27 ago 2015

El lado oscuro de los datos personales... "estamos en Argentina... que le vamos a hacer?"

Hoy era otro día como cualquier otro, hasta que una llamada de un número de Paraná (Argentina) lo hizo distinto. Por cuestiones de seguridad (y el hecho de trabajar en Seguridad de la Información) me ha llevado a grabar algunas llamadas, por las dudas tenga la necesidad de recuperar algún dato que mi memoria olvida.

La llamada es una de tantas en las que te intentan vender un servicio, pero lo inusual de esta llamada fueron las respuestas dada por la chica del Call Center cuando empecé a preguntar (ya casi es un deporte) sobre cómo habían hecho para conseguir mis datos personales... La primera de las respuestas ensayadas por la otra parte fue "los datos los proporciona Personal... en realidad los datos de telefonía se comparten".
Como esto claramente sonaba irreal, repregunte... entonces "Personal te comparte mi número de teléfono para que vos me llames para venderme otro servicio?" A lo que la chica con mucha seguridad responde y redobla la apuesta con un "Si, nosotros tenemos convenio con Personal y con Claro"... El remate de la conversación fue al final cuando le expreso que "lo que vos me contas de datos personales no puede ser porque eso es ilegal en Argentina"... "Bueno, estamos en Argentina Marcelo, que le vamos a hacer?". Una frase que creo que sirve un poco para graficar la situación en nuestro país en relación al respeto en el tratamiento de los datos personales. "Estamos en Argentina Marcelo... que le vamos a hacer?"

Desde el punto de vista jurídico, la explicación ensayada no puede ser real, o al menos, si lo fuera, no sería legal toda vez que de acuerdo al art. 11 de la Ley Nº 25.326 de Protección de Datos Personales, una empresa (en este caso Personal), no tiene la potestad de ceder mis datos personales, a menos que como titular haya otorgado un consentimiento expreso (el cuál debería haber sido debidamente informado por la empresa, algo que no sucedió).

Para aquellos lectores que aún no tienen ni idea de la existencia de una normativa en materia de protección de datos personales (aunque la ley se presume conocida por todos), diré brevemente que no es nueva ya que la misma data de Octubre del 2000 y que estamos viendo de organizar con Segu-Info algo especial para celebrar los 15 añitos a la niña bonita.
Esta ley establece que para que el tratamiento de los datos personales -que es toda información que haga a una persona determinada o determinable- sea lícito debe estar debidamente inscripta y en cumplimiento de todos los principios establecidos por la normativa. No abundaremos mucho más puesto que este artículo no pretende ser una capacitación en la materia, pero simplemente recordaremos la existencia de obligaciones importantes como la de consentimiento (art. 5), deber de informar adecuadamente (art. 6), obligaciones de seguridad (art. 9), deber confidencialidad (art. 10), entre otros.

Volviendo a la práctica y a la llamada en sí, la realidad muestra que estas prácticas existen desde hace tiempo en nuestro país, hasta el punto de ver radicadas empresas de otros países para hacer desde aquí algunas acciones (email marketing) que desde otros países (como España) no sería negocio realizar. Sin entrar en la deep web, mucho más alcance de cualquier mortal, en Argentina es posible comprar por cierto dinero todo tipo de bases de datos personales, segmentados por provincias, ciudades, profesiones e incluso intereses.

La práctica también muestra que algunas empresas llevan a cabo conductas que dudosa ética comercial. Un ejemplo claro me pasó también hace algunos días, donde pagué para publicar un anuncio en un portal de compra venta online. Una vez el aviso posteado, a las pocas horas recibo una primera llamada... que en principio pareció un interesado... "Hola, vos pusiste a la venta un ...... ?" "si si, soy yo"... "ah bueno, mira te llamo del sitio -competencia directa- para ofrecerte publicar tu aviso gratis, etc etc".

Avanzar en la materia también depende del Estado, en este sentido nuestro país tuvo una Dirección Nacional de Protección de Datos Personales con mucho tiempo (más de 10 años) de inactividad en la materia, y que a partir de algunos cambios en los últimos años se empiezan a observar algunos movimientos y medidas interesantes, como la Disposición 39/2015, donde se establece la posibilidad de realizar "inspecciones electrónicas", una medida que tiene el potencial de mejorar notablemente el nivel de cumplimiento (a través del control) de la normativa vigente.

A modo de conclusión, diremos que protección de nuestros propios datos personales dependen de nosotros mismos, que hagamos cumplir los derechos que ya tenemos y las obligaciones que ya existen. Si no hacemos nada, la cosa sigue igual, porque para algunos viste como es... "estamos en Argentina... que le vamos a hacer?".

Actualización del post: 27/08/2015 a las 14:20 hs

Desde la Dirección Nacional de Protección de Datos Personales se han puesto en contacto confirmando que se iniciará una investigación de oficio para este caso. De nuestra parte, ya estamos trabajando en el trámite de la denuncia formal acompañada por todos los elementos probatorios para que se pueda avanzar con la investigación. Aunque estemos en Argentina, las cosas se pueden hacer bien igual.
Abogado, especializado en Derecho Informático. Actualmente es Doctorando de CONICET dedicado a la investigación de Delitos Informáticos y Cibercrimen en el Centro de Investigación de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Nacional del Litoral. Es Socio Fundador de AsegurarTe, empresa dedicada a la Seguridad de la Información

Suscríbete a nuestro Boletín

11 comentarios:

  1. Hola, me acaban de llamar de Claro para comentarme sobre la portabilidad numérica. Cuando consulte como sabían que este numero estaba a nombre mío la respuesta fue "Por ley Personal (por ende saben q mi proveedor es Personal) tiene la obligación de informar aquellos usuarios que tienen problemas para hablar por teléfono, internet etc" la verdad que no tengo idea si es así alguna comentario sobre eso?
    Demás esta decir que estoy dado de alta en el Registro NoLlame, cuando manifesté eso me dijo "Debe ser un error del sistema" cuac??????

    ResponderBorrar
    Respuestas
    1. ah, un detalle que me llamo la atencion, el numero del que me llamaron es una linea de "Personal" con característica de Paraná....

      Borrar
  2. De que sirve legislar, si despues no se cumple con la ley?
    Mientras no existan castigos reales, verídicos, comprobables; todo será un viva la pepa.
    Hoy se legisla para "cumplir" con la demanda de "hacer algo" que la población exige, pero todo queda en la nada. :(

    ResponderBorrar
  3. Me acaban de llamar de la misma empresa.
    O sea, espero esto llegue a algún punto porque están ametrallando con llamadas.
    Vamos Marcelo! Fuerza y seguí así!

    ResponderBorrar
  4. Y lo mejor de todo es que todas las empresas ni si quiera son Argentinas, son extanjeras...ay ay ay...

    ResponderBorrar
  5. SE PUEDE ROBAR LA IDENTIDAD desde la WEB de DATOS PERSONALES!!
    Ingresen a http://www.jus.gob.ar/datos-personales/mapa-del-sitio.aspx
    en el ícono para enviar por correo, pueden poner cualquier correo, lo envía, además de ofrecer intalar una barra en el navegador.
    Irónico es q se puede hacer en la misma qeb que dice "denuncia suplantación de IDENTIDAD"
    INCREÍBLEEE!!!!!

    ResponderBorrar
    Respuestas
    1. No se entiende qué es lo que quisiste explicar. Lo podes expandir y explicar mejor por favor, a ver que podemos hacer.
      Gracias
      Cristian

      Borrar
    2. Buenas! "arriba a la derecha", en la misma línea del título "Mapa del Sitio", hay 4 Iconos uno de una impresora, tres letras A A A. Entre la impresora, y las letras A hay un icono que despliega un menú para compartir con facebook, gmail, yahoo, Twitter, Delicious, Favoritos, etc. Uno de estos, el primero, decía CORREO. Al seleccionarlo, aparecía formulario con 4 campos: Para, De, Tema y el cuadro más grande para enviar el mensaje. Bastaba con simplemente escribir en el campo "de" cualquier email de cualquier persona, y el sistema lo enviaba a nombre de esa persona. Hice muchas pruebas,y todas funcionaron. Hablo en pasado, porque ayer les envié a http://www.jus.gob.ar/ el email avisándoles, y hoy eliminaron la opción del menú desplegable... pero todavía sigue vigente en otras webs. Para que me creyeran y se dieran cuenta del PELIGRO, les envié el mensaje, desde la propia cuenta de e-mail que ellos mismos ofrecen para hacer denuncias de robo de identidad... Irónico no? Auto-denuncia?
      Si quieren "jugar" a ser otras personas, les dejo otro link del gobierno que usan exactamente el mismo sistema, el cual es provisto por ADDTHIS que, según afirman, es una empresa que recopila datos de usuarios y los filtran según intereses y venden esas listas para campañas de Marketing.
      En este link es más fácil, dado que es en el icono con forma de carta que se encuentra arriba a la derecha, junto a los iconos de facebook y Twitter

      http://des.mza.infd.edu.ar/sitio/index.cgi?wAccion=news&wid_news=3330&wid_seccion=&wid_item=#.VeRiS_NgCyU.email

      Cuando reciban el e-mail, verán que trae un texto que invita a instalar una barra en el navegador.
      Osea, literalmente dicen que están recopilando los datos de los usuarios de la web, para luego venderlos para campañas de marketing. Esto no lo han eliminado todavía del sitio de la Dirección de Protección de Datos personales. Hagan clic en el menú que les indiqué y verán la opción debajo de la lista q dice "Powered by Addthis".
      Creo que es GRAVE es que en el sitio Web de la Dirección de Protección de Datos Personales, se esté recopilando información de los usuarios para venderlo a una empresa aparentemente extranjera. Esa opción, provista por ADDTHIS, se encuentra en varios sitios gubernamentales. Debe ser un gran negocio, dado que están recopilando una cantidad realmente grande de Usuarios y sus intereses. Les copio el mensaje que reciben las personas cuando se les envía el email con la opción correo:

      Make sharing easier with the AddThis Toolbar: http://www.addthis.com/go/toolbar-em

      To stop receiving any emails from AddThis, please visit: http://www.addthis.com/privacy/email-opt-out?e=uvu3aaFhrGugaKB89zb1NIV_pG6qaetlqmvrZ7c


      Todo esto parece muy Grave. Desde ya les agradezco mucho la atención y los felicito por el sitio web.

      Borrar
    3. Otro detalle que llama la atención es que, al hacer click, por ejemplo en compartir en facebook,se abre una ventana, en la cual aparece en la barra de direcciones primero el dominio de addthis y luego el de facebook. Habría que investigar si capturan datos de los usuarios. Es altamente probable... Gracias!

      Borrar
    4. Ahora sí, clarguísimo.
      Lamentablemente este tipo de errores son una constante :(

      Cristian

      Borrar
  6. Marcelo, buena la nota. Me alegra que exista gente como vos, profesionales en el tema, que se toman en serio esto para hacer algo concreto y dejar plasmado el caso en una denuncia formal. Con seguridad que eso servirá.
    Gracias. Raúl

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!