Me encuentro cursando una Maestría de Seguridad Informática en la UBA, para lo cuál estoy realizando una investigación titulada: “La NSA Según las Revelaciones de Snowden». Estoy cerca de terminarla y en las próximas semanas seguro la publicaré en este blog.
Dentro del mismo hay una sección donde se habla sobre aspectos legales. Tuve el gusto de conocer a Rodrigo Iglesias a quién realicé una entrevista sobre privacidad y aspectos legales en Argentina.
Rodrigo es un abogado «hacker» (en el mejor sentido de la palabra) con conocimientos de seguridad informática. Esta día jueves 26, en conjunto con HackanCuba, darán una conferencia en la Ekoparty sobre los nodos de salida Tor y la justicia Argentina. Los 2 tienen una historia una historia de miedo con final feliz, que podré escucharla este día jueves.
Sin más, les dejo la entrevista:
¿Esta protegida legalmente la privacidad de las comunicaciones en Argentina?
Existen varias regulaciones en la materia. En primer lugar esta el artículo 18 de la Constitución Nacional que habla de la protección al correo epistolar. La Corte Suprema de Justicia entendió al Correo Electrónico como correo epistolar. Por este motivo se entiende que las comunicaciones vía Internet se encuentran protegidas (como el total de las comunicaciones).
Además tenemos la Ley Federal de Telecomunicaciones indica que cualquier violación de las comunicaciones es competencia de los tribunales Federales. En base a ésta ley es que la Corte Suprema de Justicia, siguiendo el dictamen del Procurador General Eduardo Casal .
Por otro lado, existe un fallo de Corte Suprema de Justicia que por decreto emitido por Néstor Kirchner donde se indicaba a las empresas de telecomunicaciones que resguarden todas las comunicaciones de sus clientes por 10 años. Además, esto implico una acción de amparo de clase que generó un fallo muy importante. El Dr Halabi entiende, con el cual estoy de acuerdo, que las comunicaciones entre un abogado y su cliente deben ser privadas. Por lo tanto discriminar cual es una comunicación con su letrado hace que se viole la privacidad de la misma. La Corte entendió el planteo de forma tardía ya el mismo ex presidente había emitido un nuevo decreto dejando sin efecto el anterior.
Este caso aclaró que las comunicaciones gozan de garantías constitucionales y que las excepciones deben ser a pedido de Fiscal y con autorización del Juez. (Como lo indica, por ejemplo, el artículo 117 del Código de Procedimiento Penal de la Ciudad Autónoma de Buenos Aires) Se deben establecer plazos y formas. En el caso de CABA existe un plazo de 30 días ampliable a 15, llegando a un máximo de 45.
El artículo 75 inciso 22 de la Constitución Nacional, reconoce distintos Tratados Internacionales de Derechos Humanos con jerarquía Constitucional. Con lo cual estos instrumentos indican, que no solo la Libertad de Expresión, sino el derecho a la privacidad como el reverso de la misma moneda. Esto se entiende así y es resguardado en la propia Constitución Nacional en el articulo 19.
Por lo tanto la protección legal a la privacidad esta contemplado en el ordenamiento jurídico argentino. El mismo reconoce al derecho internacional que le abarca y lo hace norma fundamental del País, por consiguiente el derecho a la privacidad de las comunicaciones se encuentra incluido en él y el tribunal máximo del País no solo entendió la problemática de forma correcta sino que dio tratamiento a los Fueros Federales.
Para que no exista el riesgo fundamental de entender una cosa distinta por cada provincia, dado que las telecomunicaciones son de carácter “transfronterizo” se eliminando así un problema enorme. Sin embargo, se crea otro a futuro (la falta de Juzgados Federales para la cantidad de causas que va a generar este tipo de reglamentaciones, existen muchísimos delitos que bajo este fallo se encuentran afectados a Juzgados Federales).
Recientemente el gobierno de Argentina firmó un acuerdo con Amazon para proveer servicios en la nube. ¿ Este acuerdo respeta la ley de Argentina de protección de datos ?
El memorandum de entendimiento entre la Empresa Amazon y el Ministerio de Modernización es no vinculante (dado que no es una acuerdo sino un principio de entendimiento), con lo cual no expresa que no será cumplido, todo indicaría que va a ser implementado. Se incumple con la actual y vigente ley de protección de datos personales en dos puntos, primero en que los datos deben encontrarse en territorio argentino o en un «País Seguro» esto implicaría que no deberían ser alojados en Países que tengan una normativa menor a la implementada por Argentina, por ejemplo USA. También la disposición 60-E/2016 establece que la jurisdicción, normativa y juez deben ser argentinas y la principal autoridad debe ser el Director de la Dirección Nacional de Protección de Datos Personales, entonces surgen dos problemas:
1) Amazon no tiene sede legal en Argentina, con lo cual caemos en que USA no reconoce tribunales internacionales (sic). Para dejarlo en claro: Amazón nunca sería responsable legal ante cualquier inconveniente.
2) No por nada en el Boletín Oficial ya plantearon remover al director de la Dirección Nacional de Protección de Datos Personales a la de
Acceso a la Información, uno se puede preguntar si vengo diciendo estas cosas. Claro que sí claro
Cabe destacar que podrían decir que los servidores se encuentran en Brasil, quien estaría en condiciones legales de alojar esta información, el problema es que esta información se encuentra en varios lugares al mismo tiempo (backup) y entre ellos Amazon utiliza servidores en USA (entre otros claro), también es mucho más sencillo eliminar información de forma segura en un servidor en otro País (de hecho se contratan por módico precio empresas para realizar un borrado seguro de información en la nube). Si uno ve estas cosas y como viene todo ¿qué se puede esperar?
Además se infringe la ley de acceso a la información pública, dado que el memorandum dicta de forma expresa la confidencialidad de las comunicaciones y oscurecer un proceso que debería ser transparente por ley es por lo menos falto de ética para un Ministerio de Modernización.
Otro problema es que Amazon debería no vender, ceder, etc los datos entregados a un tercero y debe quedar expreso, nada de esto se encuentra en el memorandum y si en la normativa vigente. Como se ve problemas hay varios, pero por último:
¿Va a estar toda la información del País menos de la Provincia de Santa Fe? porque tenemos una ley de Software Libre y si bien no se encuentra reglamentada, la ley esta vigente y debe informarse porque no se puede realizar este servicio de forma local, con software libre y con desarrollo argentino.
¿La vigilancia masiva que realiza el gobierno de Estados Unidos a través de la NSA viola el artículo 12 de la declaración Universal de la Declaración Universal de los Derechos Humanos de Naciones Unidas?
En realidad todos los Estados tienen regulado el Espionaje a nivel Interno, y ninguno a nivel externo. Para ejemplificar, nos esta penado realizar tareas de espionaje a nuestros ciudadanos, pero no nos esta penado realizarlo a personas que habiten tierra Uruguaya. Lo mismo pasaba con la NSA.
¿Los Estados Unidos tienen obligación de cumplir los derechos Humanos?
No, esta es una de las grandes mentiras de los defensores de los DDHH tradicionales, más precisamente de los organismos de derechos humanos como la ONU, OEA, etc. En la ONU existe el Consejo de Seguridad, donde 5 Países tienen carácter de miembros permanentes y con derecho a veto (esto significa que en cualquier votación, quien no este de acuerdo o simplemente no emita voto sobre cualquier normativa la decisión queda vetada, ya lo vivimos en la época de la Guerra Fría), además de esta discriminación dentro de del Consejo de Seguridad, USA nunca reconoció jurisdicción de ningún Tribunal Internacional en su territorio, con esto no solo existe el problema de la NSA, sino: guerras, Guantanamo, invasiones, etc etc, etc.
¿Se puede hacer algo desde la legislación para proteger la privacidad de las personas?
Desde la legislación se encuentran varias opciones ya cubiertas, todo a nivel local, de Países en particular. Falta trasladar a organismos internacionales la facultad de hacer cumplir los tratados u obligar a que Estados mejoren sus legislaciones en materia de privacidad.
En nuestro País se debe modificar la ley de protección de datos personales para aumentar el nivel y volver a encontrarnos acordes a la normativa de la Unión Europea. Lamentablemente en el anteproyecto de ley observamos que el consentimiento informado podría pasar a ser tácito con esto no solo no estaríamos en los parámetros de la normativa Europea sino que bajamos los niveles de la actual ley de protección de datos personales. Además la Dirección Nacional de Protección de Datos Personales se encuentra con un presupuesto precario (por decirlo de alguna forma), siempre fue ineficiente y los directores son designados o removidos por el Poder Ejecutivo. Esto a tornando el cargo en un «Puesto Político» y nunca la Dirección Nacional de Protección de Datos Personales realizó una inspección a un ente Estatal (hasta llegaron a decir que la ley no es para el Estado). Esto, más allá de que debería ser un ente autónomo y descentralizado de cualquier administración pública.
Todo esto, más allá de que nuestro País se encuentre en momentos de violación a la privacidad e intimidad a niveles aun mayores desde hace muchos años, como SIBIOS, Proyecto X etc (pero el gobierno actual empeoró estas condiciones a extremos muy peligrosos, hoy el Presidente puede ver tus datos biométricos, o una secretario de una municipalidad de algún lugar recóndito del País).
¿Es obligación de cada país hacer respetar hacer cumplir los derechos humanos a sus ciudadanos?
Con la Excepción de los Países que integran el consejo de seguridad de forma permanente y de USA en particular al desconocer jurisdicción de los tribunales internacionales, todos los países que aceptaron ingresar a ONU, OEA etc tienen el deber y la obligación de respetar y hacer cumplir con los derechos humanos a sus ciudadanos.
¿Es suficiente la legislación?
Podría ser mejorada, suficiente nunca puede ser una legislación sino no existirían los legisladores. Pero sí debería interpretarse muchas leyes de forma distinta o global (como todo, siempre es perfectible), pero si empezáramos a entender que el big data, IoT, Mineria de datos, etc pueden estar en colisión con la normativa vigente del País o que las reformas de leyes deben tener en cuenta estas cosas (un claro ejemplo es el secreto del voto y el voto electrónico). Mucho dinero y recursos podrían destinarse a otras áreas que al final de cuentas vemos que implementar tecnología para reparar problemas inexistentes es tener una solución en búsqueda de problemas cuando debería ser totalmente al revés.
Interesante post, aunque no del todo acotado con respecto a Amazon. Creo w sería conveniente q intentes contactar a alguien en AWS para aclarar y corregir algunos puntos. Yo sé cómo funciona y sé que no es del todo correcto lo que describes, pero no tengo la propiedad para habla de parte de Amazon.
Si tienes algún contacto con gente de Amazon pueden dejar un comentario por acá.