43

Las tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información yLas tecnologías de la Información ysu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lassu Impacto en la Privacidad: de lascomputadoras a lascomputadoras a lascomputadoras a lascomputadoras a lascomputadoras a lastelecomunicacionestelecomunicacionestelecomunicacionestelecomunicacionestelecomunicaciones

Mesa 2:::::ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora del Departamento Jurídico de la Universidad Iberoamericana–UIA-México.

El doctor Jesús Rubí Navarrete es abogado. Director del Gabinete del Ministro de Justicia, DirectorGeneral de Relaciones con las Cortes y el Parlamento Español; Asesor Jurídico del Tribunal de Cuentas;Vocal del Tribunal de Defensa de la Competencia; Subdirector General de Inspección y Adjunto alDirector de la Agencia Española de Protección de Datos.

Conferencia MagistralConferencia MagistralConferencia MagistralConferencia MagistralConferencia Magistral: Jesús Rubí Navarrete.

Me sumarme a las felicitaciones a los organizadores, en particular al IFAI y agradecerles a ustedessu presencia.

En primer lugar querría insistir en una idea que ya se ha manifestado a lo largo de la mañana. Hayque distinguir el derecho a la intimidad y el derecho a la protección de datos personales.

El derecho a la intimidad es el derecho que se refiere a una esfera privada de la persona, mientrasque el derecho a la protección de los datos personales en parte presume el tratamiento de lainformación sobre las personas, hace que esa información no sea secreta, sino todo lo contrario, quesea objeto de un tratamiento, inclusive de un tratamiento masivo, pero exige una conducta activapor parte de los que realizan ese tratamiento y esa conducta activa consiste básicamente en quesea una conducta o un tratamiento con garantías, una conducta garantista.

Esta conducta garantista se traduce en lo que se refiere al objeto de la ponencia. En primer lugar, enel tratamiento de datos automatizados en las computadoras; es el tratamiento de datos quepodemos distinguir de otros tratamientos que veremos posteriormente, relacionados con eldesarrollo tecnológico.

En este ámbito en que el tratamiento automatizado de los datos personales y el tratamiento enbases de datos, en las computadoras que utilizamos en la perspectiva de la Unión Europea, estásujeto a un sistema de garantías que tiene dos bloques.

44

Por una parte, los principios de protección dedatos, que ya se han comentado, elconsentimiento, la información, la calidad, lafinalidad, la seguridad o el secreto y una serie dederechos, como son los derechos de acceso, derectificación, de cancelación y de oposición.

Sin embargo, el desarrollo tecnológico, eldesarrollo del sector de las telecomunicacionesy de las nuevas tecnologías ha dado lugar a unhecho nuevo, a que ese sistema de garantías,esos principios que acabo de comentar o esosderechos, necesiten adaptaciones específicasante nuevos fenómenos tecnológicos.

El desarrollo tecnológico obliga a adaptar losprincipios de protección de datos, en primer lugar,a la seguridad de la red; obliga a recoger, aconsiderar qué medidas de seguridad, quériesgos se producen; cuando se producen esosriesgos la necesidad de informar a los usuariosde que se han producido y también la necesidadde ofrecerles soluciones tecnológicas a un costorazonable, para poder evitarlos.

Los datos de tráfico son aquellos datos queidentifican la comunicación que se estárealizando y que permite la facturación, es untratamiento que con las herramientasdisponibles Data Warehouse, Data Maningpueden dar lugar a perfiles muy exclusivos en lavida de las personas y necesitan una adaptaciónde los principios generales de protección de datosa sus peculiaridades.

Y lo mismo sucede con los datos de localizaciónque son los datos que permiten la ubicaciónfísica de los equipos terminales y que puedendar lugar al hecho de que se produzca unseguimiento, un control de itinerancia de losusuarios de esas terminales.

También en el sector de las telecomunicacionesse están desarrollando servicios de valor añadido,desde los más elementales, como puede ser labienvenida cuando llegamos al aeropuerto deMéxico diciéndonos qué tenemos a nuestradisposición, todo tipo de servicios, información

turísticas o simplemente una bienvenida, hastaservicios muy sofisticados que pueden llevar asuponer el tratamiento, por ejemplo, de datosrelacionados con un problema cardiaco de unapersona y que permita atenderle, inclusive sinque él se esté dando cuenta de que tiene unacrisis cardiaca.

Por qué no hablar de las comunicacionescomerciales más solicitadas, el Spam, queconstituye uno de los fenómenos más graves enel desarrollo de las telecomunicaciones, comotambién lo constituyen el desarrollo deprogramas espías que permiten obtenerinformación de las terminales sin conocimientode los usuarios o los zombis que permiteninclusive acabar casi suplantando al usuario deun equipo terminal y utilizar su terminal parahacer, por ejemplo, comunicaciones comercialesno solicitadas como si lo hiciera ese usuario quees el titular de al terminal.

Y lo mismo sucede también en serviciosavanzados de telefonía, puesto que estosservicios permiten la identificación de la líneadesde la que se llama, la identificación de la líneaa la que se conecta o permiten el desvió o laretirada del desvío automático de llamadas.

Sucede en esta necesidad de adaptación en losdirectorios de telecomunicaciones, las guías detelecomunicaciones que es un instrumento quese utiliza con carácter público para eltratamiento de datos personales, o con lafacturación desglosada. Por tanto, tenemos unaprimera necesidad de adaptar esos principiosgenerales vinculados a las propias exigencias dela protección de datos personales, cuando éstosse tratan en el sector de las telecomunicaciones.

Pero además, estas nuevas exigencias vienenderivadas de aspectos que son ajenos o sinoajenos, por lo menos no directamenterelacionados con la protección de datospersonales, como es el desarrollo de los serviciosde la sociedad de la información.

45

La Cumbre Mundial sobre la Sociedad de laInformación que se celebró en Ginebra en el año2003, marcó una serie de objetivos respecto deldesarrollo de la sociedad de la información.

Yo he recogido algunos datos los que me hanparecido sintéticamente más importantes encuanto a la protección de datos personales,como son, que las tecnologías de la informacióny las comunicaciones, permiten un desarrollomás intenso de la educación, del conocimiento,de la información como todos podemos conocero también marca un objetivo que es que lastecnologías de la información y delconocimiento, las TIC coadyuvan de una maneramuy eficaz al crecimiento económico y enparticular inclusive en países en desarrollo,porque permiten alcanzar nuevos niveles deeficiencia y de productividad.

Sin embargo, en esta declaración de Ginebra sehace referencia a que, para que puedadesarrollarse la sociedad a la informaciónexisten determinadas necesidades.

Primero. Que haya conectividad, sin acceso a lared no va haber, en ningún caso, desarrollo de lasociedad a la información.

Segundo. Que haya una colaboración, unacooperación entre entidades públicas y privadasy también en el ámbito internacional dirigida atratar de evitar o de reducir la brecha digital, lade aquellos que pueden acceder a este tipo deservicios y la de aquellos que podrían quedarseal margen de los mismos.

Tercero. Se hace referencia a una necesidad decompetencia, de que exista un funcionamientocompetitivo de mercado, aunque siempregarantizando obligaciones de servicio universal,porque la competencia puede excluir del accesoa estos servicios a aquellos que vivan en localeso territorios o que tengan niveles de rentas queno permitan su acceso a estos servicios y portanto los poderes públicos tienen que garantizaro establecer obligaciones de servicio universalque permitan a toda la población el acceso a esosservicios.

Y en particular entre estas necesidades se hacereferencia a una que está muy directamentevinculada con la regulación de protección dedatos, porque se dice que es imprescindiblefomentar la confianza y la seguridad. Sinconfianza y seguridad por parte de los usuariosno se desarrollarán adecuadamente los serviciosde la sociedad a la información. Y esto implicaque haya seguridad en redes, que hayaherramientas de autenticación, suficientes,adecuadas, que se garantice la privacidad y quese proteja a los consumidores.

Y hace una referencia específica a la necesidadde abordar estrategias y políticas que permitanpor lo menos, sino evitar sí reducir estefenómeno que conocemos como el Spam. Enesta declaración de Ginebra se hace referenciaa la necesidad de que existe un entorno propiciopara el desarrollo de la sociedad de lainformación, cuyo primer aspecto es que existaun marco jurídico adecuado. Una regulación, enesta materia, que sea transparente, que seacompetitiva, que sea tecnológicamente neutral,que sea predecible, y que se adapte, esto es muyimportante, a las necesidades nacionales.

Tenemos en este momento dos aspectos o dospuntos de vista que obligan a adaptar losprincipios de protección de datos a las nuevasexigencias del sector de las telecomunicaciones.Uno es derivado de la propia estructura, delpropio sistema de garantías de protección dedatos personales.

Segundo, vinculado al desarrollo de los serviciosde la sociedad de la información.

Y hay un tercer aspecto, que hace necesario oimprescindible el que exista este tipo degarantías en el desarrollo del sector de lascomunicaciones, es el que hace referencia a lasnecesidades de desarrollo del comerciointernacional. Se ha comentado en algunasponencias que la libre circulación de datospersonales es un elemento esencial para eldesarrollo del comercio internacional.

46

Se ha hecho referencia a que en realidad elorigen último de la propia directiva 95 46 de laComunidad Europea, que es una normavanguardista en lo que se refiere a la protecciónde datos personales, tuvo ese apoyo en lascompetencias que el Tratado de la Uniónatribuye a la Comisión Europea en materia demercado único o de mercado interior, elgarantizar la libre circulación de datosconsideraba y se sigue considerando comoimprescindible para que pueda haber unfuncionamiento correcto del mercado único, ylo mismo sucede en el ámbito de la UniónEuropea, que es una organización regional, y portanto, esa exigencia responde a las necesidadesde integración de esta región o a las de cualquierotra región, podríamos citar el caso americano,el MERCOSUR, por poner un caso, hacenimprescindible que para garantizar la librecirculación de datos exista una regulación queprevea un sistema de garantías, y no sólo en elámbito de una integración regional, sinotambién en el comercio que se realiza entreunas y otras regiones, entre todos los países, endefinitiva, el tratamiento de datos y la librecirculación de datos personales que se produzcaen un mercado globalizado.

Y partiendo de estas necesidades yo querríahacer referencia a abordar los criterios que sonnecesarios o los criterios que deben dirigir estaregulación en el sector de lastelecomunicaciones para poder atender losretos de la protección de datos personales, parapoder atender el desarrollo de los servicios de lasociedad de la información, y para poderfavorecer el desarrollo del comercio y de laactividad económica a nivel mundial.

El primer aspecto que considero importante oimprescindible que se incorpore en cualquierregulación que aborde esta materia, es que separta del principio de neutralidad tecnológica.En la experiencia europea hemos tenido unejemplo claro de los inconvenientes que puedegenerar el no cumplir con este principio.

La neutralidad tecnológica significa que elsistema de garantías que se establezca sea

operativo, cualquiera que fuere la tecnologíaque se utilice, pueda ser operativo paratecnologías que todavía no han sidodesarrolladas.

La primera directiva de protección de datos enla Unión Europea, en el sector específico de lastelecomunicaciones del año 97, vinculó elsistema de garantías a determinadastecnologías, fundamentalmente los serviciostelefónicos, y olvidó otros servicios u otrastecnológicas, básicamente el desarrollo deInternet y ha sido necesario modificar esadirectiva, derogarla y aprobar una nueva, laDirectiva 2002/58-C, para garantizar que estesistema de garantías opera con neutralidadtecnológica.

Y esto es muy importante, porque si no fuera asípodríamos encontrarnos con un fenómeno quepodríamos denominar de deslocalizacióntecnológica, si las garantías que existen sondistintas para unas tecnologías y para otras, sison más rigurosas en unos casos que en otras, elfenómeno que se puede producir es que seincentiven determinadas tecnologías y seaparquen otras en las que pueda ser máscomplicado de aplicar este sistema de garantías;por tanto, es un principio fundamental.

En la neutralidad tecnológica el sistemaeuropeo se apoya en un concepto decomunicación electrónica, que es un conceptoextraordinariamente amplio, lo tienen ustedesen la Directiva 2002/58-C y que parte de lapremisa de que siempre que haya unacomunicación electrónica que es simplementeuna transmisión de información entre unnúmero finito de personas, cualquiera que seala red que se utilice, siempre que se produzcaese fenómeno se aplica el sistema de garantías.

El segundo aspecto importante desde el puntode vista de esta regulación o el criterio aincorporar en esta regulación, es que estesistema de garantías tiene que articularse comoderecho de los abonados y los usuarios y no comoobligaciones de los operadores detelecomunicaciones, ni como obligaciones de los

47

prestadores de servicios de la sociedad de lainformación.

Porque si se articula como obligaciones acabanproduciéndose déficit y omisiones, por ejemplo,el Spam es algo que realizan terceros que no sonprestadores de servicios de la sociedad de lainformación y que no son operadores detelecomunicaciones, de forma que siestablecemos un sistema de garantías basadoen un régimen de obligaciones habrá tercerosen los que no concurre esas características quehagan Spam y que no estén sujetos a lasobligaciones propias de los sistemas deprotección de datos o de garantía deltratamiento de datos en el sector de lastelecomunicaciones.

Ha habido muchos ejemplos en la legislaciónespañola y la nueva Ley General deTelecomunicaciones ha tenido que invertir lascosas, es necesario articular este sistema degarantías como derechos subjetivos de losabonados y de los usuarios oponibles frente acualquiera, sea operador de telecomunicacioneso no sea operador de telecomunicaciones, seaprestador de un servicio de la sociedad deinformación o no lo sea.

El tercer aspecto relevante es lo que he queridollamar superación del concepto de dato personal,la normativa de protección de datos personales,como se ha comentado esta mañana, es unanormativa sujeta a un aspecto crucial, debetratarse información de personas físicasidentificadas o identificables.

Y esto lleva a un debate permanente de sideterminadas informaciones son informacionessobre personas físicas identificadas oidentificables, la dirección IP es un dato de unapersona identificada o identificable, un númerode un determinado celular es un dato de unapersona física identificada o identificable, elpropio terminal en el que se pueden instalar virusu otro tipo de programas espías que capten lainformación supone el tratamiento deinformación personal identificada oidentificable.

En nuestra experiencia tenemosargumentaciones jurídicas que permitenafirmar que la dirección IP, que la dirección decorreo electrónico, etc., en determinadascondiciones son un dato personal.

Pero es, en mi opinión, necesario superar esteconcepto e ir a un sistema de protección queproteja el uso de determinadas herramientas, eluso del teléfono celular, el uso del terminal;porque de esa manera, primero, no va a estarexcluido del ámbito de protección nadie cuandose debate si es un dato personal y además,porque se puede incluir dentro del ámbito deprotección no sólo a las personas físicas, sinotambién a las personas jurídicas.

Y la importancia de este aspecto ha sido que ellegislador español cuando ha incorporado ennuestro sistema legal la Directiva 2002/58, quees la directiva vigente en la Unión Europea paraprotección de datos en el sector de lascomunicaciones electrónicas o de lastelecomunicaciones, ha desvinculado estesistema de garantías del concepto de datopersonal y lo ha incorporado en dos regulacionesdistintas, una parte en la Ley General deTelecomunicaciones y otra parte en la Ley deServicios de la Sociedad de la Información y delComercio Electrónico.

Y ha atribuido, eso sí, nuevas competencias a laAgencia Española de Protección de Datos deforma que ahora no sólo aplica lo previsto en laLey de Protección de Datos, sino también, esterégimen de garantías predicable inclusive depersonas jurídicas o morales que está en la LeyGeneral de Telecomunicaciones y en la Ley deServicios de la Sociedad de la Información.

Otro aspecto muy importante a considerar paraun enfoque o una regulación en el ámbito delsector de las telecomunicaciones es el dotarse oel prevenir herramientas que puedan ser útilespara combatir este fenómeno auténticamenteinquietante, que son las comunicacionesmasivas o comunicaciones comerciales o nocomerciales, los correos electrónicos nosolicitados, el Spam.

48

Ese punto es un problema particularmenteamplio en la medida en que vivimos en unmundo globalizado, pero yo sí querría destacartres aspectos en los que hemos estadotrabajando.

En primer lugar el de conseguir una adecuadacolaboración entre las autoridades de control,los prestadores y los usuarios.

Frente al Spam no basta con que exista unrégimen sancionador, porque puede no seraplicable, porque el Spam está en un lugar alque no se puede aplicar extraterritorialmenteuna norma. Por tanto, no basta con unaregulación. Es necesario, pero no es suficiente.

En segundo lugar, es necesario contar con losprestadores de servicios de la sociedad de lainformación, a través de los cuales estácirculando este tipo de comunicación y además,es necesario contar con la concienciación y unaactitud proactiva por parte de los propiosusuarios, tienen que ser conscientes de laimportancia de este fenómeno, de los riesgosque corren y como decía, desarrollar unaconducta activa de autoprotección.

Y, demás, de esta manera, mediante estainterrelación, se pueden resolver problemasjurídicos importantes. Por ejemplo, si losprestadores de servicios de la sociedad de lainformación autónomamente establecensistemas de filtrado de los correos electrónicos,va a suceder inapelablemente que habrá falsospositivos y falsos negativos; habrá correoselectrónicos lícitos, que son retenidos y quellegan a sus destinatarios y seguirá habiendocorreos electrónicos ilícitos, que sí llegarán a susdestinatarios.

Y eso puede dar lugar, inclusive, aresponsabilidades contractuales, aresponsabilidades por daños, a sancionesadministrativas por interpretación de lastelecomunicaciones, en la medida en que seauna decisión autónoma de los prestadores deesos servicios.

Por eso es imprescindible que los prestadores deestos servicios y las autoridades competentestengan una relación muy fluida con los propiosusuarios, les informen de cuáles son losinstrumentos de filtrado que los prestadores deservicio puedan aplicar; en la aplicación de esosservicios de filtrado tengan la confianza de quejurídicamente están actuando de una maneralícita, para lo cual, es imprescindible laintervención de las autoridades administrativascompetentes y además haya respuesta por partede los usuarios, para que ellos digan y decidan siquieren o no el filtrado, conforme a qué criterioso conforme a qué no criterios o si quieren utilizarherramientas alternativas, por ejemplo, disponerde dos direcciones distintas de correoelectrónico, para tratar de evitar este fenómeno.

Es necesario, por tanto, esta colaboración, y estonos lleva a que es necesario también unaconcientización de los usuarios, que van a tenerque adoptar medidas propias de adquisición yde búsqueda de programas actualizados, defirewall, de programas que eviten el contagio porvirus y que el propio usuario va tener estadisposición proactiva, para autoprotegerse.

Y en tercer lugar es imprescindible un aspectobásico, que es la cooperación internacional. Sincooperación internacional es imposibleperseguir el Spam.

Yo he puesto algunas referencias, algunasiniciativas que hemos tenido. Un memorándumde colaboración entre la Agencia Española deProtección de Datos y la Federal TradeCommission de los Estados Unidos deNorteamérica o también el London Action Plan,que es un plan de acción en el que estánparticipando autoridades competentes deprotección de datos, de defensa de losconsumidores muy variadas, empresas privadas,etc., para que tratar de combatir este fenómeno.

Y un último aspecto importante a considerar, encuanto a estos criterios, de un nuevo enfoqueen el sector de las telecomunicaciones es elrelacionado con el gobierno electrónico.

49

La tecnología, el gobierno electrónico, el E-government o la administración electrónica vapermitir un acceso más sencillo a los ciudadanos,va permitir mayor transparencia, va permitirtambién una mayor eficacia, una mayoreficiencia en la actuación de lasadministraciones públicas. Pero estos programasde E-government tienen que estar, en todo caso,sujetos a garantías específicas.

Y estas garantías específicas, yo querría hacerreferencia a alguna de ellas, a la vista de lo queha sido nuestra experiencia práctica.

En primer lugar, que haya sistemas deidentificación unívoca razonables de losusuarios a distancia de este tipo de servicios,porque sino, pueden acabar produciéndosesuplantaciones en el acceso a informaciónadministrativa por parte de terceros, que no sonlos usuarios autorizados.

En segundo lugar, que el tratamiento de lainformación dentro de las administracionespúblicas tienen que responder al principio definalidad. Y en el ámbito de la administraciónpública el principio de finalidad se concreta enque los datos que pueden recabarse y quepueden tratarse tienen que estar vinculados alejercicio de competencias, de atribucionesespecíficas que se hayan reconocido a eseórgano, a esa parte de la administración pública.No toda la administración pública, por muypública que sea y porque toda en generalresponda a razones de interés publico, tieneporqué tener acceso a toda la informacióndisponible. Es imprescindible que se cumpla elprincipio de finalidad, que se vincule al ejerciciode sus competencias. Y esto es particularmenteimportante cuando el desarrollo de estossistemas llega a un nivel de interoperabilidad.

En tercer lugar, es imprescindible que seintroduzcan medidas de seguridad que impidano que mantengan íntegra la información y queimpidan accesos no autorizados o si éstos seproducen que permitan su detección.

En cuarto lugar, hay que evitar, con estasmedidas de seguridad, que con el cúmulo deinformación administrativa y la utilización denuevas tecnologías, sea la propia administraciónpública la que se dedique a realizar perfiles de laconducta de los ciudadanos en sus relacionescon la administración.

Estos son, a mi juicio, los aspectos básicos de unnuevo enfoque en protección de datos en elsector de las telecomunicaciones. El próximopaso, ¿cuál es? La Red Iberoamericana.

En la Red Iberoamericana, precisamente en esteIV Encuentro hemos elaborado un documentode trabajo sobre gobierno electrónico ytelecomunicaciones. En ese documento detrabajo se detallan para cada uno de estosaspectos que les he ido comentando, el Spam,los servicios avanzados de telefonía, los datos detráfico, los datos de localización, los directorios yel gobierno electrónico, etcétera, soluciones ypropuestas concretas que entendemos quepueden permitir alcanzar un nivel de garantíaadecuado.

Es un documento que vamos a discutir a lo largode estos días y respecto del que tendremos quellegar a conclusiones cuando acabe esteencuentro. Espero que hagamos un debatefructífero que puedan tenerlo pronto a sudisposición.

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.

Vinculado con el tema que se señaló de variasde las razones por las cuales urge una regulaciónen lo relativo a las bases de datos personales,vino a mi mente otra temática y otro esfuerzointernacional que ahorita está preocupando ala comunidad internacional, que esprecisamente la cuestión del crimeninternacional organizado.

La Convención de Naciones Unidas, relativaprecisamente al crimen internacional,contempla la temática de las bases de datos y

50

en concreto y vinculado con toda la temáticadel lavado de dinero y el narcotráfico, está lacuestión de la cooperación judicial o lacooperación entre los Estados.

No se podrá cumplir con ninguna de las metas ode los objetivos u obligaciones de los propiosEstados de no darse una normatividadprecisamente que sea acorde a las necesidadesque por un lado tienen, en el lado de la balanza,lo que es el derecho a la privacidad y los derechoshumanos de la persona, y por el otro lado latecnología que a muchos ha sobrepasado envarios Estados, lo que es la propia legislacióninterna y el esfuerzo de la comunidadinternacional por controlar y regulardebidamente y que se realicen en el campo delo lícito y no de lo ilícito varias actividades ycomportamientos que desgraciadamente no sehan sujetado a control.

Quiero presentar al siguiente ponente, el doctorFernando Argüello Téllez, especialista ennormativa regulatoria y asuntos decompetencia; doctorado en DerechoPatrimonial por la Universidad Pompaifraba deBarcelona, España. Miembro de la RedIberoamericana de Protección de Datos,especialista en protección de datos personalesen diversos cursos y seminarios; obtuvo el premiode periodismo en 2003 sobre la protección dedatos personales, convocado por la AgenciaEspañola de Protección de Datos, ponente de laXXVII Conferencia Internacional de Privacidad yProtección de Datos realizado Suiza, en el mesde septiembre de 2005.

PPPPPonenonenonenonenonent et et et et e: Fernando Argüello Téllez.Superintendencia General de Electricidad yTelecomunicaciones del SIGET de El Salvador.

Quisiera agradecer a los organizadores lacapacidad de convocatoria que se ha tenido paraun tema que es tan novedoso y tan relevanteen lo que es el desarrollo de la democracia detodos los países.

Quiero empezar contándoles lo que me pasó porla mañana. Me encuentro con que el vecino de

al lado a la habitación del hotel, tenía puesta latarjetita que siempre ponen en la puerta de: “Porfavor no molestar” o “Haga la habitación”. Mellamó la atención ya que en este caso, dice:“Privacy please”, en vez de “Not disturb”.

Y creo que sería interesantísimo que tuviéramosuna tarjetita así como en Monopolio o GranBanco, para poderle sacar a los encargados yresponsables de los tratamientos una tarjetitapara decir: por favor respete mi informaciónpersonal.

Vamos a empezar con la ponencia, con lo básico,que es Warren and Brandeis, ya el Director de laagencia se refirió a él. Esto lo llevo a colación enlo que respecta a lo que son los inicios de lastecnologías en la comunicación, se empiezan adesarrollar la fotografía, los periódicos, puesresulta que ya ahí en 1890 ya surgendeterminados problemas con lo que es laprivacidad de las personas.

Al parecer la esposa del señor Brandeis habíatenido una fiesta social muy bonita, en losmedios salió publicada, y resultó que loscomentarios que se hicieron no les agradaron.Tenemos una magnifica ponencia en el HarvardReview mostrando lo que es el derecho a laprivacidad y que ahora es esencial citarloprácticamente en todas las ponencia de datosque puede haber.

También estamos hablando de 1972, algunoshechos relevantes. RL Polk & Co., una compañíanorteamericana en Detroit, poseía datospersonales de alrededor de 130 millones depersonas, pudiendo tras un adecuadotratamiento informativo establecer complejosperfiles individuales. Ahí estamos hablando delinicio de la computación; ya podía haber algúntipo de tratamiento de información, pero todavíano habíamos llegado a ese enlace entre lo queeran las telecomunicaciones con lascomputadoras y la capacidad que tienen éstasde tratar información al respecto.

Más adelante, a finales de los años 80, principiosde los 90 empieza en sí lo que sería la

51

convergencia informática y lastelecomunicaciones.

Las tecnologías de la información, como son lautilización de las computadoras para almacenar,procesar datos; tecnologías detelecomunicaciones, como son los teléfonos,transmisión de señales de radio, de televisión,tecnologías de redes de Internet, con su formamás conocida, tecnologías móviles, voz sobre IP(VOIP). Entonces surge la convergencia entre elInternet y estas tecnologías, y se constituyecomo un medio de comunicación eficiente y demuy bajo costo, que va a facilitar la interrelaciónentre ellas. Se logra una integración entre lo quees datos, vídeo, tráfico de voz, etcétera.

Una de las nuevas tecnologías que han surgidoa través de todos estos avances es el GPS, unsistema global de navegación por satélite, quenos permite determinar en todo el mundo laposición de una persona, un vehículo, una nave,con un error de alrededor de cuatro metros. Lasaplicaciones que hoy puede tener son múltiples:navegación terrestre, marítima, aérea, paralabores de rescate y salvamento, ubicación deenfermos discapacitados, para rastreo yubicación de vehículos robados, entre otros.

Otra de las formas de utilizar esta tecnología espara el rastreo de los empleados, para ver las rutasde los transportistas y se utiliza un sistema GPSpara poder determinar su posición, se utiliza paraevitar robos, para evitar que se salgan de su ruta,etc., pero también pueden ser tecnologías queirrumpan o invadan la privacidad.

Un caso interesante que hay en Internet. WilliamBradley Jackson fue sospechoso de haber matadoa su hija y enterrado su cadáver, las autoridadesandaban tras su pista desde hacía mucho tiempo,al enterarse de que las autoridades ya andabanmuy cerca de lograr determinar dónde seencontraba el cadáver decidió cambiarlo deubicación, lo que desconocía es que lasautoridades habían instalado un chip de rastreoen su vehículo. Pasaron 10 días, durante esetiempo llegó Bradley sacó el cadáver de la hija y lofue a enterrar a otro lugar.

Al cabo de varios días retiraron las autoridadesel chip y a través de la información que leyeronpudieron detectar el lugar exacto donde habíasido enterrada, por supuesto lo apresaron y a finalde cuentas quedó condenado.

Lo que se vio es la disyuntiva entre la necesidady cómo tendrían que haber actuado lasautoridades; se necesitaría haber requerido deorden judicial para hacer este tipo de acción obastaría con una mera sospecha para poderponer un chip o cualquier forma de rastreo. Paraeste tipo de casos podrían ser muy útiles, meparece, y nadie podría negarlo, pero tambiénpodría ser utilizado en otro tipo de usos.

Otro de los ejemplos es el implante de chips, estolo están ocupando en algunos países para evitarrobos, secuestros, se instalan los chips para estartotalmente ubicados en cualquier lugar delmundo; hubo en Inglaterra un caso bastantesiniestro que se pensó en la instalación de chipsa los hijos menores para evitar que fueran objetode cualquier tipo de secuestro.

La voz “sonoripés” es un ejemplo interesante delo que son estas nuevas tecnologías; como yales comentaba, es un abaratamiento de lo queson los precios de las llamadas telefónicas,nuevamente interesantes, se está viendo conmucho interés los diversos reguladores detelecomunicaciones, sin embargo, comotecnología relacionada con Internet tiene susproblema de privacidad y seguridad. Al igual queun correo electrónico puede ser rastreado enInternet igualmente la voz puede ser rastreadaen Internet.

El FCC, Federal Communications Commession,está tratando de ampliar el campo de una ley lacual permitía el poder acceder a lastelecomunicaciones vía teléfono normal, ahoralo quiere instaurar a lo que es voz sobre IP, estoestá sobre cargando, en alguna medida, a losproveedores de servicio de Internet, estáutilizando el ancho de banda y causando algunostipos de perjuicios.

52

Y nuevamente volvemos a lo mismo, me parecemuy bien que traten de evitar cualquier tipo deterrorismo internacional, delitos y demás, perohasta qué punto llegamos.

Debemos preguntarnos cómo identificar yregular la delicada línea que puede separar unuso adecuado de las nuevas tecnologías de lainformación y las comunicaciones de lo que seríaun uso arbitrario en el ámbito de la privacidad yla protección de datos.

Sobre eso podríamos pensar en empoderar altitular de la información personal, a través de laeducación, hacer del conocimiento de que sonsumamente necesarias, que existan normasclaras, un asentimiento informado que esesencial, porque muchas veces los usuariosfirmamos cualquier cosa o donde diceautorizamos ceder los datos a equis y ye persona,sin embargo, desconocemos para qué van a sercedidos.

También hay que fomentar las tecnologíasgarantistas de la privacidad que se estándesarrollando y van en muy buen camino, quetambién son un elemento bastante atractivo.

Les quiero pasar un video, creo que refleja lo quees el problema que se podría dar en un usoinadecuado de las comunicaciones. Se llamaSpears and Pizza y es hecho por el America CibersLiberty Marius de los Estados Unidos.

(Proyección de video en inglés)

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.

Corresponde ahora al doctor Sergio Antonio Toro.Es Director Ejecutivo de la Agencia para elDesarrollo de la Sociedad de la Información enBolivia, su país natal. Ingeniero en Electrónicapor la UNAM, Universidad Nacional Autónomade México; Maestría en Ciencias deComputación de la Fundación ArturoRosemblueth. Ocupó cargos en diferentesinstituciones bolivianas, destacándose el

Ministerio de Hacienda, la Dirección General deImpuestos Internos, el Gobierno Municipal delAlto y Ministerio de Desarrollo Municipal. Ha sidoconsultor internacional en varios países deCentroamérica, Sudamérica y África.

Sus inicios profesionales se refieren al DistritoFederal, México, donde trabajó por más de seisaños en el Instituto Nacional de Cardiología, Dr.Ignacio Chávez y en el Hospital Metropolitanode la Ciudad de México.

PPPPPonenonenonenonenonentetetetete: Sergio Antonio Toro.

Quiero agradecer a los presidentes, al IFAI, y aMéxico donde me he formado, también quieroagradecer al doctor Piñar Mañas por la inclusióndentro de la Red Iberoamericana de Protecciónde Datos.

Voy a empezar mi presentación haciendo unareseña de qué es lo que se está haciendo en mipaís, qué es lo que se está haciendo en Bolivia.

Voy a decir qué es la ADSIB, suena como remedio,pero no es un remedio, son palabras un poquitodifíciles, es la Agencia para el Desarrollo de laSociedad de la Información en Bolivia.

La Agencia Boliviana para el Desarrollo de laSociedad de la Información en Bolivia nace enel año 2002, en el marco de un decreto supremo,no nace como una necesidad o como un temade que la voluntad política del momento estéde acuerdo con ella, si no más bien como untema, yo lo calificó como una especie deesnobismo. Todo alrededor, todos los paísescircunvecinos empiezan a desarrollarse en lo quese llama la sociedad de la información, en tratarde proteger sus datos, en ver la importancia queen el mundo tiene las telecomunicaciones y lasTICS y, bueno, hay una declaración que ha sidomencionada hoy, la declaración de Santa Cruzde la Sierra donde varios presidentes, en mi país,firman el convenio para iniciar todas estaslabores de proteger los datos personales.

En ese sentido nace una agencia, pero nace una agenciaun poco sui géneris porque nace sin presupuesto.

53

Debido a la situación política que vive el país, el21 de septiembre del 2004 la presidencia delCongreso Nacional asume tuición de la Agenciapara el Desarrollo de la Sociedad de laInformación, esto nos hace una entidad suigéneris, una entidad que nos hace transversalesa los dos poderes: Ejecutivo y Legislativo, y ahí escuando empiezo a tener el cabello cano porquetengo de jefes o personas que se creían mis jefes,a todos los diputados y senadores de mi país.Entonces, casi pido la habilitación de un nuevoasiento dentro de mi Parlamento, porque yo mela vivía dando informes que trabajando en mioficina.

Realmente se me criticó o se criticaba en temasde tecnología de información y comunicaciónde por qué se utilizaba el gov con ve chica, comogovernment, en lugar de gobierno con be grandecomo lo tienen en México, por ejemplo. A esenivel de ridiculez he tenido que responderinformes del Parlamento.

La ADSIB no nace sin un presupuesto, cosacuriosa y para suplantar y para vivir de unpresupuesto nos hacen el ISP oficial del Estadoboliviano y somos los encargados de sistematizarla información, generar políticas estándares deldesarrollo de la sociedad de la información en elpaís, es por eso que estamos aquí presentes.

Nace a partir de dos instancias que existían enel Gobierno boliviano, una de ellas es la UFI(Unidad de Fortalecimiento Informático), que esuna unidad que queda del Y2-K. Y otra unidadque es el BolNet, era el que tenía los servicios deInternet en Bolivia, tiene el monopolio delregistro de dominios en Bolivia, tiene laadministración de los números IP para el accesoa Internet y tenemos los temas de proyecto deconectividad al interior del Estado boliviano.

En ese sentido ADSIB y BolNet son las dosentidades que dan sostén técnico y financiero yque se pueda trabajar fundamentalmente en eltema de la “ticks”.

Trabajamos difundiendo las “ticks”, haciendopolíticas, haciendo la coordinación en el área

“tick”, tenemos bastante trabajo, y nos nombranoperadores oficiales de la estrategia bolivianade reducción de la pobreza dentro de Bolivia enel uso de las “ticks”.

Trabajos básicamente, los ingenieros nos gustahablar en difícil igual que los abogados, en laparte de la derecha, significa que trabajamos enel Setuse o sea, ciudadano a ciudadano, en elgobierno a negocios, en el gobierno a gobierno yen el gobierno a ciudadano, tratando de trabajaren esos campos fundamentales, limitamosnuestra acción. –Se refiere a la presentación querealiza en PowerPoint–

La finalidad de la ADSIB. Somos la encargada depromover políticas, todo lo bonito que puededecir un decreto de creación. Tenemos unamisión, que es una misión bastante difícil en unpaís tan conflictivo como Bolivia. Favorecer lasrelaciones del gobierno con la sociedad bolivianamediante el uso de tecnologías adecuadas,realmente una misión bastante difícil la que nosponen, con un país, donde voy a demostrar acontinuación tiene muchas gradientesdiferenciales.

En la ADSIB nos toca, y le pongo la palabra deingeniería política, porque Álvaro Díaz de laCEPAL, en su informe a la CEPAL, dice que en laADSIB se ha hecho una ingeniería política, dondejugamos con los dos poderes. Dondebásicamente a mí me toca jugar con los dospoderes.

Yo califico ese jugo como hijo de padresseparados, hoy tal cual un adolescentemalcriado que cuando me convenía iba con elMinistro de la Presidencia y cuando me conveníame iba con el Presidente del Congreso Nacionalpara conseguir voluntad política.

Dentro de esa voluntad política hemosconseguido entregar resultados a corto plazo, amediano y a largo plazo. Uno de los resultadosde los cuales me siento más orgullo es quehemos hecho la estrategia boliviana detecnologías de información y comunicación parael desarrollo.

54

Hemos participado, hemos elaborado elanteproyecto de ley de comunicaciónelectrónica de datos, firmas digitales y comercioelectrónico, se llamaba en un principio, en laversión 63 y ha perdido las firma digitales en elcamino, ya se llama comunicación electrónicade datos y comercio electrónico. Participamosen la Red Clara, participamos en Telecentro yotros proyectos más.

En la dificultad vemos la oportunidad de trabajar.Tratamos de aprovechar la coyuntura políticapara aprovecharnos de eso justamente, de lo quees la voluntad política. Participamosinternacionalmente en la Red Geal, en la RedClara, en la Red Infolac, en la Cumbre Mundialde la Información, y nuestra participaciónreciente es dentro de la Red de Protección deDatos.

La realidad boliviana no muestra quepertenecemos a un país multiétnico,pluricultural, con más de 50 etnias agrupadasen tres regiones claramente definidas, que sehan autodefinido así, poca participaciónciudadana en los circuitos económicos del país,especialmente de pueblos originarios, lo que hamarcado la exclusión social, no somosproblemáticos, porque sí queremos serproblemáticos.

Tenemos un alto grado de necesidades básicasinsatisfechas en el país. Tenemos un país conaltos índices de pobreza y marginalidad.

Tenemos la inexistencia de un marco jurídicopara el desarrollo de alternativas tecnológicasque ayuden a cerrar la brecha digital. Muchainversión y apoyo, muchos quisieran tener lainversión que tiene Bolivia, pero cuando estámal orientada y mal organizada se convierte enun fenómeno que yo lo califico “Túpac Amaru”;como Túpac Amaru tuvo una muerte por cuatrobestias, una amarrada a cada uno de los brazosque jaló para un lado distinto. Un poco eso es loque nos está pasando en este momento conBolivia, porque tenemos la cooperaciónjalándonos en distintas direcciones y no nos estápermitiendo avanzar como país.

Entonces que ordenar esa cooperacióninternacional. Somos un país geográficamentemuy disperso. Tenemos un millón de kilómetroscuadrados, tenemos 328 municipios, 29 millocalidades pobladas, donde 43 por ciento deéstas no tienen servicio de electricidad.

Y aquí es un dato que habiendo tenido miformación en un país como México, un país tandemocrático como México es un tema querealmente me desgarra y me muestra el paísdistinto que tenemos, el país con los gradientesque mencionaba que tenemos.

Ahí hay una fotografía en la cual dos autoridadesoriginarias del altiplano y uniformados tras lafirma del Programa de Igualdad de Oportunidad,fue el 20 de abril del 2005, este año, primera vezdespués de casi 200 años de vida republicanaque un indígena puede acceder a entrar a uncolegio militar, los indígenas no tenían derechoa ingresar ni a universidades, ni al colegio militar,este año se da la igualdad para que los pueblosoriginarios y los campesinos puedan tenereducación militar.

Entonces, ese es el país discriminador del cualles estoy hablando y el país discriminador quepresenta niveles de conflicto.

Simplemente llamo a la reflexión que la brechadigital entre los países es de 390 a 1 entre lospaíses desarrollados y los países en desarrollo yesta brecha está aumentando.

El PIB de los cinco países de la CAN, los cincopaíses de la CAN juntos producen un tercio de lofactura Microsoft, quiere decir que lainformación sí había sido un buen negocio.

El bienestar dentro de una economía global estábasado en el conocimiento de individuos solos,ojalá sea ese individuo que está encargado en laespalda de su madre el individuo que puedaalcanzar un mayor desarrollo dentro de lasociedad futura.

Los reportes de telecomunicaciones muestranindicadores muy buenos, vemos una creciente

55

desde 1997, muy racional, evidentemente se haninstalado teléfonos y se han instalado puntasde conectividad en el país, pero de qué me sirveun teléfono tarjetero en medio de un camino,donde no hay ni las tarjetas, donde no hayposibilidades de desarrollo para la regióncircunvecina.

La participación de los municipios en Bolivia esde apenas un 51 por ciento del país pordepartamentos que tienen acceso a Internet.

Bolivia en el área urbana o en el eje central, comollamamos, tiene un índice de 0.48, más o menosequivalente al índice de brecha digital que setiene entre Chile y España, no estamos mal enlas ciudades del eje. Sin embargo, si vemos elporcentual en el área rural vemos que estamoscon un 0.96, una diferencia catastrófica entrelo que es ciudad y lo que es campo.

La diferencia al interior. La brecha digital alinterior de lo que está sucediendo en Bolivia esmás dramática que la brecha digital de Boliviaversus los otros países, tenemos dos países, mepermito calificar un país del siglo XXI y tenemosun país que está tratando de entrar al siglo XVII,si es que así se puede calificar.

Pese a eso tenemos la inclusión del Hábeas dataque, bueno, la primera Constitución de Boliviaes de 1826, ahora en el marco de los conflictosque se están sucediendo en mi país se habla deuna asamblea constituyente donde se va ahacer una reforma total, esperemos que parabien.

Se tienen 17 intentos de reformas, se tiene unaLey de Necesidad de Reformas del año 2002, setiene una inclusión en el 2004 dentro de laConstitución Política del Estado y se tiene unaorganización del texto, un texto ordenado en el2004 también.

El Hábeas data dentro de la Constitución Políticadel Estado de Bolivia está incluida en un soloartículo, en el artículo 23, y tiene en el párrafouno, tiene las características y derechos, en lospárrafos dos, tres y cinco, tiene los

procedimientos para el recurso de Hábeas datay en el párrafo cuatro tiene la incompatibilidadpara levantar el secreto en materia de prensa.

Los derechos y deberes fundamentales pese a lainclusión del Hábeas data en el artículo 23, noaparece como un derecho fundamental a laintimidad personal y familiar de las personas,entonces ahí ya estamos vislumbrando unposible problema de nuestra inclusión delHábeas data dentro de nuestra Constitución.

Las características del Hábeas data. La másimportante posiblemente es que está, me pareceque surge un poco forzada; es que estáredactada en términos negativos, es de carácterprocesal para la petición de datos personales, etc.

El acceso de datos a la persona, ratificación,corrección, información obtenida o almacenada,eliminación o exclusión, son básicamente losderechos que tiene cada persona.

Las omisiones que tiene. Es un tema que causapreocupación fundamentalmente, no sonsubsanadas en la Constitución Política delEstado: la confidencialidad de datos personalesy la actualización de datos personales, no sonincluidas.

El procedimiento, y aquí hay otro problemadentro de nuestro Hábeas data es que toma a laCorte Superior de Distrito o Juez en Partido, estoes a la necesidad del recurrente. No hay unaentidad destinada a hacer la protección de datos,sino son las instancias existentes ya en el país.

Esa es la primera sentencia constitucional, unpoquito de la historia, donde el Hábeas data locontraponen con la Ley de Imprenta y la Ley dePrensa, donde el fallo aprueba la resolución deimprocedencia, al corresponder la aplicación dela Ley de Imprenta.

Hay una especie de desconocimiento o unaespecie de mala aplicación de la Hábeas data ouna mala interpretación por parte tanto de losdemandantes, como por parte de las entidades queestarían encargadas de la protección de datos.

56

En cuanto a la legislación relacionada, existe laLey de Telecomunicaciones, existe el CódigoPenal, existe el Código Civil, el Decreto Supremode Acceso a la Información Pública, quemenciona el Hábeas data como tal y elAnteproyecto de Ley de ComunicaciónElectrónica de Datos, que también ya mencionala protección de datos y menciona la Hábeasdata.

Las conclusiones que podemos decir en cuantoa nuestra Hábeas data, se precisa una LeyOrgánica para el desarrollo de la misma.

Nosotros queremos aprovechar la coyuntura delAnteproyecto de Comunicación Electrónica deDatos, para hacer el Reglamento específico dela protección de datos personales. Esa es laconclusión principal a la cual puedo llegar y estees el trabajo en el cual estamos abocados en estemomento.

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA-México.

Presento al doctor Fernando Martínez Coss,licenciado en Economía por la UniversidadAutónoma Metropolitana. Ingresó al sectorpúblico en 1983 y desde 1986 se encuentra en laSecretaría de Hacienda y Crédito Público, endonde ha colaborado en el desarrollo deherramientas de apoyo para el cumplimiento deobligaciones fiscales, como Declara-SAT,utilizando para el cumplimiento la presentaciónde la Declaración Anual de las Personas Físicas,así como la instrumentación de mejoras enservicio de atención a contribuyentes, como losmódulos de atención integral a los mismos,esquema de pagos electrónicos de impuestos,sistema integral de comprobantes fiscales, asícomo la instrumentación de la Guía paraTrámites Fiscales y es actualmente responsabledel proyecto de la Firma Electrónica Avanzada yFactura Electrónica.

PonentePonentePonentePonentePonente: Fernando Martínez Coss.

El tema que les voy a compartir esta tardebásicamente versa sobre la firma electrónica

avanzada y cómo el Servicio de AdministraciónTributaria, al cual pertenezco, ha visualizado laforma en la que en la interacción con loscontribuyentes podamos tener una relaciónsegura que sea sencilla y, sobre todo, que lleve auna forma de interacción que permita ampliarla cobertura de servicios que tiene el Servicio deAdministración Tributaria.

En ese sentido el SAT ¿qué es lo que ha hecho yen qué ha basado su desarrollo? Básicamenteha basado su desarrollo actual desde el añopasado y hasta la fecha, en un esquema que seha denominado de firma electrónica avanzada.

El primer entendimiento que quisiera quetuviéramos es, ¿qué es una firma electrónicaavanzada? Es un conjunto de datos, en esteevento estamos hablando de datos, pero sobretodo lo que hemos buscado nosotros comoautoridad fiscal es que haya alguien atrás de losdatos, que haya una identidad, que haya unapersona que de forma segura nos permita teneruna relación con el contribuyente. Esto es lo quehemos hecho.

Y la firma electrónica avanzada nos lo hapermitido, de hecho es algo que dentro del marcojurídico que nosotros tenemos ya se encuentrareconocido, es decir, ya tenemos reconocidodentro del Código Fiscal de la Federación loscertificados de firma electrónica avanzada.

Con esto abrimos un campo muy interesante aefecto de tener esta relación segura que lescomentaba. En este sentido no podría yo estarhablando de un certificado y menos deimpuestos si no estuviéramos frente a unaobligación.

En nuestro país existe desde el año pasado, elaño pasado de manera opcional, la obligaciónpara las personas físicas y las personas moralesde contar con un certificado de firma electrónicaavanzada.

Este certificado tiene, básicamente, dossegmentos de contribuyentes obligados que espersonas físicas con actividad empresarial, coningresos superiores a un millón 750 mil pesos.

57

Y el segundo. De personas físicas con actividadno empresarial, entiéndase los arrendadores, lossujetos de honorarios con ingresos superioresanuales a 300 mil pesos y, nuestra legislación, elCódigo Fiscal consagra un segmento, el cual porsu capacidad administrativa no tendrían estaobligación; esto no quiere decir que no puedaoptar por ella, en este caso básicamente referidoa los contribuyentes del sector agropecuario.

Es decir, tenemos una legislación que noshabilita la posibilidad de tener transaccionesseguras, con entes identificados, y me falto untercero que son las personas morales, que sonsujetos ya obligados de presentar, de contarprimero con un certificado de firma y de llevar acabo transacciones electrónicas.

En este sentido tenemos un mecanismo quetecnológicamente nos habilita. Tenemos unmarco jurídico que lo define y nos define a lossujetos, pero aquí lo importante es unentendimiento claro. Cuando estamos frente aun certificado de firma electrónica de quéestamos hablando, qué quiere decir esto.

Les quisiera decir que es el equivalente a lo quehoy por hoy tenemos como nuestra firmaautógrafa, pero en el mundo de las transaccioneselectrónicas o en el mundo del Internet.

En mi firma autógrafa yo solo la puedo hacer;sin embargo en la firma electrónica yo solo la sé.Hay una característica fundamental en loscertificados que es que en su creación deben dehacerse en absoluto secreto, nadie lo debe deconocer.

Mi firma autógrafa en el mundo del papel es elequivalente a mi certificado de firma electrónicaen el mundo del Internet y especialmente en elámbito de lo fiscal. Es decir, todo lo que tengaque ver con obligaciones fiscales o el mundo delo tributario tiene un equivalente que se llamacertificado de firma electrónica y que tienebásicamente tres características, que es: voy atener un certificado, voy a tener una llaveprivada, un mecanismo de acceso seguro y voy atener una clave de seguridad.

Es decir, en el mundo del papel utilizo lo queustedes tienen, su pluma y papel y en el mundoelectrónico voy a tener estas características queson un archivito punto cer, un punto key y unallave de seguridad. Esas son las analogías quequisiera que tuvieran.

Ahora bien, ¿cómo le vamos a hacer? ¿Cómo leva a hacer el Servicio de AdministraciónTributaria para lograr dotar a los contribuyentesde todo esto? Tenemos un mecanismo que espresencial, en donde básicamente lo quebuscamos es garantizar la identidad delcontribuyente que va a estar atrás de uncertificado.

Para este fin lo que le pedimos al contribuyentees que acuda con nosotros previamentevalidando datos, validando datos de identidaddel contribuyente. En los datos de identidad elServicio de Administración Tributaria tiene lareserva legal de no entregarlos ni revelarlos, estolo consagra el artículo 69 del Código Fiscal de laFederación, en donde se guarda absoluta reservade los datos proporcionados por loscontribuyentes.

Nosotros no podemos revelar absolutamenteningún dato. Sin embargo, sí nos garantiza quetengamos del otro lado de la computadora a unagente que conocemos, que sabemos quién es ya la cual le podemos proveer un servicio osimplificar que es nuestro objetivo todo esto.

¿Cuál es el ciclo de generación? El ciclo degeneración es el contribuyente nos agenda unacita, ahí iniciamos a verificar los datos deidentidad del contribuyente.

Segundo, nos llena un requerimiento del ladofiscal suena fuerte, pero finalmente es llenaralgunos datos de la identidad del contribuyente,esto lo hace en absoluto secreto. El SAT noconoce las características de esa llave privadaque genera el contribuyente. Nosotros notenemos control de esto. Actualmente tenemoscerca de 370 mil certificados ya generados hacialos contribuyentes, esto nos habla de un númeroya importante.

58

Tengo el dato de la Agencia Tributaria española,que me hablaba el año pasado de cerca de 300mil certificados generados. En el ámbito denuestro país estamos ya rebasando ya los 370mil certificados.

Nos habla de un proceso de cambio paulatino,un proceso de cambio que no hemos hecho, comolo viene previsto en la disposición porquegeneraría, creemos nosotros, un cambio culturalmuy fuerte.

Lo hemos hecho paulatinamente, de forma talque un aspecto fundamental en estastecnologías sea la asimilación del cambiotecnológico de forma pausada.

Esto creemos que lo hemos venido logrando coneste tipo de cuestiones. El contribuyente, meregreso al ámbito del que estoy platicando,genera su requerimiento, acude con nosotros,vemos que efectivamente se trate de quien es,que es quien dice ser.

Esto lo aseguramos con nuestra información, lacual contamos con el contribuyente, yfinalmente, jurídicamente lo que hacemos escerramos el ciclo.

Es decir, tenemos ya una persona física o moralplenamente identificada y con esto leentregamos un certificado de firma, con el cualpodamos llevar a cabo transaccioneselectrónicas.

Aquí hay una característica fundamental en loque el SAT ha hecho. Esto, nosotros comoautoridad fiscal lo pudimos haber hecho demanera autónoma, sin embargo, el legislador elaño pasado previó a un tercero, que en este tipode fórmulas se le reconoce como confiable, aefecto de garantizar la transparencia de todoesto. En este caso es el Banco de México, en elcaso de nuestro país, nosotros, como autoridadfiscal, estamos proponiéndole a Banco deMéxico, cuáles van a ser nuestras prácticas decertificación de identidad.

Es decir, no actuamos de manera autónoma. Esonos da la absoluta transparencia. Aún siendoautoridad, nosotros, en este caso nuestro país,los legisladores, previeron la posibilidad de queaún siendo autoridad fiscal hubiera un terceroconfiable. En este caso fue el Banco de México, aquien le estamos dando estos certificados.

¿Y con esto a qué estamos llegando? Esto habilitadesde el mundo de lo tributario a una serie deservicios. Es decir, si en el mundo del papel lo quehacemos nosotros con nuestra firma autógrafaes suscribir o aceptar obligaciones o ejercerderechos, en el mundo de lo fiscal tenemos esteescenario, que ahorita es el que vamoscaminando.

Es decir, los contribuyentes ya pueden optar porun comprobante fiscal digital, ahí ya estamosteniendo un cambio, un comprobante fiscaldigital que en el mundo del comercioelectrónico viene a minimizar todas lasoperaciones.

Con este medio seguro la administracióntributaria le permite el acceso al contribuyentea sus datos, es decir, los contribuyentes ennuestro país ya tienen acceso a la informaciónque en materia fiscal el SAT tiene, esto que si lohubiésemos pensado de manera presencialresultaría algo complejo, hoy por hoy ya es unarealidad el que el contribuyente de maneraelectrónica y remota pueda accesar a sus propiosdatos.

Adicionalmente, ya lo comentábamos, está lapresentación de la declaración anual, los agentesaduanales en operaciones de comercio exteriorya utilizan este tipo de mecanismos.

Y para el año que entra ya tendremos queutilizar este mecanismo de certificado de firmaelectrónica en los pagos provisionales, es decir,el cumplimiento de obligaciones periódicas quevenimos haciendo ya tendrá que ser a través deeste mecanismo.

Y bien, si estamos hablando de un encuentro dedatos, pues, finalmente yo quisiera cerrar mi

59

charla con el acceso que pueden tener loscontribuyentes mediante este certificado a susdatos, creo que es algo que es muy valioso, sobretodo para los contribuyentes el saber, digo, si hayalguien que conoce de los contribuyentes o delos ciudadanos en este país creemos que es laautoridad fiscal.

Nosotros aglutinamos una gran cantidad dedatos que están reservados, sin embargo, lo queofrecemos ahora es la posibilidad de que sea elcontribuyente quien los conozca, que sepa quées lo que nosotros tenemos, en este caso es laaplicación que hoy por hoy existe en la páginadel Servicio de Administración Tributaria, endonde a través de estos tres datos: RegistroFederal de Contribuyentes, lo que es lacontraseña, lo que es su certificado y lo que essu punto key la llave privada, puede tener accesoa todos los datos que el SAT tiene de loscontribuyentes.

Esto creemos que es una oportunidad muyvaliosa que no lo permite y no lo habilita latecnología, pero sobre todo, que nos garantizaque del otro lado de la computadora hay alguienque es conocido, que nos garantiza la absolutaintegridad y que no tenemos la posibilidad deque haya la corrupción de estos datos o que hayael jaqueo de estos datos, son transacciones cienpor ciento seguras.

Tecnológicamente, como dato para que ustedeslo tengan, este tipo de llaves son de mil 24 bits,cosa que nos da la amplia seguridad de quedifícilmente se podrían jaquear y que nos dan latranquilidad de quien accede a estos datos esquien debe ser.

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.Continuamos con la presentación de AlfredoReyes Krafft, doctor en Derecho por laUniversidad Panamericana, Director Jurídico deE-Bussines en BBVA-Bancomer, Presidente de laAsociación Mexicana también de Internet.

PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.

Yo quisiera retomar un poquito el tema de lamesa y en particular bordar un poquito sobre lamisma, estamos hablando de las tecnologías dela información y su impacto en la privacidad, eltema es de las computadoras a lastelecomunicaciones.

Yo ahora quiero de alguna manera comentar queestoy representando a la industria de Interneten particular en México y en ese sentido yoquisiera aclarar una cuestión, la tecnología o lastecnologías de la información y comunicaciones,Internet, es un medio, no es un fin en sí mismo;es decir, no podemos hablar de ética de Internet,sino tenemos que hablar de ética de las personasque utilizan este medio que se llama Internet otecnologías de la información, como quieranllamarle.

Y en ese orden de ideas tendríamos quedistinguir entre el uso de la información, el bieninformático como un concepto jurídico o técnicoy también el bien informático o la informáticacomo instrumento para realizar un determinadoacto o un determinado acto jurídico.

En ese contexto y sobre ese punto de referenciano debemos dejar de considerar que Internet esun medio, no es un fin en sí mismo, estamoshablando de las personas.

Ahora, también debemos considerar el tema deprivacidad. Nos queda muy claro que laprivacidad y el derecho a la protección de losdatos es un derecho fundamental, es un derechofundamental de las personas.

Y en este sentido, este derecho fundamentaldebe también estar en equilibrio con otrostemas también importantes, como serían losintereses de mercado, la libertad de expresión,el libre flujo de información, así como cuestionesrelativas al lavado de dinero y lucha contra elterrorismo.

Considerado entonces así y tomando enconsideración también el tema que y Fernando,

60

hace un minuto, había comentado en relacióna la delicada línea. Es decir, él hacía referencia aalgunas mejores prácticas y a los efectossecundarios que estas mejores prácticaspudieran llegar a tener.

Y tomando en consideración el tema yplaticando en particular del tema del Spam, yocreo que también debemos de tomar el puntode referencia.

Por un lado, dentro de Spam se está exigiendoque los proveedores de servicios de Internetcuenten con mejores prácticas de protección yde prevención ante ese problema grave: Filtrosanti-Spam, detección y registro de entidadesriesgosas, conformación de gruposespecializados para su combate, distribución deherramientas, campañas de concientización,atención muy pronta ante reportes.

Pero los efectos secundarios que podemosencontrar ante una situación como ésta, seríael tema a que ya hizo referencia también elexpositor anterior de falsos positivos; el temarelativo, por ejemplo, a la diferencia entre Spamy mercadotecnia directa; que los filtros pudieran,en un momento dado, atrapar mensajes quepudieren ser válidos o también el hecho de quela propia auditoría, respecto de los mensajes queyo estoy realizando en los buzones de misclientes, pudiera considerarse una violación a laprivacidad de cada uno de los usuarios.

A final de cuentas no es culpable el proveedorde servicios de Internet respecto de esteesquema. A final de cuentas el Spam le generaun problema muy grave al proveedor de serviciosde Internet; ocupa ancho de banda del proveedor,el volumen de almacenamiento en cuanto aniveles de almacenamiento es a costa del propioproveedor y no lo puede incidir en el costo por elservicio que está prestando.

Independientemente de eso el ISP no debe dejarde garantizar al usuario una eficaz entrega demensajes, confidencialidad y respeto yrespuesta ante reporte de abusos.

¿A final de cuentas a qué queremos llegar conesto?

Nos queda muy claro que debemos de cuidareste derecho fundamental de privacidad yrespeto a la privacidad de las personas. Nos quedamuy claro también que en México contamos conlegislación, si bien dispersa en algunas entidadeso en algunos esquemas, contamos conlegislación sobre la materia.

Es muy importante y no es por querer evitar unesquema legislativo, sino por el contrario, es muyimportante propugnar por una legislacióncongruente sobre la materia.

¿Y a qué me refiero con congruente?

Voy a poner tres ejemplos que se han suscitado,a raíz de una Iniciativa de Ley Federal deProtección de Datos Personales, que fuepresentada por un senador en México, AntonioGarcía Torres, en febrero del 2001 y fue aprobadapor el Senado de la República.

Vamos a poner un ejemplo típico. Un esquemade opt-in el requerimiento de unconsentimiento previo y expreso de la persona,a la cual se van a tratar estos datos.

Por otro lado, también y dentro del contextolegislativo y como una política de carácterpresidencial, tenemos la promoción de lainversión de pequeñas y medianas empresas enese contexto.

¿Qué es lo que queremos hacer?

Estamos obligando a las empresas a utilizarmedios de promoción para las mismas, quepuedan generarle un mayor costo, porquerequerirá un consentimiento previo y expresode cada una de las personas, a las cuales lesenviarán la información, publicidad o esquemacomercial. Y, por otro lado, procuramos incentivarla inversión de estas empresas generándoles uncosto.

61

Otro esquema. El esquema de la prohibición alflujo transfronterizo de datos personales. Seestablece en la normativa que queda prohibidoel flujo transfronterizo de datos a entidades opaíses que no cuenten con un nivel deprotección, cuando menos equivalente al quese está planteando en ese contexto.

¿Cuál es el problema que tenemos? Contamoscon un Tratado de Libre Comercio con Américadel Norte, con Estados Unidos y con Canadá endonde se establece que no se va a limitar esteflujo transfronterizo de datos personales.

No estamos en contra de la legislación. Noestamos en contra del respeto a este derechofundamental de protección de datos personales,lo que buscamos es hacerlo congruente connuestro esquema jurídico.

ModeradoraModeradoraModeradoraModeradoraModeradora: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.

Para terminar la doctora Katitza RodríguezPereda, Directora del Computer ProfessionalsSocial Responsibility –CPSR– de Perú. Su trabajoconsiste en analizar disposiciones sobrederechos de autor en el entorno digital,incorporados en el Tratado del Libre Comercioentre Estados Unidos y los países andinos, laspropuestas presentadas por los Estados relativosa los derechos de autor en las negociacionessostenidas en el seno de la OrganizaciónMundial de Propiedad Intelectual y lasdirectrices sobre la privacidad elaboradas en elsubgrupo de privacidad del Grupo de ComercioElectrónico, del Foro de Cooperación EconómicaAsia-Pacífico; también es responsable decoordinar los reportes de privacidad en España yLatinoamérica y de mantener comunicación conautoridades en protección de datos, funcionariospúblicos y organizaciones de la sociedad civil enIberoamérica.

El tema de su presentación es la protección dedatos personales y las medidas de proteccióntecnológicas, piratería de obras contra pirateríade datos personales.

Ponente:Ponente:Ponente:Ponente:Ponente: Katitza Rodríguez Pereda.

Antes de pasar a mi exposición, quisiera hacerdos precisiones; decir que como consumidoresdebemos exigir que las empresas antes de tratarnuestros datos deban exigirnos elconsentimiento previo, informado de queefectivamente deseamos que traten nuestrosdatos.

Segundo. Si hay países como los europeos quelos Estados se preocupan por proteger los datospersonales de sus ciudadanos, es justo que si ellosquieren hacer negocios con otros países, elmismo nivel de protección se les den a esospaíses.

En este panel sobre tecnologías de lainformación y su impacto en la privacidad voy atratar un tema importante pero poco conocido,salvo entre aquellos que siguen o han seguidode manera más o menos constante este tipo decasos.

Se trata de la recolección y tratamiento de datospersonales que se efectúa a través de las medidasde protección tecnológica o medidas deautotutela incorporadas a las obras protegidaspor los derechos de autor.

Antes de que irrumpiera en la vida diaria lastecnologías de la información y que sedifundiera el fenómeno de la digitalización, noexistía relación directa entre protección de datospersonales y derechos de autor.

Una adquiría un libro o disco, lo leía, releía, lohojeaba, escuchaba la música una y otra vez,todo ello en forma anónima. Hace 20 años noexistía cruce de caminos y menos colisión entreprotección de datos y derechos de autor.

Actualmente con el desarrollo de las tecnologíasde la información y en particular de las medidasde protección tecnológicas el vínculo entreambos derechos personalísimos se entrecruzacada vez más.

62

¿Qué sucedió en el entretanto? La digitalizaciónde las obras protegidas por derecho de autor, elabaratamiento de los medios de reproducción yla Internet han facilitado enormemente lapublicación, copia, distribución y comunicaciónal público no autorizada de obras protegidas porel derecho de autor, lo que ha originado que elíndice de infracciones a estos derechos seaelevado, y que exista perjuicio económico paralos autores y productores.

Lo que se ha traducido, a su vez, en unincremento sostenido y real de los niveles deprotección legal de los actuales modelos denegocio en este campo, llegándose al extremode utilizar el derecho penal, las más graves delas disciplinas jurídicas para reprimir conductasque discutiblemente son consideradas ilícitas.

Como los intentos por disminuir o detener lacopia no autorizadas de obras mediante loscauces legales han sido fallidos, ello dio pie a quelos titulares de derechos de autor optaran porimplementar las denominadas medidas deprotección tecnológica, orientada a auto tutelarsus derechos.

En términos sencillos las medidas de proteccióntecnológica son una suerte de candadosvirtuales que permiten restringir o controlar elacceso y/o uso de las obras protegidas por elderecho de autor. Estas medidas tecnológicaspueden estar en el sistema operativo, en elsoftware aplicativo, en el hardware o en unacombinación de ellos.

Generalmente cumple las siguientes funciones:controlan el acceso a la obra, impiden las copiasno autorizadas de las mismas, e inclusive la copiaprivada, que es un derecho del consumidor.

Autentica la obra con el titular de derechos deautor, e impide que la obra sea alterada,modificada, transformada.

Lamentablemente estas medidas de proteccióntecnológicas también suelen ser utilizadas porlos productores fonográficos y de audiovisuales

para controlar los usos que los consumidoreshacen, por ejemplo, de los discos, películas y librosdigitales.

Pueden registrar el número de veces que se veuna película, escuche un disco o lee un librodigital. Permite verificar si éstos son alterados,copiados, impresos, guardados y permitenrestringir, no, perdón, ellos dicen administrar elacceso de una obra.

En síntesis, para los titulares de derecho de autorla respuesta a los desafíos presentados por latecnología sólo puede estar en la propiatecnología. Sin embargo, las medidastecnológicas suelen operar violentando nuestraprivacía e irrespetando el tratamiento de datospersonales.

¿Qué ha pasado con el uso de algunas medidasde protección tecnológica? Pérdida delanonimato. Asistimos al desarrollo de una eraen la que progresivamente disminuye elanonimato, no por buenas razones o porque noshayamos convertido en famosos, sino porque nosestá siendo arrebatado por una cultura en la quenos solicitan que nos identifiquemos para todo,en particular para usar los bienes digitales.

Una vez que el anonimato se pierde, los titularesde derecho de autor argumentan que tienenderecho a explotar dichos datos, por tanto esnecesario reafirmar la necesidad de permitirtransacciones anónimas o con seudónimos enInternet. Esto ha sido establecido por el grupode trabajo del artículo 29 desde surecomendación sobre el anonimato en Internet,aprobado el 3 de diciembre de 1997, en el que seconcluye que el almacenamiento de datospersonales en la Internet tiene que respetar losprincipios de protección de datos personales, aligual que en el mundo “Of line”.

Otro tema. El Código de Identificación Único.Existen medidas de protección tecnológicas queasignan un código de identificación único alcontenido o al reproductor de contenidos, y queadjuntan información personal de los usuariospara la identificación y otros fines desconocidos.

63

Por ejemplo, el Media Player de Microsoft tieneembebido un identificador único global, quepermite rastrear a los usuarios. Similar al iBookReader, también de Microsoft, pide al usuarioactivar el software y vincularlo a una cuenta depassword.

Luego Microsoft captura una identificación dehardware único de la computadora de losusuarios.

El código de identificación único puedealmacenar los datos en un fichero, interconectarinformación personal de diversa índole yvincularla, por ejemplo, como informaciónfinanciera, obtenida al momento de pagar contarjeta de crédito o personal, dirección de laoficina, casa, teléfono y mail.

Tercer punto. Recolección innecesaria,información personal, gustos y preferencias deconsumo.

Algunos candados tecnológicos van más allárecopilando información personal sobre loshábitos y preferencias de consumo y no sólosaben quién es usted o quién puede ser usted,sino cuantas veces repite la misma escena deuna película, qué partes de la película,información que almacena nadie sabe porcuánto tiempo.

Windows Media Player, crea un fichero log,registro, del contenido de las visitas de unusuario IP a un servidor central para obtenertítulos de contenidos.

Según el Electronic Privacy Information Centerel vincular la información personal identificablecon el contenido puede traer comoconsecuencia una discriminación en el precio,ésta es la venta de un bien digital a preciosdiferentes a consumidores diferentes.

En el caso, por ejemplo, de Napster To Go, elusuario realiza un pago mensual que le otorgaacceso ilimitado a una biblioteca de archivosmusicales al que puede bajar y transferir músicaa otro equipo.

iTunes de Apple, vende track individuales demúsica y los archiva en un álbum, música quesólo puede ser tocada en un equipo específico.

En ambos casos las medidas de proteccióntecnológicas permiten llevar un control de lasactividades del consumidor, frecuencia, ordendel uso de las canciones, entre otros, informaciónque nada tiene que ver con el fin primario deproteger los derechos de autor, sino que sonrecogidas para fines comerciales de marketingdirecto o cualquier otro interés que pueda tenerla industria.

En suma, el uso de medidas de proteccióntecnológica que no respeta los principios básicosde privacidad configuran una situación, por unlado, de ejercicio abusivo del legítimo derechoque tienen los titulares del derecho de autor aproteger su obra, pero que además es trasgresorde los principios de protección de datospersonales.

En otro contexto muchas de estas medidas deprotección tecnológica serían consideradasspyware.

En conclusión, para suprimir la piratería de obrasprotegidas por el derecho de autor no debeapelarse a la piratería de datos personales.

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.

Si la mesa me lo permite podríamos dejar unos10 minutos para responder preguntas.

PrPrPrPrPreguneguneguneguneguntatatatata: Mi nombre es Tlacaí Jiménez, soy eltitular de la Unidad de Transparencia eInformación del Instituto Electoral del Estadode Jalisco.

Mi pregunta es para los señores José RubíNavarrete y Alfredo Reyes Krafft, si pudierandarme su opinión y versa respecto de algo queen lo personal me pasó hace unos días; comofuncionario público lógicamente tengo unadirección de correo electrónico, pero desde hace

64

varios años vengo manejando una cuentapersonal en Yahoo, esta compañía tiene, los quesomos usuarios de ella, convenios con Northonpara antivirus y un filtro anti Spam.

Hace unos días revisando mi correo veo un títuloque dice invitación a foro o invitación a congreso,no recuerdo ya bien las palabras, me llamómucho la atención y lo abrí, normalmente no lohago cuando no reconozco la dirección de quienme envía el correo, sin embargo, lo abrí einmediatamente se activa el antivirus, me diceque es un archivo de JPG que no implica, no tienevirus, lo abro y era una presentación muy bonitade unas conferencias, ya no recuerdo ni el tema,pero me llamaba mucho la atención que no podíayo identificar quién me lo estaba mandando,tanto el tema, como supuestamente la direccióneran la misma, decía invitación a foro, pero luegode ver y de checar las fechas y de qué se iba atratar, hasta abajo venía una leyenda que decía:“Este correo no es publicidad comercial, por lotanto, no constituye Spam y es único y exclusivoy no se le van a seguir generando o mandandoeste tipo de correos”.

Entonces, me llamó muchísimo la atención pordos situaciones: Primera, ¿de dónde tomaron midirección de correo electrónico?; segunda,¿quién me lo mandó?; y, tercera, si esa leyendaefectivamente podríamos considerar que eso noes Spam.

Del contenido del mensaje, uno de losorganizadores decía que era el ITESO, el InstitutoTecnológico de Estudios Superiores deOccidente. Entonces quiero suponer que por allívenía la pista de dónde me mandaron esainformación. Pero no encontré yo ningunadirección y esa leyenda que me llamó mucho laatención.

PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.

Te voy a contestar en dos planos: En un primerplano como abogado y en ese contexto lo quequiero preguntarte es, seguramente tú, almomento de contratar inicialmente el serviciode Yahoo, seguramente leíste el contrato y al

momento de leer el contrato pusiste tus datos ydefiniste un compromiso, hay un acuerdo devoluntades.

Y dentro del apartado o algunos apartados deeste contrato, específicamente se establece laposibilidad de que el propio Yahoo o terceros quecon él contraten, puedan enviarte publicidad oasuntos en ese contexto. Esa es una parte.

Y dentro de ese contexto habría que verlo, si nosvamos a un estricto purismo.

Dos. Hay un error grave porque no sigue lo relativoo lo que establece la Ley Federal de Protecciónal Consumidor, en relación al envío de datos.Debe de identificar quién es el que estágenerando el envío.

Y esa leyenda que dice al final, pues la verdad esque no tiene mucho sentido, cuando menos enlo que es la normativa mexicana, de inicio.

Ahora, ¿a qué quiero llegar? Es importante elesquema de Spam. Dentro del contexto de Spamqueda claro, es un riesgo, es un vicio muy grande,pero ninguna legislación va acabar con el Spam,¿para qué nos hacemos patos?

Es decir, por más que queramos hacer unalegislación restrictiva y prohibir el uso en un paísen particular el Spam, pues lo que va pasar esque probablemente las empresas que generanmercadotecnia, que pagan impuestos y que lohacen de acuerdo con la ley, no lo van a poderseguir haciendo, porque va a haber un control yva a haber una restricción muy objetiva, por partede la propia legislación.

¿Pero tú crees que dejarías de recibir por ello esosmensajes? No. Los vas a recibir y van a partir, puesyo no sé si China o de alguna otra entidad.

Entonces, ¿qué es lo que tenemos que hacer?

Establecer esfuerzos muy grandes, en un planointernacional. Estoy completamente de acuerdoque es necesario contar con una legislación adhoc, pero tenemos que hacerla congruente con

65

la propia industria: Uno, Yahoo o el prestador deservicios de Internet no necesariamente es elmalo contigo. Y en relación con ese puntodebemos de adecuar perfectamente bien quées a lo que nos referimos por Spam, tomar unadefinición muy clara y muy precisa al respecto.

Porque la distinción entre Spam y lo que seríamercadotecnia directa es muy pequeña.

PonentePonentePonentePonentePonente: Jesús Rubí Navarrete.

Me alegro de la pregunta y además de quetengamos debate, porque algún matizdiscrepante vamos a tener en la propia mesa.

Efectivamente, en el entorno europeo este tipode comunicación sólo es posible con unconsentimiento previo y expreso.

Y además hay un problema adicional, que es queaunque uno celebre un contrato legítimamentecon una empresa que le provee de un servicio,en este contrato lo que no es posible es incluircláusulas vinculantes, como las relativas a lacesión de datos a terceros o la utilización parafines indeterminados, como es la publicidad o lapromoción comercial, que se puede referir acualquier tipo de actividad, de forma que pasena formar parte del contenido esencial de esecontrato.

Si ese contrato es la prestación de undeterminado servicio a la sociedad de lainformación, ¿qué tiene que ver con el objeto deese contrato el compromiso ineludible desiempre y en todo caso tener que asumir laposibilidad de que se reciba publicidad propia ode terceros?

Esto es contrario al principio de calidad de datosy es contrario al principio de finalidad.

Y, en el ámbito en el que trabajamos cabe laposibilidad de revocar ese tipo de cláusulas y, ensu caso, esto ya no es una cuestión de protecciónde datos, de llevar a los tribunales hasta quépunto son congruentes con la finalidad delcontrato.

Y el hecho de que se produzca, creo que no sepuede comparar a la hora de hacer valoracionesen esta materia, el hecho de que hayatratamientos ilícitos con las empresas quetratan de realizar tratamientos lícitos.

No se puede justificar que las empresas quequieren realizar tratamientos lícitos tengan unmargen de maniobra superior, porque sino, entodo caso, recibiremos tratamientos ilícitos dela información. Y como da lo mismo porque losvamos a retribuir igual, pues ampliemos el campode trabajo o reduzcamos el sistema de garantíascuando se pretende hacer un tratamiento ilícito.

Es verdad que hay que buscar una situaciónequilibrada, pero ese equilibrio no puede tenercomo punto de referencia la conducta de los queactúan ilegalmente.

Y en lo que se refiere a la leyenda, efectivamentees necesario delimitar qué es Spam. En lalegislación de la Unión Europea el Spam searticula como una comunicación de caráctercomercial directo o indirecto.

Probablemente esta promoción que ustedrecibió, desde el punto de vista de esa normativatendría que ser considerado Spam, auque el quela emite voluntaria o directamente por sí mismoasegure que no lo es.

PonentePonentePonentePonentePonente: Katitza Rodríguez Pereda.

Yo quisiera dar una sugerencia como consumidoro ciudadano mexicano.

¿Actualmente se están discutiendo proyectos deley en tu país en México sobre este tema?

Sería bueno que tomen conciencia para que seincluya el conocimiento previo informado quetal vez algunos sectores como la industria noestán interesados en preservar en la ley, que todoel mundo nos involucremos y que también queseamos conscientes que en casi todas lastransacciones que realizamos día a díadepositamos y soltamos nuestros datospersonales que pueden ser utilizados e

66

incorporados en una base de datos einterconectados con otras bases de datos.

Muchas veces el tratamiento de datospersonales es invisible al ciudadano, elciudadano no sabe que ha sido marginado. Unova a una entrevista de trabajo y te dicen no, note contrato. Y el empleador tiene toda una basede datos y por ahí ha visto tu récord médico y araíz de eso ha tomado una decisión de nocontratarte.

Tú nunca te vas a enterar porque eso a veces esinvisible al ciudadano. Entonces hay que serconscientes y responsables en todo momentoque uno entrega o llena una forma, una ficha,que rellena sus datos con su nombre, teléfono ypensar si efectivamente esos datos sonimportantes para el servicio que estácontratando o le están pidiendo informaciónadicional. Eso es todo.

PrPrPrPrPreguneguneguneguneguntatatatata: Alejandro Coto. TEC de Monterrey.

Yo tengo un par de reflexiones que quiero hacerjunto con la mesa y, con todo respeto que semerecen, pero yo siento que el tema de Interneten estos últimos 20 años se ha venidoautorregulando y el Spam, se va a autorregulartarde o temprano. Y yo quisiera observar que enlo personal, Alejandro Cota, no agrede un Spammis datos personales, al menos de que haya dadomi dirección de correo, pero soy muy libre decambiarlo cuantas veces quiera y de cambiarmede proveedor.

Sin embargo sí me extraña y me llama laatención que no estemos cuidando el hecho dela identidad. Uno de los crímenes más fuertesque hay al día de hoy es el robo de identidad yeso sí está agrediendo mis datos personales, y elrobo de la identidad no se debe a quién le di o nole di mis datos, si no se debe a cuál es el nivel deseguridad que les estamos solicitando nosotroscomo sociedad o nosotros como esta red que seestá formando, a las dependenciasgubernamentales o todas estas organizacionesa las cuales nosotros les damos la información.

Hay organizaciones internacionales en el áreade Estados Unidos o ITSEC en el área de Europaen donde sí marca niveles de seguridad de lossistemas de información.

Entonces a mí me gustaría saber qué es lo queopina la mesa al respeto, porque yo sí esperaríaque la mesa estuviera preocupada por ver cuálesson las medidas de seguridad que estaríamossolicitándole a las organizaciones que poseanestas bases de datos, porque creo que esinevitable que las tenga.

Hoy, después del terrorismo que estamos viendoen el mundo, la identidad es fundamental.

Cuando yo llego a un aeropuerto y casi medesvisten y me piden mi pasaporte y revisan quesea yo quien digo ser, me da seguridad de subirmeal avión al que me voy a subir, de lo contrario medaría miedo hacerlo. Sin embargo, qué tanto estáagrediendo realmente mis datos personales encontra de la seguridad que todos queremos vivir.

Entonces, vuelvo a plantearlo. ¿Cómo vamos ahacer para que estas organizaciones que poseenmis datos personales realmente tengan nivelesde seguridad de los más altos?

Hoy en día los sistemas de identidad de losgobiernos no se preocupan por estos niveles deseguridad.

En México estamos viviendo un proceso, que nosé si se va a llevar a cabo o no. Hacienda esprecursora en esto, que era la cédula de identidadpara el país.

Sin embargo el nivel de seguridad que estabanplanteando en sus estándares era nulo. Nadamás decían que hubiera un nivel de seguridad,un estándar internacional, cuando esconsiderado por Garner Group y por todas lasgrandes empresas que se dedican a investigarestos rollos, que el nivel de seguridad debería deser un ITSEC E6, que es el nivel más alto al día dehoy en seguridad. Y esto no está casado conninguna tecnología.

67

Entonces, dejo mi preocupación en la mesa.

ModeradorModeradorModeradorModeradorModerador: Loretta Ortiz. Directora delDepartamento Jurídico de la UniversidadIberoamericana –UIA–México.

Turno la pregunta al que la quiera contestar, perosí quisiera hacer un brevísimo comentario.

La cuestión del terrorismo, que se acaba demencionar, ese es el gran conflicto que me da laimpresión de que no nos hemos concientizado yque sí va a hacer falta por parte de la sociedadcivil, académicos, universidades, y nosotros losabogados también, que hagamos énfasis en ellímite que debe de haber precisamente entre loque es la cooperación judicial para efectos decombatir el terrorismo, el narcotráfico, lavado dedinero, tráfico de personas, tráfico de emigrantes,etcétera, y el respeto a lo que son los derechoshumanos de los individuos, porque so pretextode proteger precisamente ciertos intereses, laverdad es que se alude en la exposición demotivos de estas convenciones internacionales;por ejemplo la de Delincuencia Organizada, quelos Estados han perdido control y autoridad, yque entonces la única manera es convencer alos que llaman arrepentidos, que son los quefinalmente forman parte del grupo, que sonnarcotraficantes, o en fin, cambiarles suidentidad, darles una vida distinta, ahí está todala temática.

Y ya con eso gozan de impunidad y finalmentepueden combatir con los datos que les dan alresto de los integrantes del grupo, ya se habladel grupo delictivo. En estas situaciones no hayrespeto, jamás se alude en esta ConvenciónInternacional del respeto a la privacidad.

El secreto bancario, expresamente se dice: Noopera para esos efectos. Ya con eso uno se puedeimaginar que no hay mucha protección ante lacual argumentar frente a precisamente esosesfuerzos internacionales en materia penal,sobre todo terrorismo y narcotráfico, que hacende lado totalmente los derechos de la personahumana.

Yo me acuerdo que en un foro de discusión sepresentó la iniciativa del Presidente, en materiapenal, precisamente se distinguían dos tipos deindividuos: los que cometen delitos graves y losque no. Los graves no gozan de ningún derecho,se permite la denuncia anónima. Obviamenteno se le informa cuál es la causa de la denuncia,vemos que goza del derecho de la presunción deinocencia, en fin, no hay derecho a la privacidad,exactamente igual que en la época de laInquisición, más o menos ahí podemos ubicar alos que suponen o presuponen que sondelincuentes.

Sí hay que tener claro que en estos momentosde presentarse una iniciativa por el buenmanejo de los datos personales hay que tomaren cuenta que además del buen manejo y losotros objetivos que se tengan, que es mejorar elcomercio internacional, el combate anarcotráfico, la transparencia, etc., finalmentelas normas jurídicas están destinadas paragobernar a individuos, a personas y no ainstituciones, bueno, obviamente instituciones,pero el principal gobernado, objeto de la normason individuos y si no se van a respetar susderechos humanos las cosas no andan bien.

PonentePonentePonentePonentePonente: Alfredo Reyes Krafft.

Yo quisiera nada más comentar una cosa muypequeña y es en relación al tema que túplanteaste, es decir, estás hablando de robo deidentidad, en dónde va a constar esta identidad,es decir, hoy por hoy una identidad puede constaren una credencial que me puede emitir unaautoridad y si yo robo esa credencial o la falsifico,pues de alguna manera estoy usurpando tuidentidad.

También esa identidad puede constar en undato, en un dato pero no necesariamente todoslos datos constituyen una identidad y yo creoque aquí habría que hacer un cierto distingo,obviamente es muy importante tipificar comodelito, pero no todos los datos que puedo tenerreferidos a ti van a constituir tu identidad.

68

Y tercero, otro medio para poder identificarte opara poder definir tu identidad es a través de unesquema biométrico, es decir, conocer que túeres tú a raíz de la aplicación de una huelladigital o el iris de tu ojo.

El problema que existe en la práctica en relacióncon esos elementos es que no existe un estándarhoy por hoy en la materia.

Entonces, mi huella digital a final de cuentas seva a traducir en un dato, en un uno o cero, y enese sentido, pues, corre el riesgo de que pudieraser apropiado por un tercero e interactuar en minombre.

Entonces, obviamente se debe de interactuar,se deben de establecer penas muy fuertes enese sentido y se deben establecer criterios, claro,de custodia de todos aquellos datos que puedanservir para identificarme, que acrediten dealguna manera directa o indirecta la identidad.

Completamente de acuerdo contigo.

PonentePonentePonentePonentePonente: Jesús Rubí Navarrete.

Yo le diría en lo que se refiere a la parte deseguridad. Efectivamente hay que buscarequilibrios en todos los casos, por ejemplo, en elcaso de las investigaciones criminales, nosotroshemos tenido atentados tremendos en Madridque han implicado su resolución, el tratamientode determinados tipos de datos decomunicaciones electrónicas.

Pero ese equilibrio se puede contar, se puedeencontrar, hemos estado analizado qué tipos dedatos son los necesarios para poder realizar esetipo de investigaciones, cómo no es necesarioacceder al contenido de las comunicacionespara hacer ese tipo de investigaciones, hemosestado analizando para qué finalidades sepueden permitir esos accesos, porque no es lomismo permitir acceso a determinadainformación para perseguir el terrorismo, quepoder utilizar esa información, pongamos porcaso absurdo, para perseguir sanciones de tráfico.

Entonces, aunque todos sean fines de interéspúblico, hay que acotar las finalidades y hay queestablecer plazos máximos, en su caso, deltratamiento de esta información.

¿Y a qué lleva todo esto? Pues a que desde elpunto de vista de la seguridad es imprescindibleque las medidas de seguridad sean de un nivelelevado, por dos motivos: Primero, porque estauna información muy sensible, inclusive desdeel punto de vista de quien la utiliza para hacerinvestigaciones criminales y si se producenalteraciones en esa información, las propiasinvestigaciones criminales pueden fracasar. Portanto, hay que mantener íntegra la informacióny eso exige un nivel de seguridad elevado.

Y, en segundo lugar, porque hay que controlaradecuadamente quiénes son los usuarioshabilitados para acceder a esa información ypoder evaluar e impedir que accedan, porejemplo, nuevas ideas sobre el terrorismo,usuarios no autorizados, y ellos nos vuelva allevar a la necesidad de que las medidas deseguridad sean de un nivel elevado.

No se pueden poner en marcha proyectos queimplican un riesgo desde muchos puntos devista, no sólo desde la protección de datospersonales para el tratamiento de lainformación, si no se está dispuesto a asumir quetienen que tener unas medidas de seguridadtécnica y organizativa de un nivel elevado.