INET Latinoamérica 2009 Naturaleza Direcciones IP Datos de Trafico vs. Datos Personales Pedro Less Andrade Gerente de Asuntos Gubernamentales y Políticas Públicas Latinoamérica [email protected] Mayo 2008 Digital Natives – los Nuevos Usuarios Carácterísticas de los Nuevos Usuarios Google Confidential and Proprietary Web 2.0 – La Internet Madurando “La Cola” (Long Tail) Contenido Generado por Usuarios Inteligencia Colectiva Democratización Comunidades Colaboración SOCIAL WEB WEB 1.0 W E B 2 .O Las 3 Etapas de la Convergencia En las Redes En Dispositivos En el Consumidor Convergencia en los Dispositivos Convergencia en los Usuarios El Uso y Acceso están Cambiando Hoy usuarios deciden: 9Qué 9Cúando 9Dónde 9Cómo Democratización en la publicación y acceso a Información y conocimiento Publicar, compartir, comentar, leer, escuchar, o ver contenidos Hoy ellos tienen el control sobre los contenidos Direcciones IP y su Naturaleza Consecuencias Negativas de su Caracterización como Dato Personal Google Confidential and Proprietary Direcciones IP e Internet Son las Direcciones IP Datos Personales? Si tu compartes un ordenador (en tu casa, biblioteca, escuela, cybercafe, telecentro, etc.) o accedes a una red WiFi en un hotel o aeropuerto, mucha gente está usando la misma dirección IP en diferentes momentos o incluso simultaneamente. • Muchos ISP asignan direcciones IP dinámicas, por lo que varias cuentas diferentes pueden usar la misma dirección IP durante el curso de una semana. • En ambientes corporativos, puede que cientos de usuarios estén conectados a una LAN protegida por un firewall y se registre una sola IP de salida (cientos de usuarios pueden quedar registrados con la misma dirección IP). • Una dirección IP, por si sola, no puede asociarse un individuo ni lo identifica - solo indentifica un equipo informático conectado a una red (la dirección IP puede identificar variedad de equipos, como impresoras, scanners, cámaras de seguridad, o un fax). • Si la dirección IP se combina con información personal de un usuario determinado (nombre, dirección, etc.), esto puede dar un indicio sobre el uso de un equipamiento informático conectado a la red, por el usuario al que pertenecen dichos datos. • Las Direcciones IP pueden ser falsificadas (Spoofing) o disfrazadas (IP Masking). Consecuencias Negativas de Caracterizar una Dirección IP como Dato Personal Caracterizar una dirección IP como dato personal puede tener muy diversas consecuencias negativas: • Google, como muchos sitios web colectan direcciones IP con el fin de monitorear patrones de uso y recolectar información estadística para garantizar seguridad y calidad de servicios. • Caracterizar direcciones IP como datos personales impactará negativamente en nuestras operaciones técnicas, impidiendo nuestra capacidad de proteger y servir a nuestros usuarios. • Además generará un desafío a la hora de cumplir con dos requisitos fundamentales de la Directiva Europea de Protección de Datos y varias legislaciones nacionales: Requerir consentimiento: en el caso de usuarios no autenticados: ¿Cómo se materializa la recolección del consentimiento para procesar una dirección IP, si no hay forma de vincular la dirección IP a una persona determinada? ¿Cómo prueba el sitio web que obtuvo el consentimiento de una usuario determinado? • Derecho de Acceso, Rectificación y Cancelación: ¿Cómo podría un sitio web, hablando en términos prácticos, otorgar una dirección IP, derechos de acceso, rectificación y cancelación? Un usuario diferente utilizando el mismo ordenador o la misma red WiFi podría solicitar acceso a información de tráfico asociada a una IP determinada, por el simple hecho de tener la misma dirección IP? Considerar Direcciones IP como Datos Personales, pondría en juego la seguridad y privacidad de los usuarios y de los sistemas información crítica, llegando a comprometer la seguridad nacional. Ya que para analizar tráfico anómalo, combatir Spam o Phishing se requeriría consentimiento del posible atacante. Esquemas de Responsabilidad de los Intermediarios de Internet • Generando un ámbito propicio para la innovación Google Confidential and Proprietary Intermediarios de Internet • ¿Quiénes son los intermediarios en Internet? Los intermediarios son aquellos operadores tecnológicos que proveen servicios que permiten a los usuarios acceder o publicar contenidos en Internet. Proveedores Servicios Internet PSIs / ISPs Servicios de Hosting • Motores de Busqueda y Aplicaciones Plataformas º Los intermediarios son actores necesarios que permiten a los usuarios expresarse, acceder a la red Internet y a sus contenidos. Responsabilidad por Contenidos y Conductas Es importante diferenciar entre los intermediarios y las actividades realizadas por los usurios de contenido o conducas • Los intermediarios no tienen control ni son responsables por los contenidos generados, transmitidos, bajados, alojados, compartidos o publicados por los usuarios ni referenciados a través de sus servicios. • Los Intermediarios, en la mayoría de los casos no tienen conocimiento fehaciente de la existencia de contenidos o conductas infractoras o ilegales, dentro de sus sistemas o mediante el uso de sus servicios. • Los intermediarios no tienen facultades de edición sobre los contenidos y no pueden ser asimilados a un editor de un diario. Tampoco pueden ni deben monitorear contenidos ni conductas. • Los intermediarios no se encuentran en condiciones de identificar contenido supuestamente ilegal ni de determinar el carácter lesivo de los mismos. Esa es una atribución reservada a la justicia. • Son los órganos competentes (los jueces), quienes deben declarar la ilicitud de los contenidos, ordenar su retiro o imposibilitar su acceso, o declarar la existencia de la lesión de derechos, comunicando dichas resoluciones a los intermediarios para que estos puedan tener un conocimiento efectivo de contenidos dañosos y proceder a la remoción de los mismos. Las sanciones deben estar dirigidas a los generadores de los contenidos ilegales. Una Legislación Balanceada deberá receptar • Principios Internacionalmente Aceptados: • Europa: Similares a la Sección 4 (Artículos 12 -15) de la Directiva Europea 2001/31/CE (Directiva de Comercio Electrónico), exime de responsabilidad a los Intermediairos de Internet con relación a contenidos y/o actividades generados por sus usuarios (Principio del Mero Conducto). • Estados Unidos: Sección 230 de la CDA (Ley de Descencia en las Comunicaciones), específicamente otorga inmunidad a los proveedores y usuarios de “servicios informáticos interactivos” por información publicada o provista por otros. • Estados Unidos: Sección 512 de la DMCA (Ley Digital del Milenio sobre Copyright), provee inmunidad por responsabilidad a los Intermediarios de Internet con relación a contenidos generados por terceros que violen Copyright y plantea esquemas de notificación y bajada de contenidos infractores. Requerirá de adaptaciones para nuestro sistema legal. Una Legislación Balanceada deberá receptar • Principios Regionalmente Aceptados y Vinculantes: • Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica) • Artículo 13. Libertad de Pensamiento y de Expresión • 1. Toda persona tiene derecho a la libertad de pensamiento y de expresión. Este derecho comprende la libertad de buscar, recibir y difundir informaciones e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por escrito o en forma impresa o artística, o por cualquier otro procedimiento de su elección. • 2. El ejercicio del derecho previsto en el inciso precedente no puede estar sujeto a previa censura sino a responsabilidades ulteriores, las que deben estar expresamente fijadas por la ley y ser necesarias para asegurar: a) el respeto a los derechos o a la reputación de los demás, o b) la protección de la seguridad nacional, el orden público o la salud o la moral públicas. • 3. No se puede restringir el derecho de expresión por vías o medios indirectos, tales como el abuso de controles oficiales o particulares de papel para periódicos, de frecuencias radioeléctricas, o de enseres y aparatos usados en la difusión de información o por cualesquiera otros medios encaminados a impedir la comunicación y la circulación de ideas y opiniones. Malos Ejemplos Desconectando Usuarios en la Sociedad de la Información Google Confidential and Proprietary HADOPI Francia adoptó recientemente, en medio de una gran controversia y por una escaza mayoría, la ley conocida com HADOPI, por las siglas de su Autoridad de Aplicación (Alta Autoridad para la Difusión de Obras y la Protección de Derechos en Internet). Esta nueva Autoridad, actua en base a denuncias de “Supuestas” infracciones remitidas por titulares derechos de Copyright o las Asociaciones que los representen. HADOPI puede contactar, advertir, suspender y finalmente denegar servicios de Internet a cualquier ciudadano francés. El titular sancionado ingresa a un lista negra para que ningún ISP le proveea servicios durante el término de la Sanción. HADOPI tiene la autoridad de obtener y utilizar los logs de los usuarios recolectados por los ISPs por el termino de un año, para definir y perseguir posibles infractores. HADOPI puede forzar a los ISPs a incluir nueva sistemas de filtrado en su infraestructura, y puede imponer multas de hasta 5000 euros a los ISPs que provean servicios a los usuarios desconectados. Todo este proceso se hace sin intervención Judicial! HADOPI - PROCEDIMIENTO La Ley establece un procedimiento sancionador denominado de “respuesta graduada” o 3 strikes, que se inicia ante un reclamo o denuncia de un titular de Copyright o sus representanes presentado ante HADOPI: • Strike 1: Se envía un email al titular de una conexión de Internet, definido por la dirección IP involucrada en el reclamo, pero sin especificar claramente el objeto del reclamo ni quien es el que reclama. Luego se supone que el ISP debe monitorear la conexión de Internet del titular involucrado. También el mismo titular es “invitado” a instalar un filtro en su propia conexión. • Strike 2: Ante la sospecha por parte del Titular de Copyright, el ISP o HADOPI de infracciones reiteradas, se inicia el segundo paso del Proceso: un correo certificado se envia al titular de la conexión con información similar enviada en el email anterior. • Strike 3 - OUT: si HADOPI considera que el titular continua cometiendo infracciones, puede ordenar al ISP la desconexión de un usuario por un período de 2 meses a un año. El usuario estaría obligado a seguir pagando la conexión o hacerse cargo de los costos de terminación del servicio. • No hay posibilidad de recurrir ante la justicia los 2 primeros pasos. El tercer paso se puede recurrir, pero no suspende los efectos de la suspensión. La prueba de la inocencia recae en el usuario. Todavía hay Esperanza Recientemente, el Parlamento Europeo, al tratar el Paquete Telecom, aprobó la enmienda 138 que aplica el principio de que no cabe imponer restricción alguna a los derechos y libertades fundamentales de los usuarios finales, sin una decisión previa de las autoridades judiciales. No se puede interrumpir ni fiscalizar a los usuarios, sin una previa resolución judicial. Los proveedores de Internet no han de convertirse en policías privados, como se pretende en Hadopi. Esta enmienda fue aprobada recientemente (con 407 votos a favor, 57 en contra y 151 abstenciones) por el parlamento Europeo. Se dice que fue el entierro de HADOPI. INET Latinoamérica 2009 Muchas Gracias! Preguntas? Pedro Less Andrade Gerente de Asuntos Gubernamentales y Políticas Públicas Latinoamérica [email protected] Mayo 2008