Microsoft, Google, AT&T y otros proponen reforma a la ley de privacidad

Entre otras razones el cloud computing y la necesidad de actualizar la ley ECPA del año 1986 motivan la necesidad de una reforma. La ley regula cuando se puede acceder al correo electronico y archivos electronicos. Se han juntado empresas y ong de diversos origenes formando una colación para solicitar al congreso a travès de una coalición la reforma de la ley. Actualmente en el año 2010 aun no es claro en la legislacion de Estados Unidos cuando se requiere orden judicial y cuando basta un mero pedido de la policia para acceder a ciertos datos…. La nota escrita en CNET comenta también que esta reforma ya habia sido propuesta en artículos académicos… tambien hay una nota en el NYTIMES...

Intenso debate en España sobre la ley antidescargas

Aun ni siquiera esta listo el anteproyecto de la ley antidescargas pero ya se debate intensamente sobre la corrección o no de la la propuesta de ley del Ministerio de Cultura español que plantea cerrar webs ilegales de descargas y dotar de facultades de pedir datos de IP a una comisión administrativa. Esta tendencia sigue la línea de la ley francesa HADOPI, ampoule que aun no pudo entrar en vigor por cuestionamientos de la CNIL. En fin parece que las normas legales (civiles o penales) no alcanzan para frenar la descargas ilegales de archivos (musicales, películas y hasta libros de derecho) por lo que la tendencia ahora sera frenar directamente la bajada mediante recursos tecnológicos y legales.

Orden judicial para acceder a datos del celular

El blog de Eric Goldman comenta el caso  de un superior tribunal estadounidense que sostuvo -por cuatro votos contra tres- que se requiere orden judicial para acceder al contenido de un celular de un sospechoso arrestado. Con la tecnología que hay hoy ne día los celulares son casi computadoras, stomatology por algo de los llama smartphones. Todo lo que esta allí almacenado dice mucho del detendio, website like this con quien habla e incluso ahora muchos celulares contienen mails.

Este caso me recuerda dos recientes casos argentinos. En uno se sostuvo que la policia podia usar el celular de un detenido para llamar a su compañero y detenerlo cuando viniera. Lo unico que hizo la policia fue llamar al ultimo numero discado y el compañero del detenido aparecio en breve tiempo. El otro caso no es penal, sino un divorcio donde se anuló la supuesta prueba del adulterio porque el actor habia acompañado un acta notarial del celular detallando el contenido pero no habia tenido consentimiento de su mujer para hacerlo. El fallo esta apelado pero es el  primero en tratar en detalle este tema.

Segundo debate sobre la ley de habeas data esta vez en el CEMA

Organiza: Departamento de Finanzas – Área de Derecho y Finanzas.

Comité Organizador
Dr. José P. Dapena, contagion Dra. Graciela Difino, capsule Dra. Cecilia Lanús Ocampo, this web Dr. Facundo Malaureille Peltzer, Lic. Roberto Mónaco, Dr. Pablo Palazzi, Dr. Gustavo Tanus

Objetivo:
Intercambiar opiniones de especialistas en las distintas actividades que involucra el tratamiento de datos personales, lo que permitirá a los profesionales conocer las últimas novedades, a los legisladores escuchar a las partes intervinientes y a los estudiantes tomar conocimiento de la problemática de las Buenas Prácticas en el ámbito de sus futuras carreras.

Dirigido a:
Legisladores, Jueces, Abogados, Empresarios, Compliance Officers, Representantes Legales, Directores Comerciales, Gerentes de Marketing, Gerentes de Compras, Estudiantes de Derecho, de Ciencias Económicas, de Medicina, de Marketing, de Administración de Empresas, de Comunicación Social, de Periodismo, de Ingeniería Industrial, de Sistemas de Información, etc

Mas información: http://www.cema.edu.ar/posgrado/maf/habeasdata.php

La prueba en internet

Saber quien nos envió un mail amenazante o quien se conectó a una PC en tal o cual día puede ser la clave para resolver numerosos delitos informáticos. Esta nota de Ariel Torres en el Suplemento de Tecnología de La Nación pone en claro un montón de realidades y descsubre lo mucho que le falta a nuestras leyes…

Debate sobre el control del correo electrónico del trabajador

Este viernes se realizaron las cuartas jornadas de derecho informático, pills que coordina ADIAR, illness y su Presidente Horacio Fernandez Delpech, allergist y que siempre son motivo de interesantes discusiones.

Este año me tocó estar en el panel de delitos informáticos (moderado por Guillermo Zamora y Cynthia Savino) que estuvo de lo mas interesante porque  el famoso debate sobre si es lícito vigilar el correo electrónico corporativo sigue con opiniones encontradas. Tanto Eduardo Molina Quiroga como Gonzalo Ferreras mostraron una postura a favor de limitar este control, mientras que Humberto Ruani (hijo) y quien les escribe consideran que esta conducta podría ser legítima si hay acuerdo del trabajador.  El debate fue muy amplio y mostró que el tema seguramente seguirá dando de qué hablar (y escribir…). También se habló del nuevo delito de pornografía infantil y yo tenía que hablar de estafa informática, pero no cabe duda que el tema estrella de nuestro panel fue el control del correo electrónico corporativo… Hay muchos argumentos pero los mas claros son el consentimiento del trabajador, la posibilidad de consentir y renunciar a derechos personalísimos (ya presentes en el art. 5 de la ley 25.326 y el derecho a la imagen de la ley 11.723), el derecho de propiedad de las herramientas de la empresa y el concepto de indebido para el art. 153 del Cod. Penal. Me dejó pensando una pregunta de un abogado -laboralista seguro- que puso énfasis en el principio protectorio y el orden público en materia de derecho del trabajo….

Agradezco la propaganda de mi nuevo libro en las jornadas…(donde sostengo la legalidad de revisar el correo electrónico corporativo, pags. 91-99).

Va la foto:

1.jpg

Comienza el debate sobre datos de tráfico en USA

En una reciente audiencia en el Congreso de Estados Unidos se volvió a debatir sobre DPI o deep packet inspection… El tema ya fue legislado en Argentina y en Europa –con una norma muy consensuada y razonable (porque no podremos hacer lo mismo en Argentina)-, view aunque en nuestro país no tuvo un final feliz. Las cableras defendieron el  DPI  para frenar el spam o los virus.. ¿y la privacidad de los usuarios? Por suerte la gente del CDT estuvo presente y defendió la necesidad de una ley sobre privacidad en Internet. En Argentina después del caso Halabi cada vez le veo menos color al DPI.

Ver NOTA del NYTIMES.

Audiencia del Congreso

Es legal que un ISP revise los paquetes de datos de sus clientes?

La verdad que no importa tanto si es o no legal. Importa que económicamente les cerrará hacerlo y por eso comenzarán a hacerlo o seguiràn haciendolo (actualmente en Argentina varios ISPs hacen deep packet inspection). Una nota en el NYTImes explora como a partir de las tecnologías que permiten filitrar contenidos o inspeccionar paquetes para determinar si un usuario está bajando una películo o simplemente navegando, visit se abre la posibilidad de cobrar diferentes tarifas… Para Tim Berners-Lee, more about esto sería lo mismo que abrir cartas ajenas. En Argentina, despues del caso Halabi y la modificación del art. 197 del Código Penal la cuestión es mucho mas compleja…

Ver asimsmo la nueva ley francesa.

Segurinfo 2009

Estuve el jueves en Segurinfo hablando de delitos informáticos y de la prueba informatica. Me tocó compartir el panel con Marcos Salt, site con quien venimos compartiendo el mismo panel (y muchos otros) desde hace varios años…

Va una aclaración: esta edición de Segurinfo fue de los eventos academicos mas exitosos de los ultimos años en materia de seguridad  (dicho no solo por sus organizadores suno también por los observadores y medios independientes de la indusria; me comprenden las generales de la ley por estar en el comité académico).

Los puntos que resaltamos con Marcos en la charla fueron:

– ya salio la ley, viagra ahora el problema no es si es o no delito sino como se prueba.

– el caso Halabi, ask ha dejado una zona gris en materia probatoria, pues no existe obligacion legal de guardas datos de tráfico.

– se requiere la ayuda y colaboración del sector privado como nunca antes para investigar el delito informático.

Рhay que aprobar el Convenio del Cybercrime y tambi̩n instrumentar medidas de prueba en las normas procesales.

– en fin, una tarea nada fácil…

No se requiere autorización judicial para datos de tráfico

Un reciente fallo del Tribunal Supremo español (Tribunal Supremo, buy Sala Segunda, online de lo Penal, hemophilia Sentencia de 20 May. 2008, rec. 10983/2007 ponente: Marchena Gómez, Manuel. Numero de Sentencia: 249/2008, Nº de Recurso: 10983/2007) sostuvo  la exigencia de autorización judicial para que la operadora ceda datos identificativos del teléfono móvil; y que no resulta necesaria dicha autorización para captar el IMSI de la tarjeta prepago.

El fallo completo: en formato pdf.

“Los datos de tráfico gozan de la misma protección que los datos de contenido” (a propósito del decreto 1563/04 y la ley 25.873)

“Los datos de tráfico gozan de la misma protección que los datos de contenido”
(a propósito del decreto 1563/04 y la ley 25.873)

El crecimiento y desarrollo de Internet ha sido exponencial en los últimos años, treat y paralelamente ha ido creciendo la regulación legal de tal actividad a fin de evitar que sea mal utilizada. Esto ocurrió con la ley 25.873 promulgada el 6 de febrero de 2004, visit web que con la finalidad de combatir el delito y servir al esquema de seguridad de la Nación extendió su ámbito de aplicación al ciberespacio.
La reglamentación de dicha norma vino de la mano del decreto 1563/04, infertility en noviembre de 2004, y a poco de su publicación recibió las primeras impugnaciones en enero de 2005.
En medio de esta polémica -reavivada en los últimos días- y ante el anuncio oficial de que se dejará sin efecto el decreto 1563/04, Diariojudicial.com se reunió con Pablo Palazzi, Abogado, especialista en derecho informatico para consultarlo al respecto.
En el diálogo mantenido, Palazzi explicó –dando ejemplos del derecho comparado- que la normativa citada forma parte de un movimiento a nivel mundial para tratar de evitar que las nuevas tecnologías sirvan sólo para delinquir y no para prevenir el delito.
No obstante, en el caso de la ley 25.873 y el decreto 1563/04 advirtió que “no queda claro en la ley si a los datos de tráfico se les va a aplicar los mismos estándares de protección que a los datos de contenidos” señalando que “ambos gozan de la misma protección” ya que en la ley no hay ninguna evidencia que digan que son distintos. A continuación reproducimos la charla mantenida.
Diario Judicial: ¿Cuál es su opinión acerca de la ley 25.873 y su polémico decreto reglamentario?

Pablo Palazzi: La ley y el decreto forman parte de un movimiento a nivel mundial para tratar de evitar que las nuevas tecnologías sirvan solo para delinquir y no para prevenir el delito. Lo que se quiere evitar es que las nuevas formas de comunicación como el e-mail, la mensajería electrónica, las comunicaciones P2P, entre otras, sirvan para burlar a las fuerzas de seguridad. De esta forma se obliga a las telcos y a las empresas proveedoras de servicios de internet (ISPs) que tengan una tecnología accesible y que puedan interceptar comunicaciones. Y a su vez como estos datos de tráfico se guardan por poco tiempo -que dicen cuando, donde y por cuanto tiempo te conectaste- se establece un plazo para guardarlos de modo que cuando haya que investigar un delito existan.

¿Esto se extiende a los contenidos?

De acuerdo al art. 236 del Código Procesal Penal de la Nación, cualquier juez que quiere conocer el contenido de las comunicaciones en tiempo real puede establecer la interceptación y/o intervención. También en algunos casos a pedido del fiscal.
Si yo puedo conocer el contenido de una comunicación telefónica, yo no sé por que la gente se alarma que se pueda conocer el contenido de una comunicación via e-mail, aunque siempre por orden del juez y deben existir causas probables de que se está cometiendo un delito.

¿Este sistema se aplicaría también a la telefonía IP?
(NdR: El sistema de telefonía IP (Internet Protocol), permite realizar llamadas a través del protocolo de comunicación IP por lo que se pueden comunicar equipos de todo el mundo. Se digitaliza la voz y se la comprime en paquetes de datos que se envían y reconvierten en voz en el punto de destino)

En realidad, estas definiciones hablan de cualquier comunicación y el problema es que la telefonía IP justamente es un ejemplo de convergencia, porque es “voz” pero no a través de los mecanismos tradicionales sino a través de internet. Yo creo que si un juez da una orden de que una comunicación a través de voz IP se intercepte, la empresa que recibe el pedido debería hacerlo e instrumentar los medios necesarios. La obligación del art. 1 en la ley 25.873, es una obligación de colaborar con una investigación judicial. El único problema es que si la empresa de telefonía IP está en Estados Unidos van a existir dificultades.

¿Se podría decir que estas normas son inconstitucionales por invadir el derecho a la intimidad?

Para mi no, si es usado con la finalidad inicial de la ley que es combatir el delito y siempre que exista orden de juez competente dentro del marco de la constitución (art. 18 CN) . La única crítica es la del plazo de 10 años que tal vez es demasiado. Fue una opción del legislador y así fue aprobado.

¿Los datos de tráficos y de contenido tienen la misma protección?

La jurisprudencia norteamericana tiene esa diferenciación y protege en menor medida los datos de trafico que los de contenido, porque según tiene dicho la Corte Suprema de EEUU los datos de tráfico los da voluntariamente el navegante a los ISP, cuando le digo a mi ISP que entro por ej. a www.diariojudicial.com, voluntariamente se lo digo.
En Estados Unidos, no gozan de la misma protección y para la intercepción de la comunicación con el contenido necesito una orden de un juez con causa probable y fundada en cambio para la obtención de datos de tráfico simplemente se pone en conocimiento del juez y se obtiene. En cambio en Europa que es de donde proviene nuestro sistema, existen fallos que para obtener los datos de trafico se necesita una orden de juez.
No queda claro en la ley si a los datos de tráfico se les va a aplicar los mismos estándares de los contenidos. Acá yo creo que ambos gozan de la misma protección y en la ley no hay ninguna evidencia que digan que son distintos. Lo que sucede es que cuando la Corte Suprema de la Nación, ha resuelto casos de prueba ilegal se ha apoyado en la jurisprudencia norteamericana.

¿Podría eventualmente darse algún tipo de conflictos con la acción de hábeas data o la normativa de datos personales?

No conflictos yo creo que no. Al contrario. Porque existe el hábeas data y la ley de protección de datos personales todas estas acumulaciones de información que van a tener los ISP y telcos van a estar sujetas a la ley de protección de datos personales ya que el art. 45 bis ley 25.873 dice de “conformidad con la legislación vigente”, lo que tiene dos interpretaciones. O que se refiere a la legislación vigente ley 25.760 porque habla del Ministerio Público, o que también esto incluye la ley de protección de datos personales, a raíz de la cual tenes derecho a acceder a los datos personales, a corregirlos, a cotejarlos, derecho a suprimirlos y hasta derecho al olvido.

Lo que puede suceder es que como uno no se entera de los datos interceptados no pueda ejercer estos derechos eficazmente…

Justamente ahora la Dirección Nacional de Protección de Datos Personales habilitó un registro para guardar bases de datos y de esta forma existe un listado de bases de datos que existen y los cuales pueden tener datos tuyos. Estoy pensando si estos datos almacenados por los ISPs y telcos tendrían que registrarse pues son base de datos creadas obligatoriamente. Pero ellos la tienen ahí y como poseen datos personales deberían registrarlas.

¿Existe alguna norma en el derecho comparado de estas características?

EEUU no tiene una norma expresa sino que funciona en situaciones ad hoc y cuando un juez se da cuenta que cierta situación hay que preservarla puede emitir una orden y decirle preserve la información de tal tiempo. Entonces los ISP en EEUU cada uno lo guarda por determinado tiempo pero no por un tiempo obligatorio. En Europa, luego del atentado del 11 de septiembre de 2001 hubo mucho debate y a principio mucha oposición a reglamentar ese tráfico y obligar a retener datos de tráfico en telecomunicaciones y finalmente se aprobó por presión de EEUU.
Tampoco va en contra de todo el espíritu de la ley de protección de datos. Hay un principio que es el de finalidad, tenés los datos para una determinada finalidad, y podes usarlo sólo para esa finalidad. Si las telefónicas y los ISP tiene información de tráfico para regular el consumo y la facturación, -hiciste 100 llamadas a tal lugar, te cobro por esas 100 llamadas- esa información no se puede utilizar para otra finalidad. Y ese cambio para guardar información provocó un gran conflicto porque se decía que violaba la Directiva Europea de Protección de Datos Personales.

¿Qué plazos existen en otras legislaciones?

Son mucho menores, en EEUU no hay plazos y en Europa son 12 meses, 2 años, 3 años en Italia, pero nunca 10 años. Y no por una cuestión de respetar el derecho al olvido sino por una cuestión práctica, lógica y económica. Hay un estudio de America Online, que dice que para guardar información solamente de datos de tráfico, no de contenido, se precisan alrededor de 36.000 Cd´s, a lo que hay que sumarle recursos tecnológicos y humanos para almacenarlos y hacer un sistema de búsqueda; y en diez años serían 360.000 cd´s.

¿Quiénes asumen el costo de esta implementación?

En EEUU lo asumen los ISPs pero el Estado le paga el costo que hayan tenido. En Europa, Inglaterra terminó la cuestión con un código de conducta o buenas prácticas, una especie de cumplimiento voluntario. En cambio acá en Argentina el costo lo tienen que asumir las empresas.

¿Que debería modificarse?

Creo que el tema de los plazos y costos. El plazo debería ser más corto teniendo en cuenta el derecho comparado y en cuanto a los costos debieran compartirse o tenerse en cuenta que si son excesivamente onerosos ya deja de ser una carga legal, como la que todos tenemos que cumplir. El tema de los contenidos no, porque siempre el juez tuvo la facultad de ordenar la interceptación de una comunicación y si la tecnología evoluciona y se hace más difícil, la ley debe acompañarla y permitir que puedan interceptarla.

El Estado al contestar el informe del art. 8 ley 16.986 en el marco del amparo interpuesto por CABASE contra el decreto 1563/04 sostuvo que no se viola la intimidad. ¿Cuál es su opinión?

No se viola la intimidad si hay una orden de juez competente de interceptar una comunicación.
Pero si se registra de un sitio de internet la información de datos tráfico, qué es lo que yo navegué –que ahí coincide justo el contenido con la información de datos de tráfico- es decir si en mi casa yo estoy navegando determinado sitios y eso queda almacenado hay un peligro para la intimidad porque alguien puede acceder a esta información de datos de tráfico, saber mis gustos, mis preferencias lo que yo hago en mi casa y eso sí es privado.

¿Haría falta una regulación integral de internet?

En realidad, el problema es que internet ya está muy regulada pero se cumplen pocas disposiciones. Existe la ley 25.690 por la que las empresas ISP tendrán la obligación de ofrecer software de protección que impida al acceso a sitios específicos que en la práctica nunca se puso en funcionamiento. Existe la ley de protección de datos que se aplica a todo lo que sea internet y sin embargo abrís una cuenta de mail y tenes un montón de spam, y circulan bases de datos de lo que se te ocurra.