Privacidad y Protección de Datos Personales en n-de-Datos... · PDF fileGuatemala...
Transcript of Privacidad y Protección de Datos Personales en n-de-Datos... · PDF fileGuatemala...
Privacidad y Protección de Datos Personales en Latinoamérica
Héctor R. Jara | SICLabs
CIBSI 2013 | Universidad Tecnológica Nacional
29.10.2013
Lic. En Tecnologías de las Comunicaciones (UADE)
Posgrado en Desarrollo Gerencial (Universidad de Palermo)
Diplomado Superior en Educación y Nuevas Tecnologías (FLACSO)
ISO 27001 Leader Auditor, CEH y QCS
Coautor de los libros Ethical Hacking, Hacking al Descubierto y Ethical Hacking 2.0
Miembro de ISSA, PMI e IEEE (Security & Privacy group y Education Society)
Miembro del Board del Capitulo Argentino de la Cloud Security Alliance
Docente titular en la Universidad Nacional de Quilmes
Consultor en Seguridad de la Información @ SIClabs
2 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
Acerca del Autor
Estado del arte
Privacidad
Dato Personal
Protección de Datos Personales
Estado
Empresas
Ciudadanos
Conclusiones
Referencias
Espacio de Consultas e Intercambio de Ideas
Agenda
3 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
4 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
5 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
¿De qué hablamos cuando hablamos de privacidad?
6 Privacidad y Protección de Datos Personales en Latinoamérica – Universidad Tecnológica de Panamá
Héctor R. Jara
7
Privacidad
La privacidad es un derecho humano básico (UNESCO 1994 y 2000)
Sirve de fundamento a la dignidad y a otros valores tales como la libertad de asociación y la libertad de expresión.
Se ha vuelto uno de los derechos humanos contemporáneos más importantes.
Las definiciones de privacidad varían ampliamente de acuerdo al contexto y al medio.
En muchos países, el concepto ha sido fusionado con el de protección de datos personales, el cual entiende a la privacidad en términos del manejo de la información relativa a una persona.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
8
Dato Personal
Ley Orgánica de Protección de Datos de Carácter Personal de España:
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.
Ley 25.326 de Protección de Datos Personales de la República Argentina:
“Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
9
Ciudadanos
Estado
Empresas
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
10
Ciudadanos
Estado
Empresas
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
11
Estado
Es responsabilidad del estado definir leyes o regulaciones para la protección de la privacidad y los datos personales de los ciudadanos.
También es responsabilidad del estado garantizar el cumplimiento de estas regulaciones, usualmente mediante los organismos o agencias de control.
Existen países que han implementado un mecanismo de regulación conjunto entre estado y compañías (Canadá y Australia).
Dos modelos de legislación:
Leyes integrales
Leyes sectoriales
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
12
Estado (Cont.)
Leyes integrales
Una única ley general que regula la recolección, uso y difusión de información personal, tanto del sector público como del privado.
Requiere de un organismo o agencia de control que garantice su cumplimiento.
Es el modelo adoptado por la Unión Europea para garantizar el cumplimiento de su régimen de protección de datos y es el preferido por los países de Latinoamérica.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
13
Estado (Cont.)
Leyes sectoriales
El ejemplo más claro es el de E.E.U.U., que dispone de distintas regulaciones dependiendo el sector (por ejemplo HIPAA y GLB)
Una desventaja importante de este enfoque es que necesita que se desarrolle nueva legislación con la aparición de nueva tecnología.
No suele existir la figura de un organismo o agencia de control.
La falta de protecciones legales para la privacidad de las personas en Internet en E.E.U.U. es un ejemplo notable de sus limitaciones.
Pueden ser utilizadas para complementar la legislación integral.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
14
Estado (Cont.)
3 razones para adoptar leyes integrales sobre protección de datos
Corregir violaciones a la privacidad cometidas en el pasado (por ejemplo en regímenes autoritarios en sudamérica).
Alinear la legislación al modelo europeo para poder comercializar con ella sin trabas.
Potenciar el comercio electrónico con otros continentes.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
15
Estado (Cont.)
En Latinoamérica en general se tomó el modelo europeo, en especial la LOPD española.
En esencia, contemplan los siguientes aspectos
Creación de un órgano o agencia de control
Clasificación de los datos personales
Registro de Bases de Datos en el Registro Nacional de Datos Personales
Determinar la finalidad y la calidad en la recopilación de los datos
Aspectos asociados a la Cesión y Transferencia de datos personales
Derecho de acceso, rectificación, actualización o supresión
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
16
Estado (Cont.)
País Privacidad en su
Constitución Ley específica de
Protección de Datos Año de
aprobación
Argentina Si Si(1) (Ley 25.326) 2000
Brasil Si No -
Bolivia Si No -
Chile No Si (Ley 19.626) 1999
Colombia Si Si (Ley E. 1581) 2008
Costa Rica Si Si (Ley 8986) 2011
Ecuador Si No -
El Salvador Si No -
Guatemala Si No -
Honduras Si No
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
17
Estado (Cont.)
País Privacidad en su
Constitución Ley específica de
Protección de Datos Año de
aprobación
México Si Si (1) (2) (LFPDPPP) 2010
Nicaragua Si Si (Ley 787) 2012
Panamá Si No -
Paraguay Si No -
Perú Si Si (Ley 29.733) 2013
Rep. Dominicana Si No -
Uruguay No Si(1) (Ley 18.331) 2008
Venezuela Si No -
(1) La agencia u organismo de Control cumple una función regulatoria y también de comunicación y educación con la sociedad.
(2) El organismo de control funciona en forma independiente en cada estado.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
18
Estado (Cont.)
Caso de estudio: Dirección Nacional de Protección de Datos Personales (DNPDP) de la República Argentina
En 2012: 74 inspecciones en total
Hasta Julio de 2013: Poco más de 50 inspecciones y se espera alcanzar las 110 al finalizar el año.
Incumplimientos más comunes
• Bases de Datos no registradas
• Ausencia de política de privacidad o no alineada a la DNPDP
• Contratos de Cesión de datos que no contemplan la protección de los datos personales
• Ausencia de NDAs firmados
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
19
Ciudadanos
Estado
Empresas
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
20
Empresas
Especial equilibrio entre las necesidades del negocio Vs. Privacidad
Conciencia social respecto a la privacidad y al tratamiento de los datos personales.
La Responsabilidad Social Empresaria (RSE) puede ser una buena opción para canalizar los aspectos de privacidad
Es necesaria la regulación por parte de un organismo de control.
Las experiencias de auto-regulación (E.E.U.U.) no funcionaron.
Casos particulares son los de Canadá y Australia, donde funciona un modelo de co-regulación, donde el estado define en conjunto con la industria los requerimientos de privacidad.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
21
Fuente: Artículo publicado en expoknews el 11 de mayo de 2012
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
22
Empresas (Cont.)
La organización AMDIA, promotora del marketing responsable, ha desarrollado Lealty, un certificado de buenas prácticas comerciales que contempla entre otros aspectos, el respeto a la privacidad de los usuarios y consumidores.
Para que una organización obtenga el sello Lealty, mínimamente deberá:
Tener registradas sus Bases de Datos en el RNDP
Tener publicada la Política de Privacidad alineada con lo requerido por la Ley de Protección de Datos Personales
La ONG Argentina Cibersegura colabora activamente con la sociedad, brindando charlas de concientización en Colegios sobre los riesgos en Internet.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
23 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
24
Ciudadanos
Estado
Empresas
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
25
26
“Un poderoso mentalista revela su secreto”
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
27
Ciudadanos (Cont.)
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
28 Privacidad y Seguridad en Redes Sociales – Universidad Tecnológica de Panamá
Héctor R. Jara
Identidad Digital y Robo de Identidad
29
Ciudadanos (Cont.)
“Técnicamente es hoy día posible desnaturalizar la vida real de una
persona -qué es, cómo es, qué hace, qué dice, qué piensa, qué
escribe- e irla sutilmente alterándola hasta desnaturalizarla del
todo, provocando con ello, a veces, irreparables daños“
Mario Vargas Llosa
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
30
Conclusiones
La privacidad es una tendencia mundial que ya está impactando en la forma de hacer negocios.
La protección de la privacidad y los datos personales es responsabilidad de todas las partes involucradas: Estado, Empresas y Ciudadanos.
El estado en crear el marco jurídico
Las empresas y organizaciones en general, por un lado cumplir con la Ley y por otro actuar responsablemente.
Los ciudadanos en ser conscientes y responsables con su privacidad e información personal.
• No ser pasivos ni esperar que el estado resuelva todos los problemas. Cada uno desde su rol, puede aportar.
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
31 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
32
Referencias Leyes y Regulaciones
• Privacy Trends 2012, Ernst & Young. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2012/$FILE/Privacy-trends-
2012_AU1064.pdf
• Privacy Trends 2013, Ernst & Young. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2013_-
_The_uphill_climb_continues/$FILE/Privacy%20trends%202013%20-
%20The%20uphill%20climb%20continues.pdf
• Disposición 11/2006: Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados. Disponible en: http://www.jus.gob.ar/media/33445/disp_2006_11.pdf
• Dirección Nacional de Protección de Datos Personales de la República Argentina. Disponible en: http://www.jus.gob.ar/datos-personales/
• Unidad Reguladora y de Control de Datos Personales de la República Oriental del Uruguay. Disponible en: http://www.datospersonales.gub.uy
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
33
Referencias Leyes y Regulaciones (Cont.)
• Ley 25.326 de Protección de Datos Personales de la República Argentina. Disponible en: http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-
64999/64790/norma.htm
• Ley 19627 de Protección de Datos de Carácter Personal de la República de Chile. Disponible en: http://www.leychile.cl/Navegar?idNorma=141599
• Decreto 779 de 2000: “Aprueba reglamento del registro de bancos de datos personales a cargo organismos públicos”. Disponible en: http://www.registrocivil.cl/transparencia/marcoNormativo/DTO_779.pdf
• Ley Estatutaria 1266 de 2008 de la República de Colombia. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html
• Ley Estatutaria 1581 de 2012 de la República de Colombia. Disponible en: http://www.sic.gov.co/recursos_user/documentos/normatividad/Leyes/2012/Ley_1581_20
12.pdf
• Ley 8968 de Protección de la Persona frente al tratamiento de sus Datos Personales de la República de Costa Rica. Disponible en: http://www.pgr.go.cr/scij/Busqueda/Normativa/Normas/nrm_repartidor.asp?param1=NRT
C&nValor1=1&nValor2=70975&nValor3=85989&strTipM=TC
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá
Héctor R. Jara
34
Referencias Leyes y Regulaciones (Cont.)
• Ley Federal de Protección de Datos Personales en Posesión de Particulares de la República de México. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/doc/LFPDPPP.doc
• Ley de Protección de Datos Personales de la República de Nicaragua y Decreto reglamentario. Disponible en: http://legislacion.asamblea.gob.ni/normaweb.nsf/9e314815a08d4a6206257265005d21f9/
e5d37e9b4827fc06062579ed0076ce1d?OpenDocument
• Ley Nro. 6 del año 2002 de la República de Panamá “Sobre la transparencia en la gestión pública, acción de Hábeas Data y otras disposiciones de la República de Panamá”. Disponible en: http://www.presidencia.gob.pa/ley_n6_2002.pdf
• Ley Nro. 3 del año 2000 de la República de Panamá “General sobre las infecciones de transmisión sexual, el virus de la Inmuno-Deficiencia Humana y el SIDA”. Disponible en: http://www.asamblea.gob.pa/APPS/LEGISPAN/PDF_NORMAS/2000/2000/2000_200_01
40.PDF
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
35
Referencias Leyes y Regulaciones (Cont.)
• Ley Nro. 24 del año 2002 de la República de Panamá “Que regula el servicio de información sobre el historial de crédito de los consumidores o clientes”. Disponible en: http://www.autoridaddelconsumidor.gob.pa/uploads/pdf/legislacion_normativas/Ley_24_s
obre_historial_de_credito1.07_21_2009_10_16_41_a.m..pdf
• Reglamento de la Ley de Protección de Datos Personales de la República del Perú. Disponible en: http://www.minjus.gob.pe/wp-
content/uploads/2013/03/Leydeprotecciondedatos.pdf
• Ley 18.331 de Protección de Datos Personales y acción de Hábeas Data. Disponible en: http://www.parlamento.gub.uy/leyes/AccesoTextoLey.asp?Ley=18331&Anchor=
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
36
Referencias complementarias
La privacidad como una oportunidad para la RSE http://www.expoknews.com/2012/05/11/la-privacidad-de-la-informacion-como-una-
oportunidad-para-la-responsabilidad-social-empresarial/
Guía de Privacidad para Hispanohablantes http://blog.cedriclaurant.org/2012/01/09/guia_de_privacidad_para_hispanohablantes_2012
Información general sobre privacidad https://www.privacyinternational.org/reports/una-guia-de-privacidad-para-
hispanohablantes/informacion-general-sobre-privacidad
Argentina Cibersegura https://www.argentinacibersegura.org/
“An Introduction to Data Protection”. Disponible en: http://www.edri.org/files/paper06_datap.pdf
Sitio oficial de AMDIA: http://www.amdia.org.ar/
Sitio oficial de “Lealty”: https://www.lealty.org/
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
37
Referencias complementarias (Cont.)
Canal de Youtube de Pantallas Amigas (ES) http://www.youtube.com/user/pantallasamigas?feature=watch
Canal de Youtube de la Jefatura de Gabinete de Ministros (AR) http://www.youtube.com/user/JGMgovar?feature=watch
Con vos en la web (AR) http://www.convosenlaweb.gob.ar/
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara
38
Espacio de consultas e intercambio de ideas
Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara