Privacidad y Protección de Datos Personales en Latinoamérica

Héctor R. Jara | SICLabs

CIBSI 2013 | Universidad Tecnológica Nacional

29.10.2013

Lic. En Tecnologías de las Comunicaciones (UADE)

Posgrado en Desarrollo Gerencial (Universidad de Palermo)

Diplomado Superior en Educación y Nuevas Tecnologías (FLACSO)

ISO 27001 Leader Auditor, CEH y QCS

Coautor de los libros Ethical Hacking, Hacking al Descubierto y Ethical Hacking 2.0

Miembro de ISSA, PMI e IEEE (Security & Privacy group y Education Society)

Miembro del Board del Capitulo Argentino de la Cloud Security Alliance

Docente titular en la Universidad Nacional de Quilmes

Consultor en Seguridad de la Información @ SIClabs

2 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

Acerca del Autor

Estado del arte

Privacidad

Dato Personal

Protección de Datos Personales

Estado

Empresas

Ciudadanos

Conclusiones

Referencias

Espacio de Consultas e Intercambio de Ideas

Agenda

3 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

4 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

5 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

¿De qué hablamos cuando hablamos de privacidad?

6 Privacidad y Protección de Datos Personales en Latinoamérica – Universidad Tecnológica de Panamá

Héctor R. Jara

7

Privacidad

La privacidad es un derecho humano básico (UNESCO 1994 y 2000)

Sirve de fundamento a la dignidad y a otros valores tales como la libertad de asociación y la libertad de expresión.

Se ha vuelto uno de los derechos humanos contemporáneos más importantes.

Las definiciones de privacidad varían ampliamente de acuerdo al contexto y al medio.

En muchos países, el concepto ha sido fusionado con el de protección de datos personales, el cual entiende a la privacidad en términos del manejo de la información relativa a una persona.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

8

Dato Personal

Ley Orgánica de Protección de Datos de Carácter Personal de España:

“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables”.

Ley 25.326 de Protección de Datos Personales de la República Argentina:

“Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

9

Ciudadanos

Estado

Empresas

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

10

Ciudadanos

Estado

Empresas

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

11

Estado

Es responsabilidad del estado definir leyes o regulaciones para la protección de la privacidad y los datos personales de los ciudadanos.

También es responsabilidad del estado garantizar el cumplimiento de estas regulaciones, usualmente mediante los organismos o agencias de control.

Existen países que han implementado un mecanismo de regulación conjunto entre estado y compañías (Canadá y Australia).

Dos modelos de legislación:

Leyes integrales

Leyes sectoriales

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

12

Estado (Cont.)

Leyes integrales

Una única ley general que regula la recolección, uso y difusión de información personal, tanto del sector público como del privado.

Requiere de un organismo o agencia de control que garantice su cumplimiento.

Es el modelo adoptado por la Unión Europea para garantizar el cumplimiento de su régimen de protección de datos y es el preferido por los países de Latinoamérica.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

13

Estado (Cont.)

Leyes sectoriales

El ejemplo más claro es el de E.E.U.U., que dispone de distintas regulaciones dependiendo el sector (por ejemplo HIPAA y GLB)

Una desventaja importante de este enfoque es que necesita que se desarrolle nueva legislación con la aparición de nueva tecnología.

No suele existir la figura de un organismo o agencia de control.

La falta de protecciones legales para la privacidad de las personas en Internet en E.E.U.U. es un ejemplo notable de sus limitaciones.

Pueden ser utilizadas para complementar la legislación integral.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

14

Estado (Cont.)

3 razones para adoptar leyes integrales sobre protección de datos

Corregir violaciones a la privacidad cometidas en el pasado (por ejemplo en regímenes autoritarios en sudamérica).

Alinear la legislación al modelo europeo para poder comercializar con ella sin trabas.

Potenciar el comercio electrónico con otros continentes.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

15

Estado (Cont.)

En Latinoamérica en general se tomó el modelo europeo, en especial la LOPD española.

En esencia, contemplan los siguientes aspectos

Creación de un órgano o agencia de control

Clasificación de los datos personales

Registro de Bases de Datos en el Registro Nacional de Datos Personales

Determinar la finalidad y la calidad en la recopilación de los datos

Aspectos asociados a la Cesión y Transferencia de datos personales

Derecho de acceso, rectificación, actualización o supresión

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

16

Estado (Cont.)

País Privacidad en su

Constitución Ley específica de

Protección de Datos Año de

aprobación

Argentina Si Si(1) (Ley 25.326) 2000

Brasil Si No -

Bolivia Si No -

Chile No Si (Ley 19.626) 1999

Colombia Si Si (Ley E. 1581) 2008

Costa Rica Si Si (Ley 8986) 2011

Ecuador Si No -

El Salvador Si No -

Guatemala Si No -

Honduras Si No

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

17

Estado (Cont.)

País Privacidad en su

Constitución Ley específica de

Protección de Datos Año de

aprobación

México Si Si (1) (2) (LFPDPPP) 2010

Nicaragua Si Si (Ley 787) 2012

Panamá Si No -

Paraguay Si No -

Perú Si Si (Ley 29.733) 2013

Rep. Dominicana Si No -

Uruguay No Si(1) (Ley 18.331) 2008

Venezuela Si No -

(1) La agencia u organismo de Control cumple una función regulatoria y también de comunicación y educación con la sociedad.

(2) El organismo de control funciona en forma independiente en cada estado.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

18

Estado (Cont.)

Caso de estudio: Dirección Nacional de Protección de Datos Personales (DNPDP) de la República Argentina

En 2012: 74 inspecciones en total

Hasta Julio de 2013: Poco más de 50 inspecciones y se espera alcanzar las 110 al finalizar el año.

Incumplimientos más comunes

• Bases de Datos no registradas

• Ausencia de política de privacidad o no alineada a la DNPDP

• Contratos de Cesión de datos que no contemplan la protección de los datos personales

• Ausencia de NDAs firmados

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

19

Ciudadanos

Estado

Empresas

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

20

Empresas

Especial equilibrio entre las necesidades del negocio Vs. Privacidad

Conciencia social respecto a la privacidad y al tratamiento de los datos personales.

La Responsabilidad Social Empresaria (RSE) puede ser una buena opción para canalizar los aspectos de privacidad

Es necesaria la regulación por parte de un organismo de control.

Las experiencias de auto-regulación (E.E.U.U.) no funcionaron.

Casos particulares son los de Canadá y Australia, donde funciona un modelo de co-regulación, donde el estado define en conjunto con la industria los requerimientos de privacidad.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

21

Fuente: Artículo publicado en expoknews el 11 de mayo de 2012

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

22

Empresas (Cont.)

La organización AMDIA, promotora del marketing responsable, ha desarrollado Lealty, un certificado de buenas prácticas comerciales que contempla entre otros aspectos, el respeto a la privacidad de los usuarios y consumidores.

Para que una organización obtenga el sello Lealty, mínimamente deberá:

Tener registradas sus Bases de Datos en el RNDP

Tener publicada la Política de Privacidad alineada con lo requerido por la Ley de Protección de Datos Personales

La ONG Argentina Cibersegura colabora activamente con la sociedad, brindando charlas de concientización en Colegios sobre los riesgos en Internet.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

23 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

24

Ciudadanos

Estado

Empresas

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

25

26

“Un poderoso mentalista revela su secreto”

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

27

Ciudadanos (Cont.)

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

28 Privacidad y Seguridad en Redes Sociales – Universidad Tecnológica de Panamá

Héctor R. Jara

Identidad Digital y Robo de Identidad

29

Ciudadanos (Cont.)

“Técnicamente es hoy día posible desnaturalizar la vida real de una

persona -qué es, cómo es, qué hace, qué dice, qué piensa, qué

escribe- e irla sutilmente alterándola hasta desnaturalizarla del

todo, provocando con ello, a veces, irreparables daños“

Mario Vargas Llosa

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

30

Conclusiones

La privacidad es una tendencia mundial que ya está impactando en la forma de hacer negocios.

La protección de la privacidad y los datos personales es responsabilidad de todas las partes involucradas: Estado, Empresas y Ciudadanos.

El estado en crear el marco jurídico

Las empresas y organizaciones en general, por un lado cumplir con la Ley y por otro actuar responsablemente.

Los ciudadanos en ser conscientes y responsables con su privacidad e información personal.

• No ser pasivos ni esperar que el estado resuelva todos los problemas. Cada uno desde su rol, puede aportar.

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

31 Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

32

Referencias Leyes y Regulaciones

• Privacy Trends 2012, Ernst & Young. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2012/$FILE/Privacy-trends-

2012_AU1064.pdf

• Privacy Trends 2013, Ernst & Young. Disponible en: http://www.ey.com/Publication/vwLUAssets/Privacy_trends_2013_-

_The_uphill_climb_continues/$FILE/Privacy%20trends%202013%20-

%20The%20uphill%20climb%20continues.pdf

• Disposición 11/2006: Medidas de Seguridad para el Tratamiento y Conservación de los Datos Personales Contenidos en Archivos, Registros, Bancos y Bases de Datos Públicos no estatales y Privados. Disponible en: http://www.jus.gob.ar/media/33445/disp_2006_11.pdf

• Dirección Nacional de Protección de Datos Personales de la República Argentina. Disponible en: http://www.jus.gob.ar/datos-personales/

• Unidad Reguladora y de Control de Datos Personales de la República Oriental del Uruguay. Disponible en: http://www.datospersonales.gub.uy

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

33

Referencias Leyes y Regulaciones (Cont.)

• Ley 25.326 de Protección de Datos Personales de la República Argentina. Disponible en: http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-

64999/64790/norma.htm

• Ley 19627 de Protección de Datos de Carácter Personal de la República de Chile. Disponible en: http://www.leychile.cl/Navegar?idNorma=141599

• Decreto 779 de 2000: “Aprueba reglamento del registro de bancos de datos personales a cargo organismos públicos”. Disponible en: http://www.registrocivil.cl/transparencia/marcoNormativo/DTO_779.pdf

• Ley Estatutaria 1266 de 2008 de la República de Colombia. Disponible en: http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.html

• Ley Estatutaria 1581 de 2012 de la República de Colombia. Disponible en: http://www.sic.gov.co/recursos_user/documentos/normatividad/Leyes/2012/Ley_1581_20

12.pdf

• Ley 8968 de Protección de la Persona frente al tratamiento de sus Datos Personales de la República de Costa Rica. Disponible en: http://www.pgr.go.cr/scij/Busqueda/Normativa/Normas/nrm_repartidor.asp?param1=NRT

C&nValor1=1&nValor2=70975&nValor3=85989&strTipM=TC

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá

Héctor R. Jara

34

Referencias Leyes y Regulaciones (Cont.)

• Ley Federal de Protección de Datos Personales en Posesión de Particulares de la República de México. Disponible en: http://www.diputados.gob.mx/LeyesBiblio/doc/LFPDPPP.doc

• Ley de Protección de Datos Personales de la República de Nicaragua y Decreto reglamentario. Disponible en: http://legislacion.asamblea.gob.ni/normaweb.nsf/9e314815a08d4a6206257265005d21f9/

e5d37e9b4827fc06062579ed0076ce1d?OpenDocument

• Ley Nro. 6 del año 2002 de la República de Panamá “Sobre la transparencia en la gestión pública, acción de Hábeas Data y otras disposiciones de la República de Panamá”. Disponible en: http://www.presidencia.gob.pa/ley_n6_2002.pdf

• Ley Nro. 3 del año 2000 de la República de Panamá “General sobre las infecciones de transmisión sexual, el virus de la Inmuno-Deficiencia Humana y el SIDA”. Disponible en: http://www.asamblea.gob.pa/APPS/LEGISPAN/PDF_NORMAS/2000/2000/2000_200_01

40.PDF

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

35

Referencias Leyes y Regulaciones (Cont.)

• Ley Nro. 24 del año 2002 de la República de Panamá “Que regula el servicio de información sobre el historial de crédito de los consumidores o clientes”. Disponible en: http://www.autoridaddelconsumidor.gob.pa/uploads/pdf/legislacion_normativas/Ley_24_s

obre_historial_de_credito1.07_21_2009_10_16_41_a.m..pdf

• Reglamento de la Ley de Protección de Datos Personales de la República del Perú. Disponible en: http://www.minjus.gob.pe/wp-

content/uploads/2013/03/Leydeprotecciondedatos.pdf

• Ley 18.331 de Protección de Datos Personales y acción de Hábeas Data. Disponible en: http://www.parlamento.gub.uy/leyes/AccesoTextoLey.asp?Ley=18331&Anchor=

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

36

Referencias complementarias

La privacidad como una oportunidad para la RSE http://www.expoknews.com/2012/05/11/la-privacidad-de-la-informacion-como-una-

oportunidad-para-la-responsabilidad-social-empresarial/

Guía de Privacidad para Hispanohablantes http://blog.cedriclaurant.org/2012/01/09/guia_de_privacidad_para_hispanohablantes_2012

Información general sobre privacidad https://www.privacyinternational.org/reports/una-guia-de-privacidad-para-

hispanohablantes/informacion-general-sobre-privacidad

Argentina Cibersegura https://www.argentinacibersegura.org/

“An Introduction to Data Protection”. Disponible en: http://www.edri.org/files/paper06_datap.pdf

Sitio oficial de AMDIA: http://www.amdia.org.ar/

Sitio oficial de “Lealty”: https://www.lealty.org/

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

37

Referencias complementarias (Cont.)

Canal de Youtube de Pantallas Amigas (ES) http://www.youtube.com/user/pantallasamigas?feature=watch

Canal de Youtube de la Jefatura de Gabinete de Ministros (AR) http://www.youtube.com/user/JGMgovar?feature=watch

Con vos en la web (AR) http://www.convosenlaweb.gob.ar/

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara

38

Espacio de consultas e intercambio de ideas

Privacidad y Protección de Datos Personales en Latinoamérica – CIBSI 2013: Universidad Tecnológica de Panamá Héctor R. Jara