Protección de datos personales, privacidad
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera. Saludos cordiales Alberto Soto http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai n-end-privacy
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera. Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito) Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro. En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad. Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región. Saludos. Javier J. Pallero http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero> El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org> escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link…), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión. Saludos cordiales Alberto Soto De: Javier Pallero [mailto:javierjosepallero@gmail.com] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera. Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito) Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro. En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad. Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región. Saludos. Javier J. Pallero http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero> El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > escribió: Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera. Saludos cordiales Alberto Soto http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai <http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai...> n-end-privacy _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org
Alberto en el caso de Colombia la Superintendencia de Industria y Comercio tiene la responsabilidad de desarrollar las actividades relacionadas con la protección de datos de los ciudadanos colombianos. Para ello tiene la correspondiente delegatura <http://www.sic.gov.co/proteccion-de-datos-personales> *Normatividad* Ley 1581 <http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=49981> de 2012 Ley 1266 <http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34488#0> de 2008 Decreto 886 <http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=57338#0> de 2014 El 12 de junio de 2014, 10:18, Alberto Soto <asoto@ibero-americano.org> escribió:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link…), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero>
El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai < http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai...
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Antonio Medina Gómez Presidente Asociación Colombiana de Usuarios de Internet presidencia@acui.co @amedinagomez Skype amedinagomez Celular 3118689626
Alberto, pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales? Vamos en reversa: Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso. Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país? Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo. Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren). En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones? Saludos cordiales. Alejandro Pisanty 2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org>:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link…), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero>
El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai < http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai...
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer. Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales: - ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1 - New GTLD Program. Personal Data Privacy statement: 1. International transfer… - Art. 29 Data Protection Working Party (Bruselas, JUN 2013) - Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013) - WHOIS Beta. Grupo de trabajo del Art. 29 - Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe. Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes. También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad. Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo. Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello. Saludos cordiales Alberto Soto De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Alberto, pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales? Vamos en reversa: Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso. Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país? Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo. Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren). En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones? Saludos cordiales. Alejandro Pisanty 2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >: Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link…), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión. Saludos cordiales Alberto Soto De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto:javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera. Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar <http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito) Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro. En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad. Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región. Saludos. Javier J. Pallero http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero> El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió: Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera. Saludos cordiales Alberto Soto http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai <http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai...> n-end-privacy _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> <mailto:lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org -- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
Alberto, todos, Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html Lamentablemente nadie respondió a ese correo ni a esa propuesta. En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html, que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO. Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos. Saludos cordiales, Fatima Cambronero El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org> escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero>
El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai < http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai...
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero
Mil disculpas Fátima, grueso error mío, y gracias por recordarlo. Saludos cordiales Alberto Soto De: Fatima Cambronero [mailto:fatimacambronero@gmail.com] Enviado el: viernes, 13 de junio de 2014 04:54 p.m. Para: Alberto Soto CC: Alejandro Pisanty; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Alberto, todos, Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html Lamentablemente nadie respondió a ese correo ni a esa propuesta. En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html, que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO. Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos. Saludos cordiales, Fatima Cambronero El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > escribió: Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer. Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales: - ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1 - New GTLD Program. Personal Data Privacy statement: 1. International transfer - Art. 29 Data Protection Working Party (Bruselas, JUN 2013) - Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013) - WHOIS Beta. Grupo de trabajo del Art. 29 - Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe. Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes. También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad. Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo. Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello. Saludos cordiales Alberto Soto De: Alejandro Pisanty [mailto:apisanty@gmail.com <mailto:apisanty@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Alberto, pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales? Vamos en reversa: Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso. Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país? Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo. Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren). En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones? Saludos cordiales. Alejandro Pisanty 2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > >: Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link ), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión. Saludos cordiales Alberto Soto De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto:javierjosepallero@gmail.com> <mailto:javierjosepallero@gmail.com <mailto:javierjosepallero@gmail.com> > ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera. Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar <http://nic.ar> <http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito) Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro. En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad. Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región. Saludos. Javier J. Pallero http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero> El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > > escribió: Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera. Saludos cordiales Alberto Soto http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-domai <http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-doma in-end-privacy> n-end-privacy _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> <mailto:lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> > <mailto:lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> <mailto:lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> > > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> <mailto:lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org -- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . . _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto:lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org -- Fatima Cambronero Abogada-Argentina Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464 On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html, que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org> escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero>
El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do main-end-privacy
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
Cierto. Fátima tiene razón , yo no entendía porqué ahora se repetía, ya habíamos trabajado sobre el tema por varias personas, por febrero o marzo, entre ellas Fátima y Alejandro, también Carlton. En un momento Fátima hiciste esa aclaración sobre el que el punto focal es esto de la retención y diferencias entre registrar y registry. Les envío algo al respecto . Espero pueda ser útil para la discusión del tema. Es un poco largo. Según entendí, la tarea no es transcribir o linkear todas las legislaciones, lo cual yo ya había enviado el link, sino que es confrontar la lista de datos que aparecen en este documento del que nos enviaste el link Fátima y la legislación de cada país Uruguay tiene legislación especial y registro de bases de datos personales obligatorio, salvo excepciones Respecto a los datos que se retienen según la descripción de RAA 2013 del borrador de 21 marzo 2014 : Se trata de un tema complejo. Delicado por sus consecuencias. Trataremos algunos puntos. *Punto 1. Relaciones contractuales. encadenadas-* Según entiendo: los datos que se retienen en el caso de los RAA son derivados de una relación contractual entre dos partes: Quien registra los datos y el Registrador o Registro (registry). Quien registra los datos NO es el titular de los datos sino quien los recolectó del titular de los datos, que es la persona (física o jurídica) que va a utilizar el dominio. Aquí hay dos relaciones contractuales que se encuetran encadenadas o dependientes una de la otra.. a) Una es entre el titular de los datos y quien los va a registrar y b) la otra es entre quien los registra y el Registro. Nos interesa a efectos del análisis: Artículo 8 de la ley uruguaya, que de manera similar a otras establece el *Principio de finalidad* por el que: "Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aún cuando haya perimido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular." Es obvio que quien desea utilizar un dominio debe adherirse a las reglas respecto a la concesión de dicho dominio, siendo que en el caso estas reglas relativas a la retencion de datos son utiles para cumplir la finalidad de que se protejan los dominios registrados de ataques y faciliten la resolucion de disputas al respecto de los mismos. Tampoco puede el titular de los datos ( persona física o jurídica) desconocer que la persona con la que contrata , que es quien se presentará al Registro, necesita dar al Registro determinados datos personales de quien registra el dominio, pues son necesarios para quedar registrado. De todas maneras entiendo que es de orden que se ponga una cláusula al respecto en este acuerdo para evitar conflictos presente el contrato previo donde conste esta autorización y consentimiento expreso y claro o en su defecto que lo haga claramente, aunque por separado del contrato, en otro documento. . Cuando la persona que realiza el registro se presenta a registrar el dominio, está brindando datos ajenos pero autorizada por su contrato con el titular de los datos, y tambien el titular de los datos debe haber autorizado la retencion por el tiempo que esta debe realizarse y para los fines que se deben indicar expresamente.. Conviene que el Registro conservara copia de este documento de autorización o del propio contrato antecedente entre quien será el titular del dominio y quien lo registra. *Punto 2. Retencion de Datos* En el caso de la retención de los datos por cierto tiempo, el titular de los datos podría cuestionar no el hecho de dar sus datos para que se registre el dominio, sino *que retengan los datos* porque no es solo para registrarlo, sino que es por efectos posteriores. Esto, por un lado: a) debe ser también consentido por el titular de los datos en el contrato que realiza con quien los va a registrar. Es decir que debe haber otra cláusula o expresión de voluntad en el mismo documento, en que claramente se establezca que el titular de los datos consiente en que el Registro retenga los datos por un cierto tiempo, (serían los cinco años o plazo por el que se hace en general la retención) porque esto es en beneficio de la buena prestación del servicio y para proteger el sistema de usurapaciones o fraudes respecto a los dominios, incluido el dominio de quien será su titular y está contratando. Entiendo que esto es un fundamento válido y poco objetable por el titular de los datos: brinda sus datos para una finalidad determinada y no para otra y es a los efectos de la adecuada prestacion del servicio que el va a utilizar. Protege su propio dominio tambien. El Registro debe exigir que esta clausula este expresamente establecida n el contrato entre el futuro titular del dominio y quien lo registra, del cual queda con copia. ( o por documento aparte, lo cual es menos practico pero puede subsanar en caso de que no lo estuviera en el mismo contrato) A su vez el titular de los datos tendrá el derecho de acuerdo a la ley y entiendo que también debe quedar obligado a comunicar de inmediato todo cambio de datos para que el Registro se mantenga actualizado. Dicho titular de los datos debera quedar facultado para ejercer los derechos de acceso a la base de datos, previa identificacion, rectificacion, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en la base de datos del Registo, si constata error o falsedad o exclusión en la información de la que es titular o supresion de los datos inexactos. También el titular de los datos tendrá el derecho a que el Registro comunique los datos solo para los fines para los que los dio y en el caso de la retención de datos el titular de los datos deberá consentir expresamente en el contrato que se comuniquen esos datos para la finalidad de protección del propio Registro como ya mencionamos. *Punto 3.. Datos protegidos* En cuanto al tipo de datos protegidos.todas las leyes de proteccion de datos que conozco establecen que se requiere consentimiento informado del titular de los datos para ser tratados. Pero tambien establecen excepciones a ello. La ley uruguaya en el articulo 9 establece :" El tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente ley" Pero a la vez, todas esas leyes, como deciamos, establecen que este consentimiento NO se requiere en determinados casos que las mismas legislaciones establecen de manera similar. Habria que ver en cada legislacion las diferencias en este punto. La ley uruguaya en el mismo art. 9 a continuación establece 5 casos en que NO se requiere dicho consentimiento: entre los que están los datos que se requieren para el Registro del Nombre de Dominio y que serían objeto de retención según el documento de abril 2014.. *Salvo:* la *direccion de correo electronico* , que es requerida en el punto 1.1.4.- En este caso para la retención según la ley uruguaya, habria que tener el consentimiento expreso e informado del solicitante también que diga que autoriza a dar su dirección de correo electrónico, en el contrato con quien lo va a registrar y volcarlo tambien en el contrato con el Registro, el que convendria exigir copia del primer contrato. En los otros casos de retención los demás datos están comprendidos en los 5 casos de excepción al artículo 9, al menos en nuestro país son datos que están en fuentes públicas (inc. A) o quedan en los otros incisos. Se los agrego a continuación: A) Si los datos provienen de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos d loatos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas para su uso exclusivo personal, individual o doméstico. Por ley posterior se agregaron al artículo 9 se consideran tambien bases publicas o accesibles al publico: A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o canal de comunicación. B) Las publicaciones en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travésdel cual se practique la comunicación. C) Las guías, anuarios, directorios y similares en los que figuren nombres y domicilios, u otros datos personales que hayan sido incluidos con el consentimiento del titular. D) Todo otro registro o publicación en el que prevalezca el interés general en cuanto a que los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte de terceros. En caso contrario, se podrá hacer uso del registro o publicación mediante técnicas de disociación u ocultamiento de los datos personales. O sea que en todos estos casos anteriormente mencionados NO se requiere el consentimiento informado del titular de los datos. El articulo 4 definia: "Fuentes accesibles al público como: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. " De todas maneras al firmar el titular de los datos el contrato como expresabamos, ya esta autorizando el uso para esa finalidad de obtener y preservar su dominio . En el caso de la retencion seria para prevenir usurpaciones *4.Datos sensibles* La legislación uruguaya, como las legislaciones que ví , divide los datos personales en dos: datos personales en general y los datos sensibles, un tipo especial dentro de datos personales, que es más protegido. Los datos sensibles están taxativamente ennumerados en la ley uruguaya (preferencias políticas o religiosas, origen étnico, afiliación sindical, datos de salud y vida sexual) Estos NO son datos objeto de retencion, según el documento en estudio ( abril 2014 por lo que no nos extendemos en este tema. Respecto a estos datos: "Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. " Aunque hay algunas excepciones. Esto es algo apresuradamente la visión que podemos dar en este momento. *EN RESUMEN:* Todo se resolvería al establecer detallada y expresamente en el contrato con el titular de los datos que va a ser el que haga uso del dominio, las autorizaciones y consentimiento informado para que se haga la retención de los datos con la finalidad exclusiva de evitar fraudes, ocupación de dominios, y facilitar la resolución de disputas, todo según lo establezca la legislación que corresponda aplicar. Asimismo el Registro debería tener copia de este contrato y el titular de los datos debería poder acceder a la base para ejercer sus derechos de acceso, rectificación, actualización de datos, inclusión de datos nuevos, o supresión de los incorrectos, y control de la comunicación solo para los fines mencionados..Esta actualización de los datos también debería ser una obligación, para mantener el Registro actualizado. Saludos a todos Aída Saludos y El 15 de junio de 2014, 11:36, Vanda Scartezini <vanda@uol.com.br> escribió:
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464
On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html, que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org> escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero <http://www.linkedin.com/in/javierpallero
El 12 de junio de 2014, 11:15, Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
main-end-privacy
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia
Aída, qué bueno que alguien con tus conocimientos y trabajo escrupuloso entre en este terreno, como bien lo han preparado Fátima y Vanda. Ésta es la clase de trabajo que hace falta. Ahora bien, es un trabajo que está en marcha en ICANN desde hace mucho tiempo, pues ICANN está constantemente bajo presión para que los contratos que avala sean compatibles con las leyes en todos los países posibles. En particular el tema de privacidad es extremadamente contencioso y diverso. Seguramente has leído acerca del contencioso que existe entre la "Sección del Artículo 29" en Europa y ICANN, así como las controversias acerca del RAA (con las que iniciamos esta conversación). Creo que sería muy valioso que tú y los otros colegas de LACRALO que se dedican a estos temas asistan a las sesiones correspondientes en la reunión de ICANN en Londres o las sigan a distancia, y entren en contacto con los miembros de las comunidades afectadas más allá de ALAC. De esta manera daríamos un salto cualitativo en la capacidad de LACRALO de intervenir de manera informada, y retomar esta discusión después de la reunión con una orientación altamente productiva. El enriquecimiento del conocimiento jurídico detallado de la controversia ayudará a todos. Saludos cordiales. Alejandro Pisanty 2014-06-15 17:58 GMT-05:00 Aida Noblia <aidanoblia@gmail.com>:
Cierto. Fátima tiene razón , yo no entendía porqué ahora se repetía, ya habíamos trabajado sobre el tema por varias personas, por febrero o marzo, entre ellas Fátima y Alejandro, también Carlton.
En un momento Fátima hiciste esa aclaración sobre el que el punto focal es esto de la retención y diferencias entre registrar y registry.
Les envío algo al respecto . Espero pueda ser útil para la discusión del tema. Es un poco largo.
Según entendí, la tarea no es transcribir o linkear todas las legislaciones, lo cual yo ya había enviado el link, sino que es confrontar la lista de datos que aparecen en este documento del que nos enviaste el link Fátima y la legislación de cada país
Uruguay tiene legislación especial y registro de bases de datos personales obligatorio, salvo excepciones
Respecto a los datos que se retienen según la descripción de RAA 2013 del borrador de 21 marzo 2014 :
Se trata de un tema complejo. Delicado por sus consecuencias. Trataremos algunos puntos.
*Punto 1. Relaciones contractuales. encadenadas-*
Según entiendo: los datos que se retienen en el caso de los RAA son derivados de una relación contractual entre dos partes: Quien registra los datos y el Registrador o Registro (registry).
Quien registra los datos NO es el titular de los datos sino quien los recolectó del titular de los datos, que es la persona (física o jurídica) que va a utilizar el dominio.
Aquí hay dos relaciones contractuales que se encuetran encadenadas o dependientes una de la otra.. a) Una es entre el titular de los datos y quien los va a registrar y b) la otra es entre quien los registra y el Registro.
Nos interesa a efectos del análisis: Artículo 8 de la ley uruguaya, que de manera similar a otras establece el *Principio de finalidad* por el que: "Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aún cuando haya perimido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular."
Es obvio que quien desea utilizar un dominio debe adherirse a las reglas respecto a la concesión de dicho dominio, siendo que en el caso estas reglas relativas a la retencion de datos son utiles para cumplir la finalidad de que se protejan los dominios registrados de ataques y faciliten la resolucion de disputas al respecto de los mismos. Tampoco puede el titular de los datos ( persona física o jurídica) desconocer que la persona con la que contrata , que es quien se presentará al Registro, necesita dar al Registro determinados datos personales de quien registra el dominio, pues son necesarios para quedar registrado.
De todas maneras entiendo que es de orden que se ponga una cláusula al respecto en este acuerdo para evitar conflictos presente el contrato previo donde conste esta autorización y consentimiento expreso y claro o en su defecto que lo haga claramente, aunque por separado del contrato, en otro documento. .
Cuando la persona que realiza el registro se presenta a registrar el dominio, está brindando datos ajenos pero autorizada por su contrato con el titular de los datos, y tambien el titular de los datos debe haber autorizado la retencion por el tiempo que esta debe realizarse y para los fines que se deben indicar expresamente.. Conviene que el Registro conservara copia de este documento de autorización o del propio contrato antecedente entre quien será el titular del dominio y quien lo registra.
*Punto 2. Retencion de Datos*
En el caso de la retención de los datos por cierto tiempo, el titular de los datos podría cuestionar no el hecho de dar sus datos para que se registre el dominio, sino *que retengan los datos* porque no es solo para registrarlo, sino que es por efectos posteriores. Esto, por un lado: a) debe ser también consentido por el titular de los datos en el contrato que realiza con quien los va a registrar. Es decir que debe haber otra cláusula o expresión de voluntad en el mismo documento, en que claramente se establezca que el titular de los datos consiente en que el Registro retenga los datos por un cierto tiempo, (serían los cinco años o plazo por el que se hace en general la retención) porque esto es en beneficio de la buena prestación del servicio y para proteger el sistema de usurapaciones o fraudes respecto a los dominios, incluido el dominio de quien será su titular y está contratando. Entiendo que esto es un fundamento válido y poco objetable por el titular de los datos: brinda sus datos para una finalidad determinada y no para otra y es a los efectos de la adecuada prestacion del servicio que el va a utilizar. Protege su propio dominio tambien.
El Registro debe exigir que esta clausula este expresamente establecida n el contrato entre el futuro titular del dominio y quien lo registra, del cual queda con copia. ( o por documento aparte, lo cual es menos practico pero puede subsanar en caso de que no lo estuviera en el mismo contrato)
A su vez el titular de los datos tendrá el derecho de acuerdo a la ley y entiendo que también debe quedar obligado a comunicar de inmediato todo cambio de datos para que el Registro se mantenga actualizado. Dicho titular de los datos debera quedar facultado para ejercer los derechos de acceso a la base de datos, previa identificacion, rectificacion, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en la base de datos del Registo, si constata error o falsedad o exclusión en la información de la que es titular o supresion de los datos inexactos. También el titular de los datos tendrá el derecho a que el Registro comunique los datos solo para los fines para los que los dio y en el caso de la retención de datos el titular de los datos deberá consentir expresamente en el contrato que se comuniquen esos datos para la finalidad de protección del propio Registro como ya mencionamos.
*Punto 3.. Datos protegidos*
En cuanto al tipo de datos protegidos.todas las leyes de proteccion de datos que conozco establecen que se requiere consentimiento informado del titular de los datos para ser tratados. Pero tambien establecen excepciones a ello. La ley uruguaya en el articulo 9 establece :" El tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente ley"
Pero a la vez, todas esas leyes, como deciamos, establecen que este consentimiento NO se requiere en determinados casos que las mismas legislaciones establecen de manera similar. Habria que ver en cada legislacion las diferencias en este punto.
La ley uruguaya en el mismo art. 9 a continuación establece 5 casos en que NO se requiere dicho consentimiento: entre los que están los datos que se requieren para el Registro del Nombre de Dominio y que serían objeto de retención según el documento de abril 2014..
*Salvo:* la *direccion de correo electronico* , que es requerida en el punto 1.1.4.- En este caso para la retención según la ley uruguaya, habria que tener el consentimiento expreso e informado del solicitante también que diga que autoriza a dar su dirección de correo electrónico, en el contrato con quien lo va a registrar y volcarlo tambien en el contrato con el Registro, el que convendria exigir copia del primer contrato.
En los otros casos de retención los demás datos están comprendidos en los 5 casos de excepción al artículo 9, al menos en nuestro país son datos que están en fuentes públicas (inc. A) o quedan en los otros incisos.
Se los agrego a continuación:
A) Si los datos provienen de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos d loatos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Por ley posterior se agregaron al artículo 9 se consideran tambien bases publicas o accesibles al publico:
A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o canal de comunicación.
B) Las publicaciones en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travésdel cual se practique la comunicación.
C) Las guías, anuarios, directorios y similares en los que figuren nombres y domicilios, u otros datos personales que hayan sido incluidos con el consentimiento del titular.
D) Todo otro registro o publicación en el que prevalezca el interés general en cuanto a que los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte de terceros. En caso contrario, se podrá hacer uso del registro o publicación
mediante técnicas de disociación u ocultamiento de los datos personales.
O sea que en todos estos casos anteriormente mencionados NO se requiere el consentimiento informado del titular de los datos.
El articulo 4 definia: "Fuentes accesibles al público como: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. "
De todas maneras al firmar el titular de los datos el contrato como expresabamos, ya esta autorizando el uso para esa finalidad de obtener y preservar su dominio . En el caso de la retencion seria para prevenir usurpaciones
*4.Datos sensibles*
La legislación uruguaya, como las legislaciones que ví , divide los datos personales en dos: datos personales en general y los datos sensibles, un tipo especial dentro de datos personales, que es más protegido. Los datos sensibles están taxativamente ennumerados en la ley uruguaya (preferencias políticas o religiosas, origen étnico, afiliación sindical, datos de salud y vida sexual)
Estos NO son datos objeto de retencion, según el documento en estudio ( abril 2014 por lo que no nos extendemos en este tema.
Respecto a estos datos: "Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. " Aunque hay algunas excepciones.
Esto es algo apresuradamente la visión que podemos dar en este momento.
*EN RESUMEN:* Todo se resolvería al establecer detallada y expresamente en el contrato con el titular de los datos que va a ser el que haga uso del dominio, las autorizaciones y consentimiento informado para que se haga la retención de los datos con la finalidad exclusiva de evitar fraudes, ocupación de dominios, y facilitar la resolución de disputas, todo según lo establezca la legislación que corresponda aplicar.
Asimismo el Registro debería tener copia de este contrato y el titular de los datos debería poder acceder a la base para ejercer sus derechos de acceso, rectificación, actualización de datos, inclusión de datos nuevos, o supresión de los incorrectos, y control de la comunicación solo para los fines mencionados..Esta actualización de los datos también debería ser una obligación, para mantener el Registro actualizado.
Saludos a todos
Aída
Saludos y
El 15 de junio de 2014, 11:36, Vanda Scartezini <vanda@uol.com.br> escribió:
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464
On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí:
http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html, que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando
en
nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org> escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero < http://www.linkedin.com/in/javierpallero
El 12 de junio de 2014, 11:15, Alberto Soto <
asoto@ibero-americano.org
<mailto:asoto@ibero-americano.org> <mailto:asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
main-end-privacy
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
Gracias Alejandro, tu comentario me anima a continuar en el esfuerzo, también por la sugerencia en el evento. Hay algunos temas que se tratan en ICANN relacionados con los que tratamos acá jurídicamente como este de la protección de datos personales, aunque el punto de vista no es exactamente igual, está relacionado, igual que el tema de los Registros, sus funciones y los sujetos involucrados. Esta protección de datos personales es uno de los derechos nuevos, en desarrollo, hay que adaptar todas las normas a la nueva realidad.. Por acá estamos en la primera generación de normas mientras en los países de centro ya van por la segunda.. Saludos Aída El 16 de junio de 2014, 0:30, Alejandro Pisanty <apisanty@gmail.com> escribió:
Aída,
qué bueno que alguien con tus conocimientos y trabajo escrupuloso entre en este terreno, como bien lo han preparado Fátima y Vanda.
Ésta es la clase de trabajo que hace falta. Ahora bien, es un trabajo que está en marcha en ICANN desde hace mucho tiempo, pues ICANN está constantemente bajo presión para que los contratos que avala sean compatibles con las leyes en todos los países posibles. En particular el tema de privacidad es extremadamente contencioso y diverso. Seguramente has leído acerca del contencioso que existe entre la "Sección del Artículo 29" en Europa y ICANN, así como las controversias acerca del RAA (con las que iniciamos esta conversación).
Creo que sería muy valioso que tú y los otros colegas de LACRALO que se dedican a estos temas asistan a las sesiones correspondientes en la reunión de ICANN en Londres o las sigan a distancia, y entren en contacto con los miembros de las comunidades afectadas más allá de ALAC. De esta manera daríamos un salto cualitativo en la capacidad de LACRALO de intervenir de manera informada, y retomar esta discusión después de la reunión con una orientación altamente productiva. El enriquecimiento del conocimiento jurídico detallado de la controversia ayudará a todos.
Saludos cordiales.
Alejandro Pisanty
2014-06-15 17:58 GMT-05:00 Aida Noblia <aidanoblia@gmail.com>:
Cierto. Fátima tiene razón , yo no entendía porqué ahora se repetía, ya habíamos trabajado sobre el tema por varias personas, por febrero o marzo, entre ellas Fátima y Alejandro, también Carlton.
En un momento Fátima hiciste esa aclaración sobre el que el punto focal es esto de la retención y diferencias entre registrar y registry.
Les envío algo al respecto . Espero pueda ser útil para la discusión del tema. Es un poco largo.
Según entendí, la tarea no es transcribir o linkear todas las legislaciones, lo cual yo ya había enviado el link, sino que es confrontar la lista de datos que aparecen en este documento del que nos enviaste el link Fátima y la legislación de cada país
Uruguay tiene legislación especial y registro de bases de datos personales obligatorio, salvo excepciones
Respecto a los datos que se retienen según la descripción de RAA 2013 del borrador de 21 marzo 2014 :
Se trata de un tema complejo. Delicado por sus consecuencias. Trataremos algunos puntos.
*Punto 1. Relaciones contractuales. encadenadas-*
Según entiendo: los datos que se retienen en el caso de los RAA son derivados de una relación contractual entre dos partes: Quien registra los datos y el Registrador o Registro (registry).
Quien registra los datos NO es el titular de los datos sino quien los recolectó del titular de los datos, que es la persona (física o jurídica) que va a utilizar el dominio.
Aquí hay dos relaciones contractuales que se encuetran encadenadas o dependientes una de la otra.. a) Una es entre el titular de los datos y quien los va a registrar y b) la otra es entre quien los registra y el Registro.
Nos interesa a efectos del análisis: Artículo 8 de la ley uruguaya, que de manera similar a otras establece el *Principio de finalidad* por el que:
"Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aún cuando haya perimido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular."
Es obvio que quien desea utilizar un dominio debe adherirse a las reglas respecto a la concesión de dicho dominio, siendo que en el caso estas reglas relativas a la retencion de datos son utiles para cumplir la finalidad de que se protejan los dominios registrados de ataques y faciliten la resolucion de disputas al respecto de los mismos. Tampoco puede el titular de los datos ( persona física o jurídica) desconocer que la persona con la que contrata , que es quien se presentará al Registro, necesita dar al Registro determinados datos personales de quien registra el dominio, pues son necesarios para quedar registrado.
De todas maneras entiendo que es de orden que se ponga una cláusula al respecto en este acuerdo para evitar conflictos presente el contrato previo donde conste esta autorización y consentimiento expreso y claro o en su defecto que lo haga claramente, aunque por separado del contrato, en otro documento. .
Cuando la persona que realiza el registro se presenta a registrar el dominio, está brindando datos ajenos pero autorizada por su contrato con el titular de los datos, y tambien el titular de los datos debe haber autorizado la retencion por el tiempo que esta debe realizarse y para los fines que se deben indicar expresamente.. Conviene que el Registro conservara copia de este documento de autorización o del propio contrato antecedente entre quien será el titular del dominio y quien lo registra.
*Punto 2. Retencion de Datos*
En el caso de la retención de los datos por cierto tiempo, el titular de los datos podría cuestionar no el hecho de dar sus datos para que se registre el dominio, sino *que retengan los datos* porque no es solo para
registrarlo, sino que es por efectos posteriores. Esto, por un lado: a) debe ser también consentido por el titular de los datos en el contrato que realiza con quien los va a registrar. Es decir que debe haber otra cláusula o expresión de voluntad en el mismo documento, en que claramente se establezca que el titular de los datos consiente en que el Registro retenga los datos por un cierto tiempo, (serían los cinco años o plazo por el que se hace en general la retención) porque esto es en beneficio de la buena prestación del servicio y para proteger el sistema de usurapaciones o fraudes respecto a los dominios, incluido el dominio de quien será su titular y está contratando. Entiendo que esto es un fundamento válido y poco objetable por el titular de los datos: brinda sus datos para una finalidad determinada y no para otra y es a los efectos de la adecuada prestacion del servicio que el va a utilizar. Protege su propio dominio tambien.
El Registro debe exigir que esta clausula este expresamente establecida n el contrato entre el futuro titular del dominio y quien lo registra, del cual queda con copia. ( o por documento aparte, lo cual es menos practico pero puede subsanar en caso de que no lo estuviera en el mismo contrato)
A su vez el titular de los datos tendrá el derecho de acuerdo a la ley y entiendo que también debe quedar obligado a comunicar de inmediato todo cambio de datos para que el Registro se mantenga actualizado. Dicho titular de los datos debera quedar facultado para ejercer los derechos de acceso a la base de datos, previa identificacion, rectificacion, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en la base de datos del Registo, si constata error o falsedad o exclusión en la información de la que es titular o supresion de los datos inexactos. También el titular de los datos tendrá el derecho a que el Registro comunique los datos solo para los fines para los que los dio y en el caso de la retención de datos el titular de los datos deberá consentir expresamente en el contrato que se comuniquen esos datos para la finalidad de protección del propio Registro como ya mencionamos.
*Punto 3.. Datos protegidos*
En cuanto al tipo de datos protegidos.todas las leyes de proteccion de datos que conozco establecen que se requiere consentimiento informado del titular de los datos para ser tratados. Pero tambien establecen excepciones a ello. La ley uruguaya en el articulo 9 establece :" El tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente ley"
Pero a la vez, todas esas leyes, como deciamos, establecen que este consentimiento NO se requiere en determinados casos que las mismas legislaciones establecen de manera similar. Habria que ver en cada legislacion las diferencias en este punto.
La ley uruguaya en el mismo art. 9 a continuación establece 5 casos en que NO se requiere dicho consentimiento: entre los que están los datos que se requieren para el Registro del Nombre de Dominio y que serían objeto de retención según el documento de abril 2014..
*Salvo:* la *direccion de correo electronico* , que es requerida en el
punto 1.1.4.- En este caso para la retención según la ley uruguaya, habria que tener el consentimiento expreso e informado del solicitante también que diga que autoriza a dar su dirección de correo electrónico, en el contrato con quien lo va a registrar y volcarlo tambien en el contrato con el Registro, el que convendria exigir copia del primer contrato.
En los otros casos de retención los demás datos están comprendidos en los 5 casos de excepción al artículo 9, al menos en nuestro país son datos que están en fuentes públicas (inc. A) o quedan en los otros incisos.
Se los agrego a continuación:
A) Si los datos provienen de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos d loatos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Por ley posterior se agregaron al artículo 9 se consideran tambien bases publicas o accesibles al publico:
A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o canal de comunicación.
B) Las publicaciones en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travésdel cual se practique la comunicación.
C) Las guías, anuarios, directorios y similares en los que figuren nombres y domicilios, u otros datos personales que hayan sido incluidos con el consentimiento del titular.
D) Todo otro registro o publicación en el que prevalezca el interés general en cuanto a que los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte de terceros. En caso contrario, se podrá hacer uso del registro o publicación
mediante técnicas de disociación u ocultamiento de los datos personales.
O sea que en todos estos casos anteriormente mencionados NO se requiere el consentimiento informado del titular de los datos.
El articulo 4 definia: "Fuentes accesibles al público como: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. "
De todas maneras al firmar el titular de los datos el contrato como expresabamos, ya esta autorizando el uso para esa finalidad de obtener y preservar su dominio . En el caso de la retencion seria para prevenir usurpaciones
*4.Datos sensibles*
La legislación uruguaya, como las legislaciones que ví , divide los datos personales en dos: datos personales en general y los datos sensibles, un tipo especial dentro de datos personales, que es más protegido. Los datos sensibles están taxativamente ennumerados en la ley uruguaya (preferencias políticas o religiosas, origen étnico, afiliación sindical, datos de salud y vida sexual)
Estos NO son datos objeto de retencion, según el documento en estudio ( abril 2014 por lo que no nos extendemos en este tema.
Respecto a estos datos: "Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. " Aunque hay algunas excepciones.
Esto es algo apresuradamente la visión que podemos dar en este momento.
*EN RESUMEN:* Todo se resolvería al establecer detallada y expresamente en
el contrato con el titular de los datos que va a ser el que haga uso del dominio, las autorizaciones y consentimiento informado para que se haga la retención de los datos con la finalidad exclusiva de evitar fraudes, ocupación de dominios, y facilitar la resolución de disputas, todo según lo establezca la legislación que corresponda aplicar.
Asimismo el Registro debería tener copia de este contrato y el titular de los datos debería poder acceder a la base para ejercer sus derechos de acceso, rectificación, actualización de datos, inclusión de datos nuevos, o supresión de los incorrectos, y control de la comunicación solo para los fines mencionados..Esta actualización de los datos también debería ser una obligación, para mantener el Registro actualizado.
Saludos a todos
Aída
Saludos y
El 15 de junio de 2014, 11:36, Vanda Scartezini <vanda@uol.com.br> escribió:
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464
On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí:
http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html
,
que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org
escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero < http://www.linkedin.com/in/javierpallero
El 12 de junio de 2014, 11:15, Alberto Soto <
asoto@ibero-americano.org
<mailto:asoto@ibero-americano.org> <mailto: asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
main-end-privacy
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
-- Aida Noblia
Aída, así es, van por la segunda generación de normas, o más. Lo ratifico después de participar hoy en un panel con dos expertos españoles de primera linea. A todos/as: si su interés en los temas de ICANN incluye los temas de protección de datos personales y otros aspectos de privacidad, en verdad es recomendable que seleccionen las sesiones de RAA, sociedad civil, ALAC, NCUC/NPOC/NCSG, SSAC, Risk Framework, y otras que los expertos de nuestra comunidad aquí nos señalarán. Volvamos de Londres altamente equipados para dar un salto en nuestra comprensión de los temas y en el contacto con otros expertos, para fortalecer nuestra capacidad de incidir en las decisiones. Aprovechemos también el programa de mentores y las sesiones de trabajo de ATLAS II. Alejandro Pisanty - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . . ________________________________________ Desde: lac-discuss-es-bounces@atlarge-lists.icann.org [lac-discuss-es-bounces@atlarge-lists.icann.org] en nombre de Aida Noblia [aidanoblia@gmail.com] Enviado el: lunes, 16 de junio de 2014 05:33 Hasta: Alejandro Pisanty CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad Gracias Alejandro, tu comentario me anima a continuar en el esfuerzo, también por la sugerencia en el evento. Hay algunos temas que se tratan en ICANN relacionados con los que tratamos acá jurídicamente como este de la protección de datos personales, aunque el punto de vista no es exactamente igual, está relacionado, igual que el tema de los Registros, sus funciones y los sujetos involucrados. Esta protección de datos personales es uno de los derechos nuevos, en desarrollo, hay que adaptar todas las normas a la nueva realidad.. Por acá estamos en la primera generación de normas mientras en los países de centro ya van por la segunda.. Saludos Aída El 16 de junio de 2014, 0:30, Alejandro Pisanty <apisanty@gmail.com> escribió:
Aída,
qué bueno que alguien con tus conocimientos y trabajo escrupuloso entre en este terreno, como bien lo han preparado Fátima y Vanda.
Ésta es la clase de trabajo que hace falta. Ahora bien, es un trabajo que está en marcha en ICANN desde hace mucho tiempo, pues ICANN está constantemente bajo presión para que los contratos que avala sean compatibles con las leyes en todos los países posibles. En particular el tema de privacidad es extremadamente contencioso y diverso. Seguramente has leído acerca del contencioso que existe entre la "Sección del Artículo 29" en Europa y ICANN, así como las controversias acerca del RAA (con las que iniciamos esta conversación).
Creo que sería muy valioso que tú y los otros colegas de LACRALO que se dedican a estos temas asistan a las sesiones correspondientes en la reunión de ICANN en Londres o las sigan a distancia, y entren en contacto con los miembros de las comunidades afectadas más allá de ALAC. De esta manera daríamos un salto cualitativo en la capacidad de LACRALO de intervenir de manera informada, y retomar esta discusión después de la reunión con una orientación altamente productiva. El enriquecimiento del conocimiento jurídico detallado de la controversia ayudará a todos.
Saludos cordiales.
Alejandro Pisanty
2014-06-15 17:58 GMT-05:00 Aida Noblia <aidanoblia@gmail.com>:
Cierto. Fátima tiene razón , yo no entendía porqué ahora se repetía, ya habíamos trabajado sobre el tema por varias personas, por febrero o marzo, entre ellas Fátima y Alejandro, también Carlton.
En un momento Fátima hiciste esa aclaración sobre el que el punto focal es esto de la retención y diferencias entre registrar y registry.
Les envío algo al respecto . Espero pueda ser útil para la discusión del tema. Es un poco largo.
Según entendí, la tarea no es transcribir o linkear todas las legislaciones, lo cual yo ya había enviado el link, sino que es confrontar la lista de datos que aparecen en este documento del que nos enviaste el link Fátima y la legislación de cada país
Uruguay tiene legislación especial y registro de bases de datos personales obligatorio, salvo excepciones
Respecto a los datos que se retienen según la descripción de RAA 2013 del borrador de 21 marzo 2014 :
Se trata de un tema complejo. Delicado por sus consecuencias. Trataremos algunos puntos.
*Punto 1. Relaciones contractuales. encadenadas-*
Según entiendo: los datos que se retienen en el caso de los RAA son derivados de una relación contractual entre dos partes: Quien registra los datos y el Registrador o Registro (registry).
Quien registra los datos NO es el titular de los datos sino quien los recolectó del titular de los datos, que es la persona (física o jurídica) que va a utilizar el dominio.
Aquí hay dos relaciones contractuales que se encuetran encadenadas o dependientes una de la otra.. a) Una es entre el titular de los datos y quien los va a registrar y b) la otra es entre quien los registra y el Registro.
Nos interesa a efectos del análisis: Artículo 8 de la ley uruguaya, que de manera similar a otras establece el *Principio de finalidad* por el que:
"Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aún cuando haya perimido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular."
Es obvio que quien desea utilizar un dominio debe adherirse a las reglas respecto a la concesión de dicho dominio, siendo que en el caso estas reglas relativas a la retencion de datos son utiles para cumplir la finalidad de que se protejan los dominios registrados de ataques y faciliten la resolucion de disputas al respecto de los mismos. Tampoco puede el titular de los datos ( persona física o jurídica) desconocer que la persona con la que contrata , que es quien se presentará al Registro, necesita dar al Registro determinados datos personales de quien registra el dominio, pues son necesarios para quedar registrado.
De todas maneras entiendo que es de orden que se ponga una cláusula al respecto en este acuerdo para evitar conflictos presente el contrato previo donde conste esta autorización y consentimiento expreso y claro o en su defecto que lo haga claramente, aunque por separado del contrato, en otro documento. .
Cuando la persona que realiza el registro se presenta a registrar el dominio, está brindando datos ajenos pero autorizada por su contrato con el titular de los datos, y tambien el titular de los datos debe haber autorizado la retencion por el tiempo que esta debe realizarse y para los fines que se deben indicar expresamente.. Conviene que el Registro conservara copia de este documento de autorización o del propio contrato antecedente entre quien será el titular del dominio y quien lo registra.
*Punto 2. Retencion de Datos*
En el caso de la retención de los datos por cierto tiempo, el titular de los datos podría cuestionar no el hecho de dar sus datos para que se registre el dominio, sino *que retengan los datos* porque no es solo para
registrarlo, sino que es por efectos posteriores. Esto, por un lado: a) debe ser también consentido por el titular de los datos en el contrato que realiza con quien los va a registrar. Es decir que debe haber otra cláusula o expresión de voluntad en el mismo documento, en que claramente se establezca que el titular de los datos consiente en que el Registro retenga los datos por un cierto tiempo, (serían los cinco años o plazo por el que se hace en general la retención) porque esto es en beneficio de la buena prestación del servicio y para proteger el sistema de usurapaciones o fraudes respecto a los dominios, incluido el dominio de quien será su titular y está contratando. Entiendo que esto es un fundamento válido y poco objetable por el titular de los datos: brinda sus datos para una finalidad determinada y no para otra y es a los efectos de la adecuada prestacion del servicio que el va a utilizar. Protege su propio dominio tambien.
El Registro debe exigir que esta clausula este expresamente establecida n el contrato entre el futuro titular del dominio y quien lo registra, del cual queda con copia. ( o por documento aparte, lo cual es menos practico pero puede subsanar en caso de que no lo estuviera en el mismo contrato)
A su vez el titular de los datos tendrá el derecho de acuerdo a la ley y entiendo que también debe quedar obligado a comunicar de inmediato todo cambio de datos para que el Registro se mantenga actualizado. Dicho titular de los datos debera quedar facultado para ejercer los derechos de acceso a la base de datos, previa identificacion, rectificacion, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en la base de datos del Registo, si constata error o falsedad o exclusión en la información de la que es titular o supresion de los datos inexactos. También el titular de los datos tendrá el derecho a que el Registro comunique los datos solo para los fines para los que los dio y en el caso de la retención de datos el titular de los datos deberá consentir expresamente en el contrato que se comuniquen esos datos para la finalidad de protección del propio Registro como ya mencionamos.
*Punto 3.. Datos protegidos*
En cuanto al tipo de datos protegidos.todas las leyes de proteccion de datos que conozco establecen que se requiere consentimiento informado del titular de los datos para ser tratados. Pero tambien establecen excepciones a ello. La ley uruguaya en el articulo 9 establece :" El tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente ley"
Pero a la vez, todas esas leyes, como deciamos, establecen que este consentimiento NO se requiere en determinados casos que las mismas legislaciones establecen de manera similar. Habria que ver en cada legislacion las diferencias en este punto.
La ley uruguaya en el mismo art. 9 a continuación establece 5 casos en que NO se requiere dicho consentimiento: entre los que están los datos que se requieren para el Registro del Nombre de Dominio y que serían objeto de retención según el documento de abril 2014..
*Salvo:* la *direccion de correo electronico* , que es requerida en el
punto 1.1.4.- En este caso para la retención según la ley uruguaya, habria que tener el consentimiento expreso e informado del solicitante también que diga que autoriza a dar su dirección de correo electrónico, en el contrato con quien lo va a registrar y volcarlo tambien en el contrato con el Registro, el que convendria exigir copia del primer contrato.
En los otros casos de retención los demás datos están comprendidos en los 5 casos de excepción al artículo 9, al menos en nuestro país son datos que están en fuentes públicas (inc. A) o quedan en los otros incisos.
Se los agrego a continuación:
A) Si los datos provienen de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos d loatos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Por ley posterior se agregaron al artículo 9 se consideran tambien bases publicas o accesibles al publico:
A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o canal de comunicación.
B) Las publicaciones en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travésdel cual se practique la comunicación.
C) Las guías, anuarios, directorios y similares en los que figuren nombres y domicilios, u otros datos personales que hayan sido incluidos con el consentimiento del titular.
D) Todo otro registro o publicación en el que prevalezca el interés general en cuanto a que los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte de terceros. En caso contrario, se podrá hacer uso del registro o publicación
mediante técnicas de disociación u ocultamiento de los datos personales.
O sea que en todos estos casos anteriormente mencionados NO se requiere el consentimiento informado del titular de los datos.
El articulo 4 definia: "Fuentes accesibles al público como: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. "
De todas maneras al firmar el titular de los datos el contrato como expresabamos, ya esta autorizando el uso para esa finalidad de obtener y preservar su dominio . En el caso de la retencion seria para prevenir usurpaciones
*4.Datos sensibles*
La legislación uruguaya, como las legislaciones que ví , divide los datos personales en dos: datos personales en general y los datos sensibles, un tipo especial dentro de datos personales, que es más protegido. Los datos sensibles están taxativamente ennumerados en la ley uruguaya (preferencias políticas o religiosas, origen étnico, afiliación sindical, datos de salud y vida sexual)
Estos NO son datos objeto de retencion, según el documento en estudio ( abril 2014 por lo que no nos extendemos en este tema.
Respecto a estos datos: "Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. " Aunque hay algunas excepciones.
Esto es algo apresuradamente la visión que podemos dar en este momento.
*EN RESUMEN:* Todo se resolvería al establecer detallada y expresamente en
el contrato con el titular de los datos que va a ser el que haga uso del dominio, las autorizaciones y consentimiento informado para que se haga la retención de los datos con la finalidad exclusiva de evitar fraudes, ocupación de dominios, y facilitar la resolución de disputas, todo según lo establezca la legislación que corresponda aplicar.
Asimismo el Registro debería tener copia de este contrato y el titular de los datos debería poder acceder a la base para ejercer sus derechos de acceso, rectificación, actualización de datos, inclusión de datos nuevos, o supresión de los incorrectos, y control de la comunicación solo para los fines mencionados..Esta actualización de los datos también debería ser una obligación, para mantener el Registro actualizado.
Saludos a todos
Aída
Saludos y
El 15 de junio de 2014, 11:36, Vanda Scartezini <vanda@uol.com.br> escribió:
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464
On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí:
http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace: http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html
,
que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto <asoto@ibero-americano.org
escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement: 1. International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas... - que consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero < http://www.linkedin.com/in/javierpallero
El 12 de junio de 2014, 11:15, Alberto Soto <
asoto@ibero-americano.org
<mailto:asoto@ibero-americano.org> <mailto: asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
main-end-privacy
n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es http://www.lacralo.org
Alejandro: Muchas Gracias por tus comentarios y sugerencias. Lo tendremos en cuenta. Saludos a todos Aída El 16 de junio de 2014, 21:19, Dr. Alejandro Pisanty Baruch <apisan@unam.mx> escribió:
Aída,
así es, van por la segunda generación de normas, o más. Lo ratifico después de participar hoy en un panel con dos expertos españoles de primera linea.
A todos/as: si su interés en los temas de ICANN incluye los temas de protección de datos personales y otros aspectos de privacidad, en verdad es recomendable que seleccionen las sesiones de RAA, sociedad civil, ALAC, NCUC/NPOC/NCSG, SSAC, Risk Framework, y otras que los expertos de nuestra comunidad aquí nos señalarán.
Volvamos de Londres altamente equipados para dar un salto en nuestra comprensión de los temas y en el contacto con otros expertos, para fortalecer nuestra capacidad de incidir en las decisiones. Aprovechemos también el programa de mentores y las sesiones de trabajo de ATLAS II.
Alejandro Pisanty
- - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico
+52-1-5541444475 FROM ABROAD
+525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
________________________________________ Desde: lac-discuss-es-bounces@atlarge-lists.icann.org [ lac-discuss-es-bounces@atlarge-lists.icann.org] en nombre de Aida Noblia [ aidanoblia@gmail.com] Enviado el: lunes, 16 de junio de 2014 05:33 Hasta: Alejandro Pisanty CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Gracias Alejandro, tu comentario me anima a continuar en el esfuerzo, también por la sugerencia en el evento. Hay algunos temas que se tratan en ICANN relacionados con los que tratamos acá jurídicamente como este de la protección de datos personales, aunque el punto de vista no es exactamente igual, está relacionado, igual que el tema de los Registros, sus funciones y los sujetos involucrados.
Esta protección de datos personales es uno de los derechos nuevos, en desarrollo, hay que adaptar todas las normas a la nueva realidad.. Por acá estamos en la primera generación de normas mientras en los países de centro ya van por la segunda..
Saludos
Aída
El 16 de junio de 2014, 0:30, Alejandro Pisanty <apisanty@gmail.com> escribió:
International transfer...
- Art. 29 Data Protection Working Party (Bruselas, JUN 2013)
- Carta de ICANN al Superior Consejo Europeo de Protección de Datos (Abril 2014). Objeto: Recopilación de datos, la retención y l aprivacidad en el contexto del contrato de Registradores (RAA 2013)
- WHOIS Beta. Grupo de trabajo del Art. 29
- Declaración de Montevideo sobre el futuro de la cooperación en internet que fue uno de los elementos base del Plan Estratégico 2013-2015 de la Región América Latina y Caribe.
Durante el período de comentarios, solo dos personas opinamos sobre el primer ejemplo. Ahora contamos con Javier Pallero, un excelente profesional cuyos conocimientos sobre este tema son realmente sobresalientes.
También falta capacitación en otros temas como WHOIS, y otros aún más técnicos como Seguridad en DNSs y varios de la misma o superior complejidad.
Pero todo junto no podemos hacerlo, pero todos juntos podremos hacerlo.
Solo les pido a todos que colaboren, y una de las formas, es darme tiempo para continuar trabajando sobre ello.
Saludos cordiales
Alberto Soto
De: Alejandro Pisanty [mailto:apisanty@gmail.com] Enviado el: jueves, 12 de junio de 2014 08:09 p.m. Para: Alberto Soto CC: Javier Pallero; LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Alberto,
pero... ¿cuál sería la discusión? ¿cuál sería el objeto de que LACRALO haga el trabajo de formar una biblioteca de leyes de protección de datos personales?
Vamos en reversa:
Bibliotecas así existen, hechas por organizaciones dedicadas de manera profesional tanto al tema de privacidad como al archivo y biblioteca. Para acceder a las leyes es mejor buscar uno de estos acervos y hacer acuerdos para su posible uso.
Pero sobre todo: ¿para qué? ¿vamos a hacer un proyecto de LACRALO - como debe ser, con misión, visión, objetivos, metas, recursos asignados, compromisos, charter, triángulo de hierro, rendición de cuentas...
Aída,
qué bueno que alguien con tus conocimientos y trabajo escrupuloso entre en este terreno, como bien lo han preparado Fátima y Vanda.
Ésta es la clase de trabajo que hace falta. Ahora bien, es un trabajo que está en marcha en ICANN desde hace mucho tiempo, pues ICANN está constantemente bajo presión para que los contratos que avala sean compatibles con las leyes en todos los países posibles. En particular el tema de privacidad es extremadamente contencioso y diverso. Seguramente has leído acerca del contencioso que existe entre la "Sección del Artículo 29" en Europa y ICANN, así como las controversias acerca del RAA (con las que iniciamos esta conversación).
Creo que sería muy valioso que tú y los otros colegas de LACRALO que se dedican a estos temas asistan a las sesiones correspondientes en la reunión de ICANN en Londres o las sigan a distancia, y entren en contacto con los miembros de las comunidades afectadas más allá de ALAC. De esta manera daríamos un salto cualitativo en la capacidad de LACRALO de intervenir de manera informada, y retomar esta discusión después de la reunión con una orientación altamente productiva. El enriquecimiento del conocimiento jurídico detallado de la controversia ayudará a todos.
Saludos cordiales.
Alejandro Pisanty
2014-06-15 17:58 GMT-05:00 Aida Noblia <aidanoblia@gmail.com>:
Cierto. Fátima tiene razón , yo no entendía porqué ahora se repetía, ya habíamos trabajado sobre el tema por varias personas, por febrero o marzo, entre ellas Fátima y Alejandro, también Carlton.
En un momento Fátima hiciste esa aclaración sobre el que el punto focal es esto de la retención y diferencias entre registrar y registry.
Les envío algo al respecto . Espero pueda ser útil para la discusión del tema. Es un poco largo.
Según entendí, la tarea no es transcribir o linkear todas las legislaciones, lo cual yo ya había enviado el link, sino que es confrontar la lista de datos que aparecen en este documento del que nos enviaste el link Fátima y la legislación de cada país
Uruguay tiene legislación especial y registro de bases de datos personales obligatorio, salvo excepciones
Respecto a los datos que se retienen según la descripción de RAA 2013 del borrador de 21 marzo 2014 :
Se trata de un tema complejo. Delicado por sus consecuencias. Trataremos algunos puntos.
*Punto 1. Relaciones contractuales. encadenadas-*
Según entiendo: los datos que se retienen en el caso de los RAA son derivados de una relación contractual entre dos partes: Quien registra los datos y el Registrador o Registro (registry).
Quien registra los datos NO es el titular de los datos sino quien los recolectó del titular de los datos, que es la persona (física o jurídica) que va a utilizar el dominio.
Aquí hay dos relaciones contractuales que se encuetran encadenadas o dependientes una de la otra.. a) Una es entre el titular de los datos y quien los va a registrar y b) la otra es entre quien los registra y el Registro.
Nos interesa a efectos del análisis: Artículo 8 de la ley uruguaya, que de manera similar a otras establece el *Principio de finalidad* por el que:
"Los datos objeto de tratamiento no podrán ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. Los datos deberán ser eliminados cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubieren sido recolectados. La reglamentación determinará los casos y procedimientos en los que, por excepción, y atendidos los valores históricos, estadísticos o científicos, y de acuerdo con la legislación específica, se conserven datos personales aún cuando haya perimido tal necesidad o pertinencia. Tampoco podrán comunicarse datos entre bases de datos, sin que medie ley o previo consentimiento informado del titular."
Es obvio que quien desea utilizar un dominio debe adherirse a las reglas respecto a la concesión de dicho dominio, siendo que en el caso estas reglas relativas a la retencion de datos son utiles para cumplir la finalidad de que se protejan los dominios registrados de ataques y faciliten la resolucion de disputas al respecto de los mismos. Tampoco puede el titular de los datos ( persona física o jurídica) desconocer que la persona con la que contrata , que es quien se presentará al Registro, necesita dar al Registro determinados datos personales de quien registra el dominio, pues son necesarios para quedar registrado.
De todas maneras entiendo que es de orden que se ponga una cláusula al respecto en este acuerdo para evitar conflictos presente el contrato previo donde conste esta autorización y consentimiento expreso y claro o en su defecto que lo haga claramente, aunque por separado del contrato, en otro documento. .
Cuando la persona que realiza el registro se presenta a registrar el dominio, está brindando datos ajenos pero autorizada por su contrato con el titular de los datos, y tambien el titular de los datos debe haber autorizado la retencion por el tiempo que esta debe realizarse y para los fines que se deben indicar expresamente.. Conviene que el Registro conservara copia de este documento de autorización o del propio contrato antecedente entre quien será el titular del dominio y quien lo registra.
*Punto 2. Retencion de Datos*
En el caso de la retención de los datos por cierto tiempo, el titular de los datos podría cuestionar no el hecho de dar sus datos para que se registre el dominio, sino *que retengan los datos* porque no es solo para
registrarlo, sino que es por efectos posteriores. Esto, por un lado: a) debe ser también consentido por el titular de los datos en el contrato que realiza con quien los va a registrar. Es decir que debe haber otra cláusula o expresión de voluntad en el mismo documento, en que claramente se establezca que el titular de los datos consiente en que el Registro retenga los datos por un cierto tiempo, (serían los cinco años o plazo por el que se hace en general la retención) porque esto es en beneficio de la buena prestación del servicio y para proteger el sistema de usurapaciones o fraudes respecto a los dominios, incluido el dominio de quien será su titular y está contratando. Entiendo que esto es un fundamento válido y poco objetable por el titular de los datos: brinda sus datos para una finalidad determinada y no para otra y es a los efectos de la adecuada prestacion del servicio que el va a utilizar. Protege su propio dominio tambien.
El Registro debe exigir que esta clausula este expresamente establecida n el contrato entre el futuro titular del dominio y quien lo registra, del cual queda con copia. ( o por documento aparte, lo cual es menos practico pero puede subsanar en caso de que no lo estuviera en el mismo contrato)
A su vez el titular de los datos tendrá el derecho de acuerdo a la ley y entiendo que también debe quedar obligado a comunicar de inmediato todo cambio de datos para que el Registro se mantenga actualizado. Dicho titular de los datos debera quedar facultado para ejercer los derechos de acceso a la base de datos, previa identificacion, rectificacion, actualización, inclusión o supresión de los datos personales que le corresponda incluidos en la base de datos del Registo, si constata error o falsedad o exclusión en la información de la que es titular o supresion de los datos inexactos. También el titular de los datos tendrá el derecho a que el Registro comunique los datos solo para los fines para los que los dio y en el caso de la retención de datos el titular de los datos deberá consentir expresamente en el contrato que se comuniquen esos datos para la finalidad de protección del propio Registro como ya mencionamos.
*Punto 3.. Datos protegidos*
En cuanto al tipo de datos protegidos.todas las leyes de proteccion de datos que conozco establecen que se requiere consentimiento informado del titular de los datos para ser tratados. Pero tambien establecen excepciones a ello. La ley uruguaya en el articulo 9 establece :" El tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que deberá documentarse. El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 13 de la presente ley"
Pero a la vez, todas esas leyes, como deciamos, establecen que este consentimiento NO se requiere en determinados casos que las mismas legislaciones establecen de manera similar. Habria que ver en cada legislacion las diferencias en este punto.
La ley uruguaya en el mismo art. 9 a continuación establece 5 casos en que NO se requiere dicho consentimiento: entre los que están los datos que se requieren para el Registro del Nombre de Dominio y que serían objeto de retención según el documento de abril 2014..
*Salvo:* la *direccion de correo electronico* , que es requerida en el
punto 1.1.4.- En este caso para la retención según la ley uruguaya, habria que tener el consentimiento expreso e informado del solicitante también que diga que autoriza a dar su dirección de correo electrónico, en el contrato con quien lo va a registrar y volcarlo tambien en el contrato con el Registro, el que convendria exigir copia del primer contrato.
En los otros casos de retención los demás datos están comprendidos en los 5 casos de excepción al artículo 9, al menos en nuestro país son datos que están en fuentes públicas (inc. A) o quedan en los otros incisos.
Se los agrego a continuación:
A) Si los datos provienen de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación. B) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal. C) Se trate de listados cuyos d loatos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma. D) Deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento. E) Se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Por ley posterior se agregaron al artículo 9 se consideran tambien bases publicas o accesibles al publico:
A) El Diario Oficial y las publicaciones oficiales, cualquiera sea su soporte de registro o canal de comunicación.
B) Las publicaciones en medios masivos de comunicación, entendiendo por tales los provenientes de la prensa, cualquiera sea el soporte en el que figuren o el canal a travésdel cual se practique la comunicación.
C) Las guías, anuarios, directorios y similares en los que figuren nombres y domicilios, u otros datos personales que hayan sido incluidos con el consentimiento del titular.
D) Todo otro registro o publicación en el que prevalezca el interés general en cuanto a que los datos personales en ellos contenidos puedan ser consultados, difundidos o utilizados por parte de terceros. En caso contrario, se podrá hacer uso del registro o publicación
mediante técnicas de disociación u ocultamiento de los datos personales.
O sea que en todos estos casos anteriormente mencionados NO se requiere el consentimiento informado del titular de los datos.
El articulo 4 definia: "Fuentes accesibles al público como: aquellas bases de datos cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. "
De todas maneras al firmar el titular de los datos el contrato como expresabamos, ya esta autorizando el uso para esa finalidad de obtener y preservar su dominio . En el caso de la retencion seria para prevenir usurpaciones
*4.Datos sensibles*
La legislación uruguaya, como las legislaciones que ví , divide los datos personales en dos: datos personales en general y los datos sensibles, un tipo especial dentro de datos personales, que es más protegido. Los datos sensibles están taxativamente ennumerados en la ley uruguaya (preferencias políticas o religiosas, origen étnico, afiliación sindical, datos de salud y vida sexual)
Estos NO son datos objeto de retencion, según el documento en estudio ( abril 2014 por lo que no nos extendemos en este tema.
Respecto a estos datos: "Ninguna persona puede ser obligada a proporcionar datos sensibles. Estos sólo podrán ser objeto de tratamiento con el consentimiento expreso y escrito del titular. Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.Queda prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles. " Aunque hay algunas excepciones.
Esto es algo apresuradamente la visión que podemos dar en este momento.
*EN RESUMEN:* Todo se resolvería al establecer detallada y expresamente en
el contrato con el titular de los datos que va a ser el que haga uso del dominio, las autorizaciones y consentimiento informado para que se haga la retención de los datos con la finalidad exclusiva de evitar fraudes, ocupación de dominios, y facilitar la resolución de disputas, todo según lo establezca la legislación que corresponda aplicar.
Asimismo el Registro debería tener copia de este contrato y el titular de los datos debería poder acceder a la base para ejercer sus derechos de acceso, rectificación, actualización de datos, inclusión de datos nuevos, o supresión de los incorrectos, y control de la comunicación solo para los fines mencionados..Esta actualización de los datos también debería ser una obligación, para mantener el Registro actualizado.
Saludos a todos
Aída
Saludos y
El 15 de junio de 2014, 11:36, Vanda Scartezini <vanda@uol.com.br> escribió:
Fatima tiene razón. El tema es relevante para nuestra region y por ejemplo Brasil tiene diversas acciones de protección de datos en diversos ramos de actividad pero no tiene una ley. Tine si un proyecto de ley desde 2010 que sigue en discussion en el Congreso porque fue modificado por cuenta de Snowden y su publicación que los datos personales y las comunicaciones de nuestra presidente fueran abiertos. Argentina se que tiene su Ley desde 2000. PY también , Chile, Peru.. Enfin hay muchas soluciones que pueden ser discutidas en face al RAA Vanda Scartezini Polo Consultores Associados Av. Paulista 1159, cj 1004 01311-200- Sao Paulo, SP, Brazil Land Line: +55 11 3266.6253 Mobile: + 55 11 98181.1464
On 6/13/14, 16:53, "Fatima Cambronero" <fatimacambronero@gmail.com> wrote:
Alberto, todos,
Quizás se perdieron mi correo del 6 de abril donde abordé este tema (retención de datos), hice mis comentarios e hice una propuesta de trabajo sobre este tema: leyes de protección de datos de cada uno de nuestros países relacionados a la retención de datos. Allí propuse que trabajemos el tema por país, que se agrupen las ALSs de cada país para abordar el tema. Allí está explicado por qué esa propuesta. Pueden ver el registro de ese correo y propuesta aquí:
http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/008846.html
Lamentablemente nadie respondió a ese correo ni a esa propuesta.
En este enlace:
http://atlarge-lists.icann.org/pipermail/lac-discuss-es/2014/date.html ,
que es el registro de esta primera parte del año de las discusiones de LACRALO, podrán ver quiénes hemos estado empujando varios de los temas que mencionas, como por ejemplo Whois (tú, Alejandro, Aída, yo), aun cuando en nuestro RALO tenemos expertos involucrados en el tema tanto en WGs como en RTs, que podrían estar informándonos y guiándonos para poder debatir mejor este asunto y llegar a adoptar posiciones en LACRALO.
Recordemos además que las leyes de protección de datos de los respectivos países no están dentro del scope de ICANN. Sí en este caso el RAA en cuanto a la Descripción de Especificaciones de elementos de retención de datos y propósitos potencialmente legítimos para la recolección/retención de datos.
Saludos cordiales, Fatima Cambronero
El 13 de junio de 2014, 16:12, Alberto Soto < asoto@ibero-americano.org
escribió:
Alejandro, la intención no es formar una biblioteca. Muchas veces solicitaste capacitación. Esta es una forma de capacitar: la búsqueda y lectura, y la realiza quien lo desea, sin imposiciones. No existen bibliotecas que contengan toda esta información, y las que existen en cada país con sus propias leyes, no necesitan de ningún acuerdo para su uso. Lo de las canciones, felizmente ya quedó en el pasado, pero es parte de todo lo que tenemos que hacer.
Para qué? Algunos pocos ejemplos de los muchos por los cuales tenemos que saber un poco más de Protección de Datos personales:
- ICANN's public consultation on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention1
- New GTLD Program. Personal Data Privacy statement:
que
consista en confrontar a cada ccTLD de la región con las leyes aplicables en su país?
Suena un poco más ambicioso que hacer una colección de canciones y habría que estar muy bien preparados para emprenderlo. Y seguros de que no hay una instancia mejor - por ejemplo, en cada país, o del tipo del Observatorio Interamericano de Protección de Datos - que ya lo esté haciendo.
Hay otro problema en este campo que enfrentaremos como usuarios en algunos países de la región: los tratados internacionales como el TPP o TPPA (Tratado de Asociación Transpacífico) incluyen cláusulas muy específicas que determinan las características del "whois" en los ccTLDs, siempre a favor de los intereses comerciales, particularmente los de las empresas en EU. ¿Estamos preparados como LACRALO para tratar este asunto? (puedo presentar más detalles si se requieren).
En las asociaciones que Uds. representan, ¿están en contacto con sus ccTLDs sobre algunos de estos temas? ¿qué posiciones tienen nuestras asociaciones?
Saludos cordiales.
Alejandro Pisanty
2014-06-12 10:18 GMT-05:00 Alberto Soto <asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> >:
Gracias Javier! Creo que les pediría por favor, a cada integrante de nuestras ALSs, que traten de enviarnos la legislación de su país al respecto. Si existe una Ley de Protección de Datos Personales (el link...), si la misma se está cumpliendo, si hay otras formas de obtener datos personales. En varios países hay organizaciones cuasi fantasmas que brindan datos en contra de la legislación vigente. Es la base que necesitamos para una buena discusión.
Saludos cordiales
Alberto Soto
De: Javier Pallero [mailto:javierjosepallero@gmail.com <mailto: javierjosepallero@gmail.com> ] Enviado el: jueves, 12 de junio de 2014 12:11 p.m. Para: Alberto Soto CC: LACRALO Español Asunto: Re: [lac-discuss-es] Protección de datos personales, privacidad
Esto es interesante Alberto pues en la Argentina, por ejemplo, se puede acceder al nombre, numero de CUIT, DNI y datos de delegación de cualquier registrante https://nic.ar/busqueda-dominio-no-disponible.xhtml
En el sistema viejo podía encontrarse la dirección física que se registró también. Pero igualmente con los datos que se encuentran en la búsqueda eso no es difícil de averiguar por fuera.
Hay ciertos datos (nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio) que la ley argentina permite tratar sin obtener el consentimiento del titular, haciéndolos de "libre circulación". Son los que muestra el nic.ar < http://nic.ar> <http://nic.ar> Y a veces, esos datos son demasiados (máxime cuando hoy en día el análisis de metadatos extrae información mas allá de lo explícito)
Nuestra ley (y hasta donde tengo entendido, varias en la región) siguieron la directiva europea 95/46/EC aún vigente y en proceso de reforma. Pero al menos en el caso argentino falta algo que la directiva europea sí tiene: expresas menciones a principios de proporcionalidad. No solo se trata de qué datos podrán ser traficados libremente, sino de cuánto es necesario para el cumplimiento de los fines del registro.
En lo que nos ocupa, se trata de la proporcionalidad respecto de los datos que se muestran y su utilidad para el registro público de los titulares de dominios punto país. Sería interesante efecturar un buen relevamiento y establecer algunos principios para evaluar cómo los administradores de ccTLDs de la región tratan (y cómo deberían tratar) los datos de titularidad.
Para terminar, en el reino unido no aplica la directiva europea, y casi como en USA, el laissez faire lleva las riendas. Igualmente, sirve para estas preguntas que se me ocurren para la región.
Saludos.
Javier J. Pallero
http://about.me/javierpallero < http://www.linkedin.com/in/javierpallero
El 12 de junio de 2014, 11:15, Alberto Soto <
asoto@ibero-americano.org
<mailto:asoto@ibero-americano.org> <mailto: asoto@ibero-americano.org <mailto:asoto@ibero-americano.org> > > escribió:
Este es un tema también importante para estudiar, y es técnico legal y no técnico informático. El administrador del dominio .uk , a diferencia de la generalidad del mundo, abre más datos personales atodos, mejor dicho a cualquiera.
Saludos cordiales
Alberto Soto
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
mai <
http://www.theguardian.com/technology/2014/jun/11/nominet-new-rules-uk-do
main-end-privacy > n-end-privacy
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> <mailto: lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> > https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org <mailto: lac-discuss-es@atlarge-lists.icann.org> https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- *Fatima Cambronero* Abogada-Argentina
Phone: +54 9351 5282 668 Twitter: @facambronero Skype: fatima.cambronero _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
_______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- - - - - - - - - - - - - - - - - - - - - - - - - - - - Dr. Alejandro Pisanty Facultad de Química UNAM Av. Universidad 3000, 04510 Mexico DF Mexico +52-1-5541444475 FROM ABROAD +525541444475 DESDE MÉXICO SMS +525541444475 Blog: http://pisanty.blogspot.com LinkedIn: http://www.linkedin.com/in/pisanty Unete al grupo UNAM en LinkedIn, http://www.linkedin.com/e/gis/22285/4A106C0C8614 Twitter: http://twitter.com/apisanty ---->> Unete a ISOC Mexico, http://www.isoc.org . . . . . . . . . . . . . . . .
-- Aida Noblia _______________________________________________ lac-discuss-es mailing list lac-discuss-es@atlarge-lists.icann.org https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es
-- Aida Noblia
participants (8)
-
Aida Noblia -
Alberto Soto -
Alejandro Pisanty -
Antonio Medina Gómez -
Dr. Alejandro Pisanty Baruch -
Fatima Cambronero -
Javier Pallero -
Vanda Scartezini