Curso de Capacitación sobre Aspectos Técnicos y Jurídicos del Cibercrimen para Jueces y Fiscales en la Academia Europea de Derecho (ERA)

PictureERATrainingEl pasado 13 de Febrero de 2015 concluyó el curso de capacitación sobre Aspectos Técnicos y Jurídicos del Cibercrimen dirigido primordialmente a Jueces y Fiscales del continente Europeo que organiza la Academia Europea de Derecho (ERA) cuya sede se encuentra en la pintoresca ciudad de Tréveris, Alemania.

Es la segunda ocasión que he sido invitado a este curso para presentar perspectivas en la sesión sobre “Jurisdicción y Derecho Aplicable a Casos en materia de Cibercrimen” en donde tuve el gusto de compartir mis conocimientos y experiencia practica en este tema tan complejo que me he ocupado de investigar desde hace algunos años con más de treinta expertos, entre ellos Jueces, Fiscales, abogados, consultores y representantes de organismos internacionales y de instituciones europeas.

ERA_imageEste curso de capacitación que ofrece ERA, es uno de los mejores de su genero ya que se enfoca a analizar dentro de un taller de trabajo, aspectos técnicos y jurídicos con base en un caso teórico-practico desarrollado por un Juez y un Fiscal de Bélgica con gran experiencia en el tema con el propósito de poder ofrecer las herramientas y técnicas de investigación necesarias para que los Fiscales y Jueces puedan llevar a cabo investigaciones relacionadas con delitos cometidos a través de sistemas de cómputo y tecnologías de información.

El curso tuvo una duración de un día y medio y participaron Heins Dries Ziekenheiner consultor y CEO de Vigilo Consult quien dio una presentación sobre la distintas tipologías de ciberdelitos y nuevas amenazas en Internet; Allisdair Gillespie, profesor de derecho y justicia penal en la Universidad de Lancaster quien dio algunas perspectivas sobre aspectos jurisdiccionales relacionados con la pornografía infantil en Internet y retos de su persecución a nivel europeo; Jan Kerkhofs, Magistrado Federal de la Oficina de la Fiscalía Federal de Bélgica; Philippe Van Linthout, Juez Investigador del Juzgado de Primera Instancia en Mechelen, Bélgica quienes fueron los que presentaron el caso y dieron demostraciones practicas sobre el uso de herramientas técnicas para llevar cabo investigaciones sobre ciberdelitos; Christiaan Baardman, Juez de Tribunal de Apelación en la Haya y entrenador; y Laviero Buono, Director de la Sección sobre Derecho Penal Europeo y coordinador y organizador del curso en ERA.

Video de la sesión “Law Enforcement and Internet Jurisdiction” en la Conferencia CPDP 2015 en Bruselas

Foto Internet Jurisdiction PanelEl video de la sesión “Law Enforcement and Internet Jurisdiction” que modere el pasado 23 de Enero durante la conferencia Computers, Privacy and Data Protection 2015 (CPDP 2015) en Bruselas ya se encuentra disponible en Youtube

Durante este sesión se comentaron aspectos relevantes sobre jurisdicción en Internet, así como temas relacionados con los mecanismos de asistencia mutua y algunos de los casos internacionales más recientes que tocan aspectos relacionados con acceso transfronterizo para la obtención de evidencia para ser utilizada en investigaciones de carácter penal y su intersección con la protección de datos, entre ellos el caso Belgium vs. Yahoo Inc. de 2007 y el caso Microsoft vs US de 2013 y por supuesto, los retos futuros en torno a la temática.

Para aquellos interesados en la temática o para los que no pudieron estar presentes en Bruselas recomiendo ampliamente verlo y difundirlo a través de redes sociales.

Inicio de Procedimiento de Imposición de Sanciones contra Google México

IFAI LogoEl pasado 28 de Enero, precisamente cuando se conmemoraba el Día Internacional de la Protección de Datos , el Pleno del IFAI publicó un comunicado de prensa en donde señala que ha iniciado un procedimiento de imposición de sanciones en contra de Google México S. de R.L. por posibles infracciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) derivada de una queja de un ciudadano y falta de respuesta por parte de Google a ejercer su derecho constitucional de cancelación y oposición al tratamiento de sus datos personales.

De acuerdo con el comunicado de prensa del IFAI: “ El 9 de Diciembre de 2014, se celebró una audiencia de conciliación solicitada por las partes, con el fin de avenir sus intereses, sin embargo a pesar de los esfuerzos institucionales, no hubo acuerdo entre las partes, por lo que el IFAI acordó continuar con el procedimiento”.

Google México argumenta que no es la empresa que presta el servicio de motor de búsqueda sino Google Inc. con domicilio en los Estados Unidos y por tanto, no atendió la solicitud de ejercicio de derechos del particular, argumento que ha sido comúnmente utilizado por Google en algunos de los casos que tiene en la Agencia Española de Protección de Datos.

El Pleno del IFAI en su resolución precisa lo siguiente:

“1. Google México, S. de R.L. de C.V. es una empresa legalmente constituida en México y en términos de la LFPDPPP es responsable del tratamiento de datos personales.
2. De acuerdo con su objeto social, la empresa presta servicios de motor de búsqueda.
3. Google México, S. de R.L. de C.V. si hace un tratamiento de datos personales cuando se coloca en el buscador un dato de cualquier persona y se encuentra indexado a la información de la Red.
4. No acredito que dicho servicio lo realiza o presta una empresa distinta”

El Pleno del IFAI ha determinado iniciar el procedimiento de sanciones en contra de Google por posibles infracciones de conformidad con los Arts. 61 y 62 de la LFPDPPP y 140 a 144 del Reglamento de la LFPDPPP.

Cabe destacar que esto se trata únicamente del inicio de un procedimiento administrativo de sanciones que puede durar hasta 120 días y en donde Google tendrá la posibilidad impugnar la resolución de imposición de sanciones del IFAI ante el Tribunal Federal de Justicia Fiscal y Administrativa por lo que todavía no existe una sanción pecuniaria firme como tal en contra de Google México, S. de R.L. de C.V.

Mayor información al respecto se encuentra en:

Resolución del Pleno del IFAI de fecha 26 de Enero de 2015 Expediente PPD.0094/14 (39 páginas)

Comunicado de Prensa del IFAI-OA/009/15 del 27 de Enero de 2015

Blog de Rodrigo Orenday. “IFAIMEXICO rules to fine @GOOGLEMEXICO over #right to be forgotten”. Parte I. Entrada de fecha 3 de Febrero de 2015 y Parte II. Entrada de fecha 13 de Febrero de 2015.

BBC Mundo

Reuters

CNN México

El Financiero

Proceso

Yahoo NoticiasIFAI Logo

Día Internacional de la Protección de Datos Personales 2015

dpd_englishEste miércoles 28 de Enero se conmemora por novena ocasión el día internacional de la protección de datos 2015. Esta conmemoración fue creada conjuntamente por el Consejo de Europa y la Comisión Europea hace nueve años con motivo del aniversario de la firma de la Convención para la protección de los individuos con respecto al procesamiento automático de datos personales (ETS 108) mejor conocido como el «Convenio 108» cuyo proceso de revisión y reforma continuara todavía este año dentro del Comité Consultivo del Consejo de Europa.

El día internacional de la protección de datos tiene como primordial objetivo generar conciencia en el ámbito de los organismos internacionales, entre autoridades de protección de datos, empresas y primordialmente entre los ciudadanos ubicados en distintos países acerca de la importancia de proteger la privacidad del individuo y promover y difundir sus derechos y responsabilidades inherentes bajo el marco de la legislación existente, la difusión de mejores practicas para la recolección, tratamiento y procesamiento de datos personales en cualquier de sus modalidades, así como crear conciencia sobre el valor de la privacidad como un derecho humano fundamental consagrado en la legislación mexicana y en diversos instrumentos internacionales.

Cada año, autoridades de protección de datos, organizaciones y asociaciones de los sectores público, privado y de la sociedad civil a nivel mundial organizan sesiones informativas, seminarios, debates y presentaciones en diferentes ciudades para crear conciencia acerca de la importancia de promover y proteger este derecho fundamental, sobre todo en el ámbito del uso de Internet, la telefonía móvil y las redes sociales.

Como parte de las actividades en torno a este día, daré un reseña de lo acontecido en algunas sesiones de la Octava Conferencia Anual Computers, Privacy and Data Protection CPDP 2015 y estaré generando información clave en twitter para concientizar al ciudadano, en especial a la población adolescente para que puedan proteger de mejor forma su información personal en redes sociales.

Octava Conferencia Anual Computers, Privacy and Data Protection en Bruselas

cpdp2015Del 21 al 23 de Enero del presente se llevará a cabo en la ciudad de Bruselas, Bélgica la Octava Conferencia Anual Computers, Privacy and Data Protection (CPDP 2015) que organizan conjuntamente las Universidades Vrije de Bruselas, la Universidad de Namur de Francia y la Universidad de Tilburg de Holanda con el patrocinio de diversas asociaciones, consultorías, despachos de abogados y organizaciones de la sociedad civil.

El programa de este año incluye paneles relacionados con: estado actual de la propuesta de reforma sobre protección de datos de la Comisión Europea; flujo transfronterizo de datos, ingeniería social del cibercrimen, cybersecurity and cyber resilence, revenge porn, derecho al olvido, jurisdicción e internet, FTC vs Comisión Europea, entre otros temas.

El viernes 25 de Enero de 11:45 a 13:00 horario de Bruselas en el Salón Principal Grande Halle se llevará a cabo el panel sobre “Law Enforcement and Internet Jurisdiction” que tendré el placer de moderar y donde participarán expertos sobre el tema de instituciones académicas de Europa, Australia, de Microsoft y de la NATO.

El Twitter hashtag de la conferencia es #CPDP2015

Mayor información sobre los paneles y sesiones de la conferencia se encuentran en el portal de la Octava Conferencia Anual Computers, Privacy and Data Protection (CPDP 2015)

Accountability Instruments under Mexico’s Data Protection Framework

IAPP LogoMy article titled: “Accountability Instruments under Mexico’s Data Protection Framework” has been published in IAPP’s Privacy Tracker.
This article contains a synthesis of how Mexico implements the principle of Accountability in its national legal framework on data protection and provides an explanation on the scope of the Self-Regulation Parameters for Data Protection published by the Ministry of Economy on 29 May 2014.
The article concludes by providing an insight and a personal opinion on the future adoption of self-regulatory parameters (certification practices form accredited entities) for national businesses and organizations across Mexico during 2015.

Perspectivas sobre el Derecho al Olvido en Latinoamérica

IAPP recientemente publicó un artículo en donde ofrezco una breve reseña sobre lo que aconteció en el panel sobre la Sentencia del Tribunal de Justicia de la Unión Europea del 13 de Mayo de 2014 en la que participó el Director de Agencia Española de Protección de Datos José Luis Rodríguez y José Luis Piñar Mañas Profesor de la Universidad CEU-San Pablo de Madrid durante el XII Encuentro Iberoamericano sobre Protección de Datos Personales.
En este artículo doy una opinión sobre los posibles efectos de la sentencia del TSJ y sobre como las leyes de protección de datos en Latinoamérica podrían aplicarse para hacer valer ese derecho a los titulares de datos a nivel nacional.

El artículo se encuentra en idioma inglés en el portal de IAPP

IAPP Privacy After Hours Meeting in Mannheim

As part of the IAPP Privacy After Hours Meeting series, on Thursday October 23 at 19:00 hrs., we will hold our Privacy After Hours meeting at Joe Peña’s Mannheim. During this informal gathering, we will be talking about topics related with the privacy profession such as the role of CPO’s in times of cloud computing, big data, the European data protection regulation proposal and other topics that you deem relevant and important in the current context.

I look forward to meeting you there.

Cristos Velasco CIPP/E

Obtención de la Certificación CIPP/E de IAPP

Certificate CIPP/E CristosVMe honra informarles a clientes, mi red de contactos global, colegas y personas interesadas que siguen de cerca la información que incluyo en este blog, que el pasado 22 de Agosto obtuve la certificación “Certified Information Privacy Professional Europe (CIPP/E)” que ofrece la Asociación Internacional de Profesionales de Privacidad (IAPP).

Haber obtenido esta certificación no solo me permitirá incrementar mi red de contactos con expertos y profesionales de privacidad de la información ubicados en Alemania y en otros países europeos a través de IAPP, sino sobre todo demuestra mi compromiso con la especialidad y la temática y, en particular con la continua formación y actualización en materia de privacidad y protección de datos, que son áreas en constante evolución y que requieren de profesionistas comprometidos que puedan asesorar correcta y eficazmente a empresas y organizaciones en un entorno complejo, global y cambiante en donde cada vez mayor número de controladores y procesadores de datos están obligados a cumplir con una gran diversidad de leyes, regulaciones y estándares internacionales para proteger la información personal o simplemente para transferir datos e información de países con un régimen jurídico estricto como es Europa a otros regiones o países.

Asimismo, considero que esta certificación le dará un mayor valor agregado a la prestación de servicios de asesoría, capacitación y formación que actualmente ofrezco como consultor independiente a empresas y gobiernos.

Por último, me gustaría indicar que uno de los requisitos para mantener esta certificación y-quizá una de las mayores bondades de la credencial- es obtener cierto número de créditos por año, ya sea a través de participar en conferencias como ponente, llevar a cabo capacitaciones y entrenamientos, publicar y realizar actividades voluntarias enfocadas en las áreas de protección de datos y seguridad de la información, razón por la cual estaré mucho más activo durante los próximo años tanto en Europa como en Latinoamérica.

Atentamente,

Dr. Cristos Velasco CIPP/E

Nuevo Estándar de ISO sobre Cloud Computing

ISOimageRecientemente ISO dio a conocer un nuevo estándar ISO/IEC 27018 que establece lineamientos para el procesamiento de datos personales para prestadores de servicios de cómputo en la nube.

El nuevo estándar de ISO establece objetivos de control comúnmente aceptados, controles y directrices para la implementación de medidas para proteger lnformación Personal Identificable (IPI) de conformidad con los principios de privacidad contenidos en la norma ISO/IEC 29100 para la computación en nube pública.

Adicionalmente, el estándar especifica directrices basadas en la norma ISO/IEC 27002, teniendo en cuenta los requisitos normativos para la protección de IPI que podrían ser aplicables en el contexto del entorno de riesgo para la seguridad de la información de un proveedor de servicios de nube pública.

El nuevo estándar es aplicable a todos los tipos y tamaños de organizaciones, incluidas las empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro, que ofrecen servicios de procesamiento de información como procesadores IPI a través de la computación en nube bajo contrato con otras organizaciones. El estándar también podría ser relevante para las organizaciones que actúan como controladores de IPI.

Cabe señalar que este estándar es de carácter voluntario y para que una organización pueda certificarse, el prestador de servicios de cómputo en la nube deberá ser sujeto a auditorías por parte de una institución certificadora debidamente acreditada y subsecuentemente los proveedores de servicios de nube serán sujetos a revisiones periódicas por parte de terceros.

El nuevo estándar ISO/IEC 27018 es de gran relevancia para México pues podría complementar en gran medida las obligaciones sobre tratamiento de datos personales por parte de prestadores de servicios de cómputo en la nube contenidas en los Arts. 52 a 55 del Reglamento de la Ley Federal de Protección de Datos en Posesión de los Particulares, sin embargo tendremos que monitorear la aceptación que tendrá este nuevo estándar entre empresas de cómputo en la nube en Europa y Estados Unidos.

Mayor información en:

The National Law Review

Inside Privacy Blog

Presentación de EBRC sobre el estándar ISO/IEC 27018 en Eurocloud Congress