[LACNIC/Politicas] Sobre Politicas de Privacidad

[Erick Iriarte Ahon]

Hola a todos

Vengo llegando un poco tarde a este discurso, 
pero tras leer todo lo que se ha escrito, me gustaria compartir algunos temas.

Las preguntas basicas de Christian O'Flaherty fueron:

¿Cuál es la información administrativa mínima que 
necesita LACNIC sobre las reasignaciones para 
poder hacer su trabajo? (luego veremos si la mostrará en el whois o no).

¿Cuál es la información pública que necesitamos 
los operadores sobre un prefijo involucrado en un incidente?

¿Qué otra información es útil hacer pública sobre 
las asignaciones para la comunidad?

Primero que nada, seamos explicitos, en America 
Latina, a excepcion de Argentina de una manera 
clara, no existe una legislacion sobre Proteccion de Datos como tal.

Existen legislaciones separadas sobre temas de 
datos personales (mas no una legislaicon integrada), en diversos paises.

De este modo, lo que se utiliza con frecuencia 
para ver estos temas, son los pactos 
internacionales en relacion a privacidad y 
proteccion de la intimidad, y por otro lado los 
principios constitucionales de estos temas (que 
en casi todos los paises de America Latina se encuentran presentes).

De otra parte es bastante claro que la proteccion 
de datos personales se da sobre los datos de las 
personas (si bien no hay distincion si son 
naturales (seres humanos) o juridicas 
(organizaciones), la tendencia es a considerar 
solo sobre las "personas naturales", aunque hay 
caminos hacia pensar en la "imagen corporativa", 
"los datos corporativos", etc.). De ser asi, 
limitemos el dialogo a la informacion que pudiera 
aparecer en un Whois en relacion a personas 
naturales. Un individuo adquiriendo un numero IP. 
Si no es un individuo quien adquiere el numero 
IP, creo que no debemos seguir con el dialogo, 
puesto que cualquier dato solicitado y publicado 
como parte del Whois de una Persona Juridica, no 
esta en la proteccion de datos personales per se.

Si por otra parte lo que se registra es un numero 
IP (un bloque) a un individuo (persona juridica), 
los datos que se obtienen entran en la esfera de 
los datos personales, por lo cual, en estos casos 
debera tenerse un cuidado especial (indicacion de 
datos personales, excepcion de datos personales, 
señalizacion de datos relevantes).

Ahora bien, una pregunta a hacerse es... los 
datos de contacto, el email y nombre de alguien 
son datos personales?, en realidad lo son, pero 
en tanto estan asociados a un registro de un 
bloque IP por parte de una persona juridica, serian publicables.

Creo que por aqui vamos avanzando sobre lo que 
seria publicable y lo que no. Repito para 
recalcar los datos de personas juridicas, no 
entran bajo la estricta proteccion de privacidad 
o de proteccion de datos, por lo cual la 
informacion es publicable / si es una persona 
natural si estaria afectada por esta regulacion. 
Trabajo a realizar, separar cuales IP's van a una 
persona natural y cual a una juridica.

----

Sobre la responsabilidad de verificacion de 
datos, pues dado que es una estructura 
escalonada, siempre hay una responsabilidad 
directa sobre el inmediato superior, y tiene a ser indirecta hacia arriba.

No comparto lo que expresa Jordi sobre: "Quiero 
decir que es mas logico pensar que el LIR actua 
de buena fe, en principio, y que periodicamente y 
de forma aleatoria (siempre y cuando al final de 
un determinado ciclo se hayan comprobado recursos 
de todos los LIRs, para que sea equitativo), se 
hagan verificaciones (que posiblemente puedan 
incluso ser automatizadas hasta cierto punto).". 
El LIR tiene una obligacion de verificacion de 
los datos de a quien esta proporcionando el bien 
"bloque IP/numero IP", por lo cual su 
responsabilidad no esta dada por la buena fe, 
sino por la real verificacion de datos.

Asimismo este es el camino para la 
responsabilidad en el CAFTA / TLC-Chile / 
TLC-Andino / TLC-Panama (que deben ser revisados 
para la responsabilidad de ISP sobre todo en contenidos).

----

Responsabilidade de Publicacion de Datos

Sobre la responsabilidad de publicacion de datos, 
estamos en primer lugar sujetos a la legislacion 
de uruguay, y mientras estos datos no sean 
personales (personas naturales), vamos en el 
mismo camino de lo descrito lineas arriba.

----------

Sobre privacidad en relacion a actos delictivos

Primero que nada separemos que la privacidad de 
individuos esta en canal aparte, de la 
informacion sobre personas juridicas. Siendo asi, 
si un atacante es un spammer se requiere tener 
documentacion probatoria (ip de donde actua, acto 
delictivo, hora, herramienta utilizada), para 
poder generar una acusacion por el hecho (no se 
puede acusar a alguien a tontas y locas). Sin 
embargo si no se puede determinar al "individuo" 
se va al nivel superior a la organizacion que puede determinarlo.

Como dice Jordi, el Juez es la ultima instancia 
para "violar privacidad", pero esto se refiere a 
comunicaciones, contenidos, no a datos personales 
en si mismo. Siendo asi, los datos que publique 
LACNIC sobre quien tiene un IP no tienen que 
pasar por un juez, ni nada similar. Es mas si la 
Policia Nacional del Peru esta haciendo un 
rastreo de un acto delictivo necesitara el numero 
de IP, para poder obtener mas informacion y 
seguir con las pesquizas, el Whois es un elemento de ayuda.

Aqui comparto lo que dice Ricardo Presta:
"Porqué hablamos de protección de datos 
personales cuando se tratan de  organizaciones ?
Quien va a ir legalmente contra un técnico de una 
organización? En todo caso se ira , si el caso lo 
requiere  contra los apoderados o  responsables 
de la organización y, coincido, será la justicia 
cuando alguien lo denuncie como corresponde quien deba ir."

Esto es asi, el delito es imputable a un ser 
humano, no una entelequia juridica como una 
organizacion.... aunque para que no se diga que 
los abogados tenemos todo claro, puede haber 
responsabilidad de una organizacion (demandas a 
tabaqueras por cancer al pulmon, a macdonal's por 
engordar, a las petroleras por contaminacion 
ambiental, pero estas demandas van normalmente 
por la via civil, no por la penal).

------------------

Sobre Datos sensibles y no sensibles

Julio Cesar Pinto dice: " Adicional a eso la 
información q almacena LACNIC es muy básica, no 
soy abogado pero con seguridad publicar un email, 
y un numero de teléfono en nada afecta nuestra 
integridad personal, si fuera así hace décadas 
que hubieran retirado la guía telefónica, y demás directorios."

Hay datos que por su naturaleza no son sensibles, 
es decir que no afectan a la persona en grado 
ultimo, y otros que si (como sexo, partido 
politico, filiacion religiosa, enfermedades, 
etc.), Sin embargo si tu unes muchos datos no 
sensibles, puedes generar un perfil, y entonces 
se vuelve un "conjunto de datos no sensibles, 
pero que son sensibles como conjunto" (esto es el 
data-mining y similares). Pero repito esto es de personas naturales.

Jordi nos ha ayudado mucho con esta frase: "Y 
creo que es un derecho individual logico y 
razonable. De hecho, solo apareces en las guias 
telefonicas SI especificamente indicas que asi lo 
deseas ! Y se han cerrado bases de datos en 
Internet que eran ilicitas y recopilaban toda esa 
informacion. Es decir, el equivalente a whois en 
telefonia ... Igual con las direcciones postales, 
etc., etc." En efecto, el tema son datos individuales, no de organizaciones.

En la misma linea Ronald Esquivel dice: "Como les 
he comentado, en nuestro País (Costa Rica) hay 
leyes que protegen información clave de los 
ciudadanos, por lo que no se puede pasar a 
terceros, en este caso LACNIC.". Siempre y cuando 
el registro o accion sea sobre un numero IP 
ligado a un individuo (persona natural), las 
leyes nacionales y la de uruguay seran nuestra 
guia. Pero si son personas juridicas no se ve 
afectado por estas leyes o normativas de datos personales.

----------------------

Sobre accion de ARIN y subdelegaciones

Dice German:

"Section 4.2.3.7 of the ARIN Number Resource 
Policy Manual indicates that ISPs must provide 
reassignment information via SWIP or RWHOIS 
server for /29 or larger blocks, that the 
information be submitted within 7 days, and that 
the reassignments show each client's organizational information.

Section 4.2.3.7.6 is Residential Customer 
Privacy. It states here that reassignment 
information for residential customers need not 
contain the customer's name nor street address. 
(This section came from Policy Proposal 2003-3 which was adopted in 2004.)"

En tanto sean individuos me parece genial lo que 
propone ARIN, si son organizaciones pudieran 
seguir mostrandose los datos, supongo que lo han 
hecho por una cuestion de practicidad en su base 
de datos. Pero si hubeira una delegacion mayor, 
tambien deberian reservar los datos personales, 
puesto que no importa el tamaño de la delegacion es a un individuo.

En esta linea Oscar dice: "Lo ideal sería que 
siempre hubiera información  (insisto, 
organizacional) para todas las  subasignaciones, 
disponible para consulta pública, con la información básica que permita un
contacto inicial con el responsable de dicha red."

Comparto lo que dice, puesto que la informacion 
debe estar permanente de personas juridicas, pero 
con las personas naturales no comparto lo que el 
mismo oscar dice: "El problema es que si sólo se les pide a los
ISP's que lleven un registro de las 
subasignaciones, ese registro viene siendo 
información de sus clientes a la que no hay 
manera de tener acceso si no es a través de 
resolución judicial". En realidad el desarrollo 
de bases de datos no es un problema, los datos 
que se colocan en una base sobre una persona 
natural, tienen que estar en su recoleccion, 
almacenamiento y acceso de acuerdo a las leyes 
nacionales, que en el caso especifico de LAC solo 
las hay en Argentina, y como dije a nivel 
constitucional en casi todas, por lo cual, la 
relacion entre LACNIC depositario de la base de 
datos general, con los LIRs (que delegan a 
terceros, sean individuos o personas juridicas) 
sobre los datos que los segundos tienen de los 
terceros (personas naturales), debe estar acorde 
con las legislaciones vigentes. (con lo cual 
posiblemente ni al juez se tenga que llegar).

---------------------

Sobre si es dialogo de abogados o de ingenieros.

Creo que esun dialogo mixto, y debe entenderse en 
que desde la praxis tecnica, se debe adecuar a la 
legislacion vigente, y eventualmente si la misma 
esta equivocada buscar los caminos de cambio. 
Pero se tiene que hacer un dialogo compartido, no aislado.

Saludos

Erick Iriarte Ahon
Alfa-Redi
http://www.alfa-redi.org

Pd. Solo como curiosidad, al final de los 
mensajes de Christian O'Flaherty dice:

"Esta comunicación es confidencial y puede 
contener información cuya divulgación esté 
restringida por la ley o en virtud de 
obligaciones de confidencialidad asumidas por 
acuerdos escritos. Si usted no es su 
destinatario, por favor advierta que cualquier 
divulgación, distribución o copia de esta 
comunicación le está estrictamente prohibida. Si 
usted recibió este mail por error, agradeceremos 
tenga a bien informar esa circunstancia al 
remitente mediante comunicación a la dirección de 
e-mail o al número telefónico : (5411) 5170-0000, 
y le solicitamos asimismo que por favor proceda a 
borrarlo de su computadora. Por favor no copie ni 
use la información contenida en este mail para 
ningún propósito y no divulgue su contenido a 
ninguna otra persona." Esto va en la linea de la 
privacidad, no tanto en la de proteccion de datos 
personales, pero si hubiera algun dato, tambien estaria protegido.