Naturaleza Direcciones IP

Anuncio
INET Latinoamérica 2009
Naturaleza Direcciones IP
Datos de Trafico vs. Datos Personales
Pedro Less Andrade
Gerente de Asuntos Gubernamentales y Políticas Públicas Latinoamérica
[email protected]
Mayo 2008
Digital Natives – los Nuevos Usuarios
Carácterísticas de los Nuevos Usuarios
Google Confidential and Proprietary
Web 2.0 – La Internet Madurando
“La Cola”
(Long Tail)
Contenido
Generado por
Usuarios
Inteligencia
Colectiva
Democratización
Comunidades
Colaboración
SOCIAL WEB
WEB 1.0
W E B 2 .O
Las 3 Etapas de la Convergencia
En las Redes
En Dispositivos
En el Consumidor
Convergencia en los Dispositivos
Convergencia en los Usuarios
El Uso y Acceso están Cambiando
Hoy usuarios deciden:
9Qué
9Cúando
9Dónde
9Cómo
Democratización en la
publicación y acceso a
Información y conocimiento
Publicar,
compartir,
comentar, leer,
escuchar, o ver
contenidos
Hoy ellos tienen
el control sobre
los contenidos
Direcciones IP y su Naturaleza
Consecuencias Negativas de su Caracterización como Dato Personal
Google Confidential and Proprietary
Direcciones IP e Internet
Son las Direcciones IP Datos Personales?
Si tu compartes un ordenador (en tu casa, biblioteca, escuela, cybercafe,
telecentro, etc.) o accedes a una red WiFi en un hotel o aeropuerto, mucha
gente está usando la misma dirección IP en diferentes momentos o incluso
simultaneamente.
• Muchos ISP asignan direcciones IP dinámicas, por lo que varias cuentas diferentes
pueden usar la misma dirección IP durante el curso de una semana.
• En ambientes corporativos, puede que cientos de usuarios estén conectados a una
LAN protegida por un firewall y se registre una sola IP de salida (cientos de usuarios
pueden quedar registrados con la misma dirección IP).
• Una dirección IP, por si sola, no puede asociarse un individuo ni lo identifica - solo
indentifica un equipo informático conectado a una red (la dirección IP puede identificar
variedad de equipos, como impresoras, scanners, cámaras de seguridad, o un fax).
• Si la dirección IP se combina con información personal de un usuario determinado
(nombre, dirección, etc.), esto puede dar un indicio sobre el uso de un equipamiento
informático conectado a la red, por el usuario al que pertenecen dichos datos.
• Las Direcciones IP pueden ser falsificadas (Spoofing) o disfrazadas (IP Masking).
Consecuencias Negativas de Caracterizar una
Dirección IP como Dato Personal
Caracterizar una dirección IP como dato personal puede tener muy diversas
consecuencias negativas:
• Google, como muchos sitios web colectan direcciones IP con el fin de monitorear
patrones de uso y recolectar información estadística para garantizar seguridad y
calidad de servicios.
• Caracterizar direcciones IP como datos personales impactará negativamente en
nuestras operaciones técnicas, impidiendo nuestra capacidad de proteger y servir a
nuestros usuarios.
• Además generará un desafío a la hora de cumplir con dos requisitos fundamentales
de la Directiva Europea de Protección de Datos y varias legislaciones nacionales:
Requerir consentimiento: en el caso de usuarios no autenticados: ¿Cómo se materializa
la recolección del consentimiento para procesar una dirección IP, si no hay forma de
vincular la dirección IP a una persona determinada? ¿Cómo prueba el sitio web que obtuvo
el consentimiento de una usuario determinado?
• Derecho de Acceso, Rectificación y Cancelación: ¿Cómo podría un sitio web, hablando
en términos prácticos, otorgar una dirección IP, derechos de acceso, rectificación y
cancelación? Un usuario diferente utilizando el mismo ordenador o la misma red WiFi
podría solicitar acceso a información de tráfico asociada a una IP determinada, por el simple
hecho de tener la misma dirección IP?
Considerar Direcciones IP como Datos Personales, pondría en juego la seguridad
y privacidad de los usuarios y de los sistemas información crítica, llegando a
comprometer la seguridad nacional. Ya que para analizar tráfico anómalo, combatir
Spam o Phishing se requeriría consentimiento del posible atacante.
Esquemas de Responsabilidad de los
Intermediarios de Internet
•
Generando un ámbito propicio para la innovación
Google Confidential and Proprietary
Intermediarios de Internet
•
¿Quiénes son los intermediarios en Internet?
Los intermediarios son aquellos operadores tecnológicos que proveen servicios que
permiten a los usuarios acceder o publicar contenidos en Internet.
Proveedores Servicios
Internet PSIs / ISPs
Servicios de Hosting
•
Motores de Busqueda
y Aplicaciones
Plataformas
º
Los intermediarios son actores necesarios que permiten a los
usuarios expresarse, acceder a la red Internet y a sus contenidos.
Responsabilidad por Contenidos y Conductas
Es importante diferenciar entre los intermediarios y las actividades realizadas por los
usurios de contenido o conducas
•
Los intermediarios no tienen control ni son responsables por los contenidos generados,
transmitidos, bajados, alojados, compartidos o publicados por los usuarios ni
referenciados a través de sus servicios.
•
Los Intermediarios, en la mayoría de los casos no tienen conocimiento fehaciente de la
existencia de contenidos o conductas infractoras o ilegales, dentro de sus sistemas o
mediante el uso de sus servicios.
•
Los intermediarios no tienen facultades de edición sobre los contenidos y no pueden ser
asimilados a un editor de un diario. Tampoco pueden ni deben monitorear contenidos ni
conductas.
•
Los intermediarios no se encuentran en condiciones de identificar contenido
supuestamente ilegal ni de determinar el carácter lesivo de los mismos. Esa es una
atribución reservada a la justicia.
•
Son los órganos competentes (los jueces), quienes deben declarar la ilicitud de los
contenidos, ordenar su retiro o imposibilitar su acceso, o declarar la existencia de la lesión
de derechos, comunicando dichas resoluciones a los intermediarios para que estos
puedan tener un conocimiento efectivo de contenidos dañosos y proceder a la remoción de
los mismos. Las sanciones deben estar dirigidas a los generadores de los contenidos
ilegales.
Una Legislación Balanceada deberá receptar
• Principios Internacionalmente Aceptados:
• Europa: Similares a la Sección 4 (Artículos 12 -15) de la Directiva
Europea 2001/31/CE (Directiva de Comercio Electrónico), exime de
responsabilidad a los Intermediairos de Internet con relación a contenidos
y/o actividades generados por sus usuarios (Principio del Mero
Conducto).
• Estados Unidos: Sección 230 de la CDA (Ley de Descencia en las
Comunicaciones), específicamente otorga inmunidad a los proveedores y
usuarios de “servicios informáticos interactivos” por información publicada
o provista por otros.
• Estados Unidos: Sección 512 de la DMCA (Ley Digital del Milenio sobre
Copyright), provee inmunidad por responsabilidad a los Intermediarios de
Internet con relación a contenidos generados por terceros que violen
Copyright y plantea esquemas de notificación y bajada de contenidos
infractores. Requerirá de adaptaciones para nuestro sistema legal.
Una Legislación Balanceada deberá receptar
•
Principios Regionalmente Aceptados y Vinculantes:
•
Convención Americana de Derechos Humanos (Pacto de San José de Costa Rica)
•
Artículo 13. Libertad de Pensamiento y de Expresión
•
1. Toda persona tiene derecho a la libertad de pensamiento y de expresión.
Este derecho comprende la libertad de buscar, recibir y difundir informaciones
e ideas de toda índole, sin consideración de fronteras, ya sea oralmente, por
escrito o en forma impresa o artística, o por cualquier otro procedimiento de su
elección.
•
2. El ejercicio del derecho previsto en el inciso precedente no puede estar sujeto
a previa censura sino a responsabilidades ulteriores, las que deben estar
expresamente fijadas por la ley y ser necesarias para asegurar:
a) el respeto a los derechos o a la reputación de los demás, o
b) la protección de la seguridad nacional, el orden público o la salud o la moral
públicas.
•
3. No se puede restringir el derecho de expresión por vías o medios
indirectos, tales como el abuso de controles oficiales o particulares de papel para
periódicos, de frecuencias radioeléctricas, o de enseres y aparatos usados en la
difusión de información o por cualesquiera otros medios encaminados a impedir la
comunicación y la circulación de ideas y opiniones.
Malos Ejemplos
Desconectando Usuarios en la Sociedad de la Información
Google Confidential and Proprietary
HADOPI
Francia adoptó recientemente, en medio de
una gran controversia y por una escaza
mayoría, la ley conocida com HADOPI, por
las siglas de su Autoridad de Aplicación (Alta
Autoridad para la Difusión de Obras y la
Protección de Derechos en Internet).
Esta nueva Autoridad, actua en base a denuncias de “Supuestas” infracciones remitidas por titulares
derechos de Copyright o las Asociaciones que los representen.
HADOPI puede contactar, advertir, suspender y finalmente denegar servicios de Internet a cualquier
ciudadano francés.
El titular sancionado ingresa a un lista negra para que ningún ISP le proveea servicios durante el término
de la Sanción.
HADOPI tiene la autoridad de obtener y utilizar los logs de los usuarios recolectados por los ISPs por el
termino de un año, para definir y perseguir posibles infractores.
HADOPI puede forzar a los ISPs a incluir nueva sistemas de filtrado en su infraestructura, y puede imponer
multas de hasta 5000 euros a los ISPs que provean servicios a los usuarios desconectados.
Todo este proceso se hace sin intervención Judicial!
HADOPI - PROCEDIMIENTO
La Ley establece un procedimiento sancionador denominado de “respuesta graduada” o
3 strikes, que se inicia ante un reclamo o denuncia de un titular de Copyright o sus
representanes presentado ante HADOPI:
•
Strike 1: Se envía un email al titular de una conexión de Internet, definido por la
dirección IP involucrada en el reclamo, pero sin especificar claramente el objeto del
reclamo ni quien es el que reclama. Luego se supone que el ISP debe monitorear la
conexión de Internet del titular involucrado. También el mismo titular es “invitado” a
instalar un filtro en su propia conexión.
•
Strike 2: Ante la sospecha por parte del Titular de Copyright, el ISP o HADOPI de
infracciones reiteradas, se inicia el segundo paso del Proceso: un correo certificado
se envia al titular de la conexión con información similar enviada en el email anterior.
•
Strike 3 - OUT: si HADOPI considera que el titular continua cometiendo infracciones,
puede ordenar al ISP la desconexión de un usuario por un período de 2 meses a un
año. El usuario estaría obligado a seguir pagando la conexión o hacerse cargo de los
costos de terminación del servicio.
•
No hay posibilidad de recurrir ante la justicia los 2 primeros pasos. El tercer paso se
puede recurrir, pero no suspende los efectos de la suspensión. La prueba de la
inocencia recae en el usuario.
Todavía hay Esperanza
Recientemente, el Parlamento Europeo, al tratar el Paquete Telecom,
aprobó la enmienda 138 que aplica el principio de que no cabe imponer
restricción alguna a los derechos y libertades fundamentales de los
usuarios finales, sin una decisión previa de las autoridades judiciales.
No se puede interrumpir ni fiscalizar a los usuarios, sin una previa
resolución judicial.
Los proveedores de Internet no han de convertirse en policías privados,
como se pretende en Hadopi.
Esta enmienda fue aprobada recientemente (con 407 votos a favor, 57 en
contra y 151 abstenciones) por el parlamento Europeo.
Se dice que fue el entierro de HADOPI.
INET Latinoamérica 2009
Muchas Gracias!
Preguntas?
Pedro Less Andrade
Gerente de Asuntos Gubernamentales y Políticas Públicas Latinoamérica
[email protected]
Mayo 2008
Descargar