Bienvenidos al blog de hábeas data financiero y protección de datos personales

Bienvenidos al blog de hábeas data financiero y protección de datos personales


Invito a participar en este espacio a los interesados en la protección de datos personales, con la finalidad del enriquecimiento conjunto y colaboración con la sociedad.

Toda persona tiene derecho a conocer sus datos personales, que se encuentren en archivos, bases o bancos de datos y en caso de falsedad o discriminación, exigir la supresión, rectificación, confidencialidad o actualización de aquéllos.

En Argentina, la protección de datos personales se rige principalmente por el artículo 43, párr. 3º de la Constitución Nacional, la ley 25.326 y su decreto reglamentario 1558/2001.


Pueden dejar comentarios, sugerencias o enviar artículos de interés para ser publicados en este blog.


E-mail: contacto@habeasdatafinanciero.com


jueves, 30 de marzo de 2017

Privacidad en riesgo


Su privacidad puede estar en riesgo: EE: UU. revocó protección de datos personales en internet


Por: 
AFP
Información sensible como orientación sexual, religión, ubicación o salud, puede ser vendida por proveedores de acceso a la web sin su autorización.
El Senado y la Cámara de Representantes, ambos controlados por el Partido Republicano del presidente Donald Trump, aprobaron la eliminación de un texto reglamentario de la Federal Communications Commission (FCC) que data de 2016 y que aún no había entrado en vigor.
Tras la caída de la normatividad, los proveedores de acceso a internet de Estados Unidos quedan en la posibilidad de seguir vendiendo los datos personales de sus clientes a terceros sin necesidad de una autorización explícita. Dicha normatividad había sido establecida durante el gobierno de Barack Obama.
Asociaciones de defensa de los derechos civiles afirmaron que la anulación de esta norma permitirá la difusión incontrolada de datos personales, como el historial de navegación, que pueden revelar creencias religiosas, pertenencias políticas, orientaciones sexuales, estado de salud o informaciones geográficas de los usuarios.
"Estas informaciones figuran entre las más íntimas de la vida de una persona. Los consumidores deben poder controlar qué hacen las empresas" con ellas, dijo Natasha Duarte, del Center for Democracy and Technology.
Para los defensores republicanos de la abrogación, en cambio, ahora se podrá poner en materia de marketing en pie de igualdad a los proveedores de acceso, como Verizon y Comcast, con los gigantes de internet como Google y Facebook, que están regulados por otros textos legales.
El nuevo presidente de la FCC, Ajit Pai, designado en enero por Donald Trump, se dijo satisfecho por la decisión parlamentaria y recordó que en 2016 se había opuesto a la adopción de la norma ahora anulada.

viernes, 24 de marzo de 2017

Anteproyecto Ley de Protección de Datos Personales


martes, 14 de marzo de 2017
La presente ley tiene por objeto la protección integral de los datos personales a fin de garantizar el ejercicio pleno de los derechos de sus titulares, de conformidad a lo establecido en el artículo 43, párrafo tercero, de la Constitución Nacional.
imagen noticia











Rechazo in límine o no tanto


La Justicia Federal analiza un pedido de Baggio para eliminar de Google un video que perjudica ...


La Cámara Civil y Comercial Federal revocó el rechazo in límine de un habeas data iniciado por la empresa RPB-Baggio, buscando que se “impida el acceso” a un video que se viralizó, donde se encuentra una babosa en uno de sus productos.


El material está publicado en YouTube desde 2015 y cuenta con 17 mil visualizaciones. La presentación de la empresa es contra el motor de búsqueda Google y tuvo como objetivo que “se impida el acceso a los sitios de internet, foros, URL o direcciones” que conduzcan a las páginas que respondan a leyendas que direccionen a un video donde figura “una babosa” en el jugo que producen.
Tras un rechazo in límine en primera instancia, la Cámara Civil y Comercial Federal dio trámite al expediente “RPB SA c/ Google de Argentina SRL y otros s/ habeas data (art. 43 C.N.)”, consignó el sitio Diario Judicial. 
En primer término, se consideró que la vía de habeas data elegida resultaba “inapropiada”. La justificación era que lo que se pedía no era la supresión de “datos personales” de la actora asentada en registros o banco de datos públicos o privados, sino eliminar “publicaciones de particulares” consideradas falaces y perjudiciales a una de sus marcas, amén de que el “amparo informático” es una vía excepcional.
Apelada la resolución, los camaristas Ricardo Recondo y Guillermo Antelo la revocaron, con sustento en que el rechazo in límine “sólo es conducente cuando su improcedencia es manifiesta”, y que esa decisión “sólo debe quedar reservada a aquellos supuestos en los que no exista duda alguna respecto de su inadmisibilidad”.
Sobre tal premisa, el tribunal de alzada consignó que no se presentaban en el expediente “los extremos suficientes como para desestimar in límine la acción promovida”, y que, tal como lo había solicitado la actora en un principio al requerir la aplicación de la Ley de Habeas Data, el trámite sumarísimo era la solución correcta para la controversia nacida en autos, ya que “permitirá obtener una respuesta jurisdiccional mediante el dictado de una sentencia definitiva”. Ahora será la Cámara Civil y Comercial Federal la que analizará el pedido de la empresa.

viernes, 10 de marzo de 2017

AURA en Argentina

Los datos de más de 20 millones de argentinos podrían salir a la venta con la nueva plataforma de Telefónica

El nuevo sistema ofrecerá a las personas instancias de control de sus datos personales hasta ahora desconocidas, y a la vez venderá ese volumen de información a empresas y organismos que ven un negocio en el big data.
Martiniano Nemirovsci

Por Martiniano Nemirovsci


Datos personales de más de 20 millones de argentinos podrían salir a la venta (anonimizados) el año próximo cuando AURA, la llamada "cuarta plataforma" de Telefónica, desembarque en el país como parte de una estrategia global de la multinacional, en un esquema en el que no queda claro cuál es el beneficio para quienes generan los datos ni cómo esta propuesta se adaptará a la Ley local.

Como dos caras de una misma moneda, el nuevo sistema ofrecerá a las personas instancias de control de sus datos personales hasta ahora desconocidas, según promociona Telefónica, y a la vez venderá ese volumen de información a empresas y organismos que ven un negocio en el big data.

Presentada de forma oficial a finales de febrero en Barcelona, AURA servirá para gestionar -tanto para usuarios como para potenciales interesados en esa información- la enormidad de "datos generados desde cualquier infraestructura de Telefónica con la que interactúen los clientes" de la empresa, aseguró en diálogo con Télam el director de Innovación de la Cuarta Plataforma, Antonio Guzman.

"Cualquier infraestructura" refiere a la telefonía fija, telefonía móvil, Internet o televisión, dependiendo de los servicios que la multinacional ofrece en cada uno de los 25 países en los que opera (solo en Argentina gestiona 23 millones de accesos, 17 millones de accesos móviles y más de 6 fijos, con 1,6 millones de banda ancha, según informa en su página web corporativa).

Estos datos son un verdadero tesoro medido en "cientos de petabytes generados al año", según Guzmán, que por ejemplo abarcan los hábitos de navegación de las personas que pagan el servicio de Internet de Speedy -páginas visitadas, frecuencia y, potencialmente, hasta contenidos de aquellos sitios que no están protegidos con https- obtenidos a través de un módem.

También comprenden, entre otros, a los metadatos telefónicos, es decir, aquello que no es el contenido en una llamada: a quién se llama, a qué hora, con qué frecuencia, desde dónde, cuánto dura la llamada.

Al combinar los datos obtenidos de las tres plataformas a las que AURA ahora se suma (redes, sistemas y servicios), como podría resultar del cruce de la información de las torres telefónicas de Movistar con la ubicación de los celulares de sus clientes, pueden elaborarse detallados patrones de movimiento, de hábitos, de consumo o mapas de interacciones sociales, entre otras cosas.

Así, por ejemplo, una empresa podría adquirir una fuente invaluable de información sobre los gustos y hábitos de millones de personas para colocar sus productos, mientras que organizaciones políticas podrían contar con perfiles segmentados de personas para elaborar mensajes dirigidos en función de los intereses de las personas.

La cuarta plataforma funcionará desde marzo de 2018 en seis países países "con distintas realidades y desarrollos", y la "lista tentativa" de inicio contempla a Alemania, Reino Unido, España, Perú, Brasil y Argentina, según adelantó Guzmán.

Expertos informáticos y en derecho consultados por esta agencia coincidieron en que la novedad de esta propuesta no reside tanto en la compra-venta de datos personales, una práctica que las empresas suelen realizar "por debajo de la mesa", sino en que se la haga de forma pública.

A través de una página individual que tendrá en AURA, cada usuario de Telefónica podrá ejercer el control sobre qué dato comparte y cuál no, mientras que fuentes técnicas vinculadas al proyecto aseguraron que a los potenciales clientes los datos se entregarán de forma anonimizada y en gran volumen, es decir que no se podrán hacer seguimientos específicos individualizados.

"Garantizamos a nuestros clientes la seguridad y la privacidad en el intercambio de esta información", confirmó Guzmán, aunque especialistas en seguridad informática advirtieron a Télam que el riesgo contra la privacidad permanece incluso si los datos se anonimizan.

Según el ejecutivo español, "la prioridad a corto plazo no es tanto construir modelos de negocio que tengan que tener un cliente específico", sino poner el foco en sus usuarios "para permitirles que terceros pongan a trabajar su datos".

Este punto, para Telefónica, hace de AURA una "potente plataforma de innovación abierta a otros socios". Sin embargo, no resulta claro cómo se beneficiarán los usuarios, o sea los clientes que a la vez que pagan por acceder a los servicios de Telefónica, son los generadores de los datos, la materia prima del flamante negocio.

Consultado al respecto, Guzmán negó que los usuarios vayan a recibir dinero a cambio de entregar su datos, aunque señaló que pueden obtener un "beneficio económico indirecto", como el que resultaría de un rastreo de información realizado por un banco al que el usuario le solicita un crédito (siempre que sea un cliente que paga el teléfono en tiempo y forma), además de "cierta tranquilidad o seguridad en el manejo de los datos".

El directivo destacó que "el ejercicio que hay detrás de esto es un ejercicio de transparencia", y aclaró que "la proactividad de Telefónica para solicitar los datos" personales a sus usuarios "dependerá de (las leyes de) cada país".

En el caso argentino, la ley 25.326 de Protección de Datos Personales afirma en su artículo 4º que "los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados". Además, postula que "el tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado".

Estas cláusulas parecen un obstáculo para el desembarco de AURA en el país: "Con la ley actual, los privados no pueden usar los datos para algo distinto para lo que fueron recolectados. Tenés que tener consentimiento informado" de la recolección de los mismos, explicó al respecto la presidenta de la Fundación Vía Libre Beatriz Busaniche.

En el mismo sentido, el investigador del Conicet y titular de la cátedra Taller de Datos de la UBA, Martín Becerra, recordó en esa norma "se decía algo así como que todos los datos obtenidos por procesamiento electrónico eran concebidos como personales y en consecuencia estaba prevista su custodia, en el sentido de que sin el consentimiento explícito de esos datos, no podían comercializarse".

Este aparente impedimento legal podría desvanecerse con una modificación de la normativa, algo que propuso el presidente Mauricio Macri tras su viaje a España, cuando en su discurso ante la Asamblea Legislativa adelantó el envío de "una modificación a la ley de datos personales para que mas empresas puedan radicarse".

http://www.telam.com.ar/notas/201703/181972-datos-argentinos-venta-plataforma-telefonica.html

DPO

Nueva guía para la figura del Data Protection Officer

El Grupo de Trabajo del Artículo 29 (WP29) publica las principales guidelines sobre la nueva figura de DPO para las empresas.
Artículo de Jesús Martinell
No nos ha dado tiempo ni a empezar con los polvorones y los barquillos que el Grupo de Trabajo del Artículo 29 (WP 29) nos acaba de alegrar las Navidades al publicar, el pasado martes 13 de diciembre, un conjunto de directrices sobre el DPO. Es un buen regalo para las empresas de cara a la planificación del ejercicio 2017 ya que, hasta el momento, se había especulado sobre el papel y las funciones que debería desarrollar este nuevo cargo en la empresa pero el nivel de concreción era insuficiente.
Tal y como ya sabíamos, ¿cuándo las empresas deberán nombrar un DPO?
Existen 3 supuestos en los que deberá designarse un DPO:
  • Cuando el tratamiento se lleve a cabo por una autoridad u organismo público independientemente de que tipología de datos se estén tratando).
  • Cuando las actividades principales del responsable y el encargado del tratamiento consisten en operaciones de procesamiento que requieran un control periódico/habitual y sistemático.
  • Cuando las actividades principales del responsable y el encargado del tratamiento consistan en procesar datos a gran escala de categorías especiales de datos o datos personales relativas a condenas y delitos penales.
A pesar de ello, cabe recordar que tanto la legislación de la Unión Europea (UE) como la ley de cada Estado Miembro podrá exigir la designación de DPO en otras situaciones que lo estime necesario. Asimismo, las empresas, aunque el nuevo texto no obligue a designar tal figura en un supuesto concreto, si lo considera útil, podrá designarlo de manera voluntaria. De hecho, el mismo WP29 anima a hacerlo.
¿Qué significa la noción de “actividades principales” (Art. 37.1 apartado b) y c)?
El WP29 entiende que son aquellas operaciones clave o necesarias del responsable y del encargado del tratamiento para lograr sus objetivos. Ello incluye, también, todas las actividades en las que el tratamiento de los datos forma parte inextricable de la actividad del responsable o del encargado del tratamiento. Por ejemplo, el procesamiento de datos de salud, tales como la salud del paciente debe considerarse como una de las actividades básicas de cualquier hospital y, por ello, los hospitales deben designar a los DPO. Por otro lado, cualquier empresa lleva a cabo ciertas actividades de apoyo o auxiliares, por ejemplo, el pago a los empleados o el soporte de IT para determinadas actividades en la empresa. tales funciones son de apoyo y son necesarias para la actividad principal de la organización. Aunque estas actividades son necesarias o esenciales, por lo general se consideran funciones auxiliares en lugar de la actividad principal.
¿Qué se entiende por el término “a gran escala” (Art. 37.1 apartado b) y c)?
El nuevo texto no define lo que constituye el término “a gran escala”. Es por ello que el WP29 recomienda que se valoren los siguientes factores a la hora de determinar si el procesamiento de los datos es a gran escala:
  • El número de sujetos afectados, ya sea como número específico o como una proporción de la población relevante.
  • El volumen de datos y/o el rango de diferentes elementos de datos que se están procesando.
  • La duración o permanencia de la actividad de procesamiento de datos.
  • La extensión geográfica de la actividad de procesamiento de datos.
¿Qué se entiende por “monitorización habitual y sistemático” (Art. 37.1 apartado b)?
La noción de supervisión habitual y sistemático de los sujetos de los datos no está definida en el texto del Reglamento. A pesar de ello, sí incluye todas las formas de seguimiento y perfiles en Internet, incluso a efectos de publicidad según el comportamiento. Por otro lado, debemos tener claro que la noción de monitorización no se limita al entorno online. Así pues, el WP29 interpreta “habitual” como:
  • En curso o ocurriendo en intervalos particulares durante un período determinado.
  • Recurrente o repetido a tiempos fijos.
  • Constantemente o periódicamente teniendo lugar.
Asimismo, el WP29 interpreta “sistemático” como:
  • Ocurren según un sistema.
  • Organización previa, organizada o metódica.
  • En el marco de un plan general de recogida de datos.
  • Realizado como parte de una estrategia.
Un ejemplo serían los seguimiento de datos sobre el bienestar, la aptitud física y la salud a través de dispositivos portátiles (wearables).
¿Pueden las organizaciones designar conjuntamente un DPO? En caso afirmativo, ¿bajo qué condiciones (Artículos 37.2 y 37.3)?
El texto dispone que un grupo de empresas puede designar un único DPO siempre que
sea “fácilmente accesible desde cada establecimiento”. La noción de accesibilidad se refiere a las tareas del DPO como punto de contacto con respecto a los interesados, la Autoridad de Control y también internamente (dentro de la organización). Así pues, el DPO deberá estar en condiciones de comunicarse eficazmente con los interesados y de cooperar con las autoridades de Control. Esto significa que esta comunicación debe tener lugar en el idioma o idiomas utilizados por las autoridades de Control y los interesados afectados. La disponibilidad personal del DPO (ya sea físicamente en las mismas instalaciones o a través de medios de comunicación seguros) es esencial.
¿Es posible nombrar un DPO externo (art. 37.6)?
Sí, el DPO puede ser un miembro del personal del responsable o encargado del tratamiento (DPO interno) o «cumplir las tareas sobre la base de un contrato de servicios con un individuo o la» (DPO externo). En el caso del DPO externo, su función puede ejercerse sobre la base de un contrato de servicios contratando con un autónomo o un despacho (empresa).
Cuando la función del DPO es ejercida por un prestador de servicios externo, un equipo concreto de personas que trabajan para esa entidad pueden llevar a cabo efectivamente las tareas de DPO como un equipo. Asimismo, el WP29 recomienda una asignación clara de las tareas dentro del equipo externo de DPO así como también asignar un solo individuo como contacto principal y persona al cargo del cliente.
¿Cuáles son las cualidades profesionales que debería tener el DPO (art. 37.5)?
Como ya sabemos, deberá ser designado sobre la base de cualidades profesionales y, en concreto, conocimiento de la legislación y de las prácticas en materia de protección de datos así como la capacidad de cumplir las tareas del art.  39 del nuevo texto.
El nivel necesario de conocimientos especializados deberá determinarse de acuerdo con las operaciones de procesamiento de datos realizadas y la protección requerida para los datos personales que se están procesando. Por ejemplo, donde una actividad de procesamiento de datos es particularmente compleja, o cuando se tratan una gran cantidad de datos sensibles, el DPO necesitará un mayor nivel de experiencia y apoyo.
Las habilidades y conocimientos necesarios incluyen:
  • Experiencia en las leyes y prácticas nacionales y europeas en materia de protección de datos, incluido el nuevo Reglamento.
  • Comprensión de las operaciones de tratamiento realizadas.
  • Comprensión de las tecnologías de la información y la seguridad de los datos.
  • Conocimiento del sector empresarial y de la organización.
  • Capacidad para promover una cultura de protección de datos dentro de la organización.
¿Cuáles son los recursos que se deben proporcionar al DPO para llevar a cabo sus tareas?
La empresa deberá apoyar a su DPO mediante la facilitación de los recursos necesarias para llevar a cabo sus tareas, permitirle el acceso a los datos personales así como las operaciones de tratamiento y, también, para mantener su conocimiento de experto sobre la materia.
La empresa deberá analizar sus actividades, tamaño y la naturaleza de los tratamientos que llevan a cabo y, valorándolo en conjunto, deberá proporcionar los Los siguientes recursos al DPO:
  • Apoyo activo de la función del DPO por la alta dirección de la empresa.
  • Tiempo suficiente para que el DPO pueda cumplir sus obligaciones.
  • Apoyo adecuado en términos de recursos financieros, infraestructura (locales, instalaciones, equipo) y personal, cuando corresponda.
  • Comunicación oficial de la designación del DPO a todo el personal de la empresa.
  • Acceso a otros servicios dentro de la organización (p.e. Recursos Humanos IT, etc.) para que el DPO pueda recibir apoyo esencial o información de esos otros servicios.
  • Formación continua del DPO (p.e. asistir a workshops en materia de Protección de datos así como cursos o formaciones para que su experiencia vaya en aumento).
¿Cuáles son las garantías que permiten al DPO realizar sus tareas de forma independiente (artículo 38.3)?
Existen varias garantías para permitir que el DPO actúe de manera independiente según el considerando nº 97:
  • No deben haber instrucciones por los responsables o encargados del tratamiento sobre el ejercicio de las tareas del DPO.
  • No puede darse ningún despido o sanción por parte del responsable para el desempeño de las tareas del DPO.
  • No puede haber conflicto de intereses con otras posibles tareas y deberes.
¿Cuáles son las “otras tareas y deberes” de un DPO que pueden dar lugar a un conflicto de intereses (Art. 38.6)?
El DPO no puede ocupar un cargo dentro de la organización que lo conduzca a determinar los fines y los medios del tratamiento de los datos personales. Debido a la concreta estructura organizativa de cada organización deberá considerarse caso por caso. Como regla general, las situaciones de conflicto suelen incluir posiciones de alta gerencia, pero también otros roles de inferior rango en la organización pueden estar en la misma situación si su rol en la empresa conduce a la determinación de fines y medios de tratamiento.
¿Qué incluye la noción de “monitorizar el cumplimiento” del Reglamento (Art. 39.1 apartado b)?
Como parte de estas funciones para supervisar el cumplimiento, el DPO podrá:
  • Recopilar información para identificar las actividades de tratamiento de datos.
  • Analizar y verificar el cumplimiento de las actividades de tratamiento de datos.
  • Informar, aconsejar y emitir recomendaciones al responsable y/o encargado del tratamiento.
¿El DPO es personalmente responsable por el incumplimiento del Reglamento?
No, el DPO no es personalmente responsable por el incumplimiento del Reglamento. El texto deja claro que serán los responsables o los encargados del tratamiento quiénes deberán garantizar y poder acreditar que los tratamientos de datos se llevan a cabo de conformidad con el Reglamento.
¿Cuál es el papel del DPO con respecto a la evaluación de impacto de la protección de datos (art. 37.1 apartado c) y el registro de las actividades de tratamiento de datos personales (art. 30)?
En lo que respecta a la evaluación del impacto de la protección de datos, el responsable o encargado del tratamiento solicitará el asesoramiento del DPO, sobre las siguientes cuestiones, entre otras:
  • Realizar o no una evaluación de impacto en materia de protección de datos.
  • Qué metodología seguir cuando se lleva a cabo una evaluación de impacto.
  • Si se debe realizar la evaluación de impacto en la empresa o externalizarlo.
  • Qué garantías (incluidas las medidas técnicas y organizativas) deben aplicarse para mitigar los riesgos para los derechos e intereses de los interesados.
  • Si la evaluación del impacto han sido correctamente realizada (es decir, valorar si se sigue o no con el tratamiento en cuestión y qué garantías deberán aplicarse) así como así como verificar que las conclusiones cumplen con el Reglamento.
En lo que respecta al registro de las actividades de tratamiento, es el responsable o encargado del tratamiento, no el DPO, quién deberá mantener un registro de los diferentes tratamientos de datos personales que se hagan en la empresa. Sin embargo, del texto del Reglamento, nada impide que el responsable o encargado del tratamiento pueda asignar al DPO la tarea de mantener el registro de actividades del tratamiento,  bajo la responsabilidad del responsable del tratamiento. Este registro deberá considerarse como una de las herramientas que permitirán al DPO llevar a cabo sus tareas de vigilancia del cumplimiento, asesorando al responsable y al encargado del tratamiento.
Las empresas deberán ponerse las pilas en encontrar, ya sea en el seno de la misma o fuera, un perfil para llevar a cabo todas las funciones que hemos comentado en el artículo. Asimismo, no debemos olvidar que el nuevo Reglamento será de aplicación a partir del 25 de mayo 2018 y, cuanto antes las empresas tengan claro el perfil, antes podrán ponerse manos a la obra a planificar la adaptación de la empresa a las exigencias del nuevo Reglamento.
Jesús Martinell

miércoles, 8 de marzo de 2017

Datos en la nube


Colombia se expone a éxodo tecnológico con regulación de “la nube”
Andrés Waldraff publicó un artículo en el que denuncia que la Superintendencia de Industria y Comercio (SIC), entidad encargada de investigar los abusos de las compañías en Colombia, en su afán por implementar la ley de Habeas Data, tratarán de regular el uso de información consignada en bases de datos guardadas en “la nube”.

miércoles, 1 de marzo de 2017

Seguridad de los datos


¿Están tus datos personales suficientemente protegidos?
Tradicionalmente, los bancos han invertido grandes cantidades de tiempo y dinero en la protección de datos y la prevención del fraude, y cada vez que un cliente hace una transacción, se lleva a cabo un seguimiento tecnológico que avisa de cualquier anomalía que pueda ocurrir, en comparación con los patrones de comportamiento habitual.