Re: [LACNIC/Politicas] Publicación de los datos de nuestros clientes IP en la base de datos (WHOIS) de LA CNIC

Erick Iriarte Ahon faia at amauta.rcp.net.pe
Tue Jul 5 17:02:24 BRT 2005 

Hola.

tratare en este email de responder los tres emails que se han vertido sobre 
el tema:

Publicación de los datos de  nuestros clientes IP en la base de datos 
(WHOIS) de LACNIC

Ronal Esquivel dijo:

>Tal como se lo comente en el foro de discusión
>abierta el día jueves 30 de junio.   En nuestro país
>las telecomunicaciones son un monopolio del estado,
>por lo que tenemos que regirnos a las leyes
>establecidas en nuestra constitución, en este caso
>el artículo 24 en donde se garantiza el derecho al
>la intimidad, a la libertad y al secreto de las
>comunicaciones.  En dicho articulo se dice que son
>inviolables los documentos privados y las
>comunicaciones escritas, orales o de cualquier tipo
>de los habitantes de la República..

Separemos dos cosas. La primera es que el hecho que las telecomunicaciones 
sean un Monopolio en Costa Rica, no significa (y repito) no significa que 
las leyes que son obligatorias son las de Costa Rica, el hecho es inverso, 
es decir el hecho que sean un proceso de telecomunicaciones en Costa Rica, 
es lo que genera que la regulacion aplicable en grado ultimo sea la 
normativa constitucional de Costa Rica.

En segundo lugar, la declaración universal de los derechos humanos, y el 
pacto de san jose, son las normas macro nacionales que dan los marcos sobre 
derechos humanos incluyendo los derechos a la libertad, a la 
intimidad/privacidad y al secreto de las comunicaciones.

Dicho articulo se refiere de una manera explicita al secreto de la 
informacion que va inmersa en un medio, es decir no se habla del "medio" 
sino del "contenido", en buen cristiano, se esta refiriendo al secreto de 
la información.

>De acuerdo a lo anterior, la información de los
>clientes  en el WHOIS, se está violentando en
>artículo 24 de la Constitución Política.  Dado que
>los datos asociados (nombre del cliente, teléfono.
>dirección postal, correo, entre otros) se consideran
>documentos privados.

De otro lado, en los ultimos años se ha ido desarrollando, sobre todo en 
los ultimos 30, un concepto relacionado a la protección de los datos 
personales, como parte de la privacidad del individuo.

Datos como el sexo, nacionalidad, religion, afiliacion politico, afecciones 
sanitarias, numero de hijos, numero de cedula de identidad, numero de 
tarjeta de credito, cantidad de visitas al medico, sueldo, etc.

El Whois, es un compilado de información (datos) relacionados a un 
detemrinado numero IP, que a su vez es poseido por un determinado individuo 
(u organizacion). El articulo 24 relacionado a secreto de las 
comunicaciones, no esta vulnerado en esta concepcion por publicar los datos 
relacionados al numero IP.

Si podemos considerar que puede haber una vulneracion a la privacidad, bajo 
el hecho de que los datos relacionados al numero ip son datos personales 
(pero si el numero ip esta relacionado a una empresa, una de las preguntas 
seria: la direccion de la empresa es un dato personal?).

Y entonces viene otra pregunta, hasta que punto la publicacion del Whois de 
LACNIC esta bajo la legislacion de Costa Rica.? LACNIC se encuentra en 
Uruguay, por ende la legislación aplicable en primera instancia es la de 
Uruguay. En segunda instancia si la empresa donde estas, tiene su propio 
Whois es evidente que la afectacion de dicha publicacion estara bajo la 
legislacion de Costa Rica.

>Se solicita a la comunidad LACNIC analizar esta
>situación y dar su pronunciamiento al respecto, para
>logar cambiar o modificar la privacidad de los datos
>que están dentro del WHOIS.

Este es un problema bastante complicado, dado que la naturaleza del Whois 
fue eminentemente tecnica y por ende la necesidad de publicitar los datos.

Ahora bien, los datos publicados son datos personales, de lo que se 
consideran datos no sensibles, pero la mezcla de los mismos puede 
configurar una informacion sensible.

Como dije en el foro publico, con referencia a otro tema, esto no esta 
aislado. Si se ha de revisar el tema de whois, se debe revisar tambien:

el "Acuerdo para solicitud de copia de la base whois de LACNIC en formato 
"bulk"" y la "Políticas de administración de recursos de internet en el 
área de Latinoamérica y el Caribe"  (German, pudieras darme un poco de luz, 
no he encontrado un articulo explicito (quizas la rapida lectura), que se 
indique el tema del Whois, quizas tu me puedas ayudar (mas alla del primer 
parrafo del punto 3.2.14. Seguridad y Confidencialidad)

De otro lado Juan Pablo Redard escribio:
>¿Que hacian en la epoca que ARIN era el RIR que estaba a cargo de
>asignar espacio IP a Costa Rica? Entiendo que en esa época tambien se
>exigia hacer un SWIP de las subasignaciones y con la publicación de la
>info via WHOIS.

Muy cierto lo indicado por el señor Juan Pablo Redard, y le recuerdo 
tambien que en dicha epoca, la intervencion gubernamental en temas de IP 
era relativamente poca (sino escasa o nula).

El velar por los derechos de los individuos tiene que estar claramente 
contemplado, Internet como tal es parte de un modelo social donde vivimos, 
regulado por normas y por politicas (aunque de las primeras hay muchas y 
poco conectado con las segundas).

Bajo esta premisa sigo sin entender la pregunta planteada, el hecho que la 
regulacion o el gobierno no haya tomado cartas en el asunto no significa 
que no lo hicieran, y claro ejemplo de eso es la resolucion 102 de la ITU 
de Minneapolis modificada en Marrakesh, sobre dicho tema.

Juan Manuel Garcia escribio:
>Leyendo ese articulo de la Constitucion de Costa Rica veo que se refiere
>a documentos privados. La informacion del Whois de un RIR es por
>definicion pública con el fin que los administradores de redes puedan
>contactarse entre si ante problemas de interconexion, abusos de
>recursos, etc. La informacion de contacto deja de ser privada en el
>momento que, sabiendo el administrador el funcionamiento del sistema de
>Whois en cualquier RIR, la ingresa libremente para consulta del mundo.

La informacion del Whois no es por definicion ni publica ni privada. Es 
informacion. El hecho que sea de acceso publico, no la configura como 
informacion publica los datos alli establecidos (lease email, direccion, 
telefono, nombre).

Un dato personal es un dato personal se encuentre publicado en cualquier 
sitio, o se mantenga en reserva. Lo publico no esta relacionado a si el 
dato es de libre acceso o no, si no a su configuracion como elemento 
relacionado a determinado individuo, de esta manera tenemos informacion 
sensible e informacion no sensible (siguiendo el lineamiento europeo en la 
tematica).

Finalmente escribe Abraham Ortiz
>En Perú la Constitución y la Ley de Telecomunicaciones protegen el secreto
>de las telecomunicaciones, sin embargo, la información en la base de datos
>de ARIN (para mis bloques 64.74/16) o LACNIC (para los 200.xx/16) se
>considera como información pública, según nuestros abogados.

En efecto los principios de proteccion de las telecomunicaciones protegen 
el secreto de las mismas, pero dicho principio no esta ligado al tema del 
Whois como tal.

Al Whois se le relaciona los temas de proteccion de datos personales y de 
privacidad (distintos, repito, distintos de los de secreto de las 
telecomunicaciones).

La informacion de ARIN y de LACNIC se encuentra inmersos en determinadas 
legislaciones (usa y uruguay), que en el primer caso tienen una normativa 
bastante amplia y abierta sobre publicacion de datos y en el caso uruguayo 
aun esta en desarrollo, pero siguen la tendencia europea (asi que cuando 
les toque a ellos el tema de resguardo de informacion, tendremos que 
analizar completamente dicha informacion).

>  Esto ha sido
>corroborado luego por varios fallos en el Poder Judicial, lo que ya sienta
>jurisprudencia.

La jurisprudencia peruana, solo para aclarar, esta relacionado a secreto de 
las telecomunicaciones, (y de las comunicaciones), al igual que en la 
mayoria de los paises, y sobre todo por la Corte de San Jose (veladora del 
Pacto de Derechos Humanos de San Jose, para los paises de America Latina).

La justicia peruana, no ha, repito no ha, sentenciado ningun caso sobre 
privacidad o no de los datos de un whois (de hecho en America Latina, me 
atrevo a decir que no hay algo similar siquiera).

Sin embargo si hay jurisprudencia sobre proteccion de datos personales y de 
hecho una variedad de estudios sobre si un numero ip (mas alla de los datos 
del whois) es un dato personal, para lo cual recomiendo revisar:

Comentarios al Informe
A raíz del reciente informe de la AGPD se han estan desarrollando diversos 
comentarios, son bastante interesantes los de la Lista MAIL-ES, por lo cual 
los publicamos para su conocimiento
Nota: Comentarios al Email: La IP es considerada dato de caracter personal 
por la APD
Lista: MAIL-ES
Publicado 12 Jul 2004 - 11:37 AM
http://www.latinoamericann.org/modules.php?op=modload&name=News&file=article&sid=664&mode=thread&order=0&thold=0

Carácter de dato personal de la dirección IP. Informe 327/03
La consulta plantea diversas cuestiones referentes a la consideración como 
dato de carácter personal de una dirección IP de acuerdo a lo establecido 
en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de 
Carácter Personal, y sus implicaciones de cara a la adopción de las medidas 
de seguridad contempladas en el Reglamento de Medidas de Seguridad, 
aprobado por Real Decreto 994/1999, de 11 de junio.
Nota: Agencia de Protección de Datos de España
Publicado 12 Jul 2004 - 11:04 AM
http://www.latinoamericann.org/modules.php?op=modload&name=News&file=article&sid=663&mode=thread&order=0&thold=0

La IP es considerada dato de caracter personal por la APD
Según un informe publicado en la página web de la Agencia de Protección de 
Datos, http://www.agpd.es, la dirección IP se considera dato de caracter 
personal.
Nota: delitosinformaticos.com
[08-07-04]
Publicado 12 Jul 2004 - 10:59 AM
http://www.latinoamericann.org/modules.php?op=modload&name=News&file=article&sid=662&mode=thread&order=0&thold=0

Sobre el informe de la Agencia Española de Proteccion de Datos en relacion 
a los numeros ip.

En resumen:

a. el secreto de las comunicaciones y telecomunicaciones, presente en 
nuestros paises por la declaracion universal de los derechos humanos, por 
el pacto de san jose de costa rica y por nuestras constituciones, esta 
referido al contenido no al continente de la informacion, por ende no es 
aplicable al tema del whois o a los datos inmersos en el whois.

b. La proteccion de datos personales se relaciona con el tema del whois y 
de los datos inmersos en el whois, ligado a temas de proteccion de la 
privacidad (no por el continente, sino por los datos de dicho continente).

c. La legislacion aplicable para la tabla whois de lacnic, es la uruguaya, 
y para la de ARIN es la de usa, mientras que para tablas propias de las 
organizaciones que esten ligados a un pais, es la de los paises donde se 
encuentran inmersas dichas organizaciones.

d. No he podido encontrar una referencia explicita a la legislacion y 
jurisdicion aplicable en el contrato de lacnic en el tema de proteccion de 
datos y por ende del whois, lo cual si es necesario de revisar y tomar en 
consideracion.

e. El hecho que algo sea de acceso publico no implica que la informacion a 
la cual se accede sea publica, y de otro lado un dato puede ser publico 
pero la imbricacion de varios datos publicos puede configurar una 
informacion de caracter privado.

Saludos

Erick Iriarte Ahon
Alfa-Redi
http://www.alfa-redi.org

More information about the Politicas mailing list