Datos Personales para Todos
"Las empresas podrán comercializar datos personales sin pedir permiso" aunque parezca mentira es cierto, en un fallo reciente la Asociación Española de Protección de Datos (AEPD) debió retroceder en su batalla frente a un grupo de empresas que realizaban un uso inadecuado, o en su defecto, no alineado a la legislación vigente en España. El fallo incluso indica la necesidad de analizar una serie de puntos de la Ley Orgánica de Protección de Datos (LOPD). Un tema muy interesante y que se está presentando a diario en distintas partes del mundo, pero no es el punto que pretende comentar este post, dado que hay muchos abogados que lo harían mejor. Lo que resulte interesante desde la óptica de un argentino, como es mi caso, es ver como hay un organismo de control que realiza su trabajo y es la justicia en todo caso quien finalmente dictamina. Resulta llamativo que un organismo de control, controle, ¿no? Repito, esto desde una visión argentina de los organismos de control, que generalmente están bastante ausentes. Y si hay que hablar de ausencias...¿alguien sabe algo de la Dirección Nacional de Protección de Datos Personales? Ahh, creo que la web era http://www.jus.gob.ar/datos-personales.aspx y entre otras cosas incluye la Ley 25326, algunas disposiciones como la N° 11/2006 en la que se describen los distintos tipos de datos personales, en base a su criticidad y las medidas de seguridad que deben implementarse. Si, cuando de Datos Personales se trata, hay que implementar medidas de seguridad y obviamente algunos otros requerimientos legales para que su tratamiento se encuentre dentro del marco legal.
Veamos algunos ejemplos para que se pueda clarificar cuando se debería cumplir la legislación vigente... si le viene a la mente el Formulario de Renuncia Voluntaria a los Subsidios, no es el mejor ejemplo para tratar de identificar las medidas que debería cumplir un portal o sitio web que opere con Datos de Carácter Personal... pero bueno... se les pasó. Vayamos a un caso más actual... ese que está relacionado con las filas de personas que se ven en las principales calles de la ciudad y municipios... adivinó: Tarjeta SUBE. Si se intenta buscar al "Responsable de la Base de Datos", sólo se encuentra la siguiente información (y hace poco que está así, antes no había nada):
Por otro lado, es bueno aclarar que para nuestra legislación existen 2 clases de datos:
Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Si se tienen en cuenta los datos que figuran en la tarjeta, no serían datos de carácter personal, pero lo que complica la situación es que se soliciten datos personales para su asignación. Nadie ha demostrado que los datos solicitados realmente son necesarios, incluso no se ha definido su "finalidad" al momento de registrar la base (que ha sido posterior a la puesta en producción de la tarjeta) y por otro lado podríamos suponer que la Disposición N°11/2006 podría no estar cumpliéndose si tenemos presente la aparente filtración de itinerarios de viajes que se publicó recientemente. Pero bueno, la idea del post no es hacer leña del árbol caído, dado que debe haber poca gente que siga creyendo en la adhesión del Sistema Único de Boleto Electrónico (SUBE) al marco legal vigente.
Si tenemos presente como iniciamos el post, todos estarán esperando la incansable gestión de la Dirección Nacional de Protección de Datos Personales (DNPDP), así como la AEPD lo hace en España, dado que nuestra legislación se basa enteramente en su par española, pero bueno...sigamos esperando. Lo único que se pudo saber de la DNPD es el dictamen n° 13 del año 2009 en el cual se indican los requerimientos que debe cumplir SUBE en el marco de la legislación vigente y se concluye de que de acuerdo a lo evaluado, todo está en orden ;)
NOTA: En el dictamen no se menciona la utilización en subterráneos...
Lamentablemente es la última información que se conoce de la Dirección Nacional de Protección de Datos Personales, dado que no se realizó ninguna auditoría ni evaluación desde aquel momento, y si se hizo no se ha publicado. Tampoco se ha realizado algún tipo de comunicación en relación al impacto que ha tenido el tema en la opinión pública, algo que hubiera sido muy afortunado.
Pero para no parecer empecinado con Tarjeta SUBE, hace poco ARBA lanzó un plan para beneficiar al contribuyente cumplidor, una excelente idea!! El beneficio consiste en la descarga legal de música, desde un sitio especial llamado "Arba Tracks". Lo que no resulta feliz es que el sitio, correspondiente a Sony Music (registrado correctamente), en su Política de Privacidad indica entre otras cosas llamativas, lo siguiente:
Los datos son recopilados a los fines de conocer a quienes visitan el sitio, brindarles información respecto de los servicios que allí se ofrecen y anunciar fechas de lanzamiento, promociones, estrenos de canciones, videos, concursos, etc.
Fuente: Mariano del Rio - SecureTech - @mmdelrio
Veamos algunos ejemplos para que se pueda clarificar cuando se debería cumplir la legislación vigente... si le viene a la mente el Formulario de Renuncia Voluntaria a los Subsidios, no es el mejor ejemplo para tratar de identificar las medidas que debería cumplir un portal o sitio web que opere con Datos de Carácter Personal... pero bueno... se les pasó. Vayamos a un caso más actual... ese que está relacionado con las filas de personas que se ven en las principales calles de la ciudad y municipios... adivinó: Tarjeta SUBE. Si se intenta buscar al "Responsable de la Base de Datos", sólo se encuentra la siguiente información (y hace poco que está así, antes no había nada):
Consulta: Responsable de la Base de DatosSin ser abogado, creo que el registro actual no cumple el Art 6 de la Ley 25326, donde se establece la obligatoriedad de establecer en forma clara la "Finalidad" de los datos solicitados.
Finalidades Principales
(cri..cri..cri..cri)
Responsable de Acceso
Nación Servicios S.A.
Teléfono 45102000
Domicilio
Adolfo Alsina Nº 665 Piso 1
CABA
Ciudad de Buenos Aires
Por otro lado, es bueno aclarar que para nuestra legislación existen 2 clases de datos:
Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Si se tienen en cuenta los datos que figuran en la tarjeta, no serían datos de carácter personal, pero lo que complica la situación es que se soliciten datos personales para su asignación. Nadie ha demostrado que los datos solicitados realmente son necesarios, incluso no se ha definido su "finalidad" al momento de registrar la base (que ha sido posterior a la puesta en producción de la tarjeta) y por otro lado podríamos suponer que la Disposición N°11/2006 podría no estar cumpliéndose si tenemos presente la aparente filtración de itinerarios de viajes que se publicó recientemente. Pero bueno, la idea del post no es hacer leña del árbol caído, dado que debe haber poca gente que siga creyendo en la adhesión del Sistema Único de Boleto Electrónico (SUBE) al marco legal vigente.
Si tenemos presente como iniciamos el post, todos estarán esperando la incansable gestión de la Dirección Nacional de Protección de Datos Personales (DNPDP), así como la AEPD lo hace en España, dado que nuestra legislación se basa enteramente en su par española, pero bueno...sigamos esperando. Lo único que se pudo saber de la DNPD es el dictamen n° 13 del año 2009 en el cual se indican los requerimientos que debe cumplir SUBE en el marco de la legislación vigente y se concluye de que de acuerdo a lo evaluado, todo está en orden ;)
NOTA: En el dictamen no se menciona la utilización en subterráneos...
Lamentablemente es la última información que se conoce de la Dirección Nacional de Protección de Datos Personales, dado que no se realizó ninguna auditoría ni evaluación desde aquel momento, y si se hizo no se ha publicado. Tampoco se ha realizado algún tipo de comunicación en relación al impacto que ha tenido el tema en la opinión pública, algo que hubiera sido muy afortunado.
Pero para no parecer empecinado con Tarjeta SUBE, hace poco ARBA lanzó un plan para beneficiar al contribuyente cumplidor, una excelente idea!! El beneficio consiste en la descarga legal de música, desde un sitio especial llamado "Arba Tracks". Lo que no resulta feliz es que el sitio, correspondiente a Sony Music (registrado correctamente), en su Política de Privacidad indica entre otras cosas llamativas, lo siguiente:
La información que Sony Music Entertainment recoge puede ser transferida a, y guardada en, un destino fuera de la República Argentina, por ejemplo si alguno de nuestros servidores son relocalizados fuera de la Argentina o si uno de nuestros proveedores de servicio son alocados en un país distinto a la Argentina, o si compartimos su información (de acuerdo con la sección posterior “CON QUIEN COMPARTIMOS SU INFORMACION). Los países donde se transfiera la información y/o los datos personales contarán con los niveles de protección adecuados para la protección de la información y de los datos en cuestión.- Sin perjuicio de ello Sony Music Entertainment tomará todos los recaudos necesarios para asegurar que su información sea solamente transferida legalmente fuera de la República Argentina y utilizada de acuerdo con esta política de confidencialidad.¿Podríamos estar ante un caso de transferencia internacional de Datos de Carácter Personal? Lo que resulta más llamativo es que sea el propio Estado quien realiza este tipo de acuerdos, que podrían no cumplir la legislación vigente o en principio gozan de una desprolijidad preocupante.
Los datos son recopilados a los fines de conocer a quienes visitan el sitio, brindarles información respecto de los servicios que allí se ofrecen y anunciar fechas de lanzamiento, promociones, estrenos de canciones, videos, concursos, etc.
Responsable de AccesoEn definitiva parece que los argentinos lo mejor que podríamos hacer es solicitar un viaje de intercambio cultural entre la AEPD y la DNPDP... al menos unos meses.
Pablo M. Scherer
Teléfono 5218-2200
Email [email protected]
Domicilio
José A. Cabrera Nº 6027
(C1414BHM) C.A.B.A.
Ciudad de Buenos Aires
Fuente: Mariano del Rio - SecureTech - @mmdelrio
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!