10 oct 2014

Bloqueo de sitios ilegales que violan leyes de protección de datos personales #Globinfo

Por Pablo Palazzi - @pablopalazzi

Hace unos meses se dio a conocer la noticia que en Colombia la agencia de protección de datos de ese país había bloqueado un sitio de internet. La decisión completa se puede leer aquí (Orden de Bloqueo – Datajurídica [PDF]), y además en existe un press release que explica en que consistió el fundamento de la orden de bloqueo.

Asimismo en Perú se plantearon dos casos respecto de un sitio de Internet con el nombre de DatosPeru.org que incluía resoluciones tomadas del boletín oficial y que no anonimizaba los datos de personas, que se veían afectadas por la difusión de cierta información en forma inexacta.

Por otra parte, hace unos años en la Argentina la agencia de datos personales también mandó cerrar el sitio Globinfo [PDF], que, entre otras cosas, vendía informes comerciales pero también datos de vecinos, etc. En este caso fue primero la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires quien pidió a la DNPDP que investigara a Globinfo. Luego la DNPDP tomó intervención e inició un extenso sumario, generado por multitud de quejas de diversas personas, que culminó cuando la DNPDP dio de baja el dominio .com.ar de Globinfo. La agencia argentina también está investigando a otras empresas que usan private whois y ocultan la titularidad de datos. La investigación incluye a varios sitios de Internet que misteriosamente incluyen datos de la AFIP o datos de automotores, información que no es fácilmente obtenible de registros públicos.

Esta nota comenta los casos en las tres jurisdicciones e intenta sacar conclusiones sobre los tres casos.

Los tres casos tenían en común varias cosas. Los datos en todos los caos eran obtenidos de fuente pública. El tratamiento de datos por parte de estas empresas localizadas únicamente en Internet sin local a la calle, ocultaba su identidad y no efectuaban tratamientos transparentes, negando el derecho de acceso del titular del dato personales e imposibilitando el control del regulador en materia de datos personales.

Es un gran desafío para el novedoso desarrollo de la protección de los datos personales en América Latina.

El caso Globinfo en la Argentina

En el caso "Globinfo" (Disp. DNPDP 5/2009 de abril de 2009) la DNPDP sancionó a la empresa Open Discovery SA, titular de la página www.globinfo.com.ar, con una multa de 50.000 pesos y le ordenó clausurar sus bases de datos hasta que demuestre que el Informe Globinfo cumple con los extremos de la ley 25.326. Globinfo apeló esta decisión al fuero contencioso administrativo federal intentando revertir el acto administrativo, pero su demanda carece de asidero legal alguno. Actualmente la justicia está analizando la revisión del acto administrativo. Esperamos que la sanción sea confirmada porque sería un duro golpe a las facultades de la agencia argentina de protección de datos privar de autoridad en la materia de un sano criterio de aplicación de la ley 25.326.

La DNPDP había recibido muchas quejas de usuarios contra el sitio Globinfo por falta de acceso o respuestas a pedidos de acceso bajo la ley de habeas data (ver Disp. del 15 de octubre de 2008 o del 22 de abril de 2009 DOC1 DOC2). Las quejas de la gente hicieron que este sitio Globinfo creara un sitio paralelo idéntico llamado Dateas.com, que contenía la misma información y era administrado por las mismas personas.

Entre otras cosas la decisión de la DNPDP establece importantes principios a saber:
  • El hecho de que la denunciada haya registrado sus bases de datos no significa que luego no pueda incurrir en conductas contrarias a la ley de protección de datos personales; dicho de otro modo, el registro y su aprobación no sanean nada y el control que en el momento del registro hace la DNPDP es meramente formal. El deber de inscripción es condiciones necesaria para la licitud del tratamiento de datos personales pero no condición única ya que el responsable de la base de datos debe cumplir con el resto de la normativa de la ley 25.326.
  • La DNPDP cuestionó el exceso de información contenido en los informes vendidos por Globinfo. En efecto, se señaló que en los informes comerciales vendidos había datos de carácter patrimonial y otros que no compartían esa naturaleza, como datos identificatorios de vecindad y parentesco, entre otros.
  • Se recuerda que el art. 26.1 de la ley 25.326 que dispone: “En la prestación de servicios de información crediticia sólo pueden tratarse datos personales de carácter patrimonial relativos a la solvencia económica y al crédito, obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el interesado o con su consentimiento”.
  • La DNPDP concluye que no corresponde admitir en los informes crediticios información que no sea patrimonial, con excepción de aquella que sea netamente identificatoria, a fin de no faltar al principio de calidad del dato (art. 4 ley 25.326) que dispone “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”.
  • – La empresa no cumple con ese principio en tanto no distingue entre los intereses de los cesionarios y brinda la totalidad de la información recabada. A modo de ejemplo, para el caso de obtención de informes comerciales, los datos excesivos y no pertinentes son todos aquellos que exceden la situación económica y financiera de su titular, como ser los datos de parientes y vecinos.

El caso DatosPeru.org

En el caso DatosPeru.org, la agencia de protección de datos estableció su primer sanción al sitio que publicaba resoluciones del Boletin Oficial, conocido como El Peruano. La sanción tuvo amplia repercusión en la prensa de Perú.

Los dos casos involucraban a un policía dado de baja que recuperó su trabajo y un funcionario municipal fue restituido en su cargo tras ser sancionado. En ambos casos las resoluciones se publicaron en el diario oficial peruano y el sitio de Internet cuestionado las tomó del mencionado boletín y las republicó haciendo que se puedan encontrar por el buscador Google.

En ambos casos se iniciaron reclamos y estos fueron admitidos por dos decisiones de la Autoridad peruana de Protección de Datos Personales que atendió los reclamos contra el sitio de internet datosperu.org y lo multó con 60 UITs (S/228 mil / US$ 78,6 mil) por difundir información no pública y desactualizada en la web.

Las resoluciones ministeriales llevan el número 074-2014-JUS/DGPDP y 075-2014-JUS/DGPDP respectivamente, y fueron publicadas el 30 de octubre de 20154 en el boletín oficial de Perú.

Según informo la prensa peruana, en el primer caso se reclamó que DatosPeru.org publicó una resolución del año 2002 del Ministerio del Interior de Perú en el que se impugna judicialmente su ascenso y daba de baja. Dicha resolución quedó sin efecto meses después a través de otra resolución, también del Ministerio del Interior. Este último documento no figuraba en Internet cuando se hacía la búsqueda, pues solo aparecía el primer.

La resolución sancionatoria concluye que el sitio de Internet investigado cometió las siguientes infracciones
publicó estos datos sin autorización de la persona perjudicada,
no consignó la versión actualizada de los mismos.

La primera decisión ordenó al sitio de internet retirar la información relacionada al reclamante y sancionarlo con 30 UIT por infracciones “graves”.

En el segundo causo, la autoridad peruana protectora de datos también le dio la razón al reclamante quien encontró en datosperu.org una resolución de alcaldía de una Municipalidad del Perú que databa del año 1999 mediante la cual se le destituyó del área de Tesorería de dicho municipio. El reclamante sin embargo demostró que dicha resolución quedó cuatro años después tras la intervención de la Corte Suprema.

Las infracciones cometidas en este caso son las mismas que en el caso anterior. En ambos casos se indicó como uno de los agravantes que datosperu.org lucra con los datos que publica en su sitio de internet ya que ha colocado publicidad a través del sistema AdSense de Google. En este caso también se le impuso una multa de 30 UITs.

El caso es interesante pues el regulador peruano intentó localizar al titular del sitio web pero nunca logró dar con algún titular pues la dirección que consigna públicamente no le pertenece. Además, se verificó que los supuestos titulares según el whois del dominio no eran verdaderos. La publicación de la sanción en el diario oficial El Peruano busca notificar de manera pública al responsable de la página ya que fue imposible dar con él o ellos a través de los canales regulares. Es claro entonces que el sitio hacia tratamiento de datos personales sin la debida transparencia.

El caso Datajurídica en Colombia

En el caso colombiano, la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC), mediante Resolución No. 42.412 de 2014, ordenó a la sociedad IFX NETWORKS COLOMBIA S.A.S. que provee el servicio de hosting o alojamiento, que bloquee el portal www.datajuridica.com por publicar información personal incompleta, desactualizada y fuera de contexto sobre procesos judiciales en los que los reclamantes han sido parte, y por no proveer mecanismos que les permitan corregir, actualizar o eliminar la información errada.

La decisión administrativa se adoptó como consecuencia de advertir que los ciudadanos (titulares de información personal) al ingresar sus datos personales en los motores de búsqueda, encontraron que el portal www.datajurídica.com publica sus nombres junto con la leyenda “CON PROCESOS CON LA JUSTICIA” y condiciona el acceso a la información al previo pago de una suma de dinero. Pagado el dinero, en muchos casos el usuario advierte que se trata de una información desactualizada relacionada con procesos judiciales, de naturaleza civil o comercial, terminados hace varios años.

Para proferir la Resolución que ordenó el bloqueo temporal del portal, la Superindustria tuvo en cuenta, treinta y cinco (35) expedientes en los que los titulares coinciden en denunciar que (i) el portal publica información desactualizada de procesos judiciales y (ii) no cuenta con procedimientos que les permitan ejercitar su derecho de hábeas data.

En la decisión, la SIC recuerda que, según lo dispuesto por el literal d) del artículo 4 de la Ley 1581 de 2012, la información sujeta a tratamiento, incluyendo los datos personales de naturaleza pública, debe ser veraz, completa, exacta y actualizada. Adicionalmente, hace énfasis en la prohibición expresa consagrada por la norma de hacer tratamiento de datos personales que induzcan a error.

La Superindustria ordenó el bloqueo temporal de la página web www.datajuridica.com hasta tanto el responsable del tratamiento de datos acredite ante la SIC, que la información cumple con el principio de veracidad y calidad y que se han implementado las medidas tendientes a garantizar el ejercicio efectivo del derecho de habeas data.

Conclusiones

Existen en la Argentina infinidad de sitios como CUITONLINE, Buscardatos, DATACUIT, buscar-cuit, DATEAS, que tienen numerosos datos de personas. Uno se pregunta de dónde sacan estos datos esas empresas, que en algunos casos incluye el padrón completo del registro automotor. Además muchos de estos sitios funcionan con un whois privado, con lo cual no es posible saber quien es el dueño del sitio, como tampoco es posible conocer la empresa que opera estos datos, donde los aloja, y si están registrados en la DNPDP. Va contra la transparencia que genera la creación del registro de banco de datos personales de la DNPDP.

Por supuesto no son lo mismo sitios ilegales que operan en la clandestinidad como algunos de los mencionados en esta nota, que los típicos intermediarios de Internet como Facebook, Yahoo, Twitter, etc. que tienen una clara política de privacidad y donde la gente entra con consentimiento.

Estos remedios, como son drásticos, deberían estar reservados solo a sitios que claramente están en la ilegalidad y operan de manera clandestina sin registrarse como es debido ni transparentar al responsable del tratamiento, ni responder los pedidos de acceso y rectificación.

Fuente: Protección de Datos

Suscríbete a nuestro Boletín

1 comentario:

  1. Estos de globinfo son unos ladrones, les pague un informe comercial y nunca me lo mandaron, y no tienen forma de contactarlos fisicamente. son impunes.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!