Protección de Datos Personales en Segurinfo 2012

Publicado el 31/05/2012 por mjviega

En el marco del XX Congreso y Feria Iberoamericana de Seguridad de la Información “Segurinfo 2012”, realizado el 24 de mayo, se brindó una conferencia en relación con la Protección de Datos Personales, a cargo de la Dra. Esc. María José Viega.

A sala llena se presentaron los aspectos sustanciales de la regulación normativa nacional en la materia. Al finalizar hubo un interesante intercambio entre los asistentes, lo que denota el interés y avidez de conocimientos de quienes participaron en el evento.

Por último, se efectivizó la invitación y compromiso de la Unidad Reguladora y de Control de Datos Personales con el desarrollo de la 34a Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, que se realizará octubre en nuestro país.

Fuente: http://www.datospersonales.gub.uy/sitio/noticias.aspx Desde este sitio puede bajar la presentación

Publicado en Delitos informáticos, Protección de datos | Comentarios desactivados en Protección de Datos Personales en Segurinfo 2012

Open government, open data y data protection

Publicado el 28/05/2012 por mjviega

Open government is a political doctrine that seeks government transparency through citizen participation and to move from representative to participatory democracy.

One of the tools of open government is open data, which requires publication of data held by the state, making them available to citizens. The data should be published as they are (unprocessed), standard, open and interoperable, allowing easier access and reuse.

Other tools of open government are the use of social networks and access to public information, among others.

Uruguay attended the global meeting of the Open Government Initiative that was held in Brasilia on April 17 and 18 (http://www.opengovpartnership.org/), after having joined the Alliance for Open Government in November 2011. The Working Group on Open Government Society, which was composed of representatives of AGESIC, OPP, the Unit for Access to Public Information, the Ministry of Economy and Finance, the Ministry of Foreign Affairs and the National Statistics Institute, was established through a decree.

The Alliance for Open Government is a new multilateral initiative aimed at promoting specific commitments of governments to promote transparency, increase citizen participation in governance, fight corruption and take advantage of new technologies to strengthen governance. The official launch of the Alliance was announced on September 22, 2011 in the 66th Session of the United Nations General
Assembly in New York.

Dr. Flavia Baladan outlines the crossing of the open government and open data concepts as follows:


In our country, Montevideo City Hall was a pioneer in the field of open government. AGEV also publishes Accountability, by describing the distribution of money. The open data page in our country is www.datos.gub.uy

Therefore, we cannot confuse the concept of open government with  open data. Open Data is closely linked to personal data protection or privacy. You should consider that the decree did not include the Regulatory Unit and Control of Personal Data in the open government working group, however, this unit should have a role in the field of open data definitions.

Open data are data available to the public, reused to provide new services. From the technological point of view there is no consensus on the format to be published, we discuss whether it should be pdf, word, etc. The published data are not commercial data, they do not have to be licensed so they can be reused. The State should filter the data, in order to have good quality information. Open data should not be confused with information reuse.

U.S., England and the Basque Country have great development in this area.

In our country, taking into account the Law on Access to Public Information (Law N° 18.381) secret or confidential information cannot be published.

But what is the relationship and the challenge with data protection?

First, the data should be published anonymously, but anonymity systems are not as developed as they should. That´s why , there is a risk that personal data may be published. Also, there are techniques to anonymize data and techniques to identify people. Therefore, the challenge is how to imitate the publication of personal data.

Also, companies are concerned about the publication of their data, based on the protection given in Uruguay under the Law N° 18.331 to the data of legal persons. The URCDP should regulate the scope of protection of corporate data as part of the open data policy.

There are two solutions: privacy by design and the use of licenses on the use of data. For example, the United States regulates by clauses placed when publishing the data.

Open data or open government means the existence of transparent government, not of transparent citizens. All agencies must use the best techniques and be audited. If you decide to publish personal data,  the person concerned must be notified previously so they can take protective measures.

Now, is it necessary to regulate open data policies? This is a contested issue.

Spain has regulated the reuse of information, but keep in mind that it has no public information access law. The next question is whether the law regulating access to public information is enough.

In our opinion it is necessary to regulate in this area, being the URCDP the one to set the protection policy of such data. One question that arises is: What about sensitive data? Health data are very useful for pharmaceutical companies, for example, to know how many people use certain medication. Undoubtedly, this information could be posted if it is dissociated. Moreover, our law requires the existence of data that do not need consent although they must maintain their intended use.

However, these data may be published indeed. In this case, will they become a public source? Will they be used for any purpose?

We believe it will be necessary to provide technical and legal measures to achieve the balance between the publication of open data and the protection of personal data.

 

Publicado en Acceso a la Información Pública, Gobierno electrónico, Protección de datos, Sin categorizar | Comentarios desactivados en Open government, open data y data protection

Gobierno abierto, datos abiertos y protección de datos

Publicado el 28/04/2012 por mjviega

Gobierno abierto, Datos abiertos y Protección de datos

Gobierno abierto es una doctrina política que tiene como objetivo la transparencia del Estado a través de la participación ciudadana, se busca pasar de una democracia representativa a una participativa.

Una de las herramientas del gobierno abierto es el open data o datos abiertos, que implica la publicación de los datos en poder del Estado, poniéndolos a disposición de los ciudadanos. Los datos deben publicarse tal cual son (sin procesar), en formato estándar, abiertos e interoperables, facilitando su acceso y permitiendo su reutilización.

Otras herramientas del gobierno abierto son la utilización de las redes sociales, el acceso a la información pública, entre otras.

Uruguay participó en la reunión mundial de la Iniciativa para el Gobierno Abierto que se desarrolló en Brasilia entre el pasado 17 y 18 de abril (http://www.opengovpartnership.org/), habiendo ingresado en noviembre del 2011 a la Alianza para el Gobierno Abierto. A través de  un decreto se constituyó el grupo de trabajo Sociedad de Gobierno Abierto, el cual quedó integrado por representantes de AGESIC, OPP, Unidad de Acceso a la Información Pública, Ministerio de Economía y Finanzas, Ministerio de Relaciones Exteriores y el Instituto Nacional de Estadística.

La Alianza para el Gobierno Abierto es una nueva iniciativa multilateral dirigida a propiciar compromisos concretos de parte de los gobiernos para promover la transparencia, aumentar la participación ciudadana en los asuntos públicos, combatir la corrupción y aprovechar las nuevas tecnologías para robustecer la gobernanza. El lanzamiento oficial de esta Alianza tuvo lugar el 22 de setiembre de 2011 en el 66º Período de Sesiones de la Asamblea General de las Naciones Unidas en Nueva York.

La Dra. Flavia Baladán diagrama el cruzamiento de los conceptos gobierno abierto y datos abiertos  de la siguiente forma:

 

 

 

 

En nuestro país, la Intendencia de Montevideo fue pionera en el tema de gobierno abierto. AGEV también publica la Rendición de Cuentas, con la descripción de la distribución del dinero. La página de datos abiertos en nuestro país es www.datos.gub.uy

No podemos confundir, entonces, el concepto de gobierno abierto y el de datos abiertos. Datos abiertos está estrechamente vinculado a la protección de datos personales o privacidad. Téngase presente que el decreto no incluyó en el grupo de trabajo de gobierno abierto a la Unidad Reguladora y de Control de Datos Personales, sin embargo esta Unidad deberá tener un papel fundamental en el ámbito de las definiciones sobre datos abiertos.

Un dato abierto es un dato que está disponible para todo el público, son reutilizados para brindar nuevos servicios. Hay que destacar que desde el punto de vista tecnológico no hay consenso en cuanto al formato en que deben publicarse, se discute si tiene que ser pdf, word, etc. Los datos publicados no son datos comerciales, no tienen que estar licenciados para que se puedan reutilizar. El Estado debería hacer un filtro de los datos, para que la información sea de calidad. Tampoco puede confundirse datos abiertos con reutilización de la información.

Estados Unidos, Gran Bretaña y el País Vasco tienen un gran desarrollo en esta materia.

En nuestro país, teniendo en cuenta la Ley de Acceso a la Información Pública (Ley N° 18.381) no puede publicarse información secreta ni confidencial.

Ahora bien, ¿cuál es la relación y el desafío con la protección de datos?

En primer lugar, los datos que se publican deberían ser anónimos, pero los sistemas de anonimización no están tan desarrollados como deberían. Por lo tanto, existe el riesgo que se publiquen datos de las personas.  Hay que tener en cuenta también, que así como hay técnicas para anonimizar hay técnicas para relacionar datos con personas para identificarlas. Por lo tanto, el desafío es como se imita la publicación de datos personales.

También las empresas están preocupadas por la publicación de sus datos, partiendo de la protección que en Uruguay otorga la  Ley Nº 18.331 a los datos de las personas jurídicas.  La URCDP debería reglamentar el alcance de la protección de datos de persona jurídica como parte de la política de datos abiertos.

Las soluciones que se han encontrado es tomar la privacy by desing para aplicar políticas de datos abiertos y en segundo lugar la utilización de cláusulas o licencias en el uso de los datos. Estados Unidos regula a través de cláusulas que coloca al publicar los datos.

Los datos abiertos o incluso el gobierno abierto implica la existencia de gobiernos transparentes, no ciudadanos transparentes. Todos los organismos deben utilizar las mejores técnicas y deben auditarse. En caso de que se decida  publicar un dato personal se le debe notificar a la persona previamente para que pueda tomar medidas de resguardo.

Ahora bien, ¿es necesario reglamentar políticas de datos abiertos? Este es un tema discutido.

En España se ha regulado la reutilización de la información, pero hay que tener en cuenta que no tiene una ley de acceso. La siguiente pregunta  es si ¿alcanza la regulación de la ley de acceso a la información pública?

En nuestra opinión es necesaria una regulación en esta área, siendo cometido de la URCDP establecer la política de protección de datos al respecto.  Algunas interrogantes que se plantean son: ¿Qué sucede con los datos sensibles? Los datos de salud son muy útiles para las empresas farmacéuticas, por ejemplo, ¿cuántas personas consumen determinado medicamento? Sin lugar a dudas estos datos podrían publicarse siempre que sean disociados.

Por otra parte, nuestra ley establece la existencia de datos que no necesitan consentimiento, pero sin embargo debe mantenerse la finalidad en su uso. Ahora bien, esos datos podrán publicarse sin más, esto ¿los convierte en fuente pública? ¿Se podrán utilizar con cualquier finalidad?

Estamos convencidos que será necesario establecer medidas técnicas y jurídicas para lograr el balance entre la publicación de datos abiertos y la protección de los datos personales.

 

Publicado en Gobierno electrónico, Protección de datos | Etiquetado , , , , , , | Comentarios desactivados en Gobierno abierto, datos abiertos y protección de datos

Los mensajes de texto en las promociones comerciales

Publicado el 21/03/2012 por mjviega

El día de hoy se realizó la primer sesión académica en el
Instituto de la Facultad de Derecho (UDELAR),
teniendo la oportunidad de escuchar a la Dra. Bárbara Muracciole exponer sobre los mensajes de texto en las promociones comerciales.

Plantea que el tema le parece interesante por dos razones:
en primer lugar por el modelo de negocio y en segundo lugar porque se piensa que hay falta de normativa, lo cual no comparte.

Sigue leyendo

Publicado en Comercio electrónico | Comentarios desactivados en Los mensajes de texto en las promociones comerciales

Delitos Informáticos: Manipulación de la información pública y privada

Publicado el 18/03/2012 por mjviega

Introducción

Los beneficios de las tecnologías de la información y las
comunicaciones son indiscutibles. Sin embargo, también sirven como herramienta para causar daño y en este sentido la criminalidad en Internet es la parte negativa del desarrollo tecnológico.

El presente trabajo tiene como objetivo analizar las
amenazas existentes en el ciberespacio, tanto en la esfera pública como privada. En la esfera pública analizaremos la creación y cometidos del CERTuy en nuestro país, centro responsable de las respuestas a incidentes en temas de seguridad de la información y quien trabaja con los organismos públicos a los efectos de prevenir amenazas en este sentido.

Por otra parte, en la esfera privada, la importancia
económica de la información   de todos nosotros nos enfrenta a invasiones permanentes a nuestra intimidad. En tal sentido Uruguay aprobó la Ley de Protección de Datos Personales y Acción de Habeas Data N° 18.331 el 11 de agosto de 2008.  Analizaremos las diferentes figuras delictivas vinculadas a la privacidad y el marco jurídico existente en Uruguay.

Sigue leyendo

Publicado en Delitos informáticos, Gobierno electrónico, Protección de datos, Sin categorizar | Comentarios desactivados en Delitos Informáticos: Manipulación de la información pública y privada

Visita AEPD

Publicado el 22/02/2012 por mjviega

http://www.agpd.es/portalwebAGPD/agenda/2012/news/2012_02_20-ides-idphp.php

Publicado en Protección de datos | Comentarios desactivados en Visita AEPD

Firma electrónica avanzada

Publicado el 10/12/2011 por mjviega

En el día de ayer, 9 de diciembre de 2011 se realizó el lanzamiento de la Infraestructura Nacional de Certificación y la aprobación del Decreto reglamentario de la Ley N° 18.600.

Estuvieron presente: el Ing. José Clastornik (AGESCIC),el  Ing. José Forcella Presidente de la Unidad de Certificación electrónica (UCE), el Dr. Renato Matini (Brasil), el Sr. Eduardo Thill (Argentina), el Ec. Miguel Porrúa (OEA), el Dr. Diego Cánepa (Prosecretario de la Presidencia) y el Dr.  Leslie Van Rompaey (Presidente de la Suprema Corte de Justicia).

El Ing. Forcella explicó que es la INCE y su alcance. La ley 18.600 crea la firma electrónica avanzada (FEA) y le da el mismo valor probatorio que la firma ológrafa certificada. La UCE tiene como función principal la acreditación de los prestadores. Agesic tiene, por definición legal, la Autoridad Certificadora Raíz (RootCA) que se puso en funcionamiento el 3 de noviembre del presente, en un procedimiento denominada «ceremonia de claves». Los beneficios los define la sociedad, cuando adopte el uso de la FEA, que constituye una herramienta, un instrumento que habilita el comercio electrónico, actividades bancarias, factura electrónica, entre otras.

Renato Martini destaca que nos encontramos ante una revolución porque cambia la costumbre milenaria del uso del papel y es una revolución muy buena para nuestros pueblos. La firma electrónica posibilida procesos de despapelización, los cuales son más baratos, más eficientes y más transparentes, lo cual tiene beneficios sobre el medio ambiente. Un aspecto importante es la posibilidad de reconocimiento mutuo de la firma electrónica entre los ciudadanos uruguayos, brasileños y argentinos.

Eduardo Thill manifiesta que no será necesario que nosotros vayamos personalmente a cada uno de las oficinas que deseamos hacer un trámite. Esto economiza el tiempo de los ciudadanos. El desafío es como lograr la apropiación de esta herramienta. La firma electrónica debe convertirse en una herramienta ciudadana y el comercio electrónico es una consecuencia obligada. Nuestras agendas digitales no son simples enunciados de un sueño, sino que son una estrategia, los próximos pasos que debemos dar. Este es un tema de visagra histórica, para todos los países de la región, para que podamos hablar de igualdad de todas y todos, que realmente exista justicia social y que no sea solo en países ricos.

Miguel Porrúa dice que como observador de la región, tiene una visión en perpectiva, teniendo en cuenta que ha vivido en Uruguay, puedo ver un Uruguay diferente. Hemos analizado las cifras del potencial que el país tiene. El ciudadano normal no es ingeniero, no sabe de que estamos hablando aquí. En Estados Unidos cuando se comenzó a hablar de gobierno electrónico habían dos elementos importantes: se desconocían las tecnologías (hablamos de 10 años atrás) hoy todos tenemos  teléfonos inteligentes y un problema de seguridad. Hoy tenemos este evento que va a hacer mucho por ello. Este tema no es solo importante dentro del país, es muy inteligente que en esta mesa estén Argentina y Brasil, que son los socios estratégicos de Uruguay.

Diego Cánepa destaca la importancia del tema y anuncia que se está trabajando  y se va hacia la existencia de un documento nacional único de identidad electrónico. Hay que tener en cuenta que este país no tiene otra posibilidad que la excelencia en todo lo que hacemos.

Van Rompaey cuenta que hace años cuando se hablaba de despapelizar el Poder Judicial no era temor lo que le causaba, era pánico. Pero que sin embargo el Poder Judicial se ha transformado, se han realizado a la fecha 400.000 notificaciones electrónicas, cada notificación implicaba 3 hojas de papel, lo que siginifica un ahorro significativo. Destaca los artículos específicos de la Ley N° 18.600 y la aprobación el 7 de diciembre de una nueva acordada a los efectos de comenzar a trabajar en el uso de la firma electrónica avanzada en las profesiones de abogados y escribanos, para dotar de esta nueva herramienta a los profesionales. Finaliza augurando éxito para los esfuerzos interinstitucionales que se realicen a ese fin.

 

 

 

Publicado en Comercio electrónico, Firma electrónica, Gobierno electrónico, Sin categorizar | Comentarios desactivados en Firma electrónica avanzada

Gobernanza de Internet

Publicado el 03/12/2011 por mjviega

El 30 de noviembre cerró el ciclo  de Secciones Académicas del Instituto de Derecho Informático la Dra. Esc. Beatriz Rodríguez con la charla denominada “Gobernanza de Internet”.

Esta tuvo un enfoque diferente a las charlas de Gobernanza de Internet que se han dado en nuestro medio, en virtud a que la misma expuso sobre el cambio que ha sufrido Internet desde su inicio siendo una red en el ámbito militar para pasar a ser una red compleja convirtiéndose en un ecosistema. Ecosistema integrado por «las organizaciones y comunidades que, colectivamente guían la operación y desarrollo de las tecnologías e infraestructura que forman la Internet global y su uso”. Sigue leyendo

Publicado en Delitos informáticos, Gobernanza de Internet, Propiedad intelectual, Protección de datos | Etiquetado , , , | Comentarios desactivados en Gobernanza de Internet

Marco normativo del gobierno electrónico

Publicado el 03/12/2011 por mjviega

El 24 de noviembre dí una conferencia sobre Avances y desafíos del marco normativo del gobierno electrónico en el IV Encuentro Nacional de gobierno electrónico.

Pueden acceder a la presentación en http://www.agesic.gub.uy/innovaportal/v/1777/1/agesic/agesic:_avances_y_desafios_del_marco_legal_del_gobierno_electronico.html

Publicado en Acceso a la Información Pública, Firma electrónica, Gobierno electrónico, Protección de datos | Etiquetado , , , , , , , | Comentarios desactivados en Marco normativo del gobierno electrónico

Privacy by Desing

Publicado el 03/12/2011 por mjviega

El 23 de noviembre de 2011, en el marco del IV Encuentro Nacional de Gobierno Electrónico organizado por AGESIC, bajo el lema «Entre todos y para todos» tuve la oportunidad de escuchar al Mag. Federico Monteverde, Presidente del Consejo Ejecutivo de la URCDP.

Su exposición sobre Privacy by Desing comenzó con una aclaración acerca del título, diciendo que a veces las denominaciones en inglés no son simpáticas, pero esta es una expresión acuñada a nivel mundial.

Existen usos aceptados de las TIC: operaciones de home banking, tarjetas de créditos, ecografías, análisis clínicos, aparatos que miden la contaminación ambiental.

Estas aplicaciones tienen en común tres caracteres: inspiran confianza, acumulan información y utilizan redes. Con relación a la confianza, hay que tener en cuenta que no dudamos de los resultados de estos dispositivos. La acumulación de información: todas en mayor o menor medida, acumulan información que se almacena en bases de datos. La tercera característica es la naturaleza en red, redes de cajeros automáticos por ejemplo, hay comunicación de la información. Por otra parte, hay que destacar que estamos haciendo uso de ellos en la vida cotidiana.

¿Qué pasa con la privacidad de esa información? Es innegable que esa información tiene un valor, no solo económico, sino social, de investigación, etc., y la regulación es una herramienta para generar esa confianza.

Existe una tensión entre la privacidad y el valor de la información . En nuestro país se aprobó la ley 18.331 en 2008. Pero internacionalmente la regulación es muy anterior, la Unión Europea tiene una Directiva del año 1995. A veces se plantea a nivel social: «más regulación de parte del Estado», «más obligaciones que cumplir». Pero la regulación viene a poner equilibrio entre las cuestiones que mencionábamos.

Pensemos en el tránsito, cuando se comenzó a circular por la derecha, pensemos en todas las innovaciones que fueron necesarias. Existe una dialéctica asociada a la innovación y  una infraestructura en las que impacta la privacidad, en la tecnología, los procesos y la infraestructura de red y diseño.

La Privacy by Design está basada en siete principios:

1. Proactivo: de nada sirve pensar la privacidad, hay que anticiparse a los eventos.

2. Privacidad como la configuración predeterminada: los datos personales deben ser protegidos en forma automática y no requieren ninguna acción por parte del usuario. En su punto inicial la configuración debe ser restrictiva en cuanto a la privacidad.

3. Embebido en el diseño: que sea parte del diseño, que esté metido en la arquitectura. Es más dificil, más costoso agregar una funcionalidad después que la aplicación está funcionando.

4. Suma positiva: relación ganar – ganar. No tenemos que pensar que la privacidad va en contra de los negocios, o que voy a perder en seguridad ciudadana (por ejemplo EEUU). Hay que eliminar las falsas dicotomías.

5. Ciclo de vida completo: la privacidad incorporada a los sitemas desde su diseño, implementación, explotación. Los datos acompañan todo el ciclo de vida.

6. Transparencia: de los procesos. Los usuarios deben saber como se tratan los datos personales. Permitir que esos procesos sean auditables y verificables. Este es un valor que tal vez no se vea a simple vista, pero habla de la seriedad de las empresas que genera confianza en los usuarios.

7. Centrado en el usuario. Que sea pensado en términos de usabilidad. Esta es la clave de todo lo que tiene que ver con opciones de configuración. El ususario es el titular del derecho a la protección de datos.

Monteverde finaliza manifestando que lo que quiere trasmitir es el valor que tiene la privacidad en el diseño de las aplicaciones. «Yo me imagino que los autos que venían con los volantes a la derecha y hubo que cambiarlos a la izquierda, fue necesario un diseño, una evolución de muchas cosas al cambiar la forma de manejar.  Por tanto, avanzar en el diseño implica dar un mejor servicio al usuario. Y negarnos a los cambios implica aislarnos del mundo globalizado. La tendencia internacional en protección de datos es a la protección, también en América Latina».

 

Publicado en Gobierno electrónico, Protección de datos | Etiquetado , , , , | Comentarios desactivados en Privacy by Desing