Protección de Datos y Privacidad

El pasado 22 de Julio, la Corte Europea de los Derechos Humanos decidió sancionar con una multa al gobierno de Finlandia por no haber protegido y resguardado la confidencialidad médica de los pacientes en contra del acceso no autorizado. La decisión, que fue basada en gran medida en el artículo 8º. del Convenio Europeo para la Protección de los Derechos Humanos y las Libertades Fundamentales señala que: “la confidencialidad de los antecedentes médicos es un componente vital de la esfera privada y se encuentra expresamente vinculando a la seguridad de los datos y los derechos humanos” y que “es irrazonable esperar que el solicitante demostrará que el récord de la información fuera mal utilizado”. Esta resolución asentará un precedente importante, sobre todo para aquellos países que ya ratificaron dicho Convenio.
Ver más en E-Health Europe.

Después de haber revisado la declaración final, el chair’s summary los documentos de la reunión Ministerial en Seúl sobre el Futuro de la Economía Internet, considero que los resultados de la reunión fueron positivos por las siguientes razones:

En primera, se dio un consenso entre los gobiernos y los Ministros de la OCDE en trabajar y colaborar más de cerca con la comunidad técnica y la sociedad civil con el fin de proteger a los consumidores e incrementar el acceso y la penetración del Internet en sus países; y sobre todo, fomentar la cooperación internacional en la lucha en contra de la nuevas amenazas del cibercrimen.

Segunda, se hizo un llamado a formalizar la participación de la sociedad civil dentro de la OCDE y a revisar el progreso de la Declaración Ministerial en un período máximo de 3 años.
Considero que el primer punto fue un gran logro, puesto que la OCDE había sido una de las organizaciones más herméticas en cuanto a la participación de grupos de la sociedad civil, sin embargo hace todavía falta que la OCDE sea más abierta y receptiva de los representantes del sector académico y de las organizaciones civiles de los países con menor grado de desarrollo dentro de ese organismo.

Ahora bien, corresponde a los gobiernos implementar a nivel local las recomendaciones de políticas sobre el futuro de la economía Internet que contiene la declaración de Seúl. Considero que este punto será el más difícil, puesto que en muchos países, incluyendo México, existe todavía cierta resistencia de funcionarios de gobierno de colaborar y someter un determinado aspecto de política a consulta a los representantes de la sociedad civil, sin embargo esto irá cambiando gradualmente y es importante que la propia sociedad civil y el sector académico empiecen a desarrollar y a fomentar una cultura de colaboración más estrecha con los gobiernos locales y el poder legislativo para crear y mejorar las políticas públicas que repercutirán a los usuarios del Internet en los próximos años.

El día de ayer concluyo la conferencia Ministerial de la OCDE el futuro de la economía Internet. Como resultado de los distintos stakeholder forums, mesas de trabajo y la sesiones ministeriales durante los 3 días que duro la conferencia; los 30 países miembros (incluyendo el gobierno Mexicano), algunos países observadores y los Ministros de la OCDE acordaron y endorsaron los siguientes documentos:

1. The Seoul Declaration for the Future of the Internet Economy

2. Chair’s Summary

3. Shaping policies for the future of the Internet Economy and Annexes

Entre algunos puntos medulares que la Declaración de Seúl de la OCDE se señalan lo siguientes: “trabajaremos con el sector privado, la sociedad civil y la comunidad Internet para asegurar las redes de TIC que sostienen la Economía Internet, así como tomar las medidas necesarias para proteger a los usuarios de la Economía Internet, incluyendo la cooperación transfronteriza necesaria”[Segundo Párrafo].

“Revisar dentro de los tres años de su adopción, y subsecuentemente como sea oportuno, el progreso logrado en los niveles nacional e internacional a la luz de esta declaración [Párrafo Noveno, Décimo segundo punto].

La coalición denominada “The Public Voice” en donde participan un gran número de organizaciones de consumidores, académicos y representantes de organizaciones no gubernamentales de algunos países, recientemente publicó bajo el apoyo de la OCDE un paper titulado: “Fueling Creativity, Ensuring Consumer and Privacy Protection, Building Confidence and Benefiting from Convergence” .

Vale la pena destacar que el documento contiene algunas secciones interesantes en donde los participantes plasmaron sus ideas, propuestas y recomendaciones para la Conferencia Ministerial de la OCDE. Este documento será distribuido previo al inicio y durante la Conferencia Ministerial que comienza este martes en Seúl, Corea.

Asimismo, la sociedad civil acaba de emitir un declaración para la Conferencia Ministerial titulada: “The Seoul Declaration” que reúne una serie de recomendaciones basadas en el paper y en los resultados del foro que tuvo lugar hoy en el hotel Coex en Seúl.
Vale la pena destacar que la declaración contiene algunas secciones de gran interés en áreas tales como la protección al consumidor, protección de la privacidad y transparencia, libertad de expresión, gobernanza del Internet entre otros temas. A continuación me permito traducir al español algunas de las secciones que contiene la declaración:

“*Protección de la Privacidad y Transparencia. Reafirmamos nuestro apoyo a los Lineamientos sobre Privacidad de la OCDE como un instrumento fundamental de política que establece los requisitos mínimos para el flujo transfronterizo de datos personales. Recomendamos la adopción de lineamientos de política reciente en materia de RFID y Robo de Identidad en Línea en forma de recomendaciones del Consejo. Hacemos un llamado a los países de la OCDE a adoptar y hacer cumplir las leyes de protección de datos en todos los sectores, tanto en Internet como fuera de él y a establecer normas que se puedan hacer cumplir lícitamente. Además, exhortamos a los estados miembros a asegurar imparcialidad, transparencia y responsabilidad para todo el procesamiento de datos para seguridad de las fronteras, identificación y toma de decisiones concerniente a los individuos.

* Gobernanza del Internet. Las estructuras de Gobernanza del Internet deben reflejar los valores democráticos, ser transparentes y públicamente responsables hacia los usuarios. La creación de políticas para el Internet Global deberá involucrar la participación equilibrada de toda las personas, países y partícipes. Instamos a los estados miembros de la OCDE a que apoyen el Foro de Gobernanza del Internet y fomentar el proceso multi-participativo de la Cumbre Mundial para la Sociedad de la Información.”

El próximo 17 y 18 de Junio se llevará a cabo la Conferencia Ministerial de la Organización para la Cooperación y el Desarrollo Económico (OCDE) en la ciudad de Seúl, Corea en donde los Ministros de los 30 países miembros incluyendo México, analizarán temas y políticas públicas de gran importancia relacionados con el futuro de la economía Internet, en áreas tales como la convergencia, acceso al conocimiento, libertad de expresión y de la información, protección al consumidor, privacidad y protección de datos, seguridad, entre otros temas que están impactando a la sociedad de la información y otros sectores que cada día se están conectando al Internet.

El 16 de Junio, precisamente un día antes de la conferencia Ministerial, se llevarán a cabo foros no-gubernamentales en forma paralela, en donde el sector empresarial, la sociedad civil y la comunidad técnica tendrán la oportunidad de presentar sus perspectivas y preocupaciones sobre aspectos de políticas públicas con miras al desarrollo futuro de la economía Internet. Estos foros tendrán lugar entre las 9:30 y 18:00 hrs. de Seúl (11:30 P.M. y 8:00 A.M., tiempo de México) desafortunadamente no habrá transmisión en vivo de estos foros. Uno de los foros en donde se espera mayor participación es el de la sociedad civil que ha venido trabajando organizadamente desde hace algún tiempo, a través de listas de correo electrónico, wikis y llamadas a través de skype. Los trabajos de este grupo se plasmaron en un documento final que se distribuirá previa a la celebración de la conferencia Ministerial.
La agenda del foro sobre la sociedad civil que organiza The Public Voice Coalition y que coordina el Electronic Privacy Information Centre (EPIC) ya se encuentra disponible en el siguiente vínculo.

Durante la Conferencia Ministerial habrá participación de representantes de los gobiernos miembros y de los líderes y representantes de cada uno de los sectores en donde tendrán la oportunidad de enviar un mensaje a los Ministros acerca de los resultados de sus foros y sus perspectivas futuras en los distintas temas que analizaron. Vale la pena destacar que únicamente la Conferencia Ministerial será transmitida en vivo vía webcast.

La OCDE recientemente lanzó las siguientes iniciativas previas al encuentro en Seúl:

1. Un Portal en donde se transmitirán las sesiones ministeriales vía webcast y donde se permitirá la participación a distancia para los interesados que no pudieron asistir a la ciudad de Seúl.

2. Un espacio en Youtube en donde los interesados podrán subir sus videos dando respuesta a la pregunta originalmente planteada por ese organismo: “¿Como puede el Internet hacer de este mundo un mejor lugar?”. Este canal se podrá utilizar para dirigir breves preguntas a los representantes de los gobiernos de la OCDE que estarán participando en la reunión Ministerial que se celebra cada 10 años. Las mejores preguntas serán seleccionadas y se transmitirán en vivo durante las sesiones Ministeriales.

3. Un espacio en la red social Facebook en donde los miembros de esa red social podrán unirse al grupo “The Future of the Internet Economy”, incluir hipervínculos y comentarios de interés sobre los distintos temas que analizará la OCDE en la Ministerial y que pueden servir de apoyo y retroalimentación para los gobiernos de los países miembros, funcionarios y el propio staff de la OCDE.

4. Un documento titulado “Policy Brief on the Future of the Internet Economy” (June 2008) que analiza brevemente los posibles desarrollos futuros en la economía Internet y plantea algunas sugerencias para que los encargados de políticas públicas puedan adaptarlas a las tendencias que generan temas como la convergencia, la innovación y los derechos de protección al consumidor.

La agenda final de la conferencia Ministerial ya se encuentra disponible en el siguiente vínculo.

La OCDE abrió un espacio para la prensa en donde se publicarán las noticias y notas más destacadas de los participantes y de las sesiones de la conferencia Ministerial.

Una nota preliminar de prensa de la BBC acerca de la conferencia, se encuentran en el siguiente vínculo.

Recientemente me encontré con una nota de prensa e información proporcionada por miembros de la lista de ISOC-MX, en donde se habla sobre la detención de un joven de 26 años quien se dedicaba a comercializar de manera ilícita música, películas y series de televisión en México y en el extranjero a través de su página web. Dicha persona recibió una sentencia condenatoria por el Juzgado Tercero de Distrito de la ciudad de Cuernavaca, estado de Morelos el pasado 24 de Marzo tras resultar penalmente responsable por la comisión del delito de distribución y comercialización de obras protegidas por la Ley Federal del Derecho de Autor previsto y sancionado por el Artículo 424 bis fracción primera del Código Penal Federal. La nota del diario Reforma señala lo siguiente:

“Más de seis años de prisión y 428 mil 400 pesos de multa, fueron impuestos a Edgar Rubio, dedicado a la comercialización de películas, música y series de TV a través de su página de Internet. En septiembre del año pasado se descubrió que almacenaba, reproducía y distribuía en México y el extranjero archivos de audio y video, violando los derechos de autor. La PGR identificó su domicilio a través de la dirección IP de su computadora y una vez que el juzgado tercero de Distrito en Cuernavaca dictó una sentencia condenatoria sancionada por el artículo 424 bis fracción primera. Rubio fue ubicado en su casa, donde fue sorprendido con todo el equipo necesario para quemar CD’s y DVD’s. Se le encontraron más de 3 mil discos compactos con música, videos, películas y series de televisión”.

Ver las siguientes notas de prensa de El Universal y Yahoo.

La encuesta titulada “Protección de Datos en la Unión Europea, Percepciones del Ciudadano” que llevó a cabo ‘the Gallup Organization Hungary’ y que forma parte de la conocida colección Flash Eurobarometer Series que publica el Directorado General de Justicia, Libertad y Seguridad de la Comisión Europea fue publicada y dada a conocer en Febrero de este ano.

Entre los temas que la encuesta analiza están: (i) las percepciones e inquietudes de los ciudadanos europeos sobre privacidad de datos; (ii) la confianza que otorgan los ciudadanos a las distintas clases de organizaciones que resguardan datos personales; (iii) la concientización acerca de sus derechos en materia de protección de datos y de las autoridades locales encargadas de su protección; (iv) la percepción sobre la seguridad de la transmisión de datos a través de Internet y la utilización de herramientas para mejorar la seguridad de los datos; y (v) posturas acerca de la restricción de sus derechos sobre protección de datos a la luz del terrorismo internacional.

Entre los principales resultados que refleja la encuesta se encuentra que:

- La mayoría de los europeos se preocupan acerca de la forma en la que sus datos personales son manejados por las organizaciones que disponen información acerca de ellos. Aproximadamente 64% de los encuestados mostraron estar preocupados sobre la protección de su información personal, mientras que 34% de los encuestados señalaron estar sumamente preocupados.

- Los ciudadanos europeos sienten que sus datos personales están mejor protegidos por los servicios médicos, doctores e instituciones públicas.

- Existe un tendencia a ver niveles más inferiores sobre protección de datos en los propios países de los ciudadanos. El 48% piensa que sus datos fueron debidamente protegidos en sus propio país, mientras que 54% teme que su legislación nacional no pueda darse abasto con el creciente número de individuos que dejan datos personales en Internet. El 77% siente que sus conciudadanos cuentan con niveles mucho más inferiores de concientización sobre la protección de datos.

-Aún y cuando los ciudadanos europeos se encuentran bien informados acerca de la existencia de regulaciones sobre protección de datos, existen todavía grandes vacíos informativos. Únicamente 29% de los encuestados sabía que los datos sensibles, tales como la información acerca de su origen étnico y racial y opiniones políticas recibían una protección jurídica especial. Solamente 17% había escuchado que su datos personales podrían ser transferidos fuera de la Unión Europea a países que aseguren un nivel adecuado de protección de datos.

- La mayoría de los usuarios en Europa se sienten inseguros cuando transmiten datos personales a través de Internet. El 82% de los encuestados señaló que la transmisión de datos a través del Internet no es lo suficientemente segura. Solamente 22% de los usuarios utilizan herramientas y tecnologías (firewalls y cookies) que aumentan la seguridad de los datos a través de la red.

- Bajo la percepción de la mayoría de los ciudadanos europeos, la lucha en contra del terrorismo es una razón aceptable para restringir los derechos de protección de datos. El 82% señaló que debería ser posible monitorear detalles de los pasajeros de vuelos; el 72% llamadas telefónicas y el 75% y 69% el Internet y la utilización de tarjetas de crédito, respectivamente, siempre y cuando sirvan para combatir el terrorismo. Desde el 2003, el número de ciudadanos que aprueban el monitoreo de personas que utilizan el Internet y llamadas telefónicas se ha incrementado en una proporción de 12 puntos porcentuales para cada caso.

Para allegarse de mayor información acerca de la metodología utilizada en la elaboración de esta encuesta, recomendamos revisar el anexo del reporte y las gráficas del mismo, que sin duda resultan de gran interés para investigadores y expertos en materia de privacidad y protección de datos.

Algunas notas de prensa sobre esta encuesta se encuentran en:

Primer Comunicado de prensa de la UE del 17 de Abril del 2008

Segundo Comunicado de prensa de la UE del 17 de Abril del 2008

Comunicado de Prensa de Euroactiv del 18 de Abril de 2008

El pasado 4 de Abril, el Grupo de Trabajo Artículo 29 sobre Protección de Datos grupo de expertos conformado por los comisionados de privacidad y protección de datos de 29 países Europeos finalmente dio a conocer un documento titulado: “Opinion on data protection issues related to search engines”.

El objetivo fundamental de la opinión es proporcionar un balance entre las necesidades legitimas de las compañías de buscadores en Internet y la protección de los datos personales de los usuarios de Internet, tomando como fundamento jurídico la directivas 95/46/EC (Directiva sobre Protección de Datos); 2002/58/EC (Directiva sobre Privacidad Electrónica); y la 2006/24/EC (Directiva sobre Retención de Datos).

Una de las conclusiones claves que contiene la opinión es que: “La Directiva sobre Protección de Datos aplica generalmente al procesamiento de datos de lo motores de búsqueda, aun y cuando sus oficinas corporativas se encuentren ubicadas fuera del Espacio Económico Europeo (EEA) y que la obligación corre a cargo de los motores de búsqueda en el sentido de clarificar su rol en el EEA y el alcance de sus responsabilidades bajo dicha Directiva. La Directiva 2006/24/EC sobre Retención de Datos no es aplicable a los motores de búsqueda”.

Por otro lado, la opinión concluye que: “los datos personales únicamente deberán ser procesados para propósitos legítimos. Los proveedores de motores de búsqueda deben eliminar o anonimizar en forma irreversible los datos personales una vez que ya no sirvan para el propósito legitimo especificado para los que fueron obtenidos y sean capaces de justificar la retención y la duración de las cookies utilizadas en cualquier momento”.

Asimismo, el Grupo de Trabajo recalca la obligación de los motores búsqueda de informar claramente y por adelantado a los usuarios sobre el uso y destino de sus datos personales y de respetar el derecho al acceso inmediato y a verificar y corregir sus datos personales en concordancia con el Articulo 12 de la Directiva 95/46/EC sobre Protección de Datos. Ver mas en Cnet News .

Las conclusiones finales de la conferencia Octopus por parte del Consejo de Europa ya se encuentran disponibles en el siguiente vínculo.

Un par de notas de prensa sobre la conferencia en idioma español, se encuentran en Yahoo y en Levante-emv.com.

Vale la pena destacar que durante la conferencia hubo presentaciones y estadísticas interesantes de algunos de los reportes anuales más conocidos de la industria en materia de seguridad y algunos papers académicos muy novedosos y útiles, entre ellos el paper sobre “Cybercrime Investigations and the Protection of Personal Data and Privacy” de Rob van de Hoven van Genderen en donde hace un análisis muy detallado sobre la necesidad de respetar los derechos de privacidad y confidencialidad de la información en las investigaciones sobre ciberdelincuencia, tomando en cuenta los instrumentos internacionales, las legislaciones y directivas existentes y los principios básicos sobre privacidad y protección de datos.

En el panel sobre países del continente Americano, se dieron reportes de los avances y reformas sobre legislación substantiva y procedimental en materia de ciberdelincuencia y sobre algunos proyectos de ley que se encuentran pendientes en las legislaturas de paises como Brasil y Argentina.

La próxima conferencia se llevará a cabo dentro de un año, sin embargo ya están programadas una serie de conferencias regionales en materia de ciberdelicuencia y seguridad en donde participará el Consejo de Europa.

Durante la conferencia Octopus hubo una sesión exclusivamente dedicada a discutir el draft de los lineamientos para la cooperación en las investigaciones sobre cibercrimen que fue encomendado por el Consejo de Europa a dos expertos en el tema, Marco Gercke y Cormac Callanan quienes elaboraron un paper preliminar que contiene la justificación del documento, sus antecedentes, el alcance y los aspectos más importantes del estudio. El panel fue moderado por Alexander Seger del Consejo de Europa.

La sesión estuvo muy nutrida y algunos de los participantes expresaron las ventajas y las posibles repercusiones que pudieran tener los lineamientos sobre todo en el momento de tener que implementarse a nivel local. Aspectos tales, como responsabilidad civil y penal, retención y preservación de datos personales derivados de las investigaciones y otros temas más complejos, como por ejemplo que parte tendría la responsabilidad de absorber los gastos derivados de las investigaciones y el reembolso de los mismos.

La segunda parte del workshop estuvo exclusivamente dedicada a acordar y refinar el lenguaje final de dicho documento, tomando en cuenta los diversos comentarios vertidos por los participantes. Vale la pena destacar, que el proyecto preliminar consideró la protección de la libertad de expresión, privacidad y protección de datos y el respeto de la vida privada como derechos fundamentales (Artículo 5). Posteriormente hubo una lectura del texto debidamente acordado para conocimiento de los distintos participantes.

Es muy probable que este instrumento no tenga fuerza jurídica vinculatoria entre los países miembros del Consejo de Europa y más bien tome la forma de un instrumento soft law, que podrá ser libremente implementado por los países que tengan interés en regular el tema. Sin embargo, la decisión final la tendrá el propio Consejo de Europa. El texto final de los lineamientos debidamente aprobado por los participantes ya se encuentra disponible en el siguiente vínculo.