mercado de la CN. • Confidencialidad y seguridad de la información. • Contratos unilaterales (de adhesión) vs. contratos negociados. 2 • Riesgos en torno a la privacidad de la información. • Uso de la información en la nube para litigar o investigaciones gubernamentales. • Protección de datos personales. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 2
importantes en la privacidad de información personal así como en la confidencialidad de información de negocios y gobierno. • Los riesgos de la privacidad y confidencialidad de los usuarios varían significativamente con los términos de servicio y política de privacidad establecida por el proveedor de CN. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 3
información y ciertas categorías de usuarios de CN, los derechos y obligaciones de privacidad y confidencialidad pueden cambiar cuando un usuario revela información a un proveedor de CN. – Modelo sectorial de protección de D.P. en EUA. • Archivos médicos, financieros, profesionales (doctores, abogados) – Compartir información con un proveedor CN puede socavar privilegios probatorios legalmente reconocidos. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 4
remoto pueden traer consecuencias adversas para el estatus de protección legal de información personal o de negocios. – Artículo 82 de la Ley de Propiedad Industrial (México).- Se considera secreto industrial a toda información de aplicación industrial o comercial que guarde una persona física o moral con carácter confidencial, que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros en la realización de actividades económicas y respecto de la cual haya adoptado los medios o sistemas suficientes para preservar su confidencialidad y el acceso restringido a la misma. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 5
nube puede tener un efecto significativo en las protecciones de privacidad y confidencialidad de aquellos quienes procesan o almacenan la información. – La información puede estar sujeta a las leyes del país donde el servidor físico esta ubicado. • EUA (Modelo sectorial) vs UE (Modelo regulatorio) • México = LFPDPPP 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 6
nube puede tener más de un “domicilio legal” al mismo tiempo, con diferentes consecuencias legales. – El proveedor de CN puede mover la información del usuario (sin que éste lo sepa) de jurisdicción en jurisdicción, o de proveedor en proveedor, o de computadora a computadora. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 7
de determinado país podrían obligar a un proveedor de CN a revelar archivos de usuarios para buscar pruebas de actividad criminal u otros asuntos. – Inclusive, las autoridades podrían pedirle al proveedor CN que monitoree continuamente las actividades de cierto tipo de usuarios. • PRISM 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 8
difícil evaluar la situación de la información en la nube, así como las protecciones de privacidad y confidencialidad disponibles para los usuarios. – La ley sigue de lejos a la tecnología; la aplicación de ley antigua a nueva tecnología puede ser impredecible. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 9
los riesgos de la privacidad y confidencialidad en la computación en nube es necesario: – Que los proveedores de CN tengan mejores políticas y prácticas de negocios; – Cambios a las leyes vigentes; – Más vigilancia de los usuarios; – Contratos justos y equitativos, no de adhesión. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 10
del RLFPDPPP) I. Cumpla, al menos, con lo siguiente: • a) Tener y aplicar políticas de protección de datos personales afines a los principios y deberes aplicables que establece la Ley y el presente Reglamento; • b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; • c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o permitan asumir la titularidad o propiedad de la información sobre la que presta el servicio, y • d) Guardar confidencialidad respecto de los datos personales sobre los que se preste el servicio, II. Cuente con mecanismos, al menos, para: • a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio que presta; • b) Permitir al responsable limitar el tipo de tratamiento de los datos personales sobre los que se presta el servicio; • c) Establecer y mantener medidas de seguridad adecuadas para la protección de los datos personales sobre los que se preste el servicio; • d) Garantizar la supresión de los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y • e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios de acceso, o bien en caso de que sea a solicitud fundada y motivada de autoridad competente, informar de ese hecho al responsable. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura en el denominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor: 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 11
servicios que no garanticen la debida protección de los datos personales. • Para fines del presente Reglamento, por cómputo en la nube se entenderá al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o software, que se distribuyen de modo flexible, mediante procedimientos de virtualización, en recursos compartidos dinámicamente. • Las dependencias reguladoras, en el ámbito de sus competencias, en coadyuvancia con el Instituto, emitirán criterios para el debido tratamiento de datos personales en el denominado cómputo en la nube. Requisitos para tratar datos personales en la nube (art. 52 del RLFPDPPP) 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 12
conjuntos de datos que superan la capacidad del software habitual para ser capturados, gestionados y procesados en un tiempo razonable. Los tamaños del "big data" se encuentran constantemente en movimiento creciente. -Wikipedia- 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 13
es que el análisis de grandes conjuntos de datos a veces revela nueva información que no es sólo un resumen de la información de base individual. • Suponiendo que los datos subyacentes de un proyecto en particular de Big Data se obtiene de fuentes de acceso público, ¿las personas que proporcionaron los datos de base tienen derecho a la privacidad en la nueva información obtenida por el análisis? 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 14
el Tribunal de Apelaciones para el Circuito de DC (EUA) consideró si las pruebas obtenidas por la policía sin orden judicial a través del uso de un dispositivo GPS para realizar un seguimiento recurrente de los movimientos de Antoine Jones durante un mes fue admitido correctamente. • Jones sostuvo que su condena debe ser revocada debido a que el uso del dispositivo GPS violó la 4a Enmienda (prohibición de búsquedas irrazonables). La fiscalía replicó con el argumento de que no había violación a la 4a Enmienda, ya que Jones no tenía ninguna expectativa razonable de privacidad cuando viaja en la vía pública. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 15
de los movimientos de Jones de los viajes individuales, la Corte de Apelaciones dijo que no había habido ninguna exposición pública realmente, debido a la "baja probabilidad" de que “nadie va a observar todos los movimientos." • Los movimientos de Jones no habían sido expuestos de forma constructiva, ya que "el todo revela más -a veces mucho más- que lo que revela la suma de sus partes." En consecuencia, Jones tenía una expectativa razonable de privacidad en la suma de todos sus movimientos a pesar de que él no tenía ninguna expectativa de privacidad en sus movimientos individuales. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 16
individuales de Jones en la vía pública están expuestos al público, los patrones de comportamiento revelados a través del análisis de todos estos viajes juntos (=BIG DATA) permanecen privados. • Maynard sugiere que la expectativa razonable de privacidad de una persona en un conjunto de datos se presenta, como mínimo, cuando la recolección o compilación del conjunto de datos no habría sido razonablemente esperada. • Los resultados de dicha recolección revelan información específica a esos individuos que no se puede discernir a partir de las piezas individuales de datos que constituyen el conjunto. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 17
disponible se hace más fácilmente accesible, como resultado del Big Data, los proveedores de datos retienen los derechos de privacidad que les permite el control sobre el uso continuado de los datos? Si existe el riesgo de daño permanente por la republicación, la respuesta es probablemente sí. • En Ostergren v. Cuccinelli el 4° Circuito consideró si una ley que se aplicó para evitar la republicación de los números del Seguro Social violaba la 1ª Enmienda. Los números de Seguro Social fueron obtenidos legalmente por Betty Ostergren de registros de la propiedad en línea de acceso público. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 18
a la Corte Suprema de Justicia, señaló que "hay una gran diferencia entre los registros públicos que se pueden encontrar después de una búsqueda diligente de los expedientes judiciales, archivos municipales y estaciones locales de policía en todo el país y un resumen computarizado ubicado en un único centro de intercambio de información (clearinghouse)". • A pesar de estos números de Seguro Social estaban disponibles al público antes de la nueva publicación “el interés de un individuo en el control de la difusión de información sobre asuntos personales no se disuelve simplemente porque esa información puede estar disponible para el público de alguna manera." 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 19
un conjunto de datos grande (Big Data) se compone de información disponible al público, hay que considerar si la divulgación repetida de los datos crea una nueva oportunidad para hacer daño. Si es así, las personas pueden tener intereses duraderos en mantener privados los datos. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 20
10 millones de “rankings” de películas anónimos como parte de un concurso para mejorar su sistema de recomendación. Sorprendentemente, dos investigadores fueron capaces de identificar los nombres de algunas de las personas cuyos datos se incluyen en los datos “supuestamente anónimos” mediante la comparación de este conjunto de datos con el conjunto de otros datos de dominio público. • Estos acontecimientos podrían afectar a los tipos de datos que se consideran de “persona identificable”, obligando a una re- evaluación del alcance y la aplicación de muchas de las normas de privacidad. • Con la posibilidad de “desanonimización”, datos que tradicionalmente no se podían considerar como de “persona identificable” se puede permitir indirectamente la identificación, por lo que podrían considerarse datos de carácter personal. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 21
dan lugar a cambios en las expectativas razonables de privacidad. • Big Data exige una reevaluación de los conceptos asociados con la privacidad. • Las tendencias legales de otros países no tardarán mucho en llegar a México. • Debemos estar preparados para enfrentar los retos que derivan del encuentro de la ley con la tecnología. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 22
los empleados traer dispositivos móviles propios (como teléfonos inteligentes, tablets e inclusive laptops) al trabajo y usar dichos aparatos para acceder recursos privilegiados de la empresa, tales como correos electrónicos, archivos en servidores y bases de datos -tradicionalmente almacenados en redes privadas virtuales (VPN’s)-, así como aplicaciones (software) y demás datos de la organización. ¿Qué es B.Y.O.D.? 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 23
datos y otros gastos asociados a los empleados (incluyendo tal vez no solo los costos de adquisición, sino del mantenimiento y actualización). Esta transferencia de costos puede ser total o parcial (subsidiar parte del costo del equipo y/o servicios de datos). De una manera o de otra, representa un ahorro importante para la empresa. • Este cambio de paradigma brinda una satisfacción a los empleados, ya que tendrán la opción de traer al trabajo sus propios equipos. Si invirtieron en dichos equipos es porque les gustan, y naturalmente cuidarán más un equipo propio que uno ajeno. En muchos casos, los empleados tienen mejores laptops, teléfonos y tabletas que aquellos que les proporcionaría la empresa, lo cual implica que la empresa estaría beneficiada con el rendimiento, características y bajo costo de mantenimiento de equipos de última generación. ¿Qué beneficios trae el implementar una política BYOD en mi empresa? 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 24
y seguridad de la información. Si existe una política BYOD en su organización, el empleado tendrá acceso, almacenará y usará información valiosa de la empresa en sus propios dispositivos. – Existen numerosas leyes y regulaciones que obligan a brindar confidencialidad y seguridad de la información y a proteger datos personales. • También existe el riesgo de que el empleado pueda instalar en sus equipos programas de dudosa procedencia o realice descargas ilegales. ¿Cuáles son los riesgos o desventajas de implementar una política BYOD? 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 25
• Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal • Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones • Código de Comercio • Código Penal Federal • Circular Única Bancaria • Ley Federal de Protección al Consumidor • Ley Federal de Protección de Datos Personales en Posesión de Particulares y Reglamento • Ley Federal de Seguridad Privada • Ley Federal del Trabajo • Ley Federal de Transparencia • Ley de Instituciones de Crédito • Ley de la Propiedad Industrial • Ley de Protección y Defensa al Usuario de Servicios Financieros • Ley Reglamentaria del Art. 5° Constitucional 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 26
Seguridad de Datos Derecho sobre los Datos Arquitectura de Datos SaaS, IaaS, PaaS Obligación de mantener la seguridad, confidencialidad y disponibilidad de datos Derechos de autor, marcas, patentes, escrow Políticas de negocio, normas de organismos reguladores, normas profesionales y leyes Contratos para regular la prestación de los servicios Privacidad, Protección de Datos Personales y Comunicaciones
de una denuncia => Procedimiento de Imposición de Sanciones • Dos multas por un total de $2,000,045.04 pesos: – $1,500,033.78 por no proporcionar información sobre el tratamiento a que serían sometidos los datos personales que recaba de sus clientes (contraviniendo el principio de información). – $500,011.26 por omitir el elemento de identidad en su aviso de privacidad (aparecía nombre comercial en lugar de razón social). 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 28
de una denuncia => Procedimiento de Imposición de Sanciones • Por omitir uno o todos los elementos del Aviso de Privacidad (señalar a través de qué medios los titulares de los datos podrán limitar el uso o divulgación de sus datos): $1,246,600.00 pesos. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 29
motivo de una denuncia => Procedimiento de Imposición de Sanciones • Tres multas por un total de: $2,181,550.00 pesos: – $545,387.50 pesos por no poner a disposición de los titulares el Aviso de Privacidad. – $779,125.00 pesos por no recabar el consentimiento para el tratamiento de datos financieros. – $857,037.50 pesos por no contar con una persona o departamento de privacidad, ni con un procedimiento para dar atención a las solicitudes de derechos ARCO. 09/07/2013 La Firma Líder en Derecho de las Tecnologías de la Información 30
Procedimiento de Imposición de Sanciones • Cinco multas por un total de $16,155,936.00 pesos: – $2,493,200.00 pesos porque Banamex fue negligente en el trámite de la solicitud de cancelación y oposición que le había presentado el titular de los datos. – $1,196,736.00 porque Banamex dejó de observar lo preceptuado por el principio de finalidad al continuar tratando los datos cuando el fin por el cual fueron recabados se había agotado. – $2,493,200.00 por no efectuar la cancelación de los datos cuando la misma resultaba procedente. – $4,986,400.00 pesos por continuar en el tratamiento ilegítimo de los datos del titular. – $4’986,400.00 pesos porque Banamex impidió el ejercicio de los derechos de cancelación y oposición del titular.
joelgomezmx
tajimon
mnakabayashi
oracle4engineer
iotcomjpadmin
yuyatakeyama
iselegant
heesung6701
.png){kind=icon}
pharma_x_tech
iwamot
nrinetcom
keisuke198619
wjessup
brettharned
denniskardys
shpigford
geoffreycrofte
tammielis
keavy
bcantrill
hatefulcrawdad
gr2m
honnibal
vanstee
