. De igual manera que la justicia debería invitar por voluntad propia a quienes hayan estado en el gobierno ejecutando estas acciones no santas y denunciarlas. En el ámbito legislativo ayudar a las comisiones pertinentes a destrabar las modificaciones a la Ley de Datos Personales, para tratar de que Argentina pueda tener su propia GPDR, y de esa manera no solo regular el descontrol que tenemos sino también ante los ojos extranjeros ser un país más creíble y competitivos en el uso de información de las personas y empresas. Regular el mercado de seguros en materia de ciberseguridad. Fortalecer los organismos de control para quienes manejen datos de los ciudadanos en organismos estatales y empresas privadas, haciendo cumplir la ley existente. Tener un control urgente de cuales son las infraestructuras críticas de nuestro país y en qué situación se encuentran, no nos olvidemos del papelón del corte de luz masivo del pasado día del padre. Blackout por el cual seguimos esperando las explicaciones y sanciones. Parece mucho por hacer, pero ahora es el momento de empezar. Ya es tarde y en ciberseguridad cada segundo que pasa sin prestar atención es peor. Considero importante destacar que lo más importante de este artículo es que es en su totalidad información pública. Nadie ha tomado en serio esta temática, como dije al principio todo sucedió con total impunidad y descontrol. Enumerando sobre lo que se conoce hasta el momento. Seguramente habrá otros temas que aún ni nos enteramos.

Censo 2020 y DNI

https://www.eldestapeweb.com/nota/censo-2020-se-viralizo-un-pedido-para-que-el-gobierno-no-pida-el-documento-nacional-de-identidad-2019111201117

 Censo 2020: se viralizó un pedido para que el gobierno no pida el Documento Nacional de Identidad Después de que el INDEC propusiera pedir el documento y pusiera en riesgo el derecho a la intimidad, en redes pidieron que se anule la medida. 01 DE NOVIEMBRE DE 2019 - 20:11 Miles de usuarios pidieron que se elimine una medida del Instituto Nacional de Estadísticas y Censos para el Censo Nacional de Población, Hogares y Viviendas de 2020, por la que pedirán Documento Nacional de Identidad. Ésto rompería con el anonimato de la encuesta. El reclamo se viralizó en redes y se convirtió en tendencia masiva. En agosto se conoció el Proyecto presentado por el INDEC, que incluye la solicitud de nuevos datos que deberán entregar los argentinos, como el Documento Nacional de Identidad. MÁS INFO Censo 2020: el Gobierno planea eliminar el anonimato y pedir el DNI Pese a asegurar que estos ítem serán "de carácter estrictamente confidencial y reservado", el DNI no se pidió en los anteriores sondeos de la población y el cambio pone en riesgo el anonimato de las respuestas. 
 Por eso, en Twitter volvieron a exigir que se modifique para evitar la manipulación de información privada de los ciudadanos. "Necesitamos estadísticas, necesitamos buenas estadísticas. No necesitamos una base de datos tan invasiva sobre nuestra intimidad, a todas luces violatoria de la ley de protección de datos personales vigente", escribieron acompañando el pedido con el hashtag #SaquenElDNIDelCenso. Beatriz Busaniche @beabusaniche En el año 2020 Argentina va a realizar un nuevo censo de población, abro hilo!! El censo se realiza ininterrumpidamente desde 1869 y desde hace 6 décadas de forma sistemática cada 10 años. Como ya saben, en 2020 nos toca realizar un nuevo censo a cargo del INDEC. 660 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 547 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 1) El censo de población es un instrumento clave para conocer el tejido social argentino y diseñar políticas públicas acordes. Está a su vez amparado por el secreto estadístico. Cuando el/la censista llegue a nuestro domicilio el 28 de Octubre de 2020 hará diversas preguntas: Beatriz Busaniche @beabusaniche Entre ellas, tipo y condiciones de la vivienda, cantidad de baños, composición familiar, nivel educativo de cada miembro, entre otras diversas. 95 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 24 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 2) se incluyen preguntas tales como identidad de género percibida y pertenencia a grupos étnicos diversos. Ambos datos son considerados datos sensibles por la ley de protección de datos personales. Beatriz Busaniche @beabusaniche 3) La novedad es que este año el censo deja de ser anónimo y viene nominado. Es decir, el censo 2020 incluye nombre, apellido y DNI de cada uno de los integrantes de nuestro núcleo de convivencia. 161 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 112 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 En respuesta a @beabusaniche 5) Nominar el Censo tiene múltiples problemas ya que constituye un avance injustificado y arbitrario sobre la intimidad de cada una de las personas que habitamos el país. Instamos al INDEC a revisar esta decisión absolutamente desproporcionada para los fines del censo. Beatriz Busaniche @beabusaniche 6) Necesitamos estadísticas, necesitamos buenas estadísticas. No necesitamos una base de datos tan invasiva sobre nuestra intimidad, a todas luces violatoria de la ley de protección de datos personales vigente. #SaquenElDNIDelCenso 590 10:46 - 1 nov. 2019 Información y privacidad de Twitter Ads 290 personas están hablando de esto Fundación Vía Libre @FViaLibre Desde Fundación Vía Libre queremos pedirle a @INDECArgentina que #SaquenElDNIDelCenso - Hay una colisión clara de derechos y una evidente vulneración de la Ley de Protección de Datos Personales. El Censo es importante, hay que hacerlo bien y cuidando los derechos ciudadanos. 88 14:29 - 1 nov. 2019 Información y privacidad de Twitter Ads 75 personas están hablando de esto Vilma @VilmaMedinaOk #SaquenElDNIDelCenso el censo debe ser anónimo 18 17:51 - 1 nov. 2019 Información y privacidad de Twitter Ads 15 personas están hablando de esto Beatriz Busaniche @beabusaniche · 1 nov. 2019 Si quieren arrancar con algo, podemos iniciar la campaña #SaquenElDNIDelCenso arrobando a @INDECArgentina Horacio Bilbao @cordobe La buena información estadística, fuente innegable de conocimiento útil, es desarrollada cada vez más con fines de control social y violando derechos básicos. Llamado para @INDECArgentina , #SaquenElDNIDelCenso 12 17:37 - 1 nov. 2019 Información y privacidad de Twitter Ads Ver los otros Tweets de Horacio Bilbao Pablo Figueroa @pablofigueroaOK Hay que sumar adhesiones a la campaña para que #SaquenElDNIDelCenso La actividad estadistica es relevante para el país a los fines de determinar la composición, características de su población, etc pero debería serlo de manera anónima Ver imagen en Twitter

domingo, 18 de agosto de 2019

Ofertas de empleo falsas


EMPRESAS & MANAGEMENT
Fecha de publicación: 2019-08-17

Claves para detectar ofertas de empleo falsas

Los cibercriminales están utilizando herramientas de búsqueda de empleo tan populares como LinkedIn para conseguir datos personales de miles de usuarios. Por eso es fundamental saber cómo detectar y cómo protegerse ante esta amenaza.

Cada día los más de 500 millones de usuarios de LinkedIn comparten contenidos, siguen a empresas y solicitan empleo. También es muy frecuente que acepten invitaciones de contactos completamente desconocidos, lo que a veces conlleva riesgos.

Los cibercriminales están aprovechando este hábito para hacerse pasar por reclutadores de recursos humanos (o ‘recruiters’) y así conseguir gran cantidad de datos personales, como direcciones de correo, números de teléfono o direcciones postales que después podrán utilizar para vender en el mercado negro o para realizar usurpaciones de identidad.

Ingeniería social, clave para engañar a víctimas

Los atacantes suelen recurrir a la ingeniería social (técnicas de manipulación y engaño) para aprovecharse de la necesidad de trabajo o de la situación de desempleo de las víctimas. 

El método que utilizan consiste en publicar ofertas fraudulentas de trabajo en LinkedIn o enviar mensajes de correo con enlaces maliciosos que redirigen a webs falsas donde, una vez que el usuario está dentro, se le solicita rellenar formularios con sus datos personales. 

Estos portales fraudulentos suelen ser visualmente muy similares a los que suplantan, por lo que son difíciles de identificar para un usuario que no está alerta.

¿Cómo detectar este tipo de fraude?

-Desconfía de perfiles sin foto. Tampoco es aconsejable creer ciegamente en los perfiles que sí tengan fotografía, ya que muchas veces están sacadas de bancos de imágenes o de perfiles de redes sociales de otros usuarios.

-Observa qué tipo de contactos tiene esa persona o entidad.

-Si se recibe una oferta por un mensaje de LinkedIn, por correo electrónico o por WhatsApp, es recomendable teclear el nombre del contacto en un buscador y comprobar si los datos o fotos coinciden con los de su perfil.

-Si no hay referencias de la existencia de esa persona o empresa en internet, lo más probable es que sea un fraude.

-Si se trata de una persona o entidad conocida pero hay algo que hace sospechar, contacta por teléfono u otro medio oficial para comprobar si realmente han enviado esa oferta. 

-Seguir este paso evitará posibles sustos. Un ejemplo es el caso de Arantxa, usuaria de Twitter, quien, tras sospechar de una oferta de empleo en la que previamente le pedían 20 euros por asistir a la entrevista, decidió contactar con las oficinas y tiendas de la empresa oficial por otro canal y descubrió que se trataba de un fraude.

-Desconfía especialmente de mensajes que califican la oferta de trabajo como “una oportunidad única que no puede dejar pasar y que debe aceptar”. 

-Las ofertas falsas suelen ofrecer sueldos desorbitados o que no son acordes al perfil solicitado.

-Sospecha también cuando haya faltas de ortografía o un mensaje escrito en con un nivel de español muy bajo. Una empresa real contará con traductores profesionales o trabajadores que dominen los idiomas necesarios.

-Comprueba si el texto de la oferta de trabajo es robado. Copia y pégalo en un buscador. Al hacerlo, es posible encontrar usuarios que hayan sido víctimas del mismo fraude.

-Desconfía especialmente de ofertas de trabajo en el extranjero.

-Desconfía también si piden que se haga una llamada a algún número de teléfono con tarificación especial.

-Sospecha si aseguran el puesto sin pedir ni siquiera acudir a una entrevista.
Ten en cuenta que ninguna empresa pediría dinero por asistir a una entrevista o ser candidato a un puesto. Si alguien pide un ingreso o transferencia con cualquier excusa, es muy probable que se trate de un fraude.

Por supuesto, desconfía de mensajes de correo o de redes sociales en los que se ofrece ganar dinero fácil sin hacer absolutamente nada y sin moverse de casa. En la red, al igual que en el mundo físico, cuando algo suena demasiado bueno para ser cierto… es que no lo es.

¿Qué hacer si ha detectado una oferta de empleo fraudulenta?

No contestar a este tipo de mensajes o correos, no abrir ficheros o documentos adjuntos y no hacer clic en los enlaces que contenga el mensaje.

-En ningún caso proporciones información personal como datos bancarios.

-No realices ingresos económicos a cuentas que le hayan facilitado bajo ningún concepto. Un claro ejemplo es el de esta usuaria que recibió una oferta de lo que sería su trabajo soñado. Sin embargo, le pedían pagar los gastos de tramitación del visado a nombre de un abogado de la supuesta empresa. 

Prometían que este dinero se le devolvería después. Se trata de un caso especialmente elaborado ya que los ciberatacantes llegaron a copiar el logo corporativo de la empresa por la que se hacían pasar y el dominio era casi idéntico al oficial: en vez de “petroleum” utilizaron “petoleum” (info@adaxpetoleum.com).

-Revisa la configuración de privacidad en tu perfil de LinkedIn. Si lo deseas, puedes limitar con quién compartes información personal y quién puede enviarte mensajes. Haga clic en “Yo”, elige la opción “Ajustes y Privacidad” y, una vez dentro, ve al apartado “Privacidad”.

-Denunciar en la web o en la red social correspondiente. En el caso de haber recibido una oferta fraudulenta por LinkedIn haz clic en los puntos suspensivos “Más” y selecciona “Denunciar/Bloquear” – ”Denunciar este perfil” y “Enviar”.

-Informa a tus conocidos sobre lo que ha ocurrido para que no caigan en la misma trampa.

-Practicar ‘egosurfing’ (buscarse a uno mismo en internet) para saber si se está haciendo un uso ilegal de tus datos en la red.

-Si encuentras información que no te agrada, puedes solicitar que se elimine aludiendo a tus derechos, siguiendo las pautas que se dan desde las agencias de protección de datos de cada país.

-Si ya has caído en la trampa puedes interponer una denuncia ante las Fuerzas y Cuerpo de Seguridad del país.

-En definitiva, al igual que en el mundo físico, es aconsejable ser precavidos a la hora de aceptar contacto con desconocidos y de creer en todo lo que nos ofrecen. Tener presentes estos consejos mejorará la capacidad para detectar fraudes en la red. Además, ayudará a mantener tu información personal a salvo.

viernes, 9 de agosto de 2019

Datos para fines electorales



A días de las PASO, revive la polémica por el uso de los datos de la Anses con fines electorales
Las ONG especializadas en el derecho a la intimidad cuestionan que la Corte aún no haya limitado el uso de esa información. El gobierno sostiene que no se utiliza

4 de Agosto de 2019



Aunque un fallo de segunda instancia le impidió al Estado Nacional ceder datos personales sin el consentimiento de sus titulares, una llamativa demora de la Corte Suprema de Justicia de la Nación le permite al gobierno mantener vigente un convenio firmado en 2016 para que la Secretaría de Comunicación Pública de la Jefatura de Gabinete, en manos de Marcos Peña, pueda acceder y utilizar la base de datos de la Administración Nacional de Seguridad Social (Anses), considerada uno de los cúmulos de información personal más importantes que tiene el Estado en la actualidad. Su utilización, cuestionada por una jubilada ante la Justicia desde hace tres años, alimenta sospechas sobre la uso de esa información en tiempos de campaña electoral, especialmente en manos del oficialismo, reconocido por su capacidad para la explotación e interpretación de bases de datos públicas y privadas para optimizar el alcance de su comunicación electoral.
Desde que el caso tuvo repercusión pública ha sido seguido por distintos especialistas en protección de datos personales y resguardo de la intimidad. Uno de ellos es la docente e investigadora Beatriz Busaniche, presidenta de la Fundación Vía Libre, una ONG dedicada a “la defensa de derechos fundamentales en entornos mediados por tecnologías de información y comunicación”. Para ella, la demora en el fallo de la Corte ”beneficia a la alianza Cambiemos porque no tiene una limitación clara de lo que hace con los datos de la ciudadanía”. Para la especialista, el convenio es una muestra de “la negligencia con la que se tratan los datos personales en el Estado, porque la actual administración y las anteriores no hicieron nada para profundizar ese cuidado”.
El manejo de los datos de los ciudadanos en manos del Estado es custodiado por la Agencia de Acceso a la Información Pública, en manos del especialista Eduardo Bertoni. Su cargo está dentro del organigrama que controla Peña, al igual que el secretario de Comunicación Pública , Jorge Grecco. Consultado sobre el litigio, Bertoni eludió las preguntas de este diario, aunque firmó un dictamen clave para avalar el pacto, aprobado por la Resolución Nº 166-E/2016 de la Jefatura de Gabinete. Otra fuente cercana a Peña sostuvo que “la base de datos no se utiliza porque es vieja. No está actualizada y no sirve para las funciones de comunicación que estaban previstas”. Sin embargo, ese argumento no está dentro del expediente, donde tres abogadas recurrieron a la Corte para mantener en funcionamiento el convenio. Las fuentes oficiales consultadas tampoco pudieron explicar por qué no dieron de baja el convenio si es cierto que la base de datos de la Anses no es utilizada por la secretaría de Comunicación Pública.
El desenlace de la polémica sigue en manos de la Corte. Para Busaniche no hay garantías de la preservación de los datos en Argentina. Sin la sentencia confirmada hay riesgos. “De ahí a que los datos se usen en la campaña, en microtargeting, en microsegmentacion, en comunicación personalizada, o en mandarte cartas a tu casa para que votes a la gobernadora o al Presidente, hay un solo paso”, advirtió la experta, sobre un interrogante que crece como una sombra ante el silencio de los cortesanos. “Si los datos están ahí disponibles y el Estado no tiene ninguna consecuencia de usarlos de manera ilegítima, ¿por qué no habría de hacerlo?”, se preguntó Busaniche para dimensionar la profundidad del problema en Argentina, ya que “no está estandarizada la protección de datos porque no es considerada por el Estado como una cuestión de cuidado, aunque está consagrado por el artículo 43 de la Constitución”.
El acuerdo N° 37 de 2016 lleva la firma Grecco y del subdirector Ejecutivo de la Anses, Federico Braun. El texto dice que buscó establecer “un marco técnico y jurídico para el intercambio electrónico de información”. En la segunda cláusula, la Anses se compromete a remitir “periódicamente” el nombre, apellido, DNI, CUIT, teléfonos, correos electrónicos, fecha de nacimiento, estado civil y estudios de los integrantes de su base de datos.
Tenía una vigencia inicial de dos años, con opción de extenderse a otros dos, pero fue cuestionado por la jubilada Carmen Torres Abad, que presentó un amparo ante en el fuero Contencioso, Administrativo y Federal. En su escrito le solicitó a la Justicia que suspenda el convenio porque violaba su intimidad. También porque la Anses “no puede cederlos ni darlos a conocer ya que se encuentran protegidos bajo la cobertura de la Ley 25.326 de Protección de Datos Personales”.
El planteo fue rechazado en primera instancia y Torres Abad apeló la sentencia ante la Sala V de la Cámara Nacional de Apelaciones en lo Contencioso Administrativo y Tributario Federal. El 3 de julio de 2018, los jueces Guillermo F. Treacy, Pablo Gallegos Fedriani y Jorge Federico Alemany, sostuvieron que los datos del convenio requerían la autorización expresa de sus titulares y que la secretaría dependiente de Peña, no podía utilizar esa base. El 3 de agosto, hace un año, el Estado presentó un recurso extraordinario para que la Corte se expida al respecto y de acuerdo al expediente al que tuvo acceso Tiempo, el máximo tribunal lleva 8 meses sin moverlo, un período ventana que, a diferencia de las respuestas oficiales, desata intrigas sobre la manipulación de los datos de la ciudadanía en manos del Estado.
“No puedo afirmar que esta práctica sea ilegal hasta que tengamos un fallo firme, pero el dictamen que firmó Bertoni, y que permitió aprobar el acuerdo, está mal, porque tiene una mirada laxa sobre un tema que requiere un cuidado estricto”, opinó Busaniche. Según ella el funcionario “no debería haber dejado pasar una cosa como esa”. «
https://www.tiempoar.com.ar/nota/a-dias-de-las-paso-revive-la-polemica-por-el-uso-de-los-datos-de-la-anses-con-fines-electorales

viernes, 19 de octubre de 2018

Prohibición ANSES

Fallo que prohíbe a ANSES la cesión de datos personales sin consentimiento del titular

Fallo: Torres Abad Carmen c/ Estado Nacional-JGM s/ habeas data
Tribunal: Cámara Nacional de Apelaciones en lo Contencioso Administrativo Federal
Fecha: 3-jul-2018
VISTOS Y CONSIDERANDO:
Los Sres. Jueces de Cámara, Dres. Guillermo F. Treacy y Pablo Gallegos Fedriani dijeron:
I.- Que a fojas 106/108 la jueza de la anterior instancia resolvió rechazar la acción de amparo promovida por la Sra. Carmen TORRES ABAD. Dicha acción tenía como objeto preservar la confidencialidad de la información brindada a la Administración Nacional de la Seguridad Social evitando la utilización de sus datos personales existentes en la base del organismo previsional para otras finalidades distintas a aquellas que motivaron su obtención. Para así decidir, sostuvo que el examen de autos demostró la inexistencia de un agravio, manifiesto y concreto, respecto al derecho constitucional de intimidad y confidencialidad que esgrime la amparista. Esta conclusión, la llevó a compartir los fundamentos y el dictamen del Sr. Fiscal Federal que se agregó como parte integrante de ese decisorio.
II.- Que contra dicha decisión, a fojas 109/115 la accionante presenta recurso de apelación y expresa agravios. En su recurso, manifiesta que la circunstancia de que se disponga el empleo de las pautas procesales del amparo para canalizar la pretensión de autos, no desacredita ni desvirtúa el carácter autónomo de la acción de habeas data. En este sentido, sostiene que no hay necesidad de acreditar un daño o agravio efectivo para que prospere la acción, sino que la vía intentada importa la garantía que le asiste al sujeto que se presenta como titular de los datos. Afirma que “los datos cuya protección se solicita pretenden ser tratados por la demandada de manera excesiva en relación al ámbito y finalidad para los que se obtuvieron y su titular goza del derecho de acceso, rectificación, actualización, supresión y confidencialidad” (fs. 110 vta.). Aclara que el objetivo perseguido por la accionada al acceder a la información personal difiere de la finalidad para lo cual los datos fueron obtenidos por la ANSES. Concluye que “el fallo atacado incurre en error de derecho al omitir ponderar particularizadamente el número telefónico y el correo electrónico como datos sujetos a autorización del titular. Dicho desacierto tiene su correlato lisa y llanamente en la inaplicabilidad de la norma legal, puntualmente en la previsión del consentimiento del titular de los datos que el artículo 5º de la Ley Nº 25.326 exige para todo otro dato que vaya más allá de la taxativa enunciación de su inciso c)” (fs. 112).
III.- Que a fojas 121/129 la demandada contesta los agravios expresados por su contraria. En su presentación, manifiesta que si bien la recurrente se agravia de los requisitos que se exigen para la procedencia de la acción, por entender que estos no se aplican a la acción de habeas data, lo cierto es que tampoco acredita ni justifica que los mismos se encuentren reunidos en el caso. Expresa que “la actora da por hecho que la información sobre sus datos, que le brindara a la ANSES, va a ser utilizada con fines distintos a aquellos que motivaron su obtención, es decir que torna como inminente que va a ser molestada por el Estado, o ser sometida a un permanente asedio por vía telefónica o por el envío de correos electrónicos, lo cual resulta absolutamente falso, amén de no tener sustento probatorio alguno” (fs. 124). Resalta lo señalado por la jueza a quo, en el sentido de que ni el número telefónico ni el correo electrónico son datos considerados sensibles. En este sentido, recuerda que la norma contempla que no será necesario el consentimiento cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado.
IV.- Que a fojas 131/132 dictaminó el Fiscal General y a fojas 133 se llamaron autos a fin de resolver la cuestión planteada.
V.- Que al respecto, como primera medida, corresponde señalar que la acción de habeas data -diseñada en el tercer párrafo del artículo 43 de la Constitución Nacional-, está entrañablemente vinculada al derecho a la intimidad, como un instrumento destinado a evitar injerencias extrañas en la vida privada, pero también a fin de proteger el honor, el derecho a la identidad y a la propia imagen. En definitiva, se trata de una herramienta destinada a proteger esos derechos frente al registro indiscriminado de datos personales, debido fundamentalmente a los avances tecnológicos, especialmente en materia de almacenamiento de datos informáticos (Fallos 321:2767 ; voto del Dr. Petracchi). La Corte Suprema de Justicia de la Nación ha sostenido también que el hábeas data protege la identidad personal y garantiza que el interesado -él y sólo él- tome conocimiento de los datos a él referidos y de su finalidad, que consten en registros o bancos públicos o los privados destinados a proveer informes. Constituye, por tanto, una garantía frente a informes falsos o discriminatorios que pudieran contener y autoriza a obtener su supresión, rectificación, confidencialidad o actualización” (Fallos:306:1892). Asimismo, se ha señalado que si bien el tratamiento de la acción de amparo y la acción de habeas data se ubica en la misma norma de la Constitución Nacional, esta última -a diferencia del amparo- tiene un objeto preciso y concreto que consiste básicamente en permitir al interesado controlar la veracidad de la información y el uso que de ella se haga; este derecho forma parte de la vida privada y se trata, como el honor y la propia imagen, de uno de los bienes que integran la personalidad (Fallos 328:797 , disidencia de la Dra. Elena I. Highton de Nolasco).
VI.- Que con ese encuadre, en el sub lite la actora pretende -mediante la presente acción de habeas data- que se preserve la confidencialidad de la información brindada a la ANSES, evitando la utilización de sus datos personales obrantes en la base del organismo previsional para otras finalidades distintas a aquellas que motivaron su obtención. Dicho reclamo de la accionante surge a partir de la cesión de datos estipulada en la Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros por la cual se aprobó el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública. En los considerandos de dicho reglamento se indicó que los motivos de la recolección de información se sustenta principalmente en que la mencionada secretaría debe mantener informada a la población a través de diversas modalidades, que incluyen desde las redes sociales y otros medios de comunicación electrónicos, hasta el llamado telefónico o la conversación persona a persona, de forma de lograr con los ciudadanos un contacto individual e instantáneo. Asimismo, se señaló que resulta esencial para el Estado Nacional la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país, así como la comprensión y detección de variables sociales y culturales que permitan incorporar la diversidad federal en la comunicación pública. En tal contexto, la cláusula segunda del referido convenio establece que “para el logro de los objetivos expresados en la cláusula primera, previo requerimiento, la ANSES remitirá periódicamente la siguiente información que obre en sus bases de datos: a) Nombre y Apellido; b) DNI; c) CUIT/CUIL; d) Domicilio; e) Teléfonos; f) Correo Electrónico; g) Fecha de Nacimiento; h) Estado Civil; i) Estudios.-“.
VII.- Que para analizar la procedencia de la acción intentada, corresponde -en primer lugar- señalar las disposiciones de la ley que resultan aplicables al caso. La acción de habeas data se encuentra reglamentada mediante la Ley Nº 25.326 y, en lo que aquí interesa, en su artículo 5º establece: “1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley. “2. No será necesario el consentimiento cuando:[.] b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; [.]” Ahora bien, a partir de lo dispuesto por la norma transcripta y lo que surge de la expresión de agravios de fojas 109/115, la accionante sostiene que existe una “extralimitación” por parte de la Administración cuando al referirse al tratamiento de datos incorpora a los listados de datos personales el teléfono y el correo electrónico de las personas. En este sentido, expresa que dicha información “supera los límites del listado de datos personales que establece el art. 5 punto 2 inciso c, y por tanto debe mediar consentimiento del titular” (fs. 112). Añade que “en pleno auge de la informática y las comunicaciones digitales, bajo ninguna circunstancia puede admitirse que el número telefónico o el mail no sean dos datos relevantes con potencialidad de afectar la intimidad y privacidad de los ciudadanos susceptibles de exponerlos a situaciones ofensivas” y que “no son datos inocuos o irrelevantes, pues se convierten en extremadamente delicados mediante un cambio del fin que oportunamente se persigue al momento de su recolección” (fs. 113). Por su parte, al contestar la expresión de agravios, la demandada manifiesta que “si bien el número telefónico y el mail no se encuentran contemplados en el inciso ‘c’ del artículo, sí lo están dentro de lo establecido en el inciso ‘b’” que se refiere a aquellos datos que se recaben para el ejercicio de funciones propias de los poderes del Estado, sin perjuicio de señalar que “ni el número telefónico ni el mail son datos considerados sensibles” (fs.126). En definitiva, la demandada considera que, en particular, si bien el teléfono y el correo electrónico no están enunciados en el inciso c), el tratamiento de esos datos no necesitaría consentimiento ya que a su entender está habilitada a obtener tales datos en virtud de la excepción del inciso b).
VIII.- Que en este contexto, resulta clara la controversia planteada entre las partes. En primer lugar, se advierte que no hay discrepancias respecto a que no resulta necesaria la exigencia del consentimiento expreso para la recolección o tratamiento de los datos personales enunciados en el artículo 5.2 inciso c) de la Ley Nº 25.326 que, según la doctrina, integran la categoría de “datos nominativos” por la facilidad de su acceso o por la facilidad en la obtención de esos datos, que los convierten en “información disponible” (GOZAÍNI, Alfredo Osvaldo, Habeas Data, Protección de datos personales, Buenos Aires, Rubinzal – Culzoni Editores, 2002, pág. 79). En cambio, las partes discrepan en cuanto a si el número telefónico y la dirección de correo electrónico son datos que se encuentran exceptuados del consentimiento libre, expreso e informado para el tratamiento de esa información por parte del responsable de un registro público de datos. Concretamente, la demandada sostiene que -en este caso- también se produce la excepción prevista en la norma, en cuanto esos datos resultan necesarios para el ejercicio de “funciones propias del Estado” (art. 5.2 inciso c] de la Ley Nº 25.326). Cabe aclarar que no resulta acertada la exigencia de la demostración o la acreditación de un daño concreto por parte de la accionante -tal como fue expuesto por la jueza a quo y por el Fiscal General en su dictamen-, ya que el solo tratamiento de los datos -sin la autorización del interesado- constituye en sí mismo un agravio que la Ley de Protección de Datos Personales intenta prevenir. Por lo tanto, ante la denuncia de la actora del tratamiento indebido de sus datos por parte del Estado, compete a los tribunales adoptar los remedios tendientes a evitar indebidas intromisiones en su autodeterminación informativa.
IX.- Que la excepción que invoca la demandada, se refiere a datos de carácter personal que hayan sido recabados para el desempeño de funciones propias de la organización estatal. Se ha dicho que “[e]n la práctica, [ello] exime al Estado de obtener el consentimiento de los titulares de aquellos para proceder a las operaciones de tratamiento de los mismos, ya que la fórmula resulta tan amplia e imprecisa que no pone límites razonables a dichas operaciones” (PEYRANO, Guillermo F., Régimen legal de los datos personales y hábeas data, Buenos Aires, Lexis Nexis, 2002, pág. 83). Es decir, que “esta liberación ‘en blanco’ aparece como excesiva, por cuanto determinados datos personales y determinados organismos necesitan el consentimiento de los titulares de los datos para poder someter esos informes personales a ciertas operaciones de tratamiento. El consentimiento de la registración de ciertos datos personales, denunciándolos voluntariamente a ese efecto por el mismo titular, en forma expresa, libre e informada, no significa que dicho consentimiento se haya prestado para proporcionar o transferir esos datos a terceros o para su utilización con una finalidad distinta a la perseguida con la registración” (PEYRANO, Régimen legal. op. cit., pág. 83). En este mismo sentido, se ha dicho que -en materia de protección de datos-, “se convierte en un elemento esencial el consentimiento del afectado por el tratamiento. Todo Banco o Registro público o privado, que desee tratar datos de personas físicas o jurídicas, como regla general deberá requerirles previamente su consentimiento para el tratamiento, salvo que los datos se encuentren en alguno de los supuestos legales que eximen del mismo” y a tal efecto, que “sólo con una interpretación restrictiva de la ley se logrará la efectiva protección del derecho a la autodeterminación informativa” (BASTERRA, Marcela. ”El consentimiento del afectado en el proceso de tratamiento de datos personales”. Jurisprudencia Argentina. Número Especial, 28 de abril de 2004, pág. 6). En tal orden de ideas, para que proceda la excepción prevista en el inciso en análisis (art. 5.2 inc. c] de la Ley Nº 26.326), se deben verificar los siguientes requisitos: 1) sólo procede para el caso en que se recopilen datos con fines de defensa nacional, seguridad pública o represión de delitos, la que debe tener fundamento estrictamente en una misión asignada por ley; 2) los bancos de datos a los que la ley concretamente puede autorizar en un caso concreto a recabar datos sin consentimiento serán las fuerzas armadas, fuerzas de seguridad, organismos policiales y organismos de inteligencia; 3) sólo se recopilarán los datos que se necesiten para el cumplimiento de la misión que la misma ley que autorice el tratamiento determine; 4) será necesario que, en esos casos concretos, los archivos de datos fundados en esta disposición sean clasificados por categorías en función de su grado de fiabilidad (BASTERRA, “El consentimiento.”, op. cit.).
X.- Que a partir de lo expuesto, se concluye que la regla en materia de tratamiento de datos -según la Ley Nº 25.326- es el consentimiento del interesado y, las excepciones a ella, son las previstas en el artículo 5º de ese texto legal, que deben ser interpretadas de manera restrictiva. En consecuencia, toda vez que ni el número telefónico ni la dirección de correo electrónico se encuentran dentro de la categoría de “datos nominativos”, lo cierto es que para que pueda efectuarse la cesión de estos datos o para el tratamiento de los mismos se requiere el consentimiento expreso del interesado. Sin embargo, como se ha expuesto, dicho consentimiento puede no ser necesario cuando esos datos resulten necesarios para el ejercicio de funciones propias del Estado o en virtud de una obligación legal. Es en esta excepción que sustenta su postura la demandada. Al respecto, se advierte que el tratamiento de los datos en cuestión para los fines perseguidos por la Secretaría de Comunicación Pública, es decir, “mantener informada a la población” o “la identificación, evaluación y análisis de problemáticas o temáticas de interés en cada localidad del país”, no son objetivos que se vinculen con una finalidad de defensa nacional, seguridad pública o represión de delitos, tal como lo exige la doctrina especializada. Asimismo, el organismo al cual se cederían esos datos, la Secretaría de Comunicación Pública dependiente de la Jefatura de Ministros, no tiene competencias en estas materias. Tampoco podría alegarse que la excepción al consentimiento se produce “en virtud de una obligación legal”. Ello así, toda vez que la invocación de una finalidad ad hoc dispuesta en una resolución administrativa (Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros), no puede invocarse como excepción a las previsiones de la Ley de Protección de Datos Personales que exigen el consentimiento expreso del interesado frente a la protección a la intimidad (o a la autodeterminación informativa), derecho que posee jerarquía superior ante una invocación genérica de fines estatales.
XI.- Que sin perjuicio de la conclusión expuesta, y a mayor abundamiento, debe advertirse que lo previsto en el artículo 11 de la Ley Nº 25.326 tampoco modifica la solución que aquí se sostiene. Dicha norma expresa: ”Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. Asimismo, se refiere a que el consentimiento allí referido, no es exigible cuando “[s]e realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias” (inciso c], punto 3). Ahora bien, cabe señalar aquí que similar disposición contiene la Ley española de Protección de Datos de Carácter Personal de España (Ley Orgánica 15/1999) que admite la comunicación de datos personales entre administraciones, cuando sean obtenidos o elaborados por una con destino a otra (art. 21 inc. 2º), previendo en ese supuesto la innecesaridad del consentimiento (art. 21 inc. 4º) (PEYRANO, “Régimen legal.”, op. cit., pág. 136). Ahora bien, el Tribunal Constitucional de ese país declaró inconstitucional esa disposición utilizando el siguiente razonamiento: “.el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6, LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de tales datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con estos (art. 4.2, LOPD) supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por ley, pues el derecho fundamental a la protección de datos personales no admite otros límites”. En esta línea de análisis, sostiene que “el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de estos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 L.O.P.D.) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia” (Tribunal Constitucional de España. Pleno. Sentencia 292/2000, de 30 de noviembre de 2000. Recurso de inconstitucionalidad 1.463/2000. Ref. BOE-T-2001-332, disponible en: https://www.boe.es/boe/dias/2001/01/04/pdfs/T00104-00118.pdf). Tales conclusiones también son válidas en el marco de la Ley Nº 25.326, conforme a la cual la habilitación para ceder datos de carácter personal entre órganos del Estado, sin el consentimiento de sus titulares, debe ser interpretado de manera restrictiva. Ello, a fin de evitar la vulneración del derecho a la autodeterminación informativa que posee todo titular de datos que se encuentren en registros públicos o privados (art.43, tercer párrafo y 19 CN). Debe advertirse, a la luz de la doctrina y la jurisprudencia comparada, que toda intrusión en la esfera de datos de una persona debe estar rigurosamente justificada con base legal, sin que proceda la invocación de excepciones genéricas que desnaturalicen ese derecho.
XI.- Que en este contexto, resulta necesario advertir -en primer lugar- que los datos que la Administración pretende ceder (en concreto el número telefónico y la dirección de correo electrónico) se efectúa para llevar a cabo una finalidad distinta de aquella por la cual la ANSES recolectó esos datos. Es decir, que este último organismo puede requerir del interesado el número telefónico y su dirección de correo electrónico a los fines de llevar a cabo una eficiente comunicación con el administrado en relación con trámites administrativos (de naturaleza previsional) que lo involucran. En cambio, la cesión de esos datos a la Secretaría de Comunicación Pública tendría como fin, tal como está indicado en la resolución administrativa, lograr objetivos o finalidades distintas a las que oportunamente llevaron a la ANSES a requerirlos.
En consecuencia, el Tribunal concluye que si -como ocurre en el sub lite- el administrado no presta su consentimiento expreso para el tratamiento de datos como su número telefónico o su dirección de correo electrónico, el organismo que los obtuvo no puede cederlos ni debe darlos a conocer, ya que se encuentran bajo la protección de la Ley Nº 25.326. Ello, sin que se advierta que se configuren las situaciones de excepción que contemplan el artículo 5.2 inciso b) de la Ley Nº 25.326 o el artículo 11 del mismo cuerpo legal. Por lo tanto, ante la negativa expresa por parte de la accionante de prestar su consentimiento para el tratamiento de tales datos, la acción intentada resulta procedente. ASÍ VOTAMOS.
El Sr. Juez de Cámara, Dr.Jorge Federico Alemany adhiere en lo sustancial al voto que antecede.
En consecuencia, por las consideraciones precedentes, el Tribunal RESUELVE:
1) Revocar el pronunciamiento apelado, hacer lugar a la acción de habeas data interpuesta por Carmen ABAD TORRES y ordenar a la ANSES que, respecto de los datos referentes a la actora, que no integran los datos enunciados en el inciso c) del punto 2 de la Ley Nº 25.326, se abstenga de someterlos al tratamiento de datos; disponiéndose en particular que no pueden ser cedidos en el marco de la Resolución Nº 166-E/2016 de la Jefatura de Gabinete de Ministros por la cual se aprobó el Convenio Marco de Cooperación entre la Administración Nacional de Seguridad Social y la Secretaría de Comunicación Pública; 2) Imponer las costas de ambas instancias a la demandada vencida (art. 68 del CPCCN).
Regístrese, notifíquese y devuélvase.
Guillermo F. TREACY
Pablo GALLEGOS FEDRIANI
Jorge Federico ALEMANY

Artículo publicado acerca del tema objeto del fallo en: Diario DPI Suplemento Derecho y Tecnologías Nro 26 12.10.2016


La cesión de los datos personales de la Administración Nacional de Seguridad Social a propósito del dictado de la Resolución 166/2016 y sus anexos.

Por Matilde S. Martínez [1]

Introducción.
La Jefatura de Gabinete de Ministros ha dictado la Resolución 166/2016[2], por la cual se aprueba el Convenio Marco  de  Cooperación entre la Administración Nacional de Seguridad Social (ANSES) y la Secretaría de Comunicación Pública dependiente de la Jefatura de Gabinete, con  la finalidad de realizar el intercambio electrónico de información contenida en las bases de datos de ambos Organismos. A tales efectos la ANSES remitirá periódicamente la siguiente información de toda la base de datos de sus empadronados: nombre y apellido; DNI; CUIT/CUIL; domicilio; teléfonos; correo electrónico; fecha de nacimiento; estado civil; estudios. El objeto sería utilizar dicha información para mantener informada a la población, identificar y analizar las problemáticas o temáticas de interés en cada lugar del país y comunicar las acciones de gobierno relacionadas tomando contacto con la población a través de diversas modalidades que incluyen redes sociales, otros medios de comunicación electrónicos, llamados telefónicos o conversación personal.
Esta resolución ha sido altamente cuestionada por los distintos sectores de la población, en relación a su legalidad y la hipotética violación a la ley 25.326[3] de Protección de los Datos Personales y su Decreto Reglamentario 1558/2001[4] y a ello hemos de referirnos en este espacio.
Análisis de la normativa vigente en materia de protección de datos personales en Argentina
En primer lugar debemos aludir a las principales normas de la ley citada relacionadas con el tema en cuestión. Así comenzaremos por los principios de calidad de los datos del art. 4° y principalmente al   inciso 1) en cuanto establece que “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieran obtenido” y el inc. 3) que expresa “Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención”. Adecuación, pertinencia y no excesividad se han considerado como el “principio de proporcionalidad”, pero además  los datos no podrán ser tratados para finalidades distintas o incompatibles para la cual fueron recabados. El art. 11 de la misma ley reglamenta la cesión de los datos estableciendo en su inc. 1) que “Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo”. El mismo artículo trata las excepciones a la prestación del consentimiento por parte de los titulares de los datos. Así el inc. 3) c) y en relación al tema en análisis expresa que el consentimiento no será exigido cuando: “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”. Aquí debemos recordar que nuestra ley 25.326 es una adaptación de la LORTAD (Ley Orgánica de Tratamiento Automatizados de Datos de Carácter Personal) española. Esta ley contenía en su art. 19 inc. 1)[5]  una norma de similares características  a las del art. 11.3.c) de nuestra LPDP, la que fue muy cuestionada en España por abusiva. Consecuentemente en la Ley Orgánica 15/1999 de carácter Personal española que suplanta a la LORTAD, en su art. 21 trata la cesión de datos entre Administraciones Públicas que podrán realizarse sin consentimiento del titular de los datos (21.4. LOPD) estableciendo lo siguiente (21.1 LOPD) “Los datos de carácter personal recogidos por las Administraciones públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas…”[6] Fernández Salmeron,[7] interpretando a contrario sensu, explica que esta norma dispone dos supuestos: el primero cuando se trate del ejercicio de las mismas competencias y el segundo cuando se trate de competencias distintas que versen sobre la misma materia. Ejemplos del primer supuesto sería la cesión de datos entre universidades públicas para traslados de expedientes, cesiones de datos de los ficheros municipales tales como “multas de tráfico”, “precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que se trate de la misma competencia en todos los casos: gestión recaudatoria de deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones operadas por un Ayuntamiento a favor de diversos órganos y entes de la Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que la legislación en esta materia articula de este modo las competencias. Es importante destacar que el Tribunal Constitucional Español por Sentencia 292/2000 declaró la inconstitucionalidad y nulidad del párrafo del art. 21.1 que preveía la comunicación sin consentimiento del titular de los datos cuando dicha comunicación hubiera sido prevista por disposiciones de rango inferior a la ley por entender que la previsión de una norma reglamentaria no constituía garantía suficiente para el derecho a la protección de los datos personales.
Acerca del ejercicio de la cesión de los datos sin consentimiento de sus titulares entre órganos del Estado  del art. 11.3.c) de la ley 25.326, Peyrano ha expresado que debe ser interpretado de modo restrictivo atendiendo a lo sucedido en España con una norma similar.[8]
A modo de conclusión
Las autoridades de gobierno han fundamentado el dictado de la resolución cuestionada (cesión de datos personales de la base de datos de la ANSES a la Secretaría de Comunicación Pública) en la norma del art. 11.3.c) de la ley 25.326. Como podemos observar no han tenido en cuenta para ello, los valiosos antecedentes y experiencia surgidos como consecuencia de la aplicación de la ley española seguida del pronunciamiento de la Sentencia del Tribunal Constitucional de España en relación al tema controvertido. Sería deseable que la norma del art. 11 en la parte referida sea modificado en una posible reforma de la LPDP, la que actualmente se está llevando a cabo a instancia de la Dirección Nacional de Protección de Datos Personales, a través del Plan “justicia 2020” (plan de gobierno para la reforma judicial) por el que se convoca a todos los interesados a la participación para tal cometido. Pero aún más importante sería que el tema sea del interés de los legisladores del Congreso de la Nación cuando el proyecto de reforma de ley llegue al recinto para su tratamiento y sanción, dándole al artículo un alcance preciso y claro en pos de la protección de los datos personales de los administrados. No obstante ello, cuando los titulares de los datos personales consideren que se han violado sus derechos como consecuencia de la aplicación de ésta norma podrán ejercer el derecho de supresión de los datos establecido por la ley 25.326 de Protección de los Datos Personales.





[1] Matilde S. Martínez. Abogada (UBA). Especialista Universitario de Protección de Datos  y Privacidad,  Universidad de Murcia, España. Miembro del Instituto de Derecho Informático y del Instituto de Derecho Bancario del CPACF. Estudios de posgrado: Derecho Constitucional y Procesal Profundizado; Derecho Bancario; Mediadora prejudicial.  Ex asesora legal de Citibank N.A.  Auditora de la Auditoria General de la Nación. Autora de publicaciones en revistas jurídicas: El Derecho, Microjuris, otras y del libro Hábeas Data Financiero.    Integrante y coautora del equipo coordinado por Daniel López Carballo del "Estudio sobre las garantías en materia de protección de datos y hábeas data: una visión desde Iberoamérica" que obtuvo el Accésit Premio Nacional de Investigación de la Agencia Española de Protección de Datos,  2015. Profesora de posgrado del Módulo de Informes Crediticios  y del Módulo Protección de Datos Personales -Derecho al olvido-  en la Especialización de Derecho  Informático de la UBA.  Site: http://www.habeasdatafinanciero.com, e-mail: mmartinez@habeasdatafinanciero.com
[2] Del 21/07/2016. http://www.infoleg.gob.ar/ (05/10/2016)
[3]  Sanc. 04/10/2000. Prom. 30/10/2000.  http://www.infoleg.gob.ar/ (05/10/2016)
[4] Dictado el 29/11/2001.  http://www.infoleg.gob.ar/ (05/10/2016)
[5] Peyrano Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data.  LexisNexis. Depalma. 2002. P.136
[6] El art. 21.1 LOPD continúa …”salvo cuando la comunicación hubiere sido prevista por las disposiciones de creación del fichero o por disposición de superior rango que regule su uso..” Este párrafo fue declarado inconstitucional y nulo por Sentencia del Tribunal Constitucional 292/2000, 30 noviembre (B.O.E. 4 enero 2001)
[7] Fernández Salmeron, Manuel.  Ficheros de titularidad pública. Material del curso Especialista Universitario de Protección de Datos Personales y Privacidad, Facultad de Derecho, Universidad de Murcia. 2012
[8] Peyrano G. F. Op. Cit. P. 137