Introducción

If Data is the new oil

¿cómo podemos proteger algo tan valioso de la manera más adecuada?

Sabemos que los datos son el insumo indispensable para hacer analytics, pero como materia prima debemos de poder garantizar su continuidad, calidad y regularidad legal para que el resultado final pueda ser utilizado comercialmente.

  • Consentimiento de los usuarios para la obtención y legitimación de datos en un nivel conceptual.
  • Implicaciones de hacer analytics en la nube, es decir, que sucede cuando hay dos o más jurisdicciones involucradas y filtros de seguridad requeridos legalmente.

Casos

  • Derecho al olvido
  • NSA
  • Sealand

Consentimiento de los usuarios

¿Por qué nos importa aprender más sobre este tema si ya “funciona” en el día a día?

La relevancia de entender desde otra perspectiva el consentimiento de los usuarios:

  1. Garantiza una mejor protección legal del propietario de los datos.
  2. Al no tener una autoridad especializada, en caso de un conflicto judicial contar con un acuerdo mucho más claro, permite una mejor y más rápida resolución. (Recordar ejemplo de la importancia de la predictibilidad legal).

Problema

En términos generales las TICs no ponen suficiente atención a la forma en la que los usuarios otorgan su consentimiento para la obtención y tratamiento de sus datos personales. Esto principalmente debido a que los usuarios no cuentan con información suficiente de la finalidad y alance de su consentimiento.

Abordaje de este tema en EE.UU.

  • Un End User Licence Agreement (EULA) tiene por objeto el otorgamiento del consentimiento para un determinado fin. No obstante consideramos que existe un campo importante de ambigüedad que vale la pena tener en mente.
  • Un EULA tiene por objeto dos cosas: 1) Publicidad legal (Disclosure); y 2) Otorgamiento efectivo y eficiente del consentimiento del usuario final.
  • Los EULA se presentan como un texto legal con un cuadro al final donde se puede aceptar o declinar. Una vez aceptado se instala el programa correspondiente.
  • Aceptar” en realidad no implica en forma alguna la comprensión, somos pocos los que leemos detalladamente las implicaciones legales de instalar una nueva app o software.

Esto deriva en actividades indeseables o riesgosas tales como anuncios por medio de pop-ups, violaciones a la privacidad e incluso riesgo de fraudes.

Estrategias de Protección

Pure Software Labelling

La solución es poner la información de forma sumamente sintética e ilustrada que permita al usuario entender rápidamente cuáles son las actividades que ejecutará el programa. El principal problema es que este requisito debe ser legislado y obligatorio.

EULALyzer

Un programa que analiza las palabras clave y determina el nivel de riesgo y obligaciones que implica dicha EULA así como los cambios más trascendentes que pretende llevar a cabo.

TRUSTe

Es una organización sin fines de lucro cuyo objeto es “certificar” que una página o software cumplen con las “buenas prácticas” en materia de privacidad y seguridad.


Análisis de datos en la nube

“La nube” es un término que utilizamos habitualmente para referirnos al conjunto de medios remotos de almacenamiento multimedia, accesible por medio del internet y que ofrece principalmente tres tipos de servicios:

  • Software as a Service (SaaS).- Uso de software que corre en la nube.
  • Plataforms as a Service (PaaS).- Desarrollo de software con apps en la nube.
  • Inaformation as a Service (IaaS).- Servicios de procesamiento y almacenamiento.

Estos servicios comenzaron a ofrecerse al público a principio del año 2000 y han permitido una verdadera revolución en el análisis de datos.

Ventajas de la Nube

  1. Gran facilidad para recolección, almacenamiento y tratamiento de Big Data.
  2. Una inversión absolutamente mínima por resultados esencialmente iguales.
  3. No hay costos de mantenimiento ni insumos fijos de los servidores.
  4. Aumento exponencial y flexible de la capacidad computacional.
  5. Se han abierto oportunidades a escala para desarrollar cientos de nuevos productos informáticos en colaboración.

Todo bien hasta ahora, entonces ¿dónde está el problema?

  • La clave aquí es la privacidad y la protección de los datos personales. Aquella persona que da su confianza a un proveedor de servicio de almacenamiento o procesamiento en la “nube”, necesariamente extiende su confianza a los terceros que tengan acceso a la misma.
  • La nube actúa como una “caja negra” donde el proveedor tiene pleno control de una gran variedad y cantidad de información que varía desde extremadamente sensible a información pública recopilada.
  • MÁS IMPORTANTE AÚN es cuando damos el siguiente paso y se insertan algoritmos de IA. Esto debido a que en realidad no se da ninguna garantía por los proveedores del servicio de la nube respecto al uso futuro de los datos en principio propiedad del usuario.

Una solución plausible es encriptar la información, pero esto adiciona una complicación y costo a los ya de por sí complejos mecanismos de análisis.

Soluciones planteadas

  • Tecnología. Que por sí misma ha probado ser insuficiente cuando no se acompaña de prácticas y políticas apropiadas tales como:
    • Cohabitación de datos de sensibilidad similar.
    • Un esquema claro de las amenazas plausibles para la nube.
    • Mecanismos que finquen responsabilidades por la protección de los datos así como controles internos de distribución de información.
  • Políticas y directivas internas.
  • Legislaciones estatales y federales.

Breve reseña de la protección de datos en la UE y EUA

No existe a la fecha una definición unitaria de privacidad.

  • Desde una vertiente positiva: poder accesar a información ajena.
  • Desde una perspectiva una negativa: implica la imposibilidad de que alguien accese a mi información privada.

¿Qué conflictos caracterizan al tratamiento de datos en la nube?

  1. La naturaleza internacional del procesamiento de datos.
  2. La multi direccionalidad de los datos.
  3. La tendencia a que los procesos de análisis se hagan por terceros especializados.

Estos factores continuamente llevan al límite los mecanismos legales habituales que conocemos tales como los contratos, convenios, cartas de intención, NDA, Non-compete, etc.

¿Qué pasa cuando los datos se transfieren a través de líneas estatales, fronteras nacionales y servidores en varios lugares del planeta?

La complejidad aumenta exponencialmente dado a que cada país tiene su propia regulación e incluso cada estado dentro de un país cuenta con disposiciones especiales.

  • Estados Unidos, por ejemplo, no permite que oficiales del gobierno bloqueen señales internacionales que transfieran información privada.

Por ello, los términos y condiciones celebrados entre los prestadores y sus clientes llevan absolutamente toda la carga de regular estas relaciones.

Ataques a la Nube

Robo a bases de datos. No hay tal cosa como un robo de base de datos tipificado. Por otro lado en la práctica hacer entender a un MP que una base de datos intangible y ubicada en Pakistan es un bien mueble resultará sin duda una tarea titánica en la práctica.

Una segunda cuestión penal indispensable es identificar la competencia de una autoridad. El robo está pensado (si bien de forma general) para alguien que se apropia directamente de un bien. Difícilmente contemplaba que una persona pudiera robar en dos o más países simultáneamente.

La regla general es que será competente el país en el cual se comete el delito, aunque es difícil saber en realidad dónde se comete cuando lo hace una persona ubicada en México, con un IP en Hong-Kong que roba una base de datos en Canadá propiedad de un español.

¿Qué hacer?

  • Estudio previo de vulnerabilidad del sistema.
  • Agrupar datos basados en la importancia de su protección en función de los términos y condiciones (lo cual reduce recursos para datos menos importantes y canaliza más recursos a datos vitales).
  • Buscar aumentar la regulación legal sobre estos temas / crear vehículos legales especializados para estas tareas.
  • Concientizar a la gente del valor de sus datos personales en el mediano y largo plazo.

Caso 1: Right to be forgotten

  • El RBF tiene dos facetas: I) Derecho al olvido; y II) Borrar información que el sujeto rebeló de forma pasiva.

Derecho al olvido

  • Históricamente ha sido aplicado en casos excepcionales cuando un individuo que ha cometido un delito y purgado su sentencia desea no ser asociado en lo sucesivo con sus actividades criminales.
  • Se contrapone directamente al derecho de la sociedad al acceso a la información.

Derecho a eliminar la información revelada de forma pasiva

  • En concreto se refiere a un derecho a ser “borrado” de bases de datos para contactos comerciales cuando la base de datos fuere cedida a un tercero con fines comerciales.
  • Se relaciona directamente al derecho a la privacidad.
  • Hoy en día Google determina en gran medida quiénes somos. Una persona antes de conocernos puede buscar información personal sin complicación alguna. En el caso de un criminal convicto o una persona con antecedentes de alguna enfermedad puede determinar su futuro de manera tajante.

Caso 2: NSA / Sealand

Introducción

La propiedad de datos debería de estar regulada por una disposición legal (leyes). No obstante hoy en día, dicha propiedad se determina por las características que tiene un monopolio natural, es decir, ¿quién tiene la capacidad de poner un centro de computo que compita con los servidores de google o el data center de NSA?

NSA data center

  • Mide 1,000,000 de pies cuadrados.
  • Se estima que tiene capacidad para almacenar 12 extrabytes (un trillón de terbaytes es un extrabyte).
  • El NSA afirma que recopila al menos 50% más datos que Google diariamente.
  • Los sistemas de espionaje del NSA tales como el PRISM o el XKeyscore explotan “puertas traseras” de plataformas comerciales y sobre todo vacíos legales al tratar información en tiempo real obtenida de diversas fuentes.
  • La Ley de Moore afirma que el poder computacional así como los datos que esta contiene se duplica cada 12 a 18 meses. Esto quiere decir que aun cuando el centro de datos es masivo, no tiene capacidad para mantener y custodiar toda la información que recibe. Debe seleccionar datos “interesantes”.
  • Además de tener centros de análisis, la infraestructura incluye centros de respaldo en Hawaii, Colorado, Texas, Georgia y Maryland.
  • Si bien hubo reacciones especialmente fuertes contra la vigilancia masiva por medio de los datos tras las revelaciones de Edward Snowden, la recolección y análisis de datos continúa de la misma forma. Las grandes plataformas privadas permanecen unidas en contra de lo anterior, no obstante los cambios legislativos aún permanecen en discusión.
  • El punto filosófico y de discusión es: “Hasta donde la privacidad no se trata de resistirse a la exposición si no el poseer el derecho humano a no tener que justificar constantemente la necesidad de libertad”.

Sealand

  • Es una plataforma de 4,000 m2 elevada 20 metros sobre el nivel del mar.
  • Fue construida en 1942 por la Royal Navy.
  • Se encuentra a 10 km de la costa de Suffolk, UK.
  • Se encuentra bajo una monarquía absoluta.
  • Ha sido denominada como una “self contained data fortress” cuyo objetivo es poder custodiar información fuera del alcance de instituciones tales como el NSA.
  • En cierto modo es como las “Islas Caimán” de los datos.
  • Sus principios fundamentales son la libertad e independencia judicial.
  • No ha sido del todo exitoso debido a tecnicismos legales relacionados con su carácter de “Independiente”.
  • Nos invita a pensar en una metáfora de las islas sin regulación de big data.

El día de mañana con Space-X podemos imaginar este principio pero en satélites propiedad de Amazon, Facebook o Google. ¿Quién entonces se atrevería a regular la propiedad de datos fuera del mismo globo terráqueo?


Ámbito Nacional

Introducción

Uno de los derechos más importantes y vulnerables actualmente es la privacidad, sin la protección adecuada deriva en el uso indiscriminado de nuestros datos personales obtenidos, especialmente, por medios electrónicos.

Publicidad dirigida. Esta información es recabada por algoritmos inteligentes que actúan de manera automática sobre millones de usuarios, pero que fácilmente pueden ser objeto de transacciones entre grandes compañías, o utilizados de mala manera por particulares.

Por ello, existe una preocupación, en al ámbito mundial y nacional, en regular a los entes identificables que recaban información personal para que los titulares de los datos sepan qué se hace con la información y cuenten con mecanismos para el control de sus datos.

Constitución y jurisprudencia

  • El derecho a la privacidad está contemplado en el artículo 16 de la Constitución, que establece en su primer párrafo:

“Nadie puede molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento.”

  • En el caso específico de la privacidad o intimidad en su vertiente de datos personales, el derecho se reconoce, pero entra en conflicto con otros derechos, como la libertad de expresión o el derecho al acceso a la información.

Derecho de acceso a la información pública

  • En el artículo 6, la Constitución reconoce el derecho de acceso a la información, el cual no es absoluto, por lo que estará limitado por la protección de aquella que se refiera a la vida privada y datos personales. En cambio, en materia de información pública, existe un principio de máxima transparencia, lo cual incluye la información personal y patrimonial de los servidores públicos, pero la información personal de terceros (ciudadanos) que recaben los organismos públicos sí será tratada con la mayor protección y confidencialidad posibles (Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados).

Derecho a la protección de datos personales

  • Por su parte, el artículo 16 párrafo segundo establece: “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.” (Ley Federal de Protección de Datos Personales en Posesión de los Particulares).

Constitucionalmente, entonces, se reconoce el derecho a la intimidad, a la vida privada, a la protección de los datos personales, pero también el derecho al acceso a la información (pública), a la libertad de expresión, los cuales en algún punto habrán de entrar en conflicto:

¿qué es más importante, resguardar los datos personales de una persona que se vea envuelta en un escándalo monetario, por ejemplo, o permitir la libertad de expresión de la prensa?

Leyes de Protección de Datos

De manera estructural, en México el organismo encargado de la protección y dispersión de la información es el INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales). Este instituto es un órgano constitucional autónomo, pues desde la Carta Magna se establece su creación y autonomía.

Este Instituto está encargado de la interpretación, resolución y cumplimiento de las leyes sobre protección de datos personales, ya sea (1) en posesión de sujetos obligados (gubernamentales o que erogan recursos públicos) o (2) en posesión de los particulares. 

Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

La Ley tiene por objeto la protección de los datos personales en posesión de particulares (personas físicas o morales que traten datos personales), para regular su tratamiento legítimo, controlado e informado, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

  • Datos personales: cualquier información concerniente a una persona física identificada o identificable.
  • Datos personales sensibles: aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste.

Sujetos:

  • Titular: La persona física a quien corresponden los datos personales.
  • Responsable: Persona física o moral de carácter privado que decide sobre el tratamiento de datos personales.
  • Encargado: La persona física o jurídica que sola o conjuntamente con otras trate datos personales por cuenta del responsable.
  • Tercero: La persona física o moral, nacional o extranjera, distinta del titular o del responsable de los datos.

Principios en materia de tratamiento de datos personales:

  1. Licitud: al recabar y tratar los datos;
  2. Finalidad: los datos recabados se hacen conforme a un fin;
  3. Lealtad: confianza en el buen tratamiento.
  4. Consentimiento: expreso (cualquier signo inequívoco) o tácito (no oposición). Los datos financieros o patrimoniales, así como los datos personales sensibles requieren consentimiento expreso.
  5. Calidad: calidad en el tratamiento y almacenamiento;
  6. Proporcionalidad: son necesarios para la finalidad;
  7. Información: el titular estará informado del tratamiento que se le dará;
  8. Responsabilidad: el tratamiento se hará de manera responsable.

Existen excepciones al consentimiento

  1. El tratamiento de datos personales esté previsto en una Ley (RFC);
  2. Los datos figuren en fuentes de acceso público;
  3. Los datos personales se sometan a un procedimiento previo de disociación;
  4. Tenga el propósito de cumplir con obligaciones derivadas de una relación jurídica entre el titular y el responsable;
  5. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
  6. Cuando sean indispensables para la atención médica;
  7. Se dicte resolución de autoridad competente.

Transferencia de Datos

Para poder transferir los datos es necesario que se le informe al titular que sus datos serán transferidos y para qué fines, en el aviso de privacidad.

Transferencias de datos que se pueden llevar a cabo sin el consentimiento del titular:

  1. Cuando la transferencia esté prevista en una Ley o Tratado en los que México sea parte;
  2. Cuando la transferencia sea necesaria para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión de servicios sanitarios;
  3. Cuando la transferencia sea efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo del responsable que opere bajo los mismos procesos y políticas internas;
  4. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o por celebrar en interés del titular, por el responsable y un tercero;
  5. Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público, o para la procuración o administración de justicia;
  6. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y
  7. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de una relación jurídica entre el responsable y el titular.

Obligaciones del responsable

  1. Que los datos sean pertinentes, correctos y actualizados;
  2. Cancelarlos cuando dejen de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad;
  3. El tratamiento sólo puede hacerse para las finalidades establecidas en el aviso de privacidad y por el menor tiempo posible.
  4. Velar por el cumplimiento de los principios de protección de datos personales.
  5. Informar a los titulares de los datos la información que se recaba y con qué fines, a través del aviso de privacidad.

Aviso de Privacidad

  1. La identidad y domicilio del responsable que los recaba;
  2. Las finalidades del tratamiento de datos;
  3. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;
  4. Los medios para ejercer los derechos ARCO (acceso, rectificación, cancelación u oposición);
  5. En su caso, las transferencias de datos que se efectúen, y
  6. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad.

Derechos ARCO de los titulares

  1. Acceso;
  2. Rectificación;
  3. Cancelación;
  4. Oposición.
  • Serán exigibles frente al responsable en cualquier momento (debe tener un encargado).
  • Si el titular no estuviera conforme con la resolución del responsable. Existe un procedimiento de protección de datos que se solventará frente al INAI.
  • En contra de las resoluciones del INAI, procede el juicio de nulidad ante el Tribunal Federal de Justicia Fiscal y Administrativa.
  • Además, el INAI tiene la facultad de iniciar procedimientos de verificación, de oficio o a petición de parte, para constatar que las disposiciones aplicables son respetadas por los sujetos responsables.
  • Por último, el INAI tiene facultad de sancionar los incumplimientos de los que conozca, por lo que podrá imponer multas que pueden ir hasta los 320,000 días de salario mínimo vigente en la Ciudad de México (más de 25 millones de pesos).

Como se observa, el tratamiento de datos en operaciones de Big Data debe hacerse en estricto apego a la ley. Cuando se hace una disociación, esto es que los datos no puedan relacionarse a un individuo en particular, el tratamiento puede hacerse con menos cuidado, pues no se expone la esfera individual de nadie, pero la manera en que se recaban, con plena claridad de los fines que se buscan, es fundamental para hacer el análisis de manera legal.


Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Esta ley tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho a la protección de los datos personales en posesión de sujetos obligados.

  • Los sujetos obligados  son: en el ámbito federal, estatal o municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.

Implementación

  • Todo deriva de una reforma constitucional al artículo 6º en 2007, aunque es hasta 2009 que se reforman los artículos 16 y 73 para implementar un verdadero sistema de protección de datos personales en posesión de los particulares, pues en un principio se había orientado a la protección información en poder de entes públicos.
  • Sin embargo, todo esto deriva de una preocupación de garantizar el acceso a la información pública, que inicialmente fue el motivo de creación del IFAI (Instituto Federal de Acceso a la Información Pública, hoy INAI). En 2010, con la LFPDPPP se añadió a su denominación “y Protección de Datos”, pues este órgano concentró las facultades ya mencionadas en este rubro.

Problemas

  • La implementación no ha sido sencilla, pues no todos están informados de las obligaciones que tienen a su cargo en esta materia. Las campañas de educación e implementación de sistemas para la protección de datos no han sido suficientes, pero están rindiendo frutos. Por ejemplo, INFODF.
  • Existen dos ámbitos que deben tenerse en cuenta: la concientización de las obligaciones que surgen por el trato de datos personales y la de los derechos con que los titulares cuentan.
  • Un tema de por sí complicado es el otorgamiento del consentimiento a través de medios electrónicos, pues cada vez más es el medio de contratación predilecto.
  • La legislación nacional es bastante limitada al respecto, pues sólo lo reconoce como un medio para externar el consentimiento de manera expresa, sin ahondar mucho en cómo debería asegurarse de quién es el que lo otorga, pues bien podría tratarse de un robo de identidad o de usuarios anónimos.

Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales (ENAID)

  • Los números son claros, prácticamente todos los adultos encuestados han compartido en redes sociales sus datos personales, incluso datos financieros (aproximadamente un 1% de los encuestados).
  • Por su parte, a Instituciones Públicas o Empresas estos son los datos compartidos y el porcentaje:
Datos Personales Porcentaje
Nombre y algún apellido 99.7
Domicilio 98.3
Teléfono personal 89.8
Estado civil 77.8
Estado de salud 53.5
Correo electrónico personal 50.7
Sueldo 40
Número de tarjeta o cuenta de banco 24.5
Creencias religiosas 15.1
Opinión política 5.8 
  • La encuesta sólo refuerza la percepción general que existe sobre la transferencia enorme de datos personales que se da en el día a día actualmente. Por ello, sería importante que los titulares estén conscientes de a quién transfieren esa información, con qué fin y la manera en que dichos datos son tratados y almacenados.

Bibliografía

Catherine Flick , “Informed consent in information technology: Improving end user licence” en John Weckert and Richard Lucas,
Professionalism in the Information and Communication Technology Industry, Sydney, ANU Press 2013.

Meg Leta Ambrose and Jef Ausloos, “The Right to Be Forgotten Across the Pond”, EUA, Penn State University Press, 2013.

Mél Hogan and Tamara Shepherd, “Information Ownership and Materiality in an Age of Big Data Surveillance”, EUA, Penn State University Press, 2015.

México, Congreso de la Unión, Constitución Política de los Estados Unidos Mexicanos, última reforma publicada en el Diario Oficial de la Federación el 24 de febrero de 2017.

México, Congreso de la Unión, Ley Federal de Protección de Datos Personales en Posesión de los Particulares, texto original sin reformas publicado en el Diario Oficial de la Federación el 5 de julio de 2010.

México, Congreso de la Unión, Ley Federal de Protección de Datos Personales en Posesión de Sujetos Obligados, texto original sin reformas publicado en el Diario Oficial de la Federación el 26 de enero de 2017.

Nidhi Rastogi, Marie Joan Kristine Gloria and James Hendler, “Security and Privacy of Performing Data Analytics in the Cloud: A Three-way Handshake of Technology, Policy, and Management, EUA, Penn State University Press, 2015.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s