El 2016, el año de la privacidad de la información

Privacidad de la información. Imagen tomada de: pixabay.com

Aunque hablar de privacidad de la información, no es algo nuevo en el contexto actual, es un aspecto muy importante que ha venido tomando fuerza en los últimos años a nivel mundial y al parecer el 2016 será un año en el cual se va a consolidar a raíz de las diversas discusiones que se vienen adelantando en todo el mundo y sobre el cual ya empiezan a verse los primeros resultados. 

Acuerdo EU-US Privacy Shield

Para iniciar tenemos el recién aprobado acuerdo llamado EU-US Privacy Shield el cual sustituye al pacto Safe Harbour, declarado ilegal por el Tribunal Europeo en octubre de 2015. Este nuevo acuerdo según la Comisión Europea, asegurará que las empresas estadounidenses, en mayor grado, se obliguen a proteger los datos personales de los usuarios europeos. También implica que el Departamento de Comercio de Estados Unidos, y la Comisión Federal de Comercio (FTC) en grado mayor que antes supervisarán y controlarán el cumplimiento del acuerdo.

Pero para poder hacer realidad y dar cumplimiento a este acuerdo, tanto las empresas como las organizaciones gubernamentales tienen un gran camino por recorrer tanto a nivel jurídico, como tecnológico y operativo. 

El cifrado de los datos

Actualmente existe otra discusión que aún continua abierta y es la relacionada con los temas de seguridad nacional en donde diversos países discuten actualmente la posibilidad de prohibir el cifrado de datos carente de puertas traseras instaladas de fábrica y en la cual Estados Unidos, es uno de los principales defensores de las puertas traseras gubernamentales, instaladas en hardware y software.

Esta discusión se centra en brindar herramientas a las diferentes entidades de gobierno a cargo de la seguridad nacional, para poder tener acceso a la información que requieran para el cumplimiento de sus objetivos, pero dichos mecanismos generan gran preocupación respecto a que tan expuesta puede verse la privacidad de los datos, por lo cual este tema seguirá dando de que hablar, hasta que se logre encontrar un equilibrio entre seguridad nacional y privacidad. 

El caso de Colombia

Aunque la privacidad no es un tema nuevo en nuestro país, a pesar de ser algo obligatorio hace varios años, aún existen personas y organizaciones que desconocen su importancia. 

Antes de hablar de lo que viene para el 2016 en materia de privacidad, considero importante hacer un pequeño recuento de lo que ha sucedido en los últimos años a raíz de la aprobación de la Ley 1581 del 17 de octubre de 2012 "Por el cual se dictan disposiciones generales para la protección de datos personales" y que posteriormente fue reglamentada con el Decreto 1377 del 27 de junio de 2013.

Con la expedición de este decreto, la preocupación inicial de las organizaciones fue la de cumplir con lo expuesto en el artículo 9 de la ley 1581 "Autorización del titular", razón por la cual en primer medida muchas empresas hicieron uso de los medios masivos de comunicación como los periódicos, página web e inclusive el correo electrónico, para informar y dar la posibilidad a las personas de no autorizar el uso de sus datos personales por dichas organizaciones, lo cual fue complementado con la elaboración de las primeras políticas de privacidad.

Hasta este punto, el cumplimiento de la Ley 1581 de 2012 y su decreto reglamentario 1377 de 2013, significan un gran trabajo el cual debe ser desarrollado desde el interior de las organizaciones y que va mucho más allá de la generación de avisos de privacidad y la recolección de la autorización expresa e inequívoca por parte del titular. 

Por esta razón se vuelve fundamental para las organizaciones el contar con un rol de oficial de privacidad de la información, que se encargue de liderar y coordinar las acciones necesarias para dar cumplimiento a los marcos normativos y lograr un buen manejo y tratamiento de los datos personales por parte de la organización. 

Panorama actual

El capítulo 26 del Decreto único 1074 de 2015 reglamentó lo establecido en el artículo 25 de la Ley 1581 de 2012 con el cual se creó el Registro Nacional de Bases de Datos RNBD. Este tema ha generado gran preocupación en las organizaciones, ya que "El Responsable del Tratamiento debe inscribir en el Registro Nacional de Bases de Datos, de manera independiente, cada una de las bases de datos que contengan datos personales sujetos a Tratamiento" como lo establece el artículo 2.2.2.26.1.3.  del Decreto 1074. 

Y esta no es una labor fácil para todos, ya que por una parte se debe tener total claridad sobre que información y donde se está almacenando, lo cual puede ser complicado para aquellas organizaciones que cuentan con bases de datos estructuradas muy antiguas, bases de datos que no se encuentran estructuradas adecuadamente o bases de datos no estructuradas, lo cual puede generar complicaciones para la atención de requerimientos que exijan consulta, modificación o eliminación de información. 

Por otra parte se debe definir por cada base de datos quien es el responsable y/o el encargado del tratamiento de la información, lo cual es una tarea que involucra a todas las áreas de la organización donde se manejan datos personales. 

Como podemos ver, existe mucho trabajo por hacer, en especial este 2016 en el cual de acuerdo a lo establecido por medio de la Circular 002 del 03 de noviembre de 2015, todos los responsables del tratamiento de datos personales deben realizar la inscripción de sus bases de datos acorde con los plazos establecidos y que se vencen de acuerdo a los últimos números del NIT. 

Así que con este panorama global considero que el año 2016 será el año de la privacidad de la información, para lo cual debemos seguir trabajando de forma continua ya que es un aspecto importante al igual que la seguridad de la información. 

Escrito por:

Efraín Oswaldo Guerrero Camacho.
Profesional en Privacidad y Seguridad de la Información.

'Datos personales de 3.000 millones de personas, en riesgo': experto

Protección de datos. Imagen tomada de: Vanguardia.com

“Más de 3.000 millones de personas en el mundo no tienen certeza sobre la protección de la información que comparten en internet, donde reina la incertidumbre sobre el respeto de los derechos de las personas sobre sus datos personales (fotos, videos, texto, entre otros tipos de contenidos). La realidad del siglo XXI demanda cambios sustanciales para proteger los derechos de las personas”, recalca el investigador colombiano Nelson Remolina Angarita en su tesis doctoral.

Remolina es el primer colombiano ganador del premio de la Agencia Española de Protección de Datos. En la actualidad, cursa un doctorado en Ciencias Jurídicas en la Universidad Javeriana. Se llevó el galardón gracias a su tesis doctoral, centrada en el análisis jurídico de la recolección internacional de datos.

En concreto, Remolina analizó qué leyes existen en el mundo para proteger a los usuarios en caso de que se haga un uso indebido de la información que sobre ellos circula en internet. Con base en los resultados, estableció propuestas centradas en fomentar la educación de los usuarios digitales con respecto al tratamiento apropiado de sus datos personales.

“Vivimos en un nuevo mundo. Hasta hace pocos años, veníamos hablando de un mundo físico delimitado geográficamente. Ahora nos enfrentamos a un mundo virtual, sin fronteras y unido gracias a la tecnología. Frente a esa realidad, las respuestas jurídicas fallan”, asegura.

En entrevista con Tecnósfera, el investigador advirtió los retos que ha supuesto la expansión de internet para los cuerpos legislativos de las naciones: “Internet avanza rápidamente. El derecho y las autoridades nacionales de protección de datos personales afrontar el desafío de actuar a la misma velocidad de dicho fenómeno. No debemos rendirnos frente a las estrategias de los cibercriminales y su sigiloso caminar”, enfatiza.

Nelson Remolina Angarita es de Malaga, Santander. Es fundador y director del Observatorio Ciro Angarita Barón sobre la Protección de Datos Personales en Colombia, así como del Grupo de Estudios en Internet, Comercio Electrónico, Telecomunicaciones e Informática de la Universidad de los Andes.

¿Qué panorama arroja su investigación con respecto a la protección de datos personales?

3.000 millones de personas se encuentran en situación de riesgo con respecto a sus datos personales. El 77 por ciento de la población vive en países sin normas orientadas a la protección de datos. En Latinoamérica, el 50 por ciento de los Estados cuenta con regulación en ese sentido. Carecen de marco jurídico países como Brasil, Ecuador, Venezuela, Panamá, Honduras y Cuba.

Donde hay mejor regulación es en países asiáticos y africanos. No existe una norma general en gigantes como China e India, aunque sí cuenta con reglas sectoriales. Eso significa que protegen ciertos tipos de datos, como los referentes a comportamiento de pago y censos de población.

¿Cómo está Colombia en términos de protección de datos?

En Colombia contamos con varias normas. La más importante es la 1581 de 2012, reglamentada por el decreto 1377 de 2013. Contamos con leyes para proteger los datos.

Sin embargo, si un criminal hace uso indebido de la información personal de un usuario fuera del país, las autoridades colombianas ya no pueden hacer nada o muy poco.

Colombia forma parte de ese 40 por ciento de países con normas generales de protección de datos. No obstante, si el delito ocurre en el 60 por ciento de los Estados sin marco jurídico, nos quedamos sin armas. Esos países se llaman paraísos informáticos, así como hay paraísos fiscales.

Cabe destacar que Colombia es el único país del mundo que tiene explícitamente previsto el fenómeno de la recolección internacional de datos personales. En eso es pionero. Ello significa que somos conscientes de que este problema no solo atañe a un país concreto, su alcance es global.

Si a un usuario le roban sus datos en nuestro país, ¿qué contemplan, con exactitud, las leyes?

Tiene previsto que, quien recolecta datos, debe pedir autorización del usuario dueño de los mismos. Debe respetar los derechos del ciudadano a conocer, actualizar, rectificar y suprimir la información de la cual se hace uso.

Si el recolector no efectúa un tratamiento adecuado de los datos, el ciudadano puede presentar una queja o reclamo frente a quien los manejó. Todo eso en Colombia. Pero hoy, buena parte de lo que ocurre, acontece fuera de nuestro territorio.

Si la respuesta a la queja o reclamo no es satisfactoria, el afectado puede acudir ante la Superintendencia de Industria y Comercio para que investigue y potencialmente, si corrobora una irregularidad, establezca una sanción.

La sanción puede dar lugar a multas de 2.000 salarios mínimos legales mensuales.

¿Qué medidas se pueden tomar para reducir el impacto del uso indebido de datos?

Existe la necesidad urgente de educar desde los primeros años a los niños, las niñas y los adolescentes (nativos digitales) para que conozcan sus derechos, sepan los riesgos del ciberespacio e interactúen de manera segura exigiendo el respeto de sus derechos y respetando los derecho de los demás.

Estas redes por sí solas no son el problema pero, infortunadamente, algunas personas han encontrado en las mismas un escenario perfecto para realizar conductas indebidas. El acoso sexual (grooming), el acoso online (ciberbullying), los chantajes, la pornografía, las amenazas e invasiones de su privacidad están al orden del día.

Si queremos hacer algo por nuestros hijos y las futuras generaciones es crucial empezar a educarlos para que aprendan a vivir en una sociedad llena de tecnologías y con apetito por los datos personales. Es necesario incluir éste y otros temas en los programas académicos de los colegios y las escuelas del país para que nuestros niños tomen decisiones informadas respecto del uso de las tecnologías, de su información y la de los demás.

ÉDGAR MEDINA

Redacción Tecnósfera

@EdgarMed en Twitter

Tomado de: ElTiempo