Política de Privacidad

Todas las redes sociales

cuentan con una Política
de Privacidad, que regula
contractualmente el
tratamiento de los datos
personales del usuario.

Sin embargo, hay que

tener en cuenta las
regulaciones legales,
como la Ley de Protección
de Datos Personales, que
es de orden público.
¿Qué hacen las redes sociales con
nuestra información?
¿Por qué esto es importante
para una empresa?

Software
Prestadores de como servicio
servicios de (SaaS)
Prestadores de hosting
servicios de
administración
Los datos de de bases de
las empresas datos
pueden
figurar en
Todas las bases de
empresas datos de
tienen terceros
bases de
datos
 ¿Por qué nosotros cambiamos
nuestros datos por usar las redes
sociales?
Efectos
de red
¿Está mal ese intercambio?
Teoría
del
valor
¿Cuán valiosos son nuestros
Disociación datos para nosotros?
de datos

¿Qué pasaría si tomáramos

conciencia de lo valioso que son
para las empresas de Internet?
¿A quiénes protege la LPDP?
Ampara a cualquier
persona, natural o
jurídica

Protege sus datos

personales

No protege a los
titulares de las bases
de datos como tales

Le reconoce el derecho
a conocer, actualizar y
rectificar los datos
 ¿A quiénes se aplica la ley?

Bases de datos
• Excluye a las bases de privadas • Datos mantenidos en un
datos vinculadas a ámbito exclusivamente
información sobre • Ej:: bases de datos de personal o doméstico
seguridad nacional, etc. clientes, proveedores o • Datos que circulan
empleados de las internamente
empresas

Bases de datos
Excluye a:
públicas
 ¿Qué es un dato personal?
• Es información de cualquier tipo referida a personas
físicas o jurídicas determinadas o determinables.
¿Qué es un • No es cualquier información aunque sea
dato personal? confidencial o valiosa.

• Datos personales que revelan origen racial y étnico,

opiniones políticas, convicciones religiosas,
¿Qué es un filosóficas o morales, afiliación sindical e
dato sensible? información referente a la salud o a la vida sexual
¿Cómo se debe operar una
base de datos?
• La información debe ser
veraz, completa, exacta,
actualizada, comprobable y
comprensible
Veracidad o
calidad
• Se sujeta a que el dato siga
sirviendo para su finalidad
Temporalidad
• Debe ser legítima y legal • Administrar los datos
• Se le debe informar al conforme a su naturaleza,
titular del dato en forma finalidad de recolección y
previa o concomitante a la principios legales
autorización • Sólo pueden accederse por
Internet si el acceso es
técnicamente controlable
Circulación
Finalidad
restringida
• Implementar medidas • El que administra datos
técnicas que eviten la personales debe guardar
adulteración, perdida o reserva de la información
consulta no autorizados
Seguridad Confidencialidad
 Medidas de seguridad

Las medidas de Procedimiento de Redactar el Documento

seguridad debe incluir: identificación y de Seguridad de Datos
autenticación de usuarios Personales

• Rutinas de control de • Control de acceso de • Debe cumplir con las

los programas de usuarios. exigencias de la
ingreso de datos • Instalación de normativa de la
• Rutinas de control software para evitar DNPDP
que minimicen la archivos maliciosos.
posibilidad de
ingresar al sistema
datos ilógicos,
incorrectos o
faltantes
• Procedimiento para
back up
Puesta en práctica de las medidas

G.A.D. La utilización indistinta de las claves de acceso al sistema era una

modalidad de tareas admitida por la empleadora, por lo que no
c. Bank puede asegurarse que haya sido el actor quien hubiera incurrido
en el incumplimiento contractual alegado.
Boston
(CNT,
26.5.09)
Luce razonable contemplar a la violación al deber de
confidencialidad desde la perspectiva de la transmisión de
información a terceros, extremo que no se verifica en el caso,
donde la supuesta violación encuentra sustento en la satisfacción
de “curiosidades infundadas”. Ello bien puede constituir un
incumplimiento contractual que haga pasible al trabajador de una
sanción disciplinaria, por lo que la decisión rupturista adoptada
luce desproporcionada a la falta que se le imputa.
Disposición DNPDP 11/2006

Técnicas Organizativas

Garantizar Seguridad y Confidencialidad de los datos

Politica de Datos Personales de la empresa

Tarea multidisciplinaria
Niveles de seguridad
BÁSICO
• Todo archivo que contenga
datos de carácter personal
• Septiembre de 2007
MEDIO
• Empresas de Servicios
Públicos y las que deban
guardar secreto de sus
información por disposición
especial
• Septiembre de 2009
CRITICO
• Tratamiento de Datos
Sensibles, salvo cuando sea
con fines administrativos o
por obligación legal
• Septiembre de 2010
 Descripción de los
Descripción de los Funciones y
sistemas de información
archivos con datos obligaciones del
utilizados para el
personales personal
tratamiento de los datos

Relación actualizada
entre sistemas de Adopción y descripción
Registro de incidentes
información y usuarios de las rutinas de control
de seguridad
de datos con y acciones correctivas
autorización para su uso

Procedimiento de
Procedimiento para
identificación y Control de acceso a
efectuar el back up y la
autenticación de usuarios y recursos
recuperación de datos
usuarios

Adopción de medidas Gestión de los soportes

de seguridad para evitar físicos de las bases de
software malicioso datos
Cesión de datos
La cesión masiva de datos
personales de registros públicos
a registros privados sólo puede
ser autorizada por ley o por
decisión del funcionario
responsable, si los datos son de
acceso público y se ha
garantizado el respeto a los
principios de protección
establecidos en la ley 25326. No
es necesario acto administrativo
alguno en los casos en que la ley
disponga el acceso a la base de
datos pública en forma
irrestricta.
Información confidencial: es aquella afectada por
el secreto profesional o por la confidencialidad
impuesta legalmente (secreto profesional, fiscal,
bancario, datos sensibles, etc.).
Información de acceso público: es la que está en
poder de la Administración que no está sujeta a
confidencialidad ni tampoco está destinada a ser
difundida irrestrictamente al público y cuyo acceso
a terceros resulta generalmente condicionado al
cumplimiento de ciertos requisitos.
Información de acceso público irrestricto: es la
destinada a ser difundida al público en general y
de libre intercambio entre los organismos del
Estado
Movilidad internacional de datos
personales en Internet
Proporciona un nivel de protección adecuado

No proporciona un nivel de protección adecuado

Cuando la tutela se deriva directamente del
ordenamiento jurídico vigente, o de sistemas
de autorregulación, o del amparo que
establezcan las cláusulas contractuales que
prevean la protección de datos personales.
Naturaleza de los datos
Finalidad y duración del tratamiento
Lugar del destino final
Normas de derecho generales o sectoriales
vigentes
Normas profesionales, códigos de conducta y
medidas de seguridad que resulten aplicables
¿A qué negocios afecta?

Centralización de
datos

Outsourcing

Cloud computing
¿Qué sanciones pueden aplicarle?

Sanciones
• Multas
• Suspensión de la base de datos
• Cierre o clausura de operaciones de la base
de datos
• Prisión

Criterios de aplicación
• Dimensión del daño o peligro
• Beneficio económico obtenido
• Reincidencia
• Resistencia a la acción investigadora
• Negativa a cumplir las órdenes de la
autoridad de vigilancia de la Ley
 RRHH Clientes Proveedores

Informes de
desempeño Carga correcta
de datos
Informe de
Informes cumplimiento o
preocupacionles satisfacción de
la prestación
Búsqueda de Mora en el pago
presonal
 Todas las redes sociales
cuentan con una Política
de Privacidad que regula el
uso de los datos
personales de los usuarios.

Se habilita la
configuración de la
privacidad de la
cuenta, corriendo ello
por exclusiva cuenta
del usuario.
Determina la
posibilidad de usar
esos datos por parte
de la red social.
Compartir datos de terceros
¿Se pueden subir fotos de terceros? Ej.
fotos de los integrantes de la empresa,
fotos de terceros que asistieron a un
evento de la empresa.
¿Qué responsabilidades
pueden derivar del
etiquetado de
contenidos (fotos, post,
notas, videos, etc.)? Ej. la
persona etiquetada no
desea como tal.
 Los menores en las redes sociales: el caso de
la “chupina”
La medida cautelar
• Basada en la ley de defensa del Consumidor
Concurren
3.000 • Se ordena a Facebook «el cese inmediato de los
personas a grupos creados o a crearse por menores de edad,
la Plaza con el objeto de promover la falta al ciclo escolar,
Independen sin el debido consentimiento de sus padres o la
cia autoridad escolar, para festejar dicho
incumplimiento; como también hacer extensivo a
posibles otros objetos donde los menores de edad
Se constituye un Se organiza promuevan objetivos que puedan causarse daño
Se dicta una grupo en Facebook una nueva ellos o a terceros con su accionar»
medida para organizar la «rateada» • El juez entiende que Facebook tiene herramientas de
cautelar gran «rateada» para el 14 de control para ello «Lo solicitado, …aparece como
mendocina mayo
materialmente posible»

Los términos y condiciones de uso

• No utilizarás Facebook para actos ilícitos, engañosos,
Se expande malintencionados o discriminatorios
la idea a
otros países
• No proporcionarás información personal falsa en
Facebook, ni crearás una cuenta para otras personas
sin su autorización.
• No utilizarás Facebook si eres menor de 13 años.
• Podemos retirar cualquier contenido o información
que publiques en Facebook si consideramos que viola
esta Declaración.
Recomendaciones prácticas
Inscribir las bases de datos

Adecuar los contratos a la LPDP

Celebrar acuerdos de confidencialidad

Crear una política empresarial de Datos Personales

Adoptar medidas de seguridad

Implementar Documento de Seguridad

Implementar Reglamento de uso de herramientas informáticas

Amenazas presentes en las
redes sociales
Hackers

Spaming

Privacidad

Violación a la PI

Delitos informáticos

Robo de identidad
Ley de Delitos Informáticos de Argentina

Privacidad de las
Pornografía infantil por
comunicaciones
medios electrónicos
electrónicas

Acceso a sistemas o
Fraude informático
datos informáticos

Daño o sabotaje
informático
Será reprimido con prisión de
quince días a seis meses el que
abriere o accediere indebidamente
a una comunicación electrónica,
una carta, un pliego cerrado, un
despacho telegráfico, telefónico o
de otra naturaleza, que no le esté
dirigido …
CP, artículo 153, párrafo 1º
 … el que abriere o
accediere indebidamente • ¿En qué casos la
apertura o acceso es
a una comunicación indebido?
electrónica …

• La comunicación electrónica
no debe haber estado
dirigida a quien la abre
• Quien la abre no debe haber
“Indebidamente” estado autorizado a abrirla o
acceder al contenido
• E-mail personal y
corporativo
E-mail y correo tradicional

Juz. Nac. 1ª Inst. Correc. Nº 9, 11/4/2007

• El indebido acceso a una cuenta de correo electrónico,

mediante la utilización de un mecanismo tendiente a
sortear la clave, y la posterior presentación en un juicio
civil de información que se encontraba archivada en esa
cuenta, no encuadra en el delito de violación de
correspondencia consignado en el art. 153, CPen., pues
lo violado no fue una correspondencia, sino
simplemente datos almacenados en una casilla de
correo.
E-mail y correo tradicional

Yelma, Martín y otros,

22/4/2003
• Es dable efectuar una equiparación jurídica entre la
correspondencia ordinaria -originariamente protegida
por la Constitución Nacional- y la actual
correspondencia llamada ‘electrónica’, por lo que
resulta acertado declarar la nulidad de la
intervención de los correos electrónicos hecha sin
orden judicial.
Será reprimido con prisión de
quince (15) días a seis (6)
meses, si no resultare un
delito más severamente
penado, el que a sabiendas
accediere por cualquier medio,
sin la debida autorización o
excediendo la que posea, a un
sistema o dato informático de
acceso restringido.
CP, artículo 153 bis
 Caracteres
Acceso a sistemas propios y ajenos

Sin la debida autorización

• Medidas de seguridad

Obrar a sabiendas

No exige daño concreto (borrado de datos o

inserción de virus)

Aplicación subsidiaria
En la misma pena incurrirá el
que alterare, destruyere o
inutilizare datos, documentos,
programas o sistemas
informáticos; o vendiere,
distribuyere, hiciere circular o
introdujere en un sistema
informático, cualquier
programa destinado a causar
daños.
CP, artículo 183, párrafo 2º
Figuras tipificadas

Vender, distribuir,
Alterar, destruir o
hacer circular o
inutilizar datos,
introducir en un
documentos,
sistema informático,
programas o
cualquier programa
sistemas
destinado a causar
informáticos
daños
Casos jurisprudenciales
Ataque sistema informático institución médica

Hechos

• Una empresa de sistemas presta servicios de outsorcing a una

institución medica.
• Un empleado de la empresa de sistemas altera el código fuente del
sistema y ocasiona alteraciones en historias clínicas y resultados de
laboratorios.

Estado del proceso

• El juez proceso penalmente al empleado.

• Hay que preguntarse qué responsabilidad penal podría corresponder
al director de la empresa y al gerente de sistemas de la institución
médica, dado que son los garantes de la integridad de las bases de
datos personales.
Delitos relacionados con bases de
datos
Art. 157 bis Código Penal (Ley

Acceder a un banco de datos a sabiendas e

ilegítimamente o violando sistemas de
confidencialidad y seguridad de datos

Prisión de
26.388)

Proporcionar o revelar ilegítimamente datos

registrados en un banco de datos personales
cuyo secreto estuviere obligado a preservar
un mes a
por disposición de la ley
dos años
Insertar o hacer insertar ilegítimamente
datos en un archivo de datos personales
Revelación de datos

Feldman, Adrián y otro (C.

Nac. Crim. y Corr., 2004)

El imputado tomó la información que conformaban la base de datos de una

empresa, para publicarlos en el portal de su propiedad de manera "trabajada".

La Cámara revocó el sobreseimiento en orden al delito contemplado en los

arts. 117 bis, 156 y 157 bis C. Pen., dado que si la base de datos de usuarios de
la empresa fue publicada en la página web, propiedad del imputado, la
responsabilidad penal de éste surge al menos ‘prima facie’, dado que resulta
poco creíble que la información encontrada en el portal de su propiedad haya
sido subida por error o de casualidad sin que nadie lo advierta.
Robo de identidad
El robo de identidad es un delito que comete una persona
que suplanta a otra mediante un ardid valiéndose de
documentación o datos personales de un tercero para
operar bancariamente, comprar bienes o contratar
servicios y cargárselos a la cuenta de quien es sustituido

Desde el punto de vista penal la entidad financiera es

víctima, pero desde la óptica civil su responsabilidad
profesional deriva de la falta de controles

Resulta insuficiente pretender que con la sola acreditación

de haberse falseado la identidad de quien ahora reclama,
la entidad emplazada queda liberada de toda culpa en el
acontecimiento dañoso

La negligencia del banco (o la entidad) resulta de

comparar la conducta obrada con la conducta esperable
de un profesional del negocio bancario. El estándar para
medir la culpa del banco es altísimo, puesto que se trata
de un profesional especializado en un negocio concreto
Robo de identidad
La entidad emisora de una tarjeta de crédito resulta responsable por los daños y
perjuicios padecidos por quien ha sido objeto del obrar antijurídico conocido como
de "robo de identidad"

Resulta relevante que la propia demandada haya reconocido que el demandante

) sufrió un robo de identidad

De instituciones como las empresas emisoras de tarjetas de crédito se pretende una

organización técnica y administrativa que permita evitar este tipo de inconvenientes
como en el caso el robo de identidad , ya que el accionante no puede impedir que
una persona distinta a ella se presente en el banco invocando su identidad, sino que
es la demandada quien debe verificar la identidad de las personas que se presentan,
y dar seguridad jurídica a sus potenciales clientes
 • Hacerse pasar por otro

Conducta • Obtener sus contactos bajo una apariencia falsa

• Brindar información falsa en perfil y muro atribuyendo dichos
o hechos a la persona a quien se ha robado la identidad.

Medios • Crear un perfil falso

• Hackear el perfil original

•Términos y Condiciones de Uso

•Uso indebido de la imagen de la persona
Normas •Injurias
•Acceso no autorizado a un sistema informático
•Fraude
Diseñar una política de seguridad de la información de la
empresa

Implementar medidas de seguridad de acceso a los

sistemas informáticos propios (claves, passwords, etc.)

Establecer niveles de seguridad

Capacitar a los CIOs o encargados de sistemas

Auditar sistemas informáticos a fin de detectar posibles

vulnerabilidades

Adecuar el reglamento de uso de herramientas

informáticas