La DNPDP es el órgano de control Argentino, creado para la efectiva protección de los datos personales.

Tiene a su cargo el Registro de las Bases de Datos, instrumento organizado a fin de conocer y controlar las bases de datos.

Asesora y asiste a los titulares de datos personales recibiendo las denuncias y reclamos efectuados contra los responsables de los registros, archivos, bancos o bases de datos por violar los derechos de información, acceso, rectificación, actualización, supresión y confidencialidad en el tratamiento de los datos.

También tiene por función investigar si la base de datos denunciada da cumplimiento o no a los principios que establece la ley.

El día miércoles 21 de abril, no asistimos a la inauguración (pues viajamos ese mismo día) en la que Don Juan Antonio Travieso, Director de la DNPDP daría las palabras de bienvenida.

Nos acomodamos en un hostal en Palermo esa misma tarde y al día siguiente asistimos a la jornada que duraría todo el día.

Algunas caras ya conocidas de seminarios anteriores, un lleno total del evento de gran convocatoria fue la tónica de todo el día. Primero se trataron temas como la importancia de la protección de datos en la economía internacional y a nivel latinoamericano. Uno de los invitados principales para estos efectos fue la AGESIC, pues recordemos Uruguay esta en vías de obtener la adecuación de la Unión Europea. Los brasileros, por su parte, ya aprobaron en una de sus cámaras del congreso el proyecto de acceso a la información pública, el de catastro de deuda positiva y en estudio (entre el Ministerio de Ciencias y Tecnología y el de Justicia) se encuentra en elaboración una ley general de protección de datos. En seguida, los paneles se avocaron a la protección de datos y el comercio, temas como el secreto bancario, los datos personales en la Web y en plataformas de intercambio de servicios como mercado libre.

En la tarde, los paneles desarrollados principalmente vincularon la protección de datos con los derechos del consumidor, y sobre la alianza entre las OMIC (Oficina de Información al Consumidor, el símil del SERNAC en Chile) y  la DNPDP para derivar reclamos de consumidores respecto al tratamiento de datos personales.

Posteriormente, en el panel de “la protección de datos y el abordaje profesional” se debatió cómo este “nuevo” derecho va influyendo en el desarrollo libre de la profesión de abogado, de médico, de auditor, etc. Finalizó la tarde con un panel sobre protección de datos y redes sociales.

En general, quedamos con una visión bastante positiva del evento. Si bien el lugar físico no cumplió nuestras expectativas, sí valoramos la gran convocataria e interés que despierta este tema, que no es del futuro, sino de presente.

Foto: Ciper Chile

Una multa de 80 millones de pesos cursó la Superintendencia de Salud a las ISAPRES Banmédica y VidaTres por intercambio de datos personales de clientes, con la cadena de farmacias Cruz Verde.

Los datos se referían a patologías Auge y a sus medicamentos específicos.  

El Mercurio señaló que “El convenio entre las ISAPRES y la cadena farmacéutica fue suscrito para entregar a los usuarios los beneficios correspondientes a las patologías Auge, y fue descubierto sólo tras la denuncia hecha a la justicia por la abogada Verónica Sánchez, quien advirtió el 8 de abril del año pasado que su diagnóstico médico había sido entregado a la cadena de farmacias, que a su vez le ofrecía los medicamentos para tratarlo”.  

Este acuerdo contemplaba:  

-          uso de medicamentos por patología en unidades y pesos  

 -          medicamentos usados por beneficiarios en unidades y pesos  

 -          costos de los beneficiarios  

-          distribución geográfica del consumo en unidades y pesos  

-          beneficiarios que más utilizan medicamentos en unidades y pesos 

-          tendencias de consumo. 

La ley 19.628 al respecto señala que los datos de salud, pertenecen a la categoría de datos sensibles o especialmente protegidos, entendiéndose por tales aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.   Enseguida,  que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. A pesar de que la norma contempla una serie de excepciones, en el caso de los datos de salud, por pertenecer a una categoría especial de datos personales, no pueden tratarse. La ley fue clara en ese sentido señalando que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular (…) y, agregó una “excepción” adicional: que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares…

Las empresas aludidas tienen cinco días para formular descargos y, de no estar conformes con la sanción, pueden recurrir a los tribunales de justicia. El diario Financiero ya informó hoy que las empresas van a apelar a dichas multas.

La Asociación de Isapres justificó el intercambio, argumentando que “la Isapre entrega información a la farmacia, primero, para saber quién es el afiliado y para saber qué medicamentos entrega”, Rafael Caviedes, director ejecutivo de la entidad.    

Según El Mercurio el traspaso de datos era la única forma de cumplir con la ley que regula el plan Auge, pues las farmacias son las únicas expendedoras de medicamentos autorizadas en el país. También señalaron que “El texto del convenio entre los seguros y Cruz Verde añade que estos datos son confidenciales y que ninguna de las partes podrá divulgar su contenido sin la autorización de la otra”.    

Además, prohíben entregarles información a terceros, salvo a una empresa de informática de su confianza y a una fundación que atiende a pacientes con cáncer.    

La abogada Verónica Sánchez, una de las cerca de 3 mil afectadas por este hecho, anunció que prepara una millonaria demanda civil en contra de estas entidades.

Más info:

Diario Financiero  

Diario El Mercurio  

Diario La Tercera  

Radio BioBio  

Y en Radio Infinita un audio de la abogada Verónica Sánchez.

El panel de Protección de Datos “se quedó abajo” y fue reemplazado por un taller de  “Medios de comunicación y Transparencia”.

El Seminario a realizarse en razón del cumplimiento de un año de la entrada en vigencia de la ley 20.285 los días 20 y 21 de abril de 2010 en Santiago de Chile (en el Centro de Extensión Pontificia Universidad Católica) sería una instancia de debate del tema: “Protección de Datos Personales: el balance con el derecho de acceso a la información”, junto a tres panelistas.

Recordemos que en el Congreso se tramita un proyecto de ley desde octubre de 2008, que contempla un órgano de protección de datos en Chile, una deuda pendiente de la ley 19.628,  que no contempló una autoridad de control en protección de datos. La idea legislativa es modificar la ley 20.285 y la 19.628 otorgando al Consejo para la Transaparencia las facultades de “autoridad de control de protección de datos personales”.

Muy interesante habría sido escuchar la postura del Consejo en esta materia, como futura  autoridad de control y supervisión, como ente autónomo, independiente e imparcial frente a organismos públicos y privados o personas que tratan datos personales.

Esperamos que en futuros encuentros, foros o seminarios el Consejo considere esta materia en su programa.

No obstante lo señalado, destacamos la participación de José Luis Piñar, ex Director de Agencia Española de Protección de Datos, como expositor en el Panel 3 “Sector privado y transparencia”.

(Traducido desde sitio web del Consejo de Europa)

El tratamiento informatizado de los datos personales,  forma parte importante de la vida de los ciudadanos, ya sea en el trabajo, en sus relaciones con las autoridades, en el ámbito médico, cuando compran bienes o servicios, y cuando navegan por Internet.

El derecho a la protección de esta información es también un requisito previo para el ejercicio de otros derechos fundamentales, tales como el derecho a la protección de la intimidad, la libertad de expresión y la libertad de conciencia.

Con el fin de ofrecer protección a todos en este ámbito, el Consejo de Europa elaboró un convenio para proteger los datos personales que sigue siendo el único instrumento jurídico internacional vinculante en este campo. Cualquier país puede adherirse a la Convención, sea o no miembro del Consejo de Europa. (Convenio 108)

El objetivo del Día  de la Protección de Datos, el 28 de enero de cada año, es dar a los ciudadanos la oportunidad de entender qué tipo de datos son recogidos y cuál es su tratamiento, por qué se hace esto, y cuáles son sus derechos .

Es también la oportunidad  de  ser más conscientes de los riesgos inherentes asociados con el uso ilegal o clandestino de procesamiento de sus datos personales.

El día de la protección de datos  es una celebración internacional de la dignidad de la persona expresada a través de la información personal.

Mas información:

• Declaración de la Sociedad Civil Española
• Consejo de Europa
• Grupo Facebook
• Dataprivacyday2010.org

El mismo día (durante la mañana) tendrá lugar el Encuentro Interuniversitario de Derecho y Tecnologías, una instancia de diálogo sobre temas de futuro en materia de Sociedad de la Información. Este evento es gratuito y abierto a toda la comunidad nacional; y en él se conocen y discuten los temas y tendencias que marcarán la pauta de las políticas públicas y privadas del año venidero, particularmente las que versan sobre e-gobierno, e-inclusión, convergencia y derechos fundamentales.

TEMARIO

Dentro de las actividades del día 15 de enero se abordarán, entre otros, los siguientes temas:

Impacto y consecuencias de las reformas a la ley de propiedad intelectual en el mundo digital – Nuevas tendencias jurídicas para una Sociedad el Conocimiento – Hacia el documento electrónico sanitario: fichas médicas, recetas y licencias electrónicas – Nuevas tendencias en la contratación por adhesión. El caso Dell. – El acceso universal a redes de comunicaciones como derecho fundamental. – Órganos decisorios en Transparencia y Protección de Datos. La experiencia europea. – Privacidad y acceso en el marco del gobierno electrónico. La experiencia uruguaya.
El detalle del programa puede verlo en http://www.e-derecho.cl

EXPOSITORES Y PANELISTAS

Presentamos a continuación, en orden alfabético, algunos de ellos y un resumen curricular:

Prof. Dr. Ahti Saarenpää
Licenciado en Derecho y Doctor en Derecho por la Universidad de Helsinski (Finlandia).
Vicepresidente del Consejo de la Oficina de Protección de Datos de Finlandia.
Ex Decano y Profesor de Derecho Privado de la Facultad de Derecho de la Universidad de Laponia, en Rovaniemi. Fundador y Director del Instituto de Derecho Informático de la Universidad de Laponia.
Miembro de la Academia Finlandesa de Ciencias y Letras, sección de Humanidades, y de la IFIP, Federación Internacional para el Procesamiento de Información, en el grupo de trabajo sobre sistemas de información en la administración pública.
El prof. Saarenpää es uno de los más reputados especialistas en la interrelación entre el Derecho y la tecnología de la Europa nórdica.

Prof. Dr. Íñigo de la Maza Gazmuri
Abogado. Doctor en Derecho por la Universidad Autónoma de Madrid. Master of the Science of Law por la Stanford University Law School y Licenciado en Ciencias Jurídicas por la Universidad Diego Portales.
Profesor de Derecho Civil de la Universidad Diego Portales y ex Director del Departamento de Tecnologías de la Información de la Fundación Fueyo.

Sr. Federico Allendes Silva
Abogado. Magíster en Derecho de la Empresa de la Pontificia Universidad Católica de Chile y Licenciado en Ciencias Jurídicas por la Universidad Diego Portales.
Presidente de la Fundación Pro Acceso.

Prof. Dra. Laura Nahabetián Brunet
Abogada. Doctora en Derecho y Ciencias Sociales por la Universidad de la República. Magíster en Ciencias de la Legislación y Governance Política, por la Escuela de Altos Estudios para el Desarrollo Local en el MERCOSUR. Asesora Jurídica en la Cámara de Senadores del Uruguay.
Integrante del Instituto de Derecho Informático de la Facultad de Derecho de la Universidad de la República y Profesora de la misma Facultad.

Prof. Lorena Donoso Abarca
Abogada. Licenciada en Ciencias Jurídicas y Sociales por la Universidad de Chile. Magíster en Informática y Derecho por la Universidad Complutense de Madrid. Doctora (c) en Derecho por la misma Universidad.
Diplomada en Educación a Distancia por la Universidad de Québec. Árbitro de NIC Chile. Directora del Magíster en Derecho de la Informática y de las Telecomunicaciones de la Universidad de Chile y Profesora de Derecho Público de la Facultad de Ciencias Jurídicas y Sociales de la Universidad Central de Chile.

Prof. Patricia Reyes Olmedo
Abogada. Licenciada en Ciencias Jurídicas y Sociales por la Universidad de Chile. Master in Business Administration por la Universidad de Valparaíso. Diploma de Estudios Avanzados (DEA) y candidata a Doctor en Ciencias de la Información por la Universidad Complutense de Madrid.
Jefa de Recursos Legales de la Biblioteca del Congreso Nacional.
Profesora del MBA de la Universidad de Valparaíso.

Srta. Romina Garrido Iglesias
Abogada. Candidata a Magíster en Derecho de la informátioca y de las Telecomunicaciones por la Universidad de Chile.
Licenciada en Ciencias Jurídicas y Sociales por la Universidad de Valparaíso. Diplomada de Postítulo en Derecho Informático por la Universidad de Chile.
Abogada del Área de Recursos Legales de la Biblioteca del Congreso Nacional.

Prof. Dr. Salvador Millaleo Hernández
Abogado. Doctor en Sociología por la Universidad de Bielefeld (Alemania). Licenciado en Ciencias Jurídicas y Sociales por la Universidad de Chile.
Profesor de la Universidad Diego Portales.

INSCRIPCIONES / INVITACIONES
El Encuentro Interuniversitario de Derecho y Tecnologías 2010 es un evento abierto y completamente gratuito a la comunidad nacional, teniendo sólo como restricción el aforo de la Sala; se certificará la asistencia. Para participar, basta con enviar esta FICHA DE INSCRIPCIÓN al correo electrónico instituto@e-derecho.cl

El Seminario de Transparencia y Protección de Datos. Análisis Crítico es un evento gratuito para la comunidad nacional, pero para participar del mismo se requiere invitación previa.
Si es de su interés asistir a esta actividad, pueden solicitar su invitación, indicando nombre, correo electrónico y teléfono de contacto al correo electrónico instituto@e-derecho.cl

Fuente

Sólo el 3% de las reparticiones dependientes de los ministerios sociales tienen inscritas las bases de datos con información de ciudadanos que usan en sus entidades. Ésa fue la conclusión de un estudio de la Fundación Pro Acceso que involucró a 164 servicios, programas o beneficios de los ministerios de Vivienda, Salud, Educación, Trabajo y Planificación, y el Servicio Nacional de la Mujer. El trabajo, uno de los más extensos que se ha desarrollado usando la Ley de Transparencia, se realizó a partir de un cuestionario de siete preguntas enviado durante el mes de septiembre a las reparticiones.

Sin embargo, los resultados muestran un panorama preocupante, según plantea Federico Allendes, abogado y presidente de Pro Acceso. “Hay un escaso cumplimiento de la ley sobre protección de datos y vida privada. Porque de los 50 servicios que respondieron formalmente, hubo 39 que reconocieron tener bases de datos personales, y de ésos solamente 5 han cumplido con su deber de registrarlas ante la entidad correspondiente, que es el Registro Civil”, señala.Este hecho, añade Allendes, es un incumplimiento de la Ley 19.628, que protege los datos personales, ya que los servicios están obligados por esa norma a registrar sus bases de datos, y deja en una abierta desprotección a los ciudadanos. “Es un problema muy serio, porque el estudio demuestra que los ciudadanos no tienen cómo saber qué tipo de datos tiene el Estado sobre ellos”, dice.

Además, el estudio reveló que sólo 5 servicios afirmaron tener un encargado para el tema de las bases de datos, y que son escasas las medidas de seguridad adoptadas por los organismos para proteger dicha información.

“Hay una gran desprotección que implica un desafío enorme para el futuro, porque Chile ingresó a la OCDE, y dentro de las políticas de ese grupo está la protección de datos. En este momento estamos con un proyecto en el Parlamento para tratar de alcanzar el nivel OCDE; sin embargo, las prácticas actuales no están en ese nivel”, plantea Allendes.

Ante este panorama, la Fundación Pro Acceso acudirá hoy al Consejo para la Transparencia, organismo facultado para velar por el manejo de las bases de datos en el sector público, para hacer entrega del estudio y solicitarle acciones respecto del tema, ya que, según concluye Allendes, “no hay políticas claras ni normas técnicas sobre las reglas de seguridad que se debieran seguir en el manejo de las bases de datos. No se está cumpliendo la ley actual por ningún lado”.

Bajo cumplimiento de la Ley de Transparencia

Otro elemento del estudio que fue mal evaluado por Pro Acceso fue el nivel de respuesta de los organismos públicos.

“Del 100% de la muestra, solamente un 30% respondió satisfactoriamente, lo que es un nivel muy bajo”, señaló Federico Allendes. El 28% no emitió respuesta alguna y el 34% respondió formalmente l solicitud, pero sin contestar el cuestionario, lo que también será puesto en conocimiento del Consejo para la Transparencia, para que tome las medidas correspondientes en el tema.

“El estudio demuestra que los ciudadanos no tienen cómo saber qué tipo de datos tiene el Estado sobre ellos (…) Hay una gran desprotección que implica un desafío enorme”.

El estudio se encuentra disponible aquí.

El primer expositor Marcelo Bauzá de Uruguay, Secretario General de la FIADI, nos presentó la ponencia “Criterios para armonizar la protección de datos personales y el acceso a la información pública”, señaló los principios que deben observarse en la regulación de protección de datos y como éstos deben manejarse frente al acceso a la información pública. Señaló los avances de la legislación uruguaya en ambas materias y como éstas deben coexistir.

Posteriormente Viviana Iglesias de Argentina, Presidenta de la Asociación Argentina de Derecho Informático, se refirió entre otros temas, a los ficheros de solvencia patrimonial y crédito en cuanto a su regulación en dicho país.

Iván Ferrando de Perú, Presidente del Centro de Centro de Estudios de la Sociedad y Tecnologías de la Información, nos comentó sobre la regulación existente en  su país, los desafíos pendientes y el trabajo de la Red Iberoamericana de Protección de Datos, en cuanto al cumplimiento de los estándares internacionales.

Finalmente Romina Garrido, coautora de este sitio, abordó el tema del tratamiento de datos personales por organismos públicos en Chile, como un límite al derecho de acceso a la información, exponiendo la situación actual chilena a frente a la ley 19.628 y la ley 20.285.

La presentación puede visualizarse acá:

[slideshare id=2511453&doc=ponenciaperoriginal-091116104122-phpapp01]

La propuesta ha sido elaborada en el último año bajo la coordinación de la Agencia Española de Protección de Datos (AEPD). Artemi Rallo explica que “estos estándares son una propuesta de mínimos internacionales que recogen un conjunto de principios y derechos que permitan alcanzar el mayor grado de consenso internacional”. A pesar de la aprobación, el documento no tiene valor vinculante. “Tendrá un inmediato valor como referencia y sobre todo como punto de partida para aquellos países que aún no tienen una legislación sobre la materia”, asegura el director de la AEPD.

Entre los principios básicos que deben regir en la utilización de datos personales, están los de lealtad, legalidad, proporcionalidad, calidad, transparencia y responsabilidad. Además, contempla la necesidad de la existencia de autoridades de supervisión, y de que exista una cooperación y coordinación entre los diferentes estados. Además, conjunto de derechos, como el de acceso, rectificación, cancelación y oposición, y la forma de ejercitarlos.

También incluye deberes como el de seguridad de los datos personales -a través de las medidas que resulten idóneas en cada caso- o el de confidencialidad, que afecta tanto a la persona responsable como a quienes intervengan en cualquier fase en la que se manejen datos personales.

El documento se detiene a definir los datos sensibles como aquellos que afectan a la esfera más íntima de la persona o cuya utilización indebida pueda dar origen a una discriminación ilegal o arbitraria, o conllevar un riesgo grave para la misma.

Por otra parte, el texto recuerda que, como regla general, podrán realizarse transferencias internacionales de datos personales cuando el Estado al que se transfieran los datos ofrezca, al menos, el nivel de protección previsto en el documento; o cuando quién pretenda transferir los datos, garantice que el destinatario ofrecerá el nivel de protección requerido, por ejemplo, mediante las cláusulas contractuales apropiadas.

Uno de los capítulos más relevantes del documento es el referido a las medidas proactivas, por el cual se insta a los Estados a promover el mejor cumplimiento de la legislación aplicable en materia de protección de datos, a través de instrumentos como el establecimiento de procedimientos destinados a prevenir y detectar infracciones, o la realización periódica de programas de concienciación, educación y formación.

Apoyo empresarial

Un grupo de 10 grandes empresas (Oracle, Walt Disney, Accenture, Microsoft, Google, Intel, Procter & Gamble, General Electric, IBM y Hewlett-Packard) han firmado una declaración en la que acogen con satisfacción la iniciativa de la 31 Conferencia Internacional de explorar marcos para una mejor coordinación global de los distintos regímenes de privacidad.

Fuente: Telecinco

Sólo hay que REGISTRARSE… así de simple:

Basta con tener una tarjeta BIP, ingresar a http://www.metro.cl/ o inscribirse en cualquiera de los stands que se encuentran ubicados en diversas estaciones del metro.

El Formulario de Registro exige los siguientes datos personales:

Nombre, Apellidos,  Sexo, F. Nacimiento, Profesión, Nivel Educación, E-Mail, Fono, Dirección, Comuna, Ciudad, y el N° de Chip de la Tarjeta Bip!

Lo curioso e interesante es que, por una parte, se está pidiendo el número de chip de la tarjeta BIP, con el cual podrán trazar todos tus recorridos, tanto en el tren como en los buses, por lo tanto, la empresa pública accederá a la información de la fecha de traslado o recorrido, hora, punto de partida y término del viaje, entre otros.

En segundo lugar, NO existe en alguna parte del sitio Web y menos en el momento en que el usuario pretende registrarse las Condiciones o Políticas de Privacidad que se aplicarían en el “Club Metro”, es decir, cláusulas que informen a quienes entregamos datos personales sobre el uso y los fines que el sujeto encargado del tratamiento de datos le dará a la información personal que recolecta.

Más claramente: se hace un llamado a la población para registrarse en una base de datos en el que no se informa cuál es el fin perseguido con el almacenamiento de estos datos (salvo el de otorgar beneficios de índole gastronómico y cultural), el uso que harán de los datos a que accedan, del ente encargado del tratamiento del dato, de su posible trasmisión o cesión a terceros, del tiempo en que dichos datos se mantendrán almacenados, etc.

En países como Estados Unidos, esta práctica existe de manera informada para los ciudadanos, quienes están conscientes de la “venta o intercambio” de su datos personales  obteniendo por ellos distintos beneficios, premios o simplemente dinero.

En el caso de Metro, es importante al menos preguntarse: ¿Cuál es el objeto de esta recolección? Si consideramos que el Metro de Santiago poco o nada tiene que ver con la administración de la tarjeta BIP, que es realizada por el Administrador Financiero del Transantiago, ente encargado además de la recaudación y distribución de los ingresos entre los operadores del Transantiago y de la tarjeta, y de su comercialización.

La otra pregunta que surge es: ¿Quién es el responsable de la base de datos? ¿Quién será el encargado del tratamiento de los datos de los usuarios de las tarjetas BIP? Si es el AFT, ¿podrá ceder la información que recoja a las empresas que la constituyen (Banco Estado, Banco de Chile, BCI, Banco Santander Santiago, Promotora CMR Falabella, Sonda)?…

Needish se define como una red social que “busca resolver necesidades locales en todo el mundo”. Existe desde marzo de 2007 y está formada por un grupo internacional de jóvenes. Las personas publican sus necesidades y las empresas suscritas ofrecen sus servicios. La casa matriz se encuentra en Estados Unidos y el desarrollo de sus oficinas en Santiago de Chile.

No todas las personas previenen lo que significa entregar sus datos personales al inscribirse en una red social y tampoco se preguntan qué hace la empresa cuando recibe esta información. En el caso de quienes si lo pensamos, buscamos que al menos el contrato (términos de uso y la política de privacidad) se encuentren en el idioma nativo, en este caso, español.

Preguntamos a Needish por qué estando la plataforma en varios idiomas las Políticas de Privacidad y los Términos de Uso están disponibles en inglés. ¿Cómo deben hacerlo las personas que no hablan el idioma? ¿Están cumpliendo con los principios generales de contratación y de protección de datos en particular? La respuesta fue:

Hola Needish es una empresa de Estados Unidos, por eso las políticas están en inglés.

El Disclaimers que aparece en el sitio señala que

Para clientes que hablan español: Needish.com y otros dominios y servicios de Needish se encuentran disponibles en varios idiomas. Los contratos que rigen tu relación con Needish se encuentran en inglés.

Una respuesta que por cierto no satisface ni mínimamente a los usuarios, puesto que servicios como Facebook, Gmail, Yahoo, Hotmail, entre otros, que son empresas norteamericanas, publican sus contratos en español. Francamente, esto es un abuso.

Por otra parte, importante resulta saber que, conforme a la traducción de las Políticas de Privacidad, Needish:

1. Puede utilizar y divulgar la información para varios propósitos.

2. Puede recoger automáticamente cierta información, analizar el uso del sitio, tal como su IP address, tipo de navegador, páginas alcanzadas, y duración de la visita. Esta información no necesariamente permite identificarle personalmente. Si esto se hace, se trata como información personal bajo esta política. Al asociar o combinar la información con la información personal, trataremos la información asociada o combinada como información personal bajo esta política.

3. Puede recibir la información sobre usted, incluyendo la información personal, a partir de los terceros, y podemos combinar esta información con la otra información personal que mantenemos sobre usted.

4. Puede utilizar la información personal para proporcionar los servicios y la información que usted solicita y para realizar mejoras en el sitio. (Esta misma cláusula autoriza el envío de comunicaciones –publicidad- pudiendo desactivar dicha opción).

5. Respecto a la protección de datos, el sitio se aloja en Estados Unidos y se piensa que sus visitantes son generalmente de Estados Unidos. Si el usuario es de la Unión Europea o de otras regiones con leyes de protección de datos, debe ser conciente que se está transmitiendo información personal a los Estados Unidos donde no existen las mismas leyes de la protección de datos que la UE y algunas otras regiones. Proporcionando la información personal, usted consiente a la transferencia de ella a los Estados Unidos y al uso de él de acuerdo con esta política

¿Hay normativa a este respecto? Desde luego, Chile posee una ley de protección de datos, y que consagra principios como el de información, consentimiento informado, finalidad, entre otros; lamentablemente, no contempla sanción alguna para quienes infrinjan dichos principios, quedando al desamparo la protección de nuestros datos de carácter personal. No obstante lo anterior, conforme a la normativa nacional de protección al consumidor –Ley N° 19.496-, la empresa Needish, como intermediario de empresas y personas para que éstas concreten una relación de consumo, estaría vulnerando lo dispuesto en el artículo 17° de la ley, que obliga que los contratos de adhesión estén escritos en idioma castellano. Pero nos hacemos la siguiente pregunta ¿Es Needish una empresa que ejerce actividades regidas por la ley del consumidor conforme al artículo 2° de la ley?

Se trata de reglas o normas de conducta sobre el tratamiento de datos que se autoimpone el que solicita y trata la información personal. Encontramos (o deberíamos encontrar) políticas de privacidad en todos los sitios Web que exijan el registro o bien ofrezcan productos o servicios y tengan formularios donde se soliciten datos personales.

En ciertos casos, debemos leer estas políticas y aceptarlas para poder completar el registro y, en otros, sólo aparecen de manera informativa.

Se trata, en definitiva, de códigos o normas de conducta autoimpuestos por que el trata los datos. La Directiva Europea reconoce los códigos de conducta como una forma de autorregulación y promueve su formación entre los organismos de los diversos sectores económicos que tratan datos para cumplir sus propios fines específicos.

Sin querer entrar en el detalle sobre la validez y real efectividad, las políticas de privacidad son una manifestación de los principios de información, lealtad y finalidad en el tratamiento de datos. Más aún, cuando se trata de tratamiento de datos con características especiales como el tratamiento de datos de menores, lo que como hemos mencionado anteriormente, que consideramos información sensible.  Es indispensable que los sitios que incorporan esta información en bases de datos informen sobre su uso, más aún se exige lo anterior cuando la información es recolectada por organismos públicos, pues de este último esperamos una tutela efectiva de nuestros derechos.

Un mal ejemplo de lo anterior es el concurso educativo “Maratón Minera” organizado por un servicio público que solicita el llenado de un extenso formulario donde “un profesor”  -y no el propio alumno, según los organizadores- debe señalar diversos datos de menores alumnos tales como nombre, edad, domicilio, curso, colegio, etc., y donde lamentablemente no se visualiza por ninguna parte del sitio las Políticas de Privacidad o el uso de la información personal que ha sido solicitada.

Sin embargo, no sólo el Estado es infractor, son muchos los ejemplos (salo, Pascualina), donde a través de atractivas imágenes se solicitan datos personales de menores con el fin de participar en concursos o ser parte de una red social.

En otros casos, como Panini, encontramos políticas sobre el tratamiento datos, lo que se valora , pero lamentablemente se trata de un extenso formulario, que si bien cumple con la finalidad perseguida, los datos al ser solicitados a menores debieran redactarse de manera tan atractiva como el formulario en que les son solicitados sus datos, para así garantizar su real conocimiento y entendimiento.

Fuente : Terra.cl

Nos enteramos esta semana de un grave error de seguridad informática cometido por la Junaeb que afectó los datos personales de miles de estudiantes chilenos. Se trata de la publicación, por más de dos semanas, de los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes.

Fuente Terra

La irregularidad fue detectada por un usuario del portal de  Terra, específicamente un programador, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas. La información estuvo expuesta en Internet y era accesible desde Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.

De acuerdo a la profesora Lorena Donoso en el artículo datos personales en el sector de la educación, compartimos la idea que el estándar de protección que debe cumplirse, por parte de las entidades ligadas a la educación, es de estricta seguridad.

Ello por varias consideraciones:
1.    El objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente los derechos de los titulares.
2.    En el caso de los niños y jóvenes que integran el sistema educacional, es necesario proteger los intereses superiores de éstos, por tanto, sus datos personales deben ser tratados de acuerdo a este interés.
3.    Como estos datos se refieren a la formación de la persona, y siendo la creación de hábitos fundamental en el proceso educativo estos datos deben ser tratados como datos sensibles, esto es, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

En el sitio Web de esta institución pública no encontramos ninguna alusión a los sucedido ni siquiera disculpas públicas o referencias ante este grave hecho, en el cual, si bien creemos se trata de un error involuntario, no es menor que esto significó la difusión de datos de menores de edad relacionados con su situación socioeconómica y nivel educativo.

El tratamiento de datos que debe seguirse por los organismos públicos debe cumplir el principio de seguridad como principio general, éste se contiene en el artículo 11 de la ley 19.628 : “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Las demás obligaciones, como el registro que contempla el Art. 22 de la ley no aluden al cumplimiento de estándares específicos de seguridad; por otra parte, las sanciones y responsabilidades específicas en este caso, se reducen a la aplicación del Art. 23 de la misma ley.

El proyecto de ley, en actual tramitación en el Congreso, incorpora tres nuevos incisos al artículo 11, señalando que el responsable del tratamiento deberá administrar las medidas técnicas y organizativas que garanticen la seguridad de los datos. Estás serán fijadas por reglamento.

En España el Real Decreto 994-1999 reglamenta las medidas de seguridad que han de guardar los ficheros automatizados que contengan datos personales, estableciendo distintos niveles (alto, medio, básico), correspondiendo para esta clase de datos “alta seguridad”. De la misma forma, hay referencia a los controles de seguridad, responsables y responsabilidades sancionables de acuerdo a la LOPD.

Artículos relacionados:

Medidas de seguridad. Guías prácticas de Microsoft para la adaptación a la LOPD

Seguridad-informatica.cl

Principio de seguridad en la LOPD

El bien jurídico protegido es la libertad informática o la autodeterminación informativa, concluyente con la denominada “intimidad informática”, que abarca la reserva y control de la información de carácter personal en aras de la preservación de la propia identidad, dignidad y libertad, lo que se ha dado en denominar “derechos de la tercera generación”.
La doctrina extranjera ha constatado dos niveles de protección en el tratamiento de los datos personales:
1) El primer nivel consiste en una serie de reglas de carácter técnico-sustantivo (que involucran garantías que pueden confundirse con los principios que protegen el tratamiento de datos).
2) El segundo nivel está dado por los principios que fundamentan la garantía de juridicidad en sede constitucional del tratamiento de datos.
1) Reglas Básicas. Estas reglas fueron inspiradas por el Convenio 108 del Consejo de Europa:
• Que el tratamiento de datos persiga una finalidad legítima. El tratamiento del dato ha de ser necesario para el cumplimiento de aquella finalidad.
• El tratamiento, además de necesario, ha de ser adecuado, razonable a la vista del fin que se pretende.
• La recogida leal de los datos, por tanto, el consentimiento informado del titular de los datos o la autorización legal se requerirán en este contexto.
• La calidad de la información sometida a tratamiento, que consiste en la veracidad, exactitud y actualidad de los datos personales.
• Las cautelas a observar en los supuestos en que se ceda esa información personal y a la necesidad en que sólo se ceda cuando exista consentimiento previo del interesado o autorización legal, se guarde conexión de finalidad y proporción.
Estas reglas, junto a la normativa, son las que deben considerarse en todos los momentos o fases por los que puede pasar el tratamiento de los datos. Se trata de 3 etapas:
1. El momento de recabar los datos. Tendrá importancia la licitud y lealtad, además de conocimiento o consentimiento del afectado, según el caso.
2. El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática junto con otros datos, buscando definir un perfil determinado del afectado, que incluso él mismo llega a desconocer.
3. El momento de la utilización y, en su caso, comunicación a terceros de los resultados de ese tratamiento. Se tendrá que considerar, igualmente, el conocimiento y consentimiento del titular.

2) Principios del derecho de la protección de datos personales. Tres de los más importantes principios son:
1. El consentimiento del titular de los datos, es el único que decide cuándo, dónde y cómo se prestan sus datos al exterior, o se dan a conocer a terceros. Sin embargo, este principio tiene excepciones en las distintas legislaciones.
2. La calidad de los datos.
3. La información al recabar los datos. Es decir, todo ciudadano tiene derecho a conocer la información almacenada sobre sí mismo, sobre la finalidad de la recogida, de la identidad del responsable del fichero y de los destinatarios de la información. Asimismo, ser informado respecto del derecho que tiene de ejercitar el acceso al banco de datos para saber qué datos de él se mantienen y, en su caso, exigir la rectificación o cancelación de los mismos cuando sean inexactos, obsoletos o no adecuados al fin perseguido.
Otros principios son el de licitud, de la finalidad o unicidad, proporcionalidad, veracidad, caducidad, rectificación y cancelación, y legalidad.

Conclusión. Nuestra legislación, Ley Nº 19.628, sobre Protección de la Vida Privada, no obstante lo descrito precedentemente, no logró plasmar en su letra en forma clara toda aquella sistematización. No obstante, con el proyecto de ley, actualmente en el Congreso, se prentende incorporar y fortalecer las reglas y principios descritos.
Esperamos que el proyecto sea aprobado íntegramente por ambas cámaras.

Imagen extraida de la presentación del III Encuentro de Derecho y Tecnologías (U Chile)

Durante la semana pasada fue lanzada en Chile una nueva página Web de servicios, denominada WHO?, definido como “un buscador de personas para adquirir información de éstas y así conocerlas más al momento de relacionarnos con ellas. Por medio de consultas en línea a fuentes públicas de Chile, podrás obtener información civil, comportamiento comercial, direcciones y teléfonos públicos, entre otra información pública disponible”.

Pero, antes de continuar, ¿recuerdan a Felipe Barriga Richards? ¿El estudiante de Ingeniería de la UTFSM con su sitio Web STASI? Bueno, este estudiante publicó en esa página, en el mes de enero de 2009, datos personales de aproximadamente 6 millones de chilenos, tales como número telefónico, dirección, cédula de identidad, mail, lugar de estudios, entre otros. Como pueden darse cuenta, se trata de la misma idea de la empresa “AxonAxis” con su herramienta WHO?, la diferencia radica en que, en este último caso, deberá pagarse por el servicio.

La pregunta es: ¿Puede concentrarse esta cantidad de datos personales en un sitio Web sin el consentimiento de los titulares de esos datos? La respuesta es positiva, este tipo de sitios estarían permitidos por la ley, independiente de lo cuestionables que son. La razón: se trata de datos personales contenidos en FUENTES DE ACCESO PÚBLICO, y que por lo tanto, no requieren para su tratamiento el consentimiento de sus titulares.

La misma ley de protección de la vida privada – N° 19.628-, señala que “fuentes accesibles al público” son los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes. Es decir, cualquier dato que esté disponible públicamente, y con ello queremos dejar de manifiesto que el hecho de tener acceso libre a estas recopilaciones de datos dependerá sólo de la voluntad del tenedor de la base de datos. Además, la Ley dispone que cuando los datos provienen o se recolectan de fuentes accesibles al público NO se requiera autorización o consentimiento de las personas para proceder a su almacenamiento, cesión, o cualquier tipo de tratamiento. Este punto es sensible, debido a que cuando la persona autoriza el almacenamiento de sus datos, debe ser debidamente informada respecto del propósito de ese almacenamiento y su posible comunicación al público. En este caso, no existe autorización ni información respecto a los fines o su comunicación a terceros.. Un ejemplo es DICOM, empresa privada que mantiene un registro de acceso público de información acerca de la actividad de las personas en el sistema financiero y comercial.

Volviendo a WHO?, instalamos la aplicación que solicita el sitio Web, buscamos, y ¿qué podrían saber de mi? Nombre, edad, domicilio, teléfono, actividad, fecha de matrimonio o defunción, datos comerciales como propiedades, préstamos o protestos, todo desde $1.990 pesos (poco más de 5 USD) hasta un informe completo de mi persona, a gusto del consumidor por solo $10.252 pesos (poco más de 20 USD).

Sin duda, esto causa un poco de pudor. Pero vamos, seamos realistas, pocos son los realmente concientes del valor de los datos personales, damos el RUT en numerosas tiendas para obtener descuentos, y participamos en todo tipo de promociones gratuitas donde sólo nos piden un poco de información personal.

Lamentablemente, como lo señalamos, esta empresa actúa al amparo de la Ley N° 19.628, pues en la opinión de la profesora Lorena Donoso, que asesora a TryWho, los datos son recogidos de diversas fuentes accesibles a público: “Una fuente de acceso público, de acuerdo a la ley, es aquella cuya consulta no está restringida a los solicitantes y por tanto cualquiera puede consultar. La importancia de Who en este sentido está dada porque la persona podrá acceder fácilmente a este tipo de información, conociendo la fuente de la cual proviene. En caso que se incluya información que la persona considera privada, podrá exigir a la empresa que la provee que no siga comunicándola”.

Complementamos esta opinión con tres ideas:

1)     Qué entendemos por tratamiento de datos, esto es, la actividad que realiza la empresa TryWho. Tratamiento de datos según la ley, es cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.

2)     Respecto al consentimiento de los titulares de los datos para el tratamiento, la ley señala noblemente que “el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. La persona que autoriza debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público. Además, la autorización debe constar por escrito, pudiendo ser revocada, aunque sin efecto retroactivo, lo que también deberá hacerse por escrito.

Sin embargo, no requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.

En este sentido, la excepción es tan amplia que, en definitiva, casi todos los datos relevantes para una persona se pueden tratar sin autorización.

3)     Finalmente, ¿qué es lo que determina la fuente accesible al público? Pues queda al mero arbitrio del responsable del registro o base de datos, es decir, a la persona jurídica o natural o el respectivo organismo público, a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal, el hecho de decidir si tal o cual base de datos tendrá acceso no restringido o público.

Para concluir, les comentamos que en el proyecto de ley que modifica la ley de protección de datos, entre otras interesantes reformas, contiene un nuevo concepto de fuentes accesibles al público, haciéndose cargo de las deficiencias que presenta el concepto actual contenido en la ley.

El nuevo concepto dice así: Son los “registros o recopilaciones de datos personales, públicos o privados, cuyo acceso no se haya restringido o reservado sólo a los titulares e interesados en los datos personales que contiene, y que no hayan sido calificado como reservados o secretos en la normativa específica que les rija, tales como, la estadística de los censos; los listados telefónicos en los términos previstos por su normativa específica; las listas de personas pertenecientes a grupos de profesionales que voluntariamente se hayan incorporado, consintiendo en el tratamiento público de sus datos, y que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, domicilio o residencia e indicación de su pertenencia al grupo; los diarios y boletines oficiales; y los medios de comunicación social.

El responsable del banco de datos deberá arbitrar las medidas necesarias para la correcta identificación por los titulares de datos, de la condición de fuente accesible al público.”

Como información adicional, estén atentos a la publicidad que se le dará a la herramienta Who?, que como pudimos observar en una ponencia que realizó la empresa “AxonAxis” en el mes de octubre de 2009 en el “III Encuentro de Derecho y Tecnologías de la Facultad de Derecho de la Universidad de Chile”, ésta se basa en una campaña bastante especial:

QUIÉN?

¿Quién va a cuidar a mi hijo? (violencia en niños por asesoras del hogar)

¿Quién me está comprando el auto? (caso Lapostol)

Saquen sus propias conclusiones.

Nota: Reportaje Teletrece – Datos personales en Internet: ¿Invasión a la privacidad?

La ley de acceso otorgó como  sabemos facultades al Consejo de la Transparencia para velar por el adecuado cumplimiento de la ley de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado, entre muchas otras funciones relacionadas con la transparencia de la función pública.

Este nuevo proyecto, lleno de buenas intenciones,  señala las falencias de la ley 19. 628 y algunas formas en que busca subsanarla.

Tambien se manifiesta la urgente necesidad de contar con la autoridad de control, la necesidad de adecuar nuestro ordenamiento jurídico a las recomendaciones de la OCDE, la necesidad de un registro, la protección de datos a las personas jurídicas,  el establecimiento de sanciones reales en casos de infracción y un ejercicio expedito del habeas data. En definitiva las modificaciones que reconocen el olvidado principio de control, entendido como el derecho del titular de los datos a controlar los mismos. Prácticamente se modifican todos los artículos de la ley.

Lo novedoso es que modifica la denominación del consejo para la transparencia y lo llama  Consejo para la Transparencia y Protección de Datos Personales. En general las facultades del consejo se amplían en este sentido: se crea un Registro Único Nacional de las Bases de Datos, sean estas de origen público o privado, Fiscalizar el cumplimiento de las normas sobre tratamiento y protección de datos, dictar instructivos, Conocer de las reclamaciones de particulares relacionadas con el ejercicio de sus derechos.

Tendremos un Consejo ocupado de una de las dos más importantes y sensibles materias que atañen al funcionamiento adecuado de un país: la transparencia y acceso de la información pública y el acceso a la información y la protección de la vida privada.

La experiencia internacional nos dice que esto ultimo se devora a la primero. ¿Y que es lo más relevante? ¿Por que no tener dos instituciones independientes, especiales que velen por uno y otro tema?

En Inglaterra la Oficina del Comisionado para la Protección de Datos, actualmente denominada Oficina del Comisionado de Información, existe este eterno conflicto sobre determinar la supremacía de alguno de estos derechos.

¿Cómo se resuelve? Nada más que ponderando el daño y el balance del interés público. Así para lograr determinar que derecho prevalece debemos estar frente al supuesto concreto que se plantee y atender a los criterios de equilibrio para garantizar el respeto de ambos. Y este juicio de proporcionalidad corresponde tanto a los tribunales ingleses, que deban conocer de conflictos planteados en esta materia como a los operadores jurídicos y a los órganos administrativos que en el desarrollo de sus funciones deban atender peticiones de acceso a documentación administrativa que contenga datos personales.

Por otro lado, tanto a sido el impacto que la función de acceso quedo relegada a un segundo plano, y el propio gobierno del Reino Unido es hostil a la ley de acceso, nadie quiere dar la información a menos que pueda controlarla.