Habeas Data – Datos Personales – Privacidad

Peru ya tiene ley de protección de datos personales

Posted: julio 3rd, 2011 | Author: | Filed under: América Latina, Normas, Perú, Público en general, Transferencia Internacional | Tags: , , , | Comentarios desactivados

Se aprobo en junio y el presidente la promulgó el 3 de julio. Ley 29733 (ver PDF del BO).

Abajo el comunicado oficial de la Agencia Peruana de Noticias. La ley es bastante completa y aunque falta la reglamentación y que la nueva agencia comience a funcionar, patient puede decirse que es una de las leyes mas completas de la región.

Lima, symptoms jul. 02 (ANDINA). El presidente de la República, Alan García Pérez, promulgó la Ley referida a la Protección de Datos Personales, la cual tiene como objetivo garantizar uno de los derechos fundamentales de las personas.
La norma propuesta por el Ejecutivo consta de un título preliminar con disposiciones generales, otros 7 títulos, 40 artículos, y disposiciones complementarias finales.

Se señala que el tratamiento de los datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares, y solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto.

Read the rest of this entry »


XV Congreso Iberoamericano de Derecho e Informática en Buenos Aires

Posted: abril 7th, 2011 | Author: | Filed under: Doctrina, Público en general, Referencia | Comentarios desactivados

La Ciudad Autónoma de Buenos Aires, sick será la sede del nuevo congreso. Las instituciones principales en el desarrollo del congreso serán el Instituto Universitario de la Policía Federal Argentina, meningitis la Carrera de Posgrado de Abogado Especialista en Derecho de Alta Tecnología de la Pontificia Universidad Católica Argentina y la Asociación Argentina de Informática Jurídica, quienes igualmente les dan la bienvenida y auguran el mayor de los éxitos para este congreso.

Read the rest of this entry »


La Comisión Europea presenta su estrategia para el refuerzo de las normas de protección de datos de la UE

Posted: noviembre 12th, 2010 | Author: | Filed under: Doctrina, Documento, Europa, Internacional, Proyecto de Ley, Público en general, Unión Europea | Comentarios desactivados

La Comisión Europea presenta su estrategia para el refuerzo de las normas de protección de datos de la UE

¿Qué ocurre con sus datos personales cuando usted embarca en un vuelo, injection abre una cuenta bancaria o cuelga sus fotos en Internet?¿Quién usa estos datos y cómo los usa?¿Cómo borrar permanentemente información de su perfil en las redes sociales de Internet?¿Puede transferir sus contactos y fotos a otro servicio? El control de su información, ascariasis el acceso a sus datos, la posibilidad de modificarlos o borrarlos, son todos ellos derechos fundamentales que deben ser garantizados en el actual mundo digital. Para abordar estas cuestiones, la Comisión Europea presentó hoy una estrategia sobre la protección de los datos personales en todos los ámbitos de actuación política, incluido el del orden público, al tiempo que se reduce la burocracia para las empresas y se garantiza la libre circulación de datos en la UE. La Comisión usará este examen de la política en la materia junto con los resultados de una encuesta pública para revisar la Directiva sobre protección de datos antes de realizar una nueva propuesta legislativa en 2011.

«La protección de los datos personales es un derecho fundamental», ha declarado la Vicepresidenta Viviane Reding, Comisaria de Justicia, Derechos fundamentales y Ciudadanía de la UE. «Necesitamos normas de protección de datos claras y coherentes para garantizar este derecho. También debemos actualizar nuestras leyes para adaptarlas a los cambios que la globalización y las nuevas tecnologías han traído consigo. La Comisión presentará una nueva legislación el próximo año para reforzar los derechos individuales al tiempo que se reducen los trámites burocráticos para garantizar el libre flujo de datos en el mercado único de la UE.»

Read the rest of this entry »


Respuestas a las preguntas mas frecuentes sobre informes comerciales

Posted: septiembre 5th, 2010 | Author: | Filed under: Argentina, FAQ, Informes comerciales, Público en general | Tags: | Comentarios desactivados

1) Que es el habeas data? Es el derecho constitucional a acceder y corregir datos personales cuando estos son falsos o discriminatorios. La Constitución Nacional de 1994 lo define así­ -…Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, gastritis que consten en registros o bancos de datos … y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos…”.

2) En qué consiste el derecho a la protección de los datos personales? Es el derecho que toda persona tiene a controlar los datos personales que existen en bancos de datos. En el año 2000 el Congreso Nacional reglamentó la acción de habeas data a través de la ley 25.326.

3) Que son los informes comerciales? Son documentos donde se consigna si una persona tiene deudas con el sistema financiero y si sus acreedores le han iniciado reclamos judiciales. También suelen contener información sobre la calificación realizada a través de la base de datos de deudores del sistema financiero que es elaborado por cada banco y publicada por el BCRA (calificación que va de 1 a 5 siendo 1 situación normal y 5 irrecuperable). También incluyen datos sobre el sistema no financiero, por ejemplo deudas con comercios o servicios públicos.

Read the rest of this entry »


Ley 25.326 de Protección de datos personales

Posted: abril 30th, 2010 | Author: | Filed under: Argentina, Normas, Público en general | Tags: , | Comentarios desactivados

Ley 25.326 -Habeas Data y Protección de Datos Personales

Sancionada: Octubre 4 de 2000. Promulgada Parcialmente: Octubre 30 de 2000.

Ver normas complementarias: Reglamentación y modificación del año 2010. Normas sobre seguridad informática, information pills sanciones, page registro y robo de identidad.

Ley de Protección de los Datos Personales

Capí­tulo I

Read the rest of this entry »


El registro no llame de la Ciudad de Buenos Aires

Posted: noviembre 18th, 2009 | Author: | Filed under: Argentina, Marketing, Público en general | Comentarios desactivados

Registro “no llame” de la Ciudad Autónoma de Buenos Aires
Por Pablo Palazzi

¿Cuál es el objetivo de la ley?

La ley del -Registro no llame- de la Ciudad Autónoma de Buenos Aires -ley 2.014- se aprobó en el año 2006 y dispone la creación del registro -no llame-donde pueden registrarse los usuarios telefónicos que no deseen recibir llamados telefónicos con ofertas publicitarias. La reglamentación se aprobó en el año 2007 (decreto 596).

La ley se reformó recientemente y se puso en vigencia con nuevos plazos.

¿Quiénes deben cumplir con la norma?

Están sujetas a la ley las empresas que utilizan sistemas de telemarketing para publicitar, visit ofertar, vender y/o regalar bienes y/o servicios en el ámbito de la ciudad autónoma de Buenos Aires. La ley dispone que estas empresas no pueden dirigirse a ninguno de los inscriptos en el “Registro No Llame” (art. 4).

La ley define al -Telemarketing- como el uso de cualquier tipo de comunicación por ví­a telefónica mediante la cual un agente intenta publicitar, ofertar, vender y/o regalar bienes y/o servicios a un consumidor (art. 3).

¿Qué obligaciones impone la ley?

La reforma del año 2009 modificó la ley, la cual ahora dispone que las empresas que utilizan el sistema de telemarketing en el ámbito de la Ciudad Autónoma de Buenos Aires deberán notificarse por primera vez de las inscripciones registradas antes del 6 de noviembre de 2009.

Con posterioridad a esa fecha, deberán notificarse cada quince (15) dí­as de las altas y bajas del registro. Es decir, deberán acceder al listado nuevo y actualizado de personas registradas en el registro -no llame- cada quince dí­as.

Read the rest of this entry »


Nuevo libro sobre delitos informáticos

Posted: junio 14th, 2009 | Author: | Filed under: Argentina, Delitos, Público en general | Comentarios desactivados

Con mucho agrado informo que se acaba de publicar mi nuevo libro sobre la reforma del Código Penal en materia de delitos informáticos comentando la ley 26388. Pueden ver un detalle del libro en mi blog sobre este tema, purchase como también un comentario al mismo de Horacio Fernandez Delpech.

El libro se actualiza en mi blog de delitos informaticos.


Se incorporó el Habeas Data en la Constitución de Entre Rios

Posted: agosto 4th, 2008 | Author: | Filed under: Argentina, Habeas Data, Normas, Público en general | No Comments »

*Se incorporó el Habeas Data en la Constitución de Entre Rios*
Luego de un extenso debate que duro varios dí­as, tadalafil el pleno de la Convención Constituyente de la Provincia de Entre Rios decidió aprobar el jueves pasado la incorporación del habeas data, que habilitará a toda persona a solicitar información que conste -en todo registro, archivo o banco de datos públicos o privados de carácter público-.

Segun informaron “los medios periodisticos”:http://www.diariodelsurdigital.com.ar/spip.php?article4538, “el presidente de la Comisión Nuevos Derechos y Garantí­as, Raúl Barrandeguy, fue el miembro informante sobre el dictamen de habeas data en el plenario. El justicialista explicó los alcances de este instrumento, que terminó siendo aprobado por los convencionales luego de dos horas de debate. Al texto original que se puso en discusión se le suprimieron -cónyuge- e -hijos menores-, dos expresiones que recogí­an disidencias de algunos constituyentes”.

-Toda persona tiene derecho a interponer acción expedita, rápida y gratuita de habeas data para tomar conocimiento de los datos referidos a ella, a su cónyuge, a sus hijos menores, a sus familiares directos fallecidos o a sus propios bienes, así­ como de la fuente, finalidad y destino de los mismos, que consten en todo registro, archivo o banco de datos públicos o privados de carácter público, o que estuviesen almacenados en cualquier medio técnico apto para promover informes-, leyó el constituyente, quien aclaró que tras realizar distintas consultas efectuadas desde la comisión, decidieron suprimir la expresión -a su cónyuge-.

Asimismo, estuvieron presentes representantes de la delegación de la Dirección de Datos Personales que mocionaron por legislar una ley sobre la materia.


Protección de datos personales en América Latina

Posted: abril 12th, 2008 | Author: | Filed under: América Latina, Buscadores, Habeas Data, Público en general | Comentarios desactivados

Por Ana Brian Nougreres, symptoms Danilo Doneda, store Renato Jijena Leiva, pharm Pablo Palazzi y Nelson Remolina

Introducción

Esta breve nota pretende introducir al lector al estado actual de la protección de datos personales en la región latinoamericana (en Argentina, Brasil, Chile, Colombia y Uruguay).

Argentina

En el caso de Argentina, se trata del segundo paí­s en aprobar una ley de protección de datos personales (ley 25.326) luego de la ley chilena del año 1999. Desde el año 1994 la Constitución Federal contempla el habeas data (art. 43) y el Código Civil ampara la privacidad en sus diversas formas desde la reforma por ley 21.173 (art. 1.071 bis Código Civil). Además Argentina es signataria de numerosos tratados internacionales que tienen jerarquí­a constitucional en el ordenamiento interno y que amparan la privacidad e intimidad.

Argentina es un paí­s muy activo en materia de datos personales, con mucha discusión judicial y académica del tema. Asimismo Argentina fue el único paí­s latinoamericano aprobado por la UE (el otro paí­s del continente fue Canadá pero no es América Latina).

Sin embargo no todo es tan atractivo como se lo pinta. Está pendiente que la agencia argentina de datos personales funcione de manera mas activa, sea dotada de mayor personal y presupuesto y pueda encarar el estudio de sectores determinados de la sociedad que no cumplen con la ley de protección de datos personales en forma visible y patente a diario. Hay un amplio tráfico de bases de datos sustraí­das de fuentes estatales y privadas, mucho spam, cientos de casos de robo de identidad por mes que generan datos desactualizados y acciones de marketing que se realizan impunemente (ej. cesiones de datos personales sin permiso o conocimiento del titular o venta de bases de datos de salarios). Asimismo la agencia deberí­a ser independiente y su director no deberí­a ser nombrado por el Presidente sino por el Congreso, cuestión que estaba prevista en la ley original pero que el Poder Ejectuvio vetó en su momento. Por ende es necesaria una reforma legislativa de la ley 25.326 en estos y en otros aspectos como el caso de los bancos de datos privados destinados a proveer informes.

Brasil

O regime de proteí§í£o de dados pessoais no Brasil é formado por um conjunto de normas que somente podem ser sistematizadas sob o epí­teto de “proteí§í£o de dados” com um certo esforí§o doutrinário. A privacidade é uma garantia fundamental da Constituií§í£o Federal e, a partir dela, o ordenamento disciplina a aí§í£o de habeas data (foi o primeiro paí­s a instituí­-la) e a proteí§í£o aos crediários de consumo proporcionada pela lei de defesa do consumidor, além de uma série de outras normas se relacionam com o tema. A partir destes marcos normativos fundamentais, a proteí§í£o de dados se desenvolve de forma setorial, sem que chame a atení§í£o como uma disciplina integrada.

Várias destas regras setoriais merecem destaque. A lei de proteígio ao consumidor é razoavelmente completa sobre o tema e cobre um amplo leque das operaí§íµes de tratamento de dados pessoais no setor de comércio, o que é especialmente valioso com a grande expansí£o do crédito ao consumo em um passado recente. A própria aí§í£o de habeas data, se ní£o é propriamente adequada í  realidade do tratamento automatizado da informaí§í£o, é um marco importantí­ssimo e acaba por ter a funí§í£o de tornar clara a relaví¢ncia que a Constituiíí£o reconhece ao controle pessoal sobre os próprios dados. Porém, a consolidaí§í£o de um regime integrado de proteí§í£o de dados no Brasil parece ainda incipiente pela falta de disposií§í£o a reunir normas diversas sob a mesma rubrica – o que se demonstra ainda mais pela rejeií§í£o da jurisprudíªncia em identificar a proteí§í£o de dados como uma garantia fundamental do indiví­duo no direito brasileiro. De toda forma, nota-se nos últimos anos um certo desconforto com a aparente permissividade deste modelo, o que se verifica pelas reaí§íµes, dentro e fora do mundo jurí­dico, a iniciativas como o monitoramento compulsório dos automóveis por meio de chips Rfid, o monitoramento de detentos em regime semi-aberto, a transferíªncia de dados sanitários para o setor privado, entre outros casos que víªm ultimamente contribuí­ndo para o crescimento da discussí£o sobre o tema.

Chile

La ley chilena sobre protección de datos personales, N °19.628 del año 1999, fue redactada con la asesorí­a directa de grupos, gremios y empresas interesadas en asegurar el negocio que constituye el procesamiento de datos personales, lo que se sumó al desconocimiento de los parlamentarios que la impulsaron. Estas afirmaciones resultan evidentes del análisis comparado con las dos normas en que los parlamentarios dijeron haberse fundado, la ley francesa de 1978 y la española de 1992, con las cuales existen diferencias radicales, de forma y de fondo.

Las causas de la falta de real aplicación de la ley en Chile se deben a sus graves errores de fondo y de estructura, que desde 1999 han impedido su vigencia efectiva. A la ley chilena le faltan aspectos orgánicos esenciales, como la existencia de un registro de bases de datos particulares, de un ente fiscalizador, de un procedimiento de reclamo administrativo y de sanciones eficaces. La norma ha transformado al hábeas data en una mera declaración de intenciones, ya que por la ví­a de las excepciones y por establecer como regla general una enorme libertad en materia de procesamiento de datos personales, se permite su “tratamiento” sin autorización de los titulares.

A lo anterior, se agrega que el derecho de acceso se sometió a la competencia de los tribunales y no de un ente administrativo eficaz y especializado (cuando en contrario, incluso se habí­a propuesto una Superintendencia de Bases de datos); y porque -para no encarecer los costos del negocio-, dicen las Actas, se eliminó la obligación de que se informara una vez al año a los titulares de los datos sobre su procesamiento, con lo cual se permitió el anonimato que hoy cubre el tráfico indiscriminado de información nominativa.

Aunque el tema de los -datos personales o nominativos procesados computacionalmente- va mucho más allá que el problema de los protestos, de la morosidad comercial y de los archivos históricos almacenados en bancos de datos por cierto lapso de tiempo, esta es la principal connotación que se le ha dado en Chile a la Ley Nº 19.628.

* ¿Los responsables del error legislativo denominado Ley 19.628?. Es cosa de ver las Actas e Informes parlamentarios. El Ejecutivo de la época que no colegisló; y el parlamentario que hoy, desde su cargo de Ministro, sigue insistiendo en foros especializados en que la culpa es de los ciudadanos despreocupados y no de la radical falta de idoneidad de la norma chilena.

Finalmente, un instructivo Presidencial del febrero del año 2007, sobre desarrollo digital, consignó que serí­a una nueva Polí­tica Pública el atender a problemas derivados del avance de las TICs no considerados adecuadamente, como las ambigí¼edades en torno a la privacidad y a la seguridad de los datos personales. A esta fecha no se han presentado proyectos de ley iniciados en el Gobierno (si en Mociones parlamentarias) en este sentido.

Colombia

En Colombia el tema de la protección de datos personales no es nuevo a pesar de no contar con una ley especí­fica sobre el tema. Se podrí­a resumir el caso colombiano diciendo que desde la perspectiva jurí­dica existe una amalgama de normas conformada por el artí­culo 15 de la Constitución que considera el habeas data como un derecho fundamental sumado a una serie de disposiciones sectoriales que tangencialmente se refirieren a la materia mas la importante jurisprudencia de la Corte Constitucional que desde 1992 a enero de 2008 se ha pronunciado en más de 140 sentencias.

La jurisprudencia colombiana ha seguido muy de cerca los principios internacionales sobre la protección de datos personales que han sido incorporados en documentos de la Organización de las Naciones Unidas y la Unión Europea. Desde la primera sentencia (T 414/92) la Corte Constitucional de Colombia ha establecido que la persona es el titular y propietario del dato personal. Para ella es obligación de los administradores de bancos de datos administrar correctamente y proteger los archivos y bases de datos que contengan información personal o socialmente relevante y no atentar contra los derechos fundamentales de los ciudadanos. La Corte Constitucional señaló, de manera general, que -la función de administrar una base de datos debe fundamentarse en los principios de libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida, caducidad e individualidad-. Concretamente, ha precisado que los administradores deben: (1) Obtener previamente la autorización de la persona cuyos datos se pretende incluir en la base; (2) Notificar a la persona sobre la inclusión de sus datos en el banco e informarle que va a reportar su información en una base de datos con miras a que el titular pueda desde un comienzo ejercer sus derechos de rectificación y actualización;(3) Actualizar permanente y oficiosamente la información para que ésta sea veraz, completa y no se omitan factores que pueden cambiar el buen nombre de la persona; (4) Eliminar de oficio la información negativa que ha caducado con el paso del tiempo; (5) Indemnizar los perjuicios causados por la falta de diligencia o por posibles fallas en el manejo, tratamiento o administración de datos personales; (6) Garantizar el derecho de acceso, actualización y corrección. Estos derechos implican que el ciudadano tenga -la posibilidad (-¦) de saber en forma inmediata y completa, cómo, por qué y dónde aparece cualquier dato relacionado con él-

-si la información es errónea o inexacta, el individuo puede solicitar, con derecho a respuesta también inmediata, que la entidad responsable del sistema introduzca en él las pertinentes correcciones, aclaraciones o eliminaciones, a fin de preservar sus derechos fundamentales vulnerados-. Finalmente, la Corte ha precisado que, por regla general, -no puede recolectarse información sobre datos -sensibles- como, por ejemplo, la orientación sexual de las personas, su filiación polí­tica o su credo religioso, cuando ello, directa o indirectamente, pueda conducir a una polí­tica de discriminación o marginación-.

Actualmente se encuentra en la Corte Constitucional el proyecto de ley estatutaria aprobado en 2007 cuyo texto se puede consultar “aqui”:http://gecti.uniandes.edu.co/columna.html . Le corresponde a la Corte establecer si dicho texto se ajusta o no a la Constitución. No obstante, debemos anotar que no existe consenso sobre la conveniencia del proyecto ya que ha sido objeto de crí­ticas. De hecho, frente a la Corte varias entidades, ciudadanos, expertos, exmagistrados y consticuionalistas ha solicitado diversidad de cosas: declararlos constitucional integralmente, declararlo inconsticional totalmente y parcialmente. Desde la academia reconocemos que el proyecto contiene aspectos positivos pero a la vez creemos que tiene muchas falencias y apartes claramente inconstitucionales (Ver: Documento GECTI No. 8 del 27 de septiembre de 2007. “El proyecto de ley sobre habeas data y protección de datos personales es inconstitucional”, “Documento radicado ante la Corte Constitucional de Colombia”:http://gecti.uniandes.edu.co/documentos.html y también “Alarma y desconcierto por la futura ley de habeas data, la protección de datos personales y los deudores morosos”:http://gecti.uniandes.edu.co/docs/%2024%20may%202007.pdf ). Esta apreciación también ha sido compartida por la Procuradurí­a General de la Nación en su concepto 4407 (Ver: “Gran parte del proyecto de ley estatutaria sobre habeas data es inconstitucional”:http://gecti.uniandes.edu.co/C4407.pdf (concepto No. 4407).

Uruguay

El modelo uruguayo nos muestra, por un lado, normativa marco, constituida por las disposiciones de los artí­culos 72 y 332 de la Constitución de la República (1967), que consagran los principios generales como fuente de derecho en nuestro paí­s. Esta concepción -“jusnaturalista-”nos habilita a decir que no existe desamparo para los ciudadanos uruguayos, y que sus datos personales tienen medios de protección consagrados en la Carta. La interpretación de nuestra Constitución en su carácter de normativa enmarcadora de los principios generales del derecho nos permite una integración de los principios consagrados en tratados internacionales como parte integrante del ordenamiento jurí­dico nacional. Entendemos, por tanto, que la protección de datos personales está implí­citamente consagrada en nuestro ordenamiento jurí­dico normativo con carácter general.

Además, en este paí­s, existe expresa consagración normativa de la protección de datos personales en normas de alcance sectorial, que vienen a regular distintos aspectos que conciernen a la protección de datos personales y al derecho de acceso. Así­ podemos mencionar la consagración del secreto tributario y previsional, el secreto bancario, el secreto estadí­stico, el derecho de acceso a la información, el acceso por la autoridad impositiva a los datos que se encuentren en poder de órganos u organismos públicos estatales o no estatales para el control de los tributos, la acción de amparo, la protección de los datos de identificación civil, la prohibición de cesión, venta, reproducción o entrega a terceros de información relativa al estado civil de las personas del Registro de Estado Civil; la inscripción registral de las personas que tienen la condición de deudor alimentario moroso, el carácter reservado de los datos personales de los menores y adolescentes, los datos médicos, la consagración de la libertad de pensamiento e información, el sector comercial, la acción de habeas data, la creación de un Registro de Empresas Infractoras a la normativa laboral en la órbita del Ministerio de Trabajo y Seguridad Social.

Si bien la Constitución no ampara explí­citamente la protección de datos personales ni el acceso a la información como derechos fundamentales, no puede concluirse que el ordenamiento uruguayo no posea medios para la tutela de los datos personales. Sí­ los posee en función de los preceptos constitucionales, que habrán de ser informados conjuntamente con los contenidos en las declaraciones y convenios multilaterales signados por nuestro paí­s, y la variada y dispersa normativa existente.

El sistema uruguayo de protección de datos, aún sin contener una ley que ampare con carácter general la protección de los datos personales, sí­ posee una adecuada enumeración y desarrollo de los principios generales que rigen el derecho fundamental a la protección de datos personales (“Ley N* ° 17838″:http://www.habeasdata.org/uruguayleydatospersonales, Ley N* ° 16616), tiene expresa consideración del derecho de acceso (Ley N* ° 16736), define los datos sensibles (Ley N* ° 17838), tiene consagrada la acción de amparo como instrumento procesal para el ejercicio de los derechos de acceso, rectificación, corrección de los datos (Ley N* ° 17838, Ley N* ° 16099).

En términos generales, el sistema uruguayo nos brinda algunas herramientas para la protección de los datos, que no son pocas.

A estudio del parlamento se encuentran al dí­a de la fecha dos proyectos de ley que pueden delinear próximos cambios en el sistema de protección de datos uruguayo. El primero, sobre -Acceso a la información pública y amparo informativo e Instituto Nacional para la información pública-, se encuentra a estudio de la Comisión de Educación y Cultura de la Cámara de Senadores desde el año 2006 (Carpeta N* ° 541/2006). El segundo, “sobre protección de datos”:http://www.habeasdata.org.uy/2008/03/04/proyecto-de-ley-sobre-proteccion-de-datos-personales-en-uruguay/, ingresó desde el Poder Ejecutivo al análisis del Poder Legislativo en el mes de septiembre de 2007; se le dio ingreso formal a la Cámara de Senadores en la primera sesión de octubre y pasó a ser analizado por la Comisión de Educación y Cultura de esta Cámara parlamentaria uruguaya”.

Conclusiones

Solamente dos paí­ses poseen leyes que siguen el modelo europeo en la región (de las cuales una ya fue considerada adecuada por la Unión Europea de protección de los datos personales) y en otos tres paí­ses hay proyectos legislativos en curso de análisis. El resto de la región parece encontrarse un tanto distante de tener una ley de protección de datos personales.

***


Italia: es ilegal espiar a los usuarios de internet que intercambian archivos de música en redes p2p

Posted: marzo 18th, 2008 | Author: | Filed under: Casos, DNPDP, Internet, Público en general | No Comments »

El Comisionado de protección de datos de Italia (al igual que su par suizo) decidió que es ilegal espiar a los usuarios de internet que intercambian archivos de música en redes p2p cuando ésta es realizada por empresas privadas (distinto serí­a “si lo pide un fiscal penal”:http://blog.andreamonti.eu/?p=27). La decisión se adoptó al cerrar la instrucción realizada en el caso “Peppermint”:http://www.mondaq.com/article.asp?articleid=50310 donde una sociedad alemana en defensa de sus derechos autorales (o mas bien conexos) que obtuvo datos p ersonales a través de una empresa suiza dedicada a seguimiento de usuarios en la red (Logistep) y a identificar a través de direcciones de IP a esos usuarios. La decisión se basa en el principio de finalidad por el uso de datos personales, neurologist y en la limitación hacia particulares de recopilar estos datos. Ademas se precisa que se recopilan datos personales de abonados cuando éstos no participan necesariamente del intercambio de archivos. La decisión intima a las sociedades que recopilaron estos datos a cancelarlos antes del 31 de marzo.

En Argentina la Dirección Nacional no se ha pronunciado todaví­a sobre el tema pero serí­a inminente la denuncia a ser presentada por un usuario que enfrenta un reclamo de las discográficas (ver ademas los comentarios en el blog de “Librecultura de Ariel Vercelli”:http://www.librecultura.org/2008/03/18/italia-es-ilegal-monitorear-las-redes-de-pares/).

*Texto de la decisión*

Roma, buy 13 marzo 2008

[doc. web n. 1495246]
[v. Comunicati stampa 17 luglio 2007, pills 18 maggio 2007 e 13 marzo 2008]

Internet – Caso Peppermint: illecito ”spiare” gli utenti che scambiano file musicali e giochi – 28 febbraio 2008

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTE le recenti ordinanze con le quali il Tribunale di Roma -“come richiesto da questa Autorití  -“ ha rigettato alcuni ricorsi con i quali le societí  Peppermint Jam Records GmbH (di seguito, Peppermint), casa discografica con sede in Germania e Techland sp. z. o.o. (di seguito, Techland), societí  che elabora e commercializza giochi elettronici avente sede in Polonia, intendevano ottenere da taluni fornitori di servizi di comunicazione elettronica la comunicazione delle generalití  di soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer to-peer;

RILEVATO che tali ricorsi si basavano sull’attivití  svolta per conto e su autorizzazione delle predette societí  da Logistep AG (di seguito, Logistep), societí  svizzera che, attraverso un’attivití  di monitoraggio delle reti peer-to-peer effettuata tramite un software proprietario, aveva individuato numerosi indirizzi Ip i cui titolari erano stati considerati responsabili della predetta condotta illecita;

VISTA la nota del 25 maggio 2007 con la quale l’Autorití  ha avviato accertamenti volti a verificare la liceití  e la correttezza dei trattamenti di dati personali svolti dalle predette societí , alle quali í¨ stato quindi chiesto di comunicare ogni informazione e documentazione utile per valutare le modalití  con le quali, anche avvalendosi dell’attivití  di altri soggetti, sono stati concretamente raccolti e utilizzati i dati personali di utenti identificati o identificabili; rilevato che con tale nota si í¨ chiesta, altresí¬, collaborazione e cooperazione alle autorití  di protezione dei dati personali dei Paesi nei quali risultano stabilite le societí  medesime (Repubblica federale tedesca, Polonia e Svizzera);

VISTE le note del 18 giugno e del 5 luglio 2007 con le quali l’avv. Otto Mahlknecht, che ha curato gli interessi delle societí  Peppermint e Techland, nel richiamare le deduzioni formulate nei diversi procedimenti giudiziari, ha fornito altri elementi conoscitivi sul funzionamento del software utilizzato da Logistep nell’attivití  svolta su incarico delle altre due societí , allegando la perizia di un esperto del settore;

VISTA la nota del 19 giugno 2007 con la quale Logistep ha fornito altre informazioni in merito alla propria attivití  e ha comunicato l’avvio di un’attivití  di collaborazione con l’autorití  svizzera di protezione dati finalizzata a verificare la liceití  dell’attivití  svolta;

VISTA la comunicazione del 20 giugno 2007 con la quale l’autorití  polacca per la protezione dei dati ha rappresentato di aver effettuato un accertamento ispettivo e di aver rilevato che Techland non ha svolto direttamente le attivití  necessarie per individuare le persone che scambiano illecitamente su reti peer-to-peer il software da essa sviluppato, e che tali attivití  sono state svolte, su propria autorizzazione, da Logistep, nonché da Logistep Polska, e curate poi dallo studio legale italiano dell’avv. Otto Mahlknecht;

VISTA la nota del 22 giugno 2007 dell’autorití  per la protezione dei dati personali per la Bassa Sassonia;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”) e, in particolare, gli artt. 11, 13 e 122 del Codice;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. Oggetto del provvedimento
Il presente provvedimento ha per oggetto la liceití  e correttezza del trattamento di dati personali relativi a utenti identificabili operanti su reti peer-to-peer (di seguito, anche “p2p”) che í¨ stato effettuato a cura dapprima di Logistep AG e Logistep Polska su autorizzazione di Peppermint e Techland e, poi, presso il predetto studio legale italiano. Tale trattamento í¨ avvenuto in due fasi:

a) la prima, í¨ consistita nella raccolta e nell’elaborazione automatizzata, anche nell’ambito di banche dati, di innumerevoli informazioni di carattere personale estratte tramite reti peer-to-peer per mezzo di un software denominato “file sharing monitor” (di seguito, fsm) utilizzato da Logistep;
b) la seconda, si í¨ basata sulla richiesta all’autorití  giudiziaria italiana in sede civile di ordinare a taluni fornitori di servizi di comunicazione elettronica di rivelare le generalití  degli intestatari degli interessati. A seguito di alcune prime pronunce del Tribunale di Roma che hanno provveduto in tal senso (cfr. causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza del 18 agosto 2006 confermata, in sede di reclamo cautelare della Wind, con ordinanza del 22 settembre 2006 e, attualmente, in attesa che il giudice determini le modalití  di attuazione dell’ordinanza di accoglimento; causa Peppermint c/Telecom Italia S.p.A., ordinanza del 28/29 novembre 2006, riformata in sede di reclamo della Peppermint con ordinanza del 9 febbraio 2007), il predetto legale ha inviato diverse centinaia di lettere a persone individuate quali intestatari di una linea di collegamento a Internet. Con tali lettere si í¨ contestata la violazione dei diritti derivanti dalla produzione di fonogrammi e si í¨ proposta una risoluzione bonaria, alternativa anche alla denuncia in sede penale, basata sul rispetto di alcune condizioni comprensive di un versamento di 330 euro.

Il presente provvedimento non riguarda, invece, la connessa questione oggetto pií¹ specificamente delle predette controversie instaurate presso il Tribunale di Roma nelle quali si í¨ costituito anche il Garante e in cui, a modifica del primo orientamento giurisprudenziale sopramenzionato, il Tribunale ha statuito che i fornitori di servizi di comunicazione elettronica, allo stato della legislazione vigente, non possono comunicare in sede giurisdizionale civile a Peppermint e Techland i nominativi degli interessati ritenuti responsabili di violazioni del diritto d’autore in rete. Cií², stante la specifica disciplina della conservazione dei dati di traffico, prevista solo per finalití  di accertamento e repressione di reati (art. 132 del Codice; cfr. causa Peppermint e Techland c/Wind Telecomunicazioni S.p.A.,ordinanza 14 luglio 2007; causa Peppermint e Techland c/ Telecom Italia S.p.A.,ordinanza 14 luglio 2007; causa Peppermint c/ Wind telecomunicazioni S.p.A., ordinanza 26 ottobre 2007; cfr.,anche, comunicato stampa del 17 luglio 2007, pubblicato sul sito web dell’Autorití ).

Tale profilo della comunicazione dei dati di traffico í¨ stato esaminato, da ultimo, dalla Corte di giustizia delle Comunití  europee la quale si í¨ pronunciata su una questione per molti aspetti simile (sentenza 29 gennaio 2008, pronunciata nella causa C-275/06 Promusicae c/ Telefonica de Espana Sau).

La Corte ha confermato che il diritto comunitario consente agli Stati membri di circoscrivere all’ambito delle indagini penali o della tutela della pubblica sicurezza e della difesa nazionale -a esclusione, quindi, dei processi civili- il dovere di conservare e mettere a disposizione i dati sulle connessioni e il traffico generati dalle comunicazioni effettuate durante la prestazione di un servizio della societí  dell’informazione. La Corte ha rilevato che anche i dati di traffico conservati per finalití  di fatturazione non possono essere utilizzati in “controversie diverse da quelle insorgenti tra i fornitori e gli utilizzatori, relative ai motivi della memorizzazione dei dati avvenuta per attivití  previste dalle disposizioni [dell'art. 6 della direttiva 2002/58/Ce]” (cfr. art. 123 del Codice); da cií², ha escluso la possibilití  che tali dati potessero essere messi a disposizione per controversie civili relative ai diritti di proprietí  intellettuale (cfr. punto 48 della sentenza; artt. 15, n. 2, e 18 della direttiva 2000/31/Ce relativa a taluni aspetti giuridici dei servizi della Societí  dell’informazione, in particolare il commercio elettronico, nel mercato interno; artt. 8, nn. 1 e 2 direttiva 2001/29/Ce sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella societí  dell’informazione; art. 8 direttiva 2004/48/Ce sul rispetto dei diritti di proprietí  intellettuale; artt. 17, n. 2 e 47 Carta dei diritti fondamentali dell’Unione europea).

2. Risultanze istruttorie e funzionamento del software fsm
Nelle centinaia di lettere inviate a utenti in Italia, il legale che ha agito per conto di Peppermint ha dichiarato che sulla base dei risultati acquisiti grazie al predetto software “antipirateria” appositamente realizzato, ritenuto di assoluta affidabilití  e attendibilití , í¨ stato possibile accertare che:

*
ciascun destinatario delle lettere aveva violato il diritto d’autore a partire dalla linea di rete Internet risultante nella rispettiva titolarití , mettendo indebitamente file musicali a disposizione di terzi;
*
cií², risultava avvenuto mediante un software di condivisione contemporanea di file (c.d. peer-to-peer) che altri utenti risultavano aver utilizzato per connettersi al p.c. dei destinatari delle lettere e per scaricare i file musicali da una cartella a questo dedicata.

Lo scambio di file via Internet rientra nella nozione di “comunicazione” anche quando ha per oggetto contenuti protetti dal diritto d’autore, tenuto conto che la nozione stessa include lo “scambio o la trasmissione di informazioni”, “tramite un servizio di comunicazione elettronica accessibile al pubblico”, tra “un numero finito di soggetti” (cfr. art. 2, lettera d), primo periodo, della direttiva 2002/58/CE e art. 4, comma 1, lett. l) del Codice). Quest’ultimo riferimento tende a distinguere l’ambito delle “comunicazioni private” da quello delle “comunicazioni al pubblico”. La circostanza che il sistema peer-to-peer consenta l’accesso a un numero potenzialmente elevato di utenti non rende “infinito”, o del tutto indeterminabile, il numero dei soggetti della comunicazione. Quest’ultima, í¨ infatti rivolta non a una platea indistinta di utenti, ma a soggetti delimitati che possono essere identificati. Manca, tra l’altro, la simultaneití  e l’unicití  della trasmissione che sono caratteristiche qualificanti di una “comunicazione al pubblico” (come í¨ nel caso del “servizio di radiodiffusione” -c.d. broadcasting-, espressamente escluso dall’ambito applicativo della nozione di comunicazione elettronica: cfr., anche, art. 4, comma 2, lett. a) del Codice).

L’attivití  di ricognizione condotta da Logistep risulta essersi focalizzata su due importanti reti p2p, GNUtella e eDonkey e utilizzando il sistema software fsm, sviluppato integrando e modificando software liberamente disponibili sulla rete per collegarsi a reti p2p.

Il software fsm consente:

a) usuali operazioni effettuabili tramite i comuni client, eccettuata la condivisione di file eventualmente scaricati dalla rete;
b) l’archiviazione a scopo di documentazione di tutte le informazioni usualmente caratterizzate da “volatilití ”, perché non necessarie una volta che la trasmissione dei file í¨ avvenuta;
c) di correlare le attivití  sulle reti p2p di un determinato utente al variare dell’indirizzo Ip assunto, nonché del provider utilizzato (il clock del programma risulta sincronizzato con una sorgente esterna, mentre viene tenuta traccia dell’identificativo Guid, generato al momento dell’installazione dei client).

In sostanza, il software fsm permette di tenere traccia della disponibilití  in rete di un certo “contenuto”; di verificarne l’effettiva possibilití  di acquisizione, effettuandone lo scaricamento (download), ovvero la copia in rete dalle aree di condivisione degli utenti che ospitano quel contenuto verso i propri computer; di verificarne la segnatura digitale con algoritmo SHA1 o MD5 (in dipendenza dal protocollo p2p utilizzato); di controllarne la diffusione, verificando l’esistenza di altre condivisioni presuntivamente riferibili a una pregressa attivití  di “download” (sul presupposto che la quasi totalití  degli utenti che condividono uno specifico contenuto lo abbiano a loro volta acquisito da un’altra fonte nella rete, tranne eventualmente il soggetto che originariamente lo abbia messo per la prima volta in condivisione, con una specifica segnatura digitale).

In particolare, il sistema fsm consente la raccolta dei seguenti dati: indirizzi Ip dell’offerente, il nome e il valore Hash del file, la misure del file, l’user name, il Guid, la data e l’ora del download.

In altre parole, come emerge dalla stessa perizia prodotta dall’avv. Mahlknecht, il software fsm accerta da chi, e quando, viene offerto quale file per un downloading e da chi, quando e per quanto tempo viene effettivamente copiato tale file; riconosce i tentativi dei partecipanti di sistemi di condivisione file di modificare il loro indirizzo Ip; organizza tali informazioni in una banca dati.

Anche se non risulta in atti che il sistema fsm svolga attivití  intrusive o installazioni di software o di altri componenti sul terminale dell’utente che partecipa al file sharing, e sebbene non risultino allo stato significativi elementi di diversití  nelle modalití  di funzionamento di tale software rispetto ai normali client che agiscono sulle reti p2p, il trattamento svolto da Logistep su incarico di Peppermint e Techland non puí² comunque ritenersi lecito.

3. Profili di illiceití  e non correttezza del trattamento
Il trattamento in questione í¨ stato inizialmente effettuato a partire da un Paese (la Svizzera), dotata di una legge di protezione dei dati e che ha ratificato la Convenzione di Strasburgo n. 108/1981, e la cui autorití  di protezione dei dati ne ha gií  dichiarato, per questa parte, l’illiceití .

La Préposé fédéral í  la protection des donne et í  la transparence (PFPDT), con una recente pronuncia adottata all’esito di un procedimento avviato anche su impulso di questa Autorití , ha ritenuto che il trattamento svolto da Logistep su incarico di Peppermint e Techland e che ha riguardato anche informazioni memorizzate su p.c. di utenti italiani, ha violato alcuni princí¬pi fondamentali della legge federale sulla protezione dei dati personali (decisione del 9 gennaio 2008).

E’ risultato in particolare violato il principio di liceití  (in ragione del fatto che la raccolta dei dati í¨ stata effettuata in mancanza di una base legale esplicita). Si í¨ ritenuto in secondo luogo violato il principio di finalití  (in quanto la registrazione sistematica dei dati degli utenti ha perseguito scopi diversi da quelli tipici delle reti peer-to-peer). Non sono stati, altresí¬, rispettati i princí¬pi di buona fede e trasparenza, in quanto la raccolta dei dati í¨ avvenuta senza che gli interessati potessero esserne consapevoli (sia per le circostanze nelle quali la raccolta í¨ avvenuta, sia perché non informati) e i dati possono essere stati raccolti all’insaputa di abbonati che non sono, necessariamente, i soggetti coinvolti nello scambio dei dati. Infine, í¨ risultato violato il principio di proporzionalití  (in quanto il diritto alla segretezza delle comunicazioni í¨ risultato limitabile solo nell’ambito di un bilanciamento con un diritto di pari grado e, quindi, allo stato, non per l’esercizio di un’azione civile).

Non risultano in atti elementi pií¹ specifici di valutazione delle modalití  di trattamento di dati che í¨ stato effettuato a cura di Logistep Polska, il quale, qualora si sia svolto con le modalití  sopraindicate, si í¨ posto anch’esso in violazione dei princí¬pi di trasparenza, finalití , correttezza e buona fede richiamati sia dalla Convenzione di Strasburgo, sia dalla direttiva 95/46/Ce e dalla stessa disciplina nazionale di protezione dati (cfr. art. 5 Conv. n. 108/1981 cit., art. 6 direttiva 95/46/Ce).

I trattamenti in esame, effettuati in modo massivo e capillare per un periodo di tempo prolungato e nei riguardi di un numero elevato di soggetti, hanno consentito di tenere traccia analitica delle operazioni compiute da innumerevoli, singoli utenti relativamente a specifici contenuti protetti dal diritto d’autore.

Per le modalití  con le quali la raccolta dei dati í¨ stata svolta, si í¨ configurata un’attivití  di monitoraggio vietata a soggetti privati dalla direttiva 2002/58/Ce (art. 5; cfr. art. 122 del Codice).

Le reti p2p sono finalizzate allo scambio fra utenti di dati e file per scopi sostanzialmente personali, mentre il software fsm “non í¨ destinato allo scambio di dati, ma al monitoraggio ed alla ricerca di dati, che utenti di reti P2P mettono a disposizione a terzi” (cfr. nota del 5 luglio 2007 dell’Avv. Otto Mahlknecht). I dati che gli utenti mettono in rete possono essere utilizzati per le finalití  per le quali tale pubblicazione avviene (cfr., fra gli altri, Provv. del 14 giugno 2007, doc. web n. 1424068). L’utilizzo dei dati dell’utente delle reti peer-to-peer puí², quindi, avvenire per le finalití  sue proprie e non gií , in modo non trasparente, per scopi ulteriori, quali quelli perseguiti da Logistep, Peppermint e Techland.

Il trattamento í¨ risultato viziato anche sotto il profilo della trasparenza e della correttezza, posto che non í¨ stata fornita alcuna informativa preliminare agli utenti. Dalla descrizione resa dalle societí  sul funzionamento del software fsm si í¨ potuto rilevare che, mentre gli indirizzi Ip sono stati acquisiti da un terzo rispetto agli utenti (il tracker), gli altri dati (ossia, i file offerti in condivisione, data e ora del download) sono stati raccolti direttamente presso gli interessati.

Il Tribunale di Roma ha riconosciuto, per tali informazioni, la natura di “dati personali” relativi a utenti identificabili i quali dovevano essere informati di tale ulteriore e inatteso trattamento (v. anche Parere del Gruppo Art. 29 del 18 gennaio 2005 in materia di diritti di proprietí  intellettuale, nel quale í¨ stato rilevato che nessun dato personale puí² essere raccolto senza che l’interessato sia correttamente e preventivamente informato, in maniera trasparente, sulle eventuali modalití  di controllo e sull’identití  del soggetto che lo effettua, prima che il trattamento abbia inizio e prima che l’interessato fornisca i dati personali attraverso il download Working document on data protection issues related to intellectual property rights – January 18, 2005 – WP104.pdf).

4. Conclusioni
Come premesso, una seconda fase del trattamento dei dati connesso all’invio delle lettere í¨ avvenuta nel territorio dello Stato, utilizzando dati personali relativi a persone identificabili e raccolti illecitamente.

Si rende pertanto necessario, a definizione della complessa istruttoria preliminare, provvedere in ordine all’ulteriore utilizzazione di tali dati sul territorio dello Stato. Cií², senza che occorra proseguire gli accertamenti per verificare anche se, e in quale misura, la disciplina italiana di protezione dei dati trovi in tutto o in parte applicazione anche alla prima fase di raccolta automatizzata dei dati, alla luce della disposizione normativa secondo cui la legge italiana si applica ai trattamenti effettuati da soggetti stabiliti nel territorio di un Paese non appartenente all’Unione europea il quale impieghi, per il trattamento, strumenti situati nel territorio dello Stato (quali i p.c. degli utenti italiani, dai quali Logistep ha chiaramente tratto gli indirizzi Ip: art. 5 del Codice).

In ragione delle predette risultanze non possono che confermarsi le valutazioni di illiceití  e non correttezza gií  tratteggiate nelle memorie di costituzione in giudizio nelle controversie dinanzi al Tribunale di Roma -“e note alle controparti -“, e conseguentemente disporsi il divieto nei confronti delle predette tre societí  di ulteriore utilizzazione dei dati personali raccolti illecitamente, nonché la loro cancellazione entro il termine del 31 marzo 2008.

TUTTO CIí’ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice dispone, nei termini di cui in motivazione, nei confronti di Peppermint Jam Records GmbH, Techland sp. z. o.o. e Logistep AG, il divieto dell’ulteriore trattamento dei dati personali relativo a soggetti ritenuti responsabili di aver scambiato file protetti dal diritto d’autore tramite reti peer-to-peer e ne dispone la cancellazione entro il termine del 31 marzo 2008.

Roma, 28 febbraio 2008

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli