ENTRADA 
 MIEMBROS POLITICAS DE TIC CAPACITACION MUJERES & TIC ACERCA DE APC
English version
La Asociación para el Progreso de las Comunicaciones - Internet y TIC por el Desarrollo y la Justicia Social

Contenidos
Primera Parte
¿Qué son las TIC?
Segunda Parte
Internet, mercados y acceso
Tercera Parte
Las políticas y la reglamentación de las TIC e Internet a nivel nacional
Cuarta Parte
Aspectos específicos relativos a las políticas sobre Internet y su regulación
Quinta Parte
Apéndice
Organizaciones Activas en TICs
Glosario
Bibliografía


  21. Privacidad y seguridad
 

- 21.1. Marcos legislativos para la protección de la privacidad
- 21.2. Tecnologías para el mejoramiento de la privacidad (PET)

Es difícil dar una definición de la "privacidad" puesto que es un asunto subjetivo. Por razones personales, algunas personas prefieren vivir en sociedad de forma anónima sin que nada interfiera en sus asuntos. Otras no son reacias a dar a conocer sus detalles personales a cambio de poder acceder a información, bienes o servicios. Para la mayoría, la privacidad constituye un simple asunto de seguridad. Las personas muestran preferencia por acceder a servicios sin tener que rellenar complicados formularios ni someterse a comprobaciones de referencia. Para ello, pueden mostrarse de acuerdo en permitir que los sistemas de información rastreen sus movimientos y sus compras.

La seguridad está íntimamente ligada a la privacidad. Los sistemas de información seguros nunca deben revelar datos de manera inapropiada. No podemos afirmar que la revelación de cualquier información sea un acto sin segundas intenciones. La información es recopilada y procesada siempre con un propósito determinado. La intención de quienes recogen información personal o hacen negocio con ella y la almacenan en una base de datos es la de crear perfiles individuales con un objetivo concreto. Los modos en que los datos personales son revelados, usados y almacenados nos ayudarán a determinar si las tecnologías de la información están siendo utilizadas para el empoderamiento o para la represión.

Al considerar las formas de medir la privacidad y la seguridad, debemos distinguir entre distintas clases de privacidad:

  • La privacidad significa para la mayoría "intimidad" o el derecho de la persona a que nada ni nadie interfiera en su hogar, su propiedad o su vida privada. Esta puede ser considerada como una privacidad del "mundo real".
  • El derecho de las personas a protegerse de las pruebas médicas o genéticas constituye la base de su intimidad corporal; también comprende el derecho a que la información sobre su salud y bienestar personal sea protegida por el personal que tiene acceso a ella (médicos, empleadores, aseguradoras, etc.).
  • La "privacidad en las comunicaciones" se refiere a la protección contra la interferencia de las comunicaciones telefónicas o de Internet. El respeto a la privacidad en las comunicaciones constituye un requisito indispensable para el mantenimiento de las relaciones humanas por medios de comunicación tecnológica.
  • La "confidencialidad de la información" es probablemente el aspecto más debatido en el uso de las computadoras y los sistemas de información. Los sistemas de información tienen la capacidad de almacenar y procesar con rapidez los datos de un gran número de personas. Es importante garantizar que dicha información será utilizada únicamente para los fines con que fue recogida y que ésta no será revelada a terceros sin el consentimiento de los interesados.
Amenazas a la privacidad en la Web

Al navegar por la Web no somos completamente anónimos; existen varias maneras de recoger información sobre los usuarios o sus actividades sin contar con su consentimiento:

Cookies (mini archivo de identificación de usuario de páginas Web)
HTTP
Navegadores
Es probable que ya exista información sobre su persona publicada en la Web.
Descarga de software libre y de uso compartido
Motores de búsqueda
Comercio electrónico
Correo electrónico
Correo electrónico y criptografía
Correo basura (Spam)
Peligros en el Chat IRC

Fuente: "Protecting your Privacy on the Internet", Comisión Australiana de la Privacidad, disponible en: http://www.privacy.gov.au/internet/internet_privacy/index.html

El Código de Prácticas de Información Justas

El Código constituye el aporte fundamental del Comité Asesor sobre los Sistemas de Automatización de Datos en los ámbitos de salud, educación y bienestar social. El comité asesor fue establecido en 1972 y su informe fue publicado en julio. La referencia bibliográfica del informe es: Departamento de Salud, Educación y Bienestar Social de los EE.UU. Comité Asesor del Secretario sobre los Sistemas, Archivos y Computadoras y los Derechos Ciudadanos viii (1973).
El Código de Prácticas de Información Justa se fundamenta en cinco principios:

  1. No debe mantenerse en secreto la existencia de ningún sistema de archivo de datos personales.
  2. Toda persona debe ser capaz de averiguar qué tipo de información sobre su persona se mantiene en cualquier archivo y qué uso se hace de ésta.
  3. Toda persona debe ser capaz de impedir que la información sobre su persona obtenida con un fin específico sea utilizada o puesta a disposición para otros fines sin su consentimiento expreso.
  4. Toda persona debe ser capaz de corregir o enmendar cualquier archivo que contenga información identificativa sobre su persona.
  5. Toda organización que cree, mantenga, utilice o distribuya archivos que contengan información de datos personales de identificación debe asegurar la fiabilidad de éstos al emplearlos para los fines perseguidos y adoptar medidas preventivas para evitar el uso indebido de dichos datos.

Fuente: http://www.epic.org/privacy/consumer/code_fair_info.html

21.1 Marcos legislativos para la protección de la privacidad

Existe una serie de marcos legales para la protección de la privacidad. La mayoría de Estados contemplan en sus marcos legislativos la confidencialidad de la información y, en menor grado, la intimidad corporal. La protección de la intimidad personal es generalmente tratada como un asunto civil. Ello significa que las violaciones a la intimidad personal deben ser vistas ante los tribunales sin que el Estado actúe en nombre de las personas.

En algunos Estados, las personas son individualmente responsables del control de su intimidad y de buscar una reparación legal cuando ésta es violada. Pero este modelo presenta un problema: la intimidad no existe para los individuos que no disponen de los medios para vigilarla, es decir, los recursos financieros para llevar su caso ante los tribunales. Otros Estados hacen responsables de la protección de la intimidad a las entidades que están en posesión de la información. Aunque ello libera al individuo de la responsabilidad, también puede conducir a creer equivocadamente que nuestros intereses e información personal están siendo protegidos por las entidades que poseen éstas o por los organismos reguladores establecidos para la vigilancia.

La Unión Europea es la región que cuenta con las leyes más estrictas de protección de la privacidad. En las décadas de 1980 y 1990 se introdujeron diversas leyes de protección de datos1 y actualmente existe un sólido marco de protección de la información digital. En los próximos cinco años el marco legal se aplicará también a algunos archivos de documentos en papel. El marco legislativo queda garantizado por la existencia de oficinas estatales en cada país de la UE, que tienen atribuciones legales para vigilar el almacenamiento de la información personal. Las entidades que poseen o procesan este tipo de información están obligadas a solicitar la autorización de dichas oficinas.

El enfoque de la Unión Europea es diferente del adoptado en otros países como los EE.UU. y Singapur. En estos países se prefiere optar por la autorregulación de los distintos sectores de la industria; o se promulgan leyes muy específicas que protegen solo algunos aspectos de la intimidad personal. En los EE.UU. especialmente, las leyes de protección de la privacidad permiten el uso de datos, así como la actividad comercial en base a éstos, siempre y cuando no provengan de registros estatales ni exista otra ley que los proteja específicamente.

Pero la autorregulación parece estar más bien al servicio de las necesidades de la industria de procesamiento de datos que al de los intereses de los individuos. Sin embargo, habrá muchas resistencias a adoptar cualquier código de prácticas que implique una "sobrecarga" administrativa para las organizaciones, o que afecte su operatividad o capacidad comercial. La falta de transparencia en la aplicación de dichos códigos tampoco permite comprobar si éstos se han aplicado adecuadamente. Estos sistemas se ven afectados por "retrasos funcionales" a medida que se añaden nuevos procesos sin ser debidamente controlados por un procedimiento de autorregulación. Ello reviste una importancia significativa en Internet. Muchas compañías de Internet generan sustanciales ingresos mediante la venta de información personal. A medida que se desarrollan los servicios on-line, las oportunidades para recoger información personal y comerciar con ella aumentan también.

Con la introducción de las comunicaciones digitales y el boom de la telefonía de bajo costo con computadoras, también ha disminuido la protección de la privacidad en las comunicaciones personales. Si bien el contenido de nuestras comunicaciones es secreto (salvo en caso que sean interceptadas por el Estado), existe un peligro menor pero, no obstante perjudicial, de invasión de la privacidad cuando se reúnen o retienen datos sobre el tráfico realizado. Todavía no se ha prestado suficiente atención a las posibilidades de uso que ofrece la retención de datos sobre las comunicaciones y su eventual importancia para la elaboración de fichas de datos de personas individuales. Sin embargo, la retención de datos constituye un elemento central de las medidas que han entrado en vigor al iniciarse la así llamada "guerra contra el terrorismo". Una sencilla medida para mantener las privacidad de las personas es la de cubrir su necesidad de servicios de información en aquellos Estados que tengan una sólida legislación de protección de datos. Sin embargo, las leyes podrían no ser aplicables para las personas no residentes. Al mismo tiempo, los interesados deberían limitar la información que proporcionan sobre su persona en las encuestas de consumidores o al rellenar formularios de compras en comercios.

Las organizaciones también deben ser cuidadosas con las formas de procesar la información personal. Los correos basura, faxes y mensajes de texto han llevado al público a tener una impresión negativa de las organizaciones que comercian o venden sus datos personales. Teniendo en cuenta los últimos cambios legislativos sobre la retención de datos, las organizaciones implicadas en causas políticas o sociales deben dar una mayor importancia a la protección de datos personales. Las organizaciones que no adopten medidas de seguridad para el almacenamiento de datos están en riesgo de dar a conocer información sobre sus patrocinadores o colaboradores.

Los activistas en derechos humanos de Corea del Sur inician una huelga de hambre contra el Sistema Nacional de Información Educativa (NEIS)


"La NEIS consiste en una base datos gigantesca implementada por el gobierno para recoger información personal sobre los alumnos, sus padres y maestros"* [Comunicado de Prensa] Se solicita el cese inmediato de la implementación de la NEIS.

Seúl, Corea del Sur - 18 de junio de 2003, nueve activistas en derechos humanos de Corea del Sur iniciaron una huelga de hambre indefinida en su lucha contra el Sistema Nacional de Información Educativa (NEIS). Los huelguistas señalan que la gigantesca base de datos de la NEIS contiene información personal, lo cual constituye una seria violación al derecho fundamental a la intimidad. Por ello solicitan al gobierno el cese inmediato de la implementación de la NEIS y la eliminación de los archivos que contengan información personal. Asimismo condenan los intentos del gobierno de recoger un cúmulo de información personal en su sistema digital sin el consentimiento de las personas y denuncian la absoluta ilegalidad e inconstitucionalidad de dicha acción.

En la huelga de hambre participaron la Red Coreana Progresista (Jinbonet), el grupo Sarangbang de derechos humanos, el Centro Dasan de derechos humanos, la Coalición por la paz y los derechos humanos, la Coalición por la paz y los derechos humanos Chunbuk, la Comisión católica por los derechos humanos y el Grupo de derechos humanos Minkakyup, así como la Comisión budista Won de derechos humanos.

Copyleft by www.base21.org

21.2 Tecnologías para el mejoramiento de la privacidad (PET)

El desarrollo de las tecnologías digitales de la comunicación ha incrementado nuestra capacidad de comunicación. Pero su puesta en práctica genera un largo rastro de información. Las comunicaciones presentan nuevos desafíos para las personas que tratan con información sensible que debe ser preservada en secreto o aquellas que necesitan mantenerse en el anonimato. Sin embargo, junto a los sistemas de comunicación digital se han venido desarrollando, paralelamente, sistemas que permiten comunicaciones más seguras. Éstos reciben el nombre genérico de "tecnologías para el mejoramiento de la privacidad (PET)". Algunos servicios generales basados en Internet han procurado desarrollar la privacidad como parte de sus servicios de información. El World Wide Web Consortium (W3C) ha desarrollado recientemente una 'Plataforma para las preferencias de privacidad' (P3P).2 La plataforma funciona integrada en el navegador del usuario y permite el acceso a todos los sitios compatibles con P3P. Las preferencias de privacidad del usuario son comunicadas durante la navegación al servidor de la Web o mediante el envío de información a los sitios Web. Ello indica de manera precisa qué tratamiento deben dar los compiladores a la información que recogen sobre los usuarios de Web.

También en el comercio electrónico se han desarrollado sistemas que proporcionan a las personas un método de verificación de la identidad. El sistema líder actualmente es el Passport de Microsoft. Sin embargo, éste ha experimentado multitud de problemas por dar a conocer información personal de manera no deliberada. Estos sistemas operan mediante la creación de una identidad verificable a la que pueden acceder los servidores de Internet en lugar de solicitar al usuario que envíe información como sus contraseñas. Sin embargo, al igual que el P3P, el Passport es un sistema de uso compartido de la información y no tanto un mecanismo de supervisión de la información del usuario recogida y retenida por un servicio on-line en particular.

Algunos desarrolladores de software independientes promueven los sistemas que protegen la privacidad. En general, existen dos clases de sistemas:

  • Sistemas que utilizan la encriptación como medio de asegurar el contenido de las comunicaciones o como una firma digital que garantice la autenticidad de la información;
  • Sistemas que utilizan servidores de Web anónimos (proxy) para encaminar la información on-line sin que se creen datos de tráfico. Ello impide que se revele el verdadero origen de la información.
Existe un gran número de opciones disponibles para mejorar la privacidad on-line. Estos sistemas se basan generalmente en el uso de proxys y de firmas digitales o por encriptación. Puede obtenerse más información sobre estos sistemas en el documento Participar con seguridad desarrollado por la Asociación para el Progreso de las Comunicaciones en el marco del proyecto del mismo nombre con los grupos de la sociedad civil. 3

El uso de un sistema proxy permite ocultar el origen de una comunicación on-line. Un servidor proxy borra cualquier información que revele el origen del mensaje o paquete para luego enviar el paquete a su destino utilizando una nueva identidad. Tras recibir una respuesta, el servidor restituye la identidad correcta de la dirección solicitante y procede a devolverla. De este modo la "cadena" de retención de datos entre el usuario y el servidor queda interrumpida. Sin embargo, deben tomarse precauciones para asegurar que la elección de proxy sea segura y confiable.

Existen diversos servidores proxy que operan en Internet.4 El origen de los datos puede ser ocultado si el servidor proxy no mantiene registros. Pero la mayoría de servicios comerciales mantienen registros a fin de permitir el rastreo en caso de recibir un requisitoria legal sobre los datos de una operación en particular. Existen pocos proxys que no mantengan registros y operen de manera realmente anónima. Si lo hacen, se arriesgan a ser demandados por terceras partes afectadas por la información ofensiva que pudiera transmitirse por intermedio suyo. La mayoría de proxys anónimos han finalizado sus operaciones. Existen otros que únicamente operan por un corto período y luego cierran para evitar las acciones legales. En muchos Estados se han implementado leyes que exigen la recogida y almacenamiento de información sobre las comunicaciones para ser entregada a las autoridades que lo requieran. Es cada vez más difícil encontrar alguna jurisdicción en la que pueda operar un servidor proxy.

Los sistemas de encriptación constituyen una valiosa herramienta para preservar la privacidad y la confidencialidad. También son considerados como aceptables los sistemas integrados de encriptación como los mecanismos de transmisión segura (secure shell) que funcionan en los navegadores de la Web y otros sistemas de encriptación ligera como aquellos que solicitan una contraseña para acceder a los archivos de un procesador de texto. Pero muchos Estados cuentan actualmente con leyes que controlan el uso de la encriptación rígida como la utilizada en la generación de firmas digitales o en los documentos transmitidos por Internet que exigen una contraseña de apertura. Cada Estado presenta ligeras variaciones en los requisitos legales. En algunos países como la Federación Rusa no está permitida la introducción de materiales encriptados. Y en otros, como el caso de Irlanda, se permite el uso de la encriptación a condición de que se facilite una copia no encriptada del material solicitado en el caso de existir una acción legal. En el Reino Unido, al igual que en otros Estados, se exige (y se está sujeto a acción legal de no hacerlo) la entrega de todas las claves de encriptación y las contraseñas cuando así lo requiera una investigación policial.

Un sistema en donde los datos fluyen de manera "abierta" y están disponibles para cualquiera que pueda interceptarlos, requiere de la encriptación como único medio de garantizar la privacidad de las comunicaciones. La encriptación es también el único método garantizado de protección de información sensible en caso de pérdida o robo de una computadora. Por consiguiente, es indispensable preservar el derecho a la encriptación de la información. El público se verá afectado si no puede hacer uso de la encriptación si ésta es ilegalizada. Las personas con voluntad de infringir la ley seguirán haciendo uso de la encriptación para ocultar datos con sus fines particulares.

La encriptación es también útil para la protección de los contenidos de un disco duro. Al iniciarse la sesión de la computadora, el usuario debe introducir una contraseña para acceder a la partición encriptada de la unidad de disco. De este modo queda disponible la información. De este modo, si la computadora es robada nadie podrá acceder a la información. También existen problemas si se producen daños en los datos del disco y ello puede provocar la pérdida total de éstos. Pero siempre que se adopte un sistema de copias de seguridad, la encriptación garantiza la protección de la información de las computadoras, especialmente las portátiles que frecuentemente son objeto de hurto. Entre los beneficios de los sistemas de encriptación rígida se cuenta el de garantizar la preservación de la confidencialidad de la información y el de evitar que las firmas digitales de los correos electrónicos sean alteradas y enviadas como si fueran originales. La encriptación y la firma digital son garantías de privacidad y/o seguridad para las personas que trabajan con información sensible o necesitan transmitir esta información de manera segura por la Red.

La medida más decisiva en cuanto a las "tecnologías de la privacidad" es la de la seguridad de los sistemas de cómputo. Aún cuando las computadoras son un medio muy seguro y eficiente para almacenar información, en ocasiones pueden darnos problemas de seguridad. La protección de la privacidad y la confidencialidad debe empezar por garantizar la seguridad de los sistemas de cómputo. La guía completa para principiantes Introducción a la seguridad en la información está disponible entre los materiales de APC Participar con seguridad. 5



Las leyes de privacidad como un medio de silenciar las críticas

Ocasionalmente las leyes de protección de la privacidad han sido utilizadas para proceder al cierre de sitios Web controvertidos. Es, por ejemplo, el caso de la Asociación Contra la Tortura de España, que publicó los nombres de los oficiales de policía y guardias de prisiones formalmente acusados de tortura y malos tratos en los tribunales españoles. El servidor de Internet donde se alojaba el sitio fue amenazado con el pago de multas de miles de euros si no procedía a retirarlo. Aunque el servidor de Internet manifestó su oposición a una acción que consideraba como censura política, se vio obligado a cumplir la orden por temor a verse en una situación de quiebra financiera por el pago de la multa.

Fuente: Asociación Contra la Tortura,

 


La Fundación Electronic Frontier insta a DoubleClick a adoptar protecciones a la privacidad voluntarias

6 de junio de 2001

San Rafael, CA - La juez Lynn O'Malley Taylor dictaminó hoy que la demanda presentada contra DoubleClick por invasión de la intimidad hace más factible la celebración de un juicio. Las demandas interpuestas por un colectivo de afectados contra DoubleClick se centran en la práctica de la compañía de rastrear y elaborar perfiles personales de los usuarios de la Web sin su consentimiento. La juez señaló que de no llegarse a un acuerdo económico entre las partes, el juicio se celebrará en enero de 2002, a pesar de los intentos de DoubleClick por impedir la admisión de la demanda.

"DoubleClick invade la intimidad de las personas con su práctica de recoger información personal sin solicitar su consentimiento previo", declaró la representante legal de EFF Deborah Pierce. "Nos complace que la juez Taylor reconozca que las prácticas de DoubleClick podrían constituir una violación de los derechos de privacidad garantizados por la constitución del Estado de California".

"La Constitución de California protege al público en general de la recogida masiva y no autorizada de información sensible", declaró el abogado Ira Rothken, portavoz de los demandantes. "DoubleClick ha actuado de manera escandalosa. La manera de hacer negocios de DoubleClick es reprobable. Y vamos a exigir una solución ante los tribunales para que se dé fin a sus prácticas".

DoubleClick es una compañía que publica espacios publicitarios on-line (banners) a pedido de sus clientes. El pleito está relacionado con el uso de cookies (archivos de identificación de usuario) y web bugs (imágenes rastreables) por parte de DoubleClick con el objeto de rastrear los hábitos de navegación de las personas. Generalmente los usuarios individuales no son conscientes de la existencia de esta clase de tecnologías y de las soluciones que existen para evitar las cookies o web bugs o impedir que compañías como DoubleClick instalen archivos de identificación de usuario en sus discos duros. Los demandantes alegan que mediante el uso de estos cookies DoubleClick puede almacenar información que los identifica y elaborar perfiles de personas basados en su historial de navegación en la Web. Estos perfiles y la acumulación de datos on-line de diferentes fuentes permiten a terceros elaborar conclusiones, diseñar estrategias de mercado para sus artículos y discriminar a partir de la mayor o menor exactitud de los datos. Las consecuencias que conlleva la revelación de esta información pueden ser perjudiciales y van desde la simple situación de vergüenza pública hasta problemas más graves como el acoso, la violencia, la anulación de pólizas de seguros, la pérdida del puesto de trabajo o la vivienda y otros asuntos de relaciones familiares y de amistad.

La Fundación Electronic Frontier (EFF) en colaboración con la Privacy Rights Clearinghouse (PRC) y el Electronic Privacy Information Center (EPIC) han atuado como asesores en elste caso formalmente llamado Judnick contra DoubleClick.

Fuente: Comunicado de prensa de Electronic Frontier Foundation: http://www.eff.org/Legal/Cases/DoubleClick_cases/ 20010606_eff_doubleclick_pr.html

5 pasos para mejorar la privacidad on-line

1. Para hacer negocios, realizar visitas o relacionarse con sitios Web, elija únicamente aquellos que ofrezcan una política de privacidad adecuada que incluya:

  • Información sobre las personas a las que se transmitirá la información
  • Razones por las que se recoge la información
  • Modos de utilización de la información
  • Instancias que tendrán acceso a la información
  • Modos de acceso a la información por parte del interesado

2. Instale y utilice software para el mejoramiento de la privacidad que incluya:

Elija la opción de no recibir comunicaciones posteriores de la organización que presenta el formulario on-line.

Proporcione únicamente los datos personales que usted prefiera.

Utilice una identidad on-line y un servicio gratuito de correo electrónico.

Fuente: "On-line Privacy Tools", Comisión Australiana de la Privacidad. Disponible en:

http://www.privacy.gov.au/internet/tools/index.html


1Véase el resumen sobre la protección de datos y cuestiones afines en la Unión Europea: http://www.internetrights.org.uk/

2Véase la presentación del proyecto de la Plataforma para las preferencias de privacidad en: http://www.w3.org/P3P/

3 Los materiales de 'Participating With Safety' están disponibles en: http://secdocs.net/manual/lp-sec/

4Véase el informe Nº 6 de APC 'Participating with Safety' para el uso seguro de Internet: http://secdocs.net/manual/lp-sec/scb6.html

5El informe Nº 1 de APC 'Participating with Safety' introduce los conceptos de seguridad informática y está disponible en: http://secdocs.net/manual/lp-sec/scb1.html

<< Back | Next >>

      
ENTRADA  | MIEMBROS | DERECHOS EN INTERNET | CAPACITACION | MUJERES & TIC | ACERCA DE APC

Creative Commons: Some Rights Reserved
La Asociación para el Progreso de las Comunicaciones APC 1999 - 2005 - Contacto Política editorial