Documentos de Académico
Documentos de Profesional
Documentos de Cultura
6
Privacidad y otros aspectos clave de la regulacin de e-gobierno
NDICE GENERAL
I.
II.
III.
IV.
V.
VI.
VII.
I.
En este sentido analizaremos los peligros que encierra el uso de las nuevas tecnologas en
la privacidad de las personas y las reacciones tecnolgicas y jurdicas a dicha invasin,
repasando el tema de la responsabilidad por el contenido y los datos personales de quienes
manejan bases de datos. Finalmente, nos adentraremos en la materia de seguridad de la
informacin, aspecto que incluir los delitos informticos y la creacin de Grupos de
Respuesta a Incidentes Informticos en reas gubernamentales.
Para ello debemos empezar por contestar los siguientes interrogantes:
De qu manera la Sociedad de la Informacin influye sobre nuestras actividades
cotidianas?
Cul es el lmite entre lo pblico y lo privado?
En qu momento una ventaja tecnolgica se transforma en una invasin a la privacidad?
OEA230609GE
Dos siglos ms tarde podemos afirmar que el concepto subyacente a este modelo de
vigilancia se ha expandido a otros sectores de la sociedad. Ya no resulta necesaria la
existencia de una torre o una estructura circular: con la informtica y las telecomunicaciones
es suficiente. Tal vez esta sea la nica diferencia con el modelo ideado por Bentham:
nosotros no somos del todo conscientes que estamos siendo observados.
Imagen :http://en.wikipedia.org/wiki/Wikipedia:Text_of_the_GNU_Free_Documentation_License
Tcnicas tales como el data mining 1 (poner la referencia con Mouse over) o el data
warehousing 2 , adquieren mayor relevancia cuanto mayor es la utilizacin de los medios
electrnicos para interactuar con los dems, ya que ello importa que cada conducta quede
registrada en alguna base de datos.
A ello hay que sumarle el fenmeno de Internet. La Red de Redes potencia el intercambio de
informacin como nunca antes existi, habilitando la combinacin de infinidad de bancos de
datos de diversos orgenes y materias, lo cual implica un incalculable e inagotable canal de
distribucin, que se ve ampliamente potenciada con el acceso diario de millones de personas
quienes van actualizando la informacin, en lo que se transforma en un infinito proceso de
retroalimentacin.
En este escenario no es difcil advertir cmo nuestra esfera ntima comienza a reducirse
significativamente, resultando por consiguiente necesaria la existencia de un marco
normativo que proporcione adecuada tutela a nuestros derechos fundamentales.
Interaccin en la evolucin tecnolgica, poltica y legal
La evolucin tecnolgica reconoce tres etapas. Cada una de estas tres pocas, signada por
diversos escenarios polticos, tuvo su correlato legislativo. Ello se reflej en las legislaciones
dictadas en distintos pases sobre proteccin de los datos personales y el uso de la
informtica.
En la primera poca, los datos se encontraban en poder del estado o de grandes
corporaciones. La informacin estaba almacenada en equipos muy costosos alojados en
edificios acondicionados especialmente para contenerlos. El personal que operaba los
1
OEA230609GE
equipos era altamemente especializado. Este escenario es similar al descrito por George
Orwell en su novela 1984 en el sentido que era el Hermano Mayor - el Estado- quien
monopolizaba toda la informacin.
La primera poca coincide temporalmente con la Guerra Fra, la Guerra de Vietnam, las
luchas por los derechos civiles, el activismo por la paz en los EE.UU., las revueltas
estudiantiles europeas, la guerrilla guevarista latinoamericana y los primeros movimientos
ecologistas. Impera la doctrina de seguridad nacional y los datos personales son
manipulados por el Estado. En este contexto, el concepto de seguridad nacional prevalece
ante los derechos de privacidad, la libertad personal o las garantas individuales. A esta
poca corresponde la Privation Act de EE.UU. de 1966 o la reforma por la Ley 21173 al
Cdigo Civil de la Repblica Argentina con la incorporacin del Art. 1071 bis. 3 (poner la nota
en Mouse over)
La segunda poca estuvo signada por el nacimiento y la masificacin de las computadoras
personales. Acceder a los datos era una operacin simple en la que slo bastaba contar con
un modem telefnico y una autorizacin de acceso. 4 La informacin se democratiza dado
que ya no es accesible slo para algunos pocos y no es necesario contar con un gran
conocimiento de informtica para trabajar con los datos.
DERECHO A LA INTIMIDAD.LEY N 21.173. Incorpora el artculo 1071 bis al Cdigo Civil. Deroga la ley
20.889. Modifica la ley 340. Incorporase al Cdigo Civil como artculo 1071 bis, el siguiente: El que
arbitrariamente se entrometiere en la vida ajena, publicando retratos, difundiendo correspondencia, mortificando
a otro en sus costumbres o sentimientos, o perturbando de cualquier modo su intimidad, y el hecho no fuere un
delito penal, ser obligado a cesar en tales actividades, si antes no hubieren cesado, y a pagar una
indemnizacin que fijar equitativamente el juez, de acuerdo con las circunstancias; adems, podr ste, a
pedido del agraviado, ordenar la publicacin de la sentencia en un diario o peridico del lugar, si esta medida
fuese procedente para una adecuada reparacin.Promulgacin: 15/X/975-Publicacin: B.O. 22/X/975
4
En Argentina, los servicios del SAIJ, en EE.UU. los servicios de Dialog corresponden a esos estadios de la
tecnologa.
OEA230609GE
La
respuesta
tecnolgica
Las mismas armas que socavan el derecho a la intimidad pueden ser utilizadas para
protegerla. Profundizar en este tema excedera el marco del presente mdulo, por lo
que simplemente haremos una breve mencin a algunas tcnicas que permiten
preservar la privacidad, como por ejemplo, las tcnicas de encriptacin1 (on Mouse
over) pueden evitar que miradas indiscretas recaben informacin de las conductas
que uno realiza en el mbito virtual.
Idntico objetivo puede ser cumplido a travs de la posibilidad de moverse en forma
annima1 (on Mouse over) en Internet, evitando de esta forma la recoleccin y
ulterior entrecruzamiento de datos personales.
OEA230609GE
Otras medidas de seguridad tambin pueden ser utilizadas, tales como los
passwords o firewalls cuya misin es impedir el acceso de personas no autorizadas a
5
determinadas bases de datos.
La respuesta legal
La proteccin tecnolgica, si bien necesaria, no es suficiente. Ella debe ser acompaada de un plexo
normativo que prevenga y castigue toda lesin derivada de cualquier invasin a la intimidad.
Cabe destacar que la preocupacin por la proteccin de los datos personales no es un tema nuevo.
La legislacin internacional destaca la conveniencia de consagrar el derecho a la intimidad, con el fin
de evitar que se vea afectado por los avances de la informtica en materia de registro de datos.
En la Conferencia Internacional de Derechos Humanos, realizada en Tehern en 1968, con motivo de
conmemorarse el vigsimo aniversario de la Declaracin Universal de Derechos Humanos de las
Naciones Unidas, los estados participantes comenzaron a esbozar su preocupacin por el peligro que
implicaba el uso de la electrnica para el goce de los derechos individuales.
El derecho a la privacidad o habeas data. Su reconocimiento internacional 5 .
El derecho humano de la vida privada, tiene su fundamento, entre otras fuentes, en el "respeto a la
persona humana", en el "principio de dignidad de la persona humana", en el "principio de
inviolabilidad de la persona humana" y en la sentencia del filsofo alemn Immanuel Kant de que "los
seres humanos constituyen fines en si mismos y no pueden ser usados solo como medios de otras
personas". 6
El derecho a controlar la informacin personal o hbeas data ha sido considerado como un derecho
humano de la tercera generacin que surge en las ltimas dcadas ante el avance de la sociedad de
la informacin.
La Declaracin Universal de los Derechos
Humanos en su artculo 8 dice que toda
persona tiene derecho a un recurso
efectivo, ante los tribunales nacionales,
que la ampare contra actos que violen sus
5
Esta mxima del filsofo Kant, es precisada por el principio de que "no se usa a un ser humano como medio
en provecho de otras personas, ni tampoco se interfiere en forma ilegitima con los proyectos que tenga para su
vida, si es que un gravamen, imposicin o restriccin a que se sujeta tiene como sustento su consentimiento"
OEA230609GE
La Convencin Americana sobre Derechos Humanos o Pacto de San Jos de Costa Rica, en su
artculo 11 relativo a la proteccin de la honra y dignidad, afirma que:
1. Toda persona tiene derecho al respeto de su honra y al
reconocimiento de su dignidad.
2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su
vida privada, en la de su familia, en su domicilio o en su
correspondencia, ni de ataques ilegales a su honra o reputacin.
3. Toda persona tiene derecho a la proteccin de la ley contra esas
injerencias o esos ataques."
La Declaracin Americana de los Derechos y Deberes del Hombre menciona en su artculo 5 que
toda persona tiene derecho a la proteccin de la ley contra los ataques abusivos a su honra, a su
reputacin y a su vida privada y familiar. El artculo 18 dicta que toda persona puede recurrir a los
tribunales para hacer valer sus derechos.
El Pacto Internacional de Derechos Civiles y Polticos consagra en su artculo 17 lo siguiente:
1. Nadie ser objeto de injerencias arbitrarias o ilegales en su vida
privada, su familia, su domicilio o su correspondencia, ni de ataques
ilegales a su honra y reputacin.
2. Toda persona tiene derecho a la proteccin de la ley contra esas
injerencias o esos ataques."
La Resolucin 45/95 de la Asamblea General de las Naciones Unidas, por su parte, trata
particularmente las directrices sobre ficheros de datos personales tratados por ordenador.
La Organizacin de Cooperacin y Desarrollo Econmico (OCDE) alude a las directrices sobre la
proteccin de la intimidad y los flujos transfronterizos de datos, adoptada por su Consejo de Ministros
en forma de recomendacin a los Estados miembros, con fecha 23 de septiembre de 1980. Con
posterioridad a ello, en 1985, se aprob una declaracin atinente a los flujos transfronterizos de datos
no personales.
OEA230609GE
OEA230609GE
de datos personales por las instituciones y los organismos comunitarios, contempla el caso de
creacin de un Supervisor Europeo de Proteccin de Datos. A continuacin se enumeran los
organismos que tienen ese rol en distintos pases europeos:
Esta Directiva fue completada por la Directiva 97/66, relativa al tratamiento de los datos personales y
a la proteccin de la intimidad en el sector de las telecomunicaciones. Tambin la Directiva 2000/31
trata determinados aspectos jurdicos de los servicios de la sociedad de la informacin, en particular
el correcto funcionamiento del comercio electrnico interior. Introduce el Estatuto de los prestadores
de servicios de la sociedad de la informacin.
Amrica Latina
Argentina
La proteccin de la privacidad tiene jerarqua constitucional al estar expresamente contemplada en el
art. 43 de la Carta Magna:
OEA230609GE
OEA230609GE
10
Guatemala
Tambin en este pas el derecho a la privacidad tiene raigambre constitucional. La Constitucin
guatemalteca, en su artculo 31, dice: Sobre el acceso a archivos y registros estatales:
toda persona tiene el derecho de conocer lo que de ella conste en
archivos, fichas o cualquier otra forma de registros estatales y la
finalidad a que se dedica esta informacin, as como a su correccin,
rectificacin y actualizacin. Quedan prohibidos los registros y archivos
de filiacin poltica, excepto los propios de las autoridades electorales
de los partidos polticos.
Mxico
El artculo 16 de la Constitucin establece que nadie puede ser molestado en su persona, familia,
domicilio, papeles o posesiones.
La Ley Federal de Proteccin de datos personales determina la proteccin de las libertades y los
derechos fundamentales de las personas fsicas individualmente consideradas, en lo que respecta al
tratamiento de los datos personales por parte de las entidades pblicas y no pblicas. Dicta normas
en materia de transmisin de datos personales al extranjero y a entidades supranacionales o
internacionales. Existe un delegado para la proteccin de datos.
Paraguay
En 1992, la Constitucin, en su artculo 135, reconoce el derecho de las personas para acceder a la
informacin en archivos pblicos y privados, para conocer la finalidad de los registros y para corregir
o destruir los mismos. La Ley 1.682 de 28 de diciembre de 2000 trata la proteccin de datos
personales.
Per
El artculo 2 inciso 6) de la Constitucin establece la obligacin de que los servicios informticos,
computarizados o no, pblicos o privados, no suministren informaciones que afecten la intimidad
personal o familiar. El artculo 200 inciso 3) establece el derecho de "hbeas data". En la norma
bsica del Per de 1993 (artculo 200, inciso 3), puede leerse: "La accin de hbeas data procede
contra el hecho u omisin por parte de cualquier autoridad, funcionario o persona, que vulnere o
amenace los derechos consagrados en el artculo 2, incisos 5, 6 y 7".
Uruguay
La Ley 17.838 de 24 de septiembre de 2004 establece la proteccin de datos personales y la accin
de hbeas data. Regula el registro, almacenamiento, distribucin, transmisin, modificacin,
eliminacin, duracin y en general el tratamiento de datos personales asentados en archivos,
registros, bases de datos u otros medios similares autorizados, sean pblicos o privados.
La accin de hbeas data proceder cuando el titular de los datos personales quiera acceder a los
registros y dicha informacin no le hubiese sido entregada por el responsable de la base de datos o
cuando le haya solicitado al responsable su rectificacin, actualizacin, eliminacin o supresin y ste
no hubiese procedido a ello.
OEA230609GE
11
Venezuela
El artculo 28 de la Constitucin trata el derecho de acceso a la informacin y a los datos sobre las
personas o sobre sus bienes que consten en registros oficiales o privados. El artculo 60 establece el
derecho de toda persona a la proteccin de su honor, vida privada, intimidad, propia imagen,
confidencialidad y reputacin.
Ahora bien,
Qu mecanismos existen para preservar los datos
personales de los ciudadanos?
De qu forma la Administracin Pblica
cuenta con mecanismos para preservar la privacidad de
los ciudadanos?
Veamos qu sucede con la proteccin de los datos personales en la Administracin Pblica
Directiva 95/46/EC. Art. 17. Los estados miembros establecern la obligacin del responsable del tratamiento
de aplicar las medidas tcnicas y de organizacin adecuadas, para la proteccin de los datos personales contra
la destruccin, accidental o ilcita, la prdida accidental y contra la alteracin, la difusin o el acceso no
autorizados, en particular cuando el tratamiento incluya la transmisin de datos dentro de una red, y contra
cualquier otro tratamiento ilcito de datos personales. Dichas medidas debern garantizar, habida cuenta de los
conocimientos tcnicos existentes y del coste de su aplicacin, un nivel de seguridad apropiado en relacin con
los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse.
OEA230609GE
12
a) Calidad de los Datos: Los datos personales que se recojan a los efectos de su tratamiento deben ser
ciertos, adecuados, pertinentes y no excesivos en relacin al mbito y finalidad para los que se hubieren
obtenido.
b) Deber de Informacin: Cuando se recaben datos personales se deber informar previamente a sus
titulares en forma expresa y clara la finalidad para la que sern tratados y quines pueden ser sus
destinatarios o clase de destinatarios, la existencia del archivo, registro, banco de datos, y la identidad y
domicilio de su responsable; el carcter obligatorio o facultativo de las respuestas; las consecuencias de
proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos y la posibilidad del
interesado de ejercer los derechos de acceso, rectificacin y supresin de los datos.
c) Consentimiento del titular: Los datos personales que se recojan podrn ser tratados en la medida en que
haya mediado el consentimiento libre, expreso e informado del titular de los datos,
d) Principio de Finalidad. Cuando se recabe informacin, la misma debe mantenerse fiel al principio de
finalidad, que implica que la informacin ha sido entregada con una sola finalidad y bajo ella se puede
utilizar.
e) Cesin de los datos: Los datos personales objeto de tratamiento slo pueden ser cedidos para el
cumplimiento de los fines directamente relacionados con el inters legtimo del cedente y del cesionario y
con el previo consentimiento del titular de los datos
f) Derecho de acceso, rectificacin, actualizacin: El titular de los datos tiene derecho a solicitar y obtener
informacin de sus datos personales incluidos en los bancos de datos y que estos sean rectificados y
actualizados, cuando corresponda.
g) Derecho al olvido: El titular de los datos tiene derecho a solicitar, cuando corresponda, la supresin del
dato caduco para evitar quedar prisionero de su pasado.
10
1. El responsable o usuario del archivo de datos debe adoptar las medidas tcnicas y organizativas que resulten
necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su
adulteracin, prdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales
o no, de informacin, ya sea que los riesgos provengan de la accin humana o del medio tcnico utilizado.
2. Queda prohibido registrar datos personales en archivos, registros o bancos que no renan condiciones
tcnicas de integridad y seguridad.
11
13
II.
Oscar Morales Garca Criterios de Atribucin de Responsabilidad penal a los Prestadores de Servicios e
Intermediarios de la Sociedad de la Informacin.- Contenidos Ilcitos y Responsabilidad de los Prestadores de
Servicios de Internet. Editorial Aranzadi. 2002. Pg. 172.
OEA230609GE
14
Que los contenidos que un proveedor de servicio de Internet (ISP) 13 transmite o almacena
hayan sido proporcionados por terceros resulta esencial a la hora de delimitar
responsabilidades. Qu responsabilidad les cabe a los ISP en caso que los contenidos
transmitidos sean ilcitos no es una cuestin que slo interese a las empresas que prestan
tales servicios sino tambin que interesa a los perjudicados por los contenidos ilcitos, que
reclaman ser indemnizados de los daos sufridos.
Para los ISP la posibilidad de ser declarados responsables por contenidos ilcitos ajenos que
han alojado o transmitido constituye un riesgo de notable trascendencia econmica, que
puede tornar su negocio excesivamente oneroso, especialmente cuando el volumen de
informacin que alojan o transmiten hace inviable su supervisin. An en los casos en que la
supervisin fuera materialmente posible, discernir la licitud o ilicitud de un determinado
contenido no es en absoluto una tarea simple 14 , salvo en aquellos supuestos en que la
ilicitud resulte patente. 15
En la otra cara de la moneda se encuentran los eventuales perjudicados por contenidos
ilcitos. Para ellos es de suma importancia saber si pueden dirigir sus pretensiones
resarcitorias contra los que actuaron como intermediarios para la difusin del contenido que
les ocasion el dao, toda vez que puede ser muy difcil obtener la indemnizacin de quien
suministr en el origen los contenidos ilcitos, bien sea por su falta de solvencia, bien sea por
tratarse de un usuario annimo y por lo tanto ilocalizable. El ISP, en cambio, presentar a
menudo mayor solvencia econmica y ser fcilmente localizable. 16
13
Un proveedor de servicios de Internet (o ISP por la sigla en idioma ingls de Internet Service Provider) es una
empresa dedicada a conectar a Internet a los usuarios o las distintas redes que tengan, y dar el mantenimiento
necesario para que el acceso funcione correctamente. Tambin ofrecen servicios relacionados, como
alojamiento Web o registro de dominios entre otros.
14
El ISP debera ser capaz de averiguar si infringe o no los derechos de autor de un tercero, si constituye o no
una difamacin, si vulnera derechos de propiedad industrial, etc.
15
Como podra ser el caso de tratarse de obras famosas protegidas por el derecho autoral, o de personajes
notorios.
16
Miguel Peguera Poch La exencin de responsabilidad civil por contenidos ajenos en Internet.- Contenidos
Ilcitos y Responsabilidad de los Prestadores de Servicios de Internet. Editorial Aranzadi. 2002. Pg. 29.
OEA230609GE
15
A la hora de delimitar la responsabilidad del ISP por el contenido que es incorporado a Internet, se
pueden precisar dos situaciones:
Responsabilidad del
ISP
Incorporacin de
contenidos ilcitos
Incorporacin de
contenidos lcitos a
travs de un acto ilcito
En ambos situaciones estamos frente a un ilcito, ya sea porque se incorpora a la red un contenido
ilcito o porque el ilcito se configura al incorporar a la red un contenido. 17 De este modo, las
conductas que pueden llegar a comprometer la responsabilidad de los ISP son mltiples y variadas. A
saber:
Inobservancia de leyes
marcarias
Inobservancia de leyes
de propiedad intelectual
Pornografa infantil
Inobservancia de los
derechos de autor
Racismo
ISP
Conductas comprometidas
Inobservancia de ley de
proteccin de datos
personales
Trfico de personas
Incitacin a las
perversiones sexuales
17
Fraudes
Horacio Fernndez Delpech Internet: su Problemtica Jurdica. Editorial Abeledo-Perrot. 2001. Pg. 171.
OEA230609GE
16
18
19
"Reno Attorney General of United States et al . v. American Civil Liberties et al., N 96-511, 26 june 1997"
Artculo 13 inciso 1, Pacto de San Jos de Costa Rica
OEA230609GE
17
20
Horacio Fernndez Delpech Internet: su Problemtica Jurdica. Editorial Abeledo-Perrot. 2001. Pg. 172.
OEA230609GE
18
Proveedores de servicios.
Con respecto a los proveedores, la cuestin es mucho ms compleja. Si uno est
familiarizado con Internet, puede llegar a entender que debido al volumen de informacin que
se intercambia el control de contenidos es difcil de realizar. La Unin Europea se pronunci
ya en 1996 al respecto, diciendo:
Las caractersticas tcnicas de Internet hacen ineficaces determinados
tipos de control. Debido al modo en que pueden reenviarse los mensajes de
Internet, el control slo puede tener lugar en los puntos de entrada y salida
de la red (el servidor a travs del que el usuario obtiene acceso o el
terminal utilizado para leer o descargar la informacin y el servidor en el
OEA230609GE
19
OEA230609GE
20
de una informacin ilcita, y no acta con prontitud para retirar esos datos.
Finalmente se consagran otros principios bsicos en el art. 15, ellos son: el relevamiento a
los prestadores de servicios del deber de supervisin del contenido de los datos que
transmitan o almacenen, ni una obligacin general de realizar bsquedas activas de hechos
o circunstancias que indiquen actividades ilcitas, respecto de aquellos servicios.
Concluye dicha norma sealando que los Estados Miembros:
podrn establecer obligaciones tendientes a que los prestadores de
servicios de la sociedad de la informacin comuniquen con prontitud a las
autoridades pblicas competentes los presuntos datos ilcitos o las
actividades ilcitas llevadas a cabo por destinatarios de su servicio o la
obligacin de comunicar a las autoridades competentes, a solicitud de
stas, informacin que les permita identificar a los destinatarios de su
servicio con los que hayan celebrado acuerdos de almacenamiento.
III.
OEA230609GE
21
A los efectos de redactar una poltica, se debern contemplar algunos de los siguientes
aspectos. Estos sern identificados y ejemplificados, a saber: 21
Objeto. Debe ser debidamente delineado, aclarando que la poltica se aplica a los
servicios de la red y de Internet y ms especficamente al acceso a dicha red y al uso
del correo electrnico, cualquiera sea el horario en que se efecte.
Sujetos comprendidos. Determinar su alcance:
Personal contratado que est autorizado a usar equipos y/o software del
organismo.
Reglas generales. Determinar criterios a respetar. A modo ilustrativo:
21
Se han tomado de base las polticas de usos de recursos informticos desarrollados por la Oficina Nacional
de Tecnologas Informticas (ONTI), Subsecretara de la Gestin Pblica, Jefatura de Gabinete de Ministros del
Poder Ejecutivo de la Repblica Argentina.
OEA230609GE
22
OEA230609GE
Prohibiciones generales
Efectuar
la descarga de archivos, salvo que esta
posibilidad no implique vulnerar o infringir los derechos de
terceros titulares de derechos de autor.
Los superiores de los agentes y del personal contratado tendrn las siguientes
responsabilidades:
Evaluar la necesidad de los agentes de acceder a Internet para cumplir
con sus funciones, contemplando aquellas situaciones donde el
requerimiento se encontrare dirigido a obtener informacin tcnica sobre
determinado producto o bien a obtener ayuda en lnea.
Obtener acceso a Internet para los agentes que lo necesiten en razn de
sus funciones.
Autorizar excepcionalmente el acceso a Internet en das no laborables
para propsitos relacionados con la funcin que el agente cumple dentro
del organismo, establecindose como regla general la imposibilidad de
acceso en las referidas circunstancias.
Difundir entre el personal las restricciones en el uso personal de los
recursos con los que cuenta el organismo para acceder a los servicios
de Internet, guardando copia de las respectivas notificaciones.
Asegurar que el personal conozca esta Poltica de Uso Aceptable y
llamar su atencin cuando tome conocimiento de su falta de
cumplimiento.
Poner en conocimiento del personal las sanciones que les podran
corresponder, -(desde llamado de atencin, prohibicin de acceso a
Internet hasta el inicio de las correspondientes acciones administrativas
y/o judiciales)-, como consecuencia de su incumplimiento.
OEA230609GE
24
OEA230609GE
25
OEA230609GE
26
Deber proveer los medios para que sea devuelto a su emisor todo mensaje
recibido que no pueda ser transferido a su destinatario (por ejemplo, un
mensaje con direccin errnea).
Deber arbitrar medidas para borrar el cuerpo principal de todo mensaje fallido
(es decir, que no pueda ser entregado, cualquiera sea la causa) para luego
devolverlo al emisor.
Glosario de trminos. La Poltica debe incluir un anexo en el que se aclaren trminos
no conocidos por todos, como los que a continuacin se detallan:
Servicios de Internet: Facilidad que presta el organismo para que los usuarios
puedan consultar pginas por Internet, acceder al correo electrnico, etc.
Si bien muchas de sus disposiciones son plenamente aplicables, esta poltica de uso de
recursos informticos no estara completa si no incluyese un captulo especfico destinado a
los trminos y condiciones de uso a los cuales debern sujetarse los usuarios de los sitios
Web, la cual deber incluir, como mnimo, los siguientes aspectos:
a. Modo de aceptacin de los trminos En general se establece que el mero acceso y/o
utilizacin de todo o parte de los contenidos incorporados en el portal atribuye la
condicin de usuario, que conlleva necesariamente la aceptacin y adhesin plena y
OEA230609GE
27
b.
c.
d.
e.
OEA230609GE
28
competentes.
f. Hipervnculos. Es buena prctica permitir a los usuarios establecer un hipervnculo
entre su pgina web y el portal en la medida en que dicha inclusin sea notificada
previamente al organismo, no implicando dicho hipervnculo existencia de relacin
alguna entre el organismo y el usuario. En cualquier caso, el organismo se deber
reservar el derecho de inhabilitar hipervnculos o estructuras no autorizados.
g. Legislacin aplicable y jurisdiccin competente. Es importante fijarla a fin de evitar
quedar sometido a jurisdiccin o normativa fornea.
h. Disponibilidad. El organismo deber realizar todo esfuerzo a su alcance para garantizar
la disponibilidad y acceso al portal las 24 horas del da, durante todo el ao, pero que
los usuarios aceptan que, en ocasiones, y debido a diversas causas como el suministro
de nuevas conexiones, cambios de direccionamiento y/o actualizacin de operaciones
de mantenimiento que, en general, impliquen la suspensin del acceso o utilizacin del
portal, podrn producirse interrupciones por el tiempo necesario para acometer dichas
tareas.
Le pedimos que elija un aspecto especfico que considere importante en la definicin de una
poltica de uso de recursos informticos, especficamente para sitios Web, y proponga
aspectos a tener en cuenta en su legislacin. Comparta sus criterios y justificaciones con sus
compaeros de Foro.
IV.
OEA230609GE
29
en
24
25
26
Decreto Legislativo N 635, el Captulo XI, Delitos Informticos, artculos 208a y 208b
Para redactar el presente captulo se tom como base un dictamen realizado por la Oficina Nacional de
Tecnologas de la Informacin de la Subsecretara de la Gestin Pblica, Jefatura de Gabinete de Ministros, del
Poder Ejecutivo de la Repblica Argentina.
OEA230609GE
30
2.
Delitos informticos.
Falsificacin informtica que produzca la alteracin, borrado o supresin de datos
informtico que ocasionen datos no autnticos.
Fraudes informticos.
Delitos relacionados con el contenido.
OEA230609GE
31
3.
4.
Competencia
OEA230609GE
32
Disposiciones
Especficas
Esta seccin establece obligaciones para los
Estados firmantes en las siguientes reas:
Red 24/7
OEA230609GE
33
y aplicacin de la propia
Sobre la firma, entrada en vigor y Adhesin al Convenio, establece tres categoras distintas
entre los Estados obligados por el mismo:
Estados miembros del Consejo de Europa.
Estados firmantes no integrantes del Consejo de Europa.
Estados Adherentes.
Le pedimos que investigue que medidas han sido a ser tomadas a nivel nacional respecto
de la legislacin sustantiva en materia de cibercrimen. Elabore un informe y enveselo a su
profesor tutor.
OEA230609GE
34
V.
Importancia
CERT
Clasificacin
Su importancia
Un Equipo de Respuesta a Incidentes de Seguridad (CSIRT) es una organizacin que es
responsable de recibir, revisar y responder a informes y actividad sobre incidentes de
seguridad. Sus servicios son generalmente prestados para un rea de cobertura definida que
podra ser una entidad relacionada u organizacin de la cual dependen, una corporacin, una
organizacin de gobierno o educativa; una regin o pas, una red de investigacin; o un
servicio pago para un cliente.
OEA230609GE
35
27
28
http://www.jpcert.or.jp/english/index.html
http://www.auscert.org.au/
OEA230609GE
36
CSIRTs Internos:
CSIRTs Nacionales
Centros de Coordinacin
Centros de Anlisis
Equipos de Vendedores
29
http://www.singcert.org.sg/
http://www.cert.org/
31
http://www.fedcirc.gov/
30
OEA230609GE
37
CERT gubernamentales
La proteccin de los recursos informticos no es una preocupacin exclusiva del Sector
Privado. Tambin la Administracin Pblica debe velar por sus recursos toda vez que, como
dijimos, la informacin es un activo que se debe cuidar. Por ello, es sumamente aconsejable
que los estados creen sus propios CERTs, unidades de respuesta ante incidentes en redes
que centralice y coordine los esfuerzos para el manejo de los incidentes de seguridad que
afecten los recursos informticos de la Administracin Pblica. 32
En este orden de ideas, no slo deber actuar una vez ocurrido el incidente, sino tambin, y
sobre todo, tendr que realizar tareas preventivas difundiendo informacin, capacitando al
personal, centralizando reportes y facilitando el intercambio de informacin para estar
preparados para afrontarlos en forma exitosa.
Respecto a la ubicacin que deber ocupar en la estructura del organismo, diremos
simplemente que no hay una ubicacin jerrquica estndar donde pueda encontrarse un
CSIRT. Algunos CSIRTs son parte del rea de Tecnologa de la Informacin (IT) o grupo de
Telecomunicaciones existentes. Otros pueden ser parte de un grupo de seguridad o trabajo
en conjunto con el grupo responsable de la seguridad fsica. Tambin pueden estar ubicados
en el grupo auditor. Sea cual fuera su ubicacin, lo cierto es que donde quiera que est
ubicado el CSIRT es vital que cuente con el apoyo de las mximas autoridades y posea
facultades para hacer el trabajo requerido.
Con respecto al tamao del CSIRT, y desafortunadamente hay pocos datos empricos que
puedan usarse para contestar este interrogante. Distintos CSIRTs tienen distintos niveles de
personal basado en sus recursos, necesidades y carga de trabajo. Un modelo que funciona
para una organizacin puede no funcionar para otra.
En tal sentido, la cantidad de personal de un CSIRT debera estar basada en los recursos
disponibles y los servicios que se necesitan brindar. La experiencia ha mostrado que ningn
equipo quiere un nico punto de falla, por lo tanto puede no ser suficiente tener una persona
sola dedicada a la respuesta de incidentes.
Finalmente, vale la pena mencionar que desde el momento de su creacin, el CSIRTs
comienza a relacionarse con otras entidades similares, todo lo cual facilita la tarea de
compartir estrategias de respuesta y alertar tempranamente acerca de los problemas
potenciales. En tal sentido, se crean redes colaborativas conformadas por grupos de distintas
nacionalidades que intercambian informacin entre s y con diversos proveedores de
servicios a Internet, en forma preventiva y reactiva a fin de elevar la seguridad en materia
informtica.
32
OEA230609GE
38
Estas redes son de vital importancia a la hora de controlar un ataque ciberntico, en especial
si el mismo proviene de otra jurisdiccin. En el supuesto de formar parte de una red
colaborativa, bastar con pedirle al CSIRT del pas del que se realiza el ataque que se
contacte con el ISP correspondiente a fin de dar de baja el IP correspondiente. Este proceso
puede tardar unos minutos, u horas a ms tardar. 33 Imaginemos cunto tardara bloquear el
IP desde el que surge el ataque siguiendo los pasos tradicionales. 34
Atento los beneficios existentes en la consolidacin de una red de CSIRTs, la Organizacin
de los Estados Americanos (OEA) ya desde el ao 2003 en la Conferencia de la OEA sobre
Seguridad Ciberntica, celebrada en Buenos Aires, Argentina en julio de 2003, (AG/RES.
1939 (XXXIII-O/03), al demostrar las amenazas en el mbito de seguridad ciberntica a los
sistemas de informacin esenciales, subray la necesidad de contar con cooperacin
intersectorial y coordinacin entre una amplia gama de entidades gubernamentales y no
gubernamentales.
Esta idea termin de tomar forma en la Reunin de Expertos Gubernamentales en materia de
Seguridad Ciberntica, organizada por Comit Interamericano contra el Terrorismo (CICTE)
de la OEA, en la que se elaboraron recomendaciones sobre la estrategia integral de
seguridad ciberntica de la OEA, establecindose como objetivo prioritario la creacin de una
Red Interamericana CSIRT de Vigilancia y Alerta, proyecto que actualmente se encuentra en
marcha. Esta red estar compuesta exclusivamente por CSIRTs gubernamentales entre los
cuales se intercambiar informacin relevante y se compartirn conocimientos y experiencias
para enriquecimiento de todos los miembros.
En particular, se efectuaron las siguientes recomendaciones:
(1) Modelo de servicio recomendado:
Las normas mnimas iniciales para el modelo de servicio de los CSIRT debern
incluir:
a. La designacin por los respectivos gobiernos de los Estados Miembros
b. El acuerdo en torno a principios para el intercambio de informacin entre los
equipos colaboradores
c. Capacidad y responsabilidad para recibir la informacin de otros CSIRT y
33
La relacin de los CSIRTs con los ISP es de colaboracin, y estos ltimos suelen responder positivamente
ante los requerimientos de aquellos, bien sea como resultado de una actitud generosa o de un afn egosta a fin
de evitar tener que enfrentar alguna posible accin por daos y perjuicios.
34
Denuncia ante la autoridad competente, judicializacin del conflicto, determinacin del juzgado que entender
en la causa, informes periciales, exhorto al juez de la jurisdiccin respectiva, traduccin legalizada del mismo en
caso de corresponder, etc. Evidentemente estamos hablando de meses.
OEA230609GE
39
OEA230609GE
40
VI.
Sitios de Inters
Para que usted pueda profundizar y/o ampliar los contenidos de este mdulo, le
recomendamos que consulte las siguientes pginas Web:
http://www.historiasiglo20.org/TEXT/tratadoroma.htm
http://www.bufetalmeida.com/ccd.htm
http://www.jpcert.or.jp/english/index.html
http://www.auscert.org.au/
http://www.singcert.org.sg/
http://www.cert.org/
http://www.fedcirc.gov/
www.arcert.gov.ar
OEA230609GE
41
VII.
OEA230609GE
42