En el marco de un nuevo foro de la Cloud Security Alliance, el juez Pablo Casas y la abogada Johanna Faliero disertaron sobre el “conflicto” entre la computación en la nube y los datos abiertos, y las tensiones que surge en materia de protección de datos personales y seguridad en la información. Cómo se regula la cloud computing según el proyecto de reforma de la Ley de Habeas Data.
El capítulo argentino de Cloud Security Alliance (CSA) realizó nuevamente su evento anual, que reunió a especialistas de seguridad de la información de toda Latinoamérica, y en donde no faltó la “pata legal” a la hora de analizar los nuevos desafíos a los que se enfrenta la computación en la nube, en un contexto en el que crece la demanda de una mayor apertura de información al público por parte de los entes gubernamentales, que implica un mayor riesgo y conflictividad en materia de protección de los datos personales.
Uno de los paneles, titulado “Cloud Computing & Open Data Data Privacy & Infosecurity” que contó con la presencia del juez Penal, Contravencional y de Faltas nº 10, Pablo Casas, y la abogada especialista en protección de datos personales, Johanna Faliero, giró en torno al análisis de la regulación del tratamiento de la computación en la nube (cloud computing), en el marco del proceso de elaboración del proyecto de reforma de la ley de protección de datos personales, recientemente presentado en el Senado de la Nación.
Bajo la premisa de conciliar “diadas contrapuestas en la Justicia”, Ambos detallaron que el Anteproyecto de Reforma de la Ley 25.326 existe una definición de computación en la nube, que es definida como el modelo en el cual un tercero “brinda capacidad de infraestructura, plataformas o servicios de software para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicio”.
La política de “datos abiertos” u “open data” ofrece ventajas a la sociedad civil en materia de control, fiscalización, responsabilidad, y garantiza el principio de “in dubio pro petitor”, pero a su vez colisiona con garantías que protegen la privacidad de los datos, o “data privacy”, en su faz del derecho a la Intimidad, confidencialidad o autodeterminación informativa
Casas, titular del Juzgado Penal, Contravencional y de Faltas nº 10 brindó su experiencia en torno a la utilización de herramientas de cloud en el acceso a la información a través de la apertura de datos, como “un concepto de transparencia del sector público”, en particular el caso de #JusticiaAbierta, donde su Juzgado en particular publica en distintos medios el trabajo del tribunal, como resoluciones, CV de los integrantes o la agenda de audiencias de la semana.
A su turno, Faliero consignó que en la primera versión del artículo 26 del anteproyecto, que versa sobre el Tratamiento de datos que utilizan servicios de computación en la nube, prevé la exigencia de cumplimiento de principios y obligaciones como los de Responsabilidad solidaria del responsable de tratamiento ,Deberes de control (entre los que se incluyen políticas de protección, cambios, seguridad, derechos y control de accesos
La segunda versión acerca de las responsabilidades por el Servicio de tratamiento de datos personales “por medios tecnológicos tercerizados”, que fue la que finalmente llegó al Congreso, estipula que “el servicio de tratamiento de datos personales por medios tecnológicos tercerizados está permitido cuando se garantice el cumplimiento de los principios y obligaciones establecidos e la presente Ley”.
La inicativa prevé también que el responsable del tratamiento deba “realizar esfuerzos razonables para elegir un proveedor de servicios que garantice el cumplimiento de la presente Ley”, y que el “ responderá ante el titular de los datos y ante la autoridad de control por incumplimientos del proveedor”.
Ambos disertantes también se pronunciaron sobre la mayor preocupación existente en materia de incidentes de seguridad y las medidas que se han adoptado para abordar la problemática, en un contexto de “Creciente cibercriminalidad” y con la necesidad de “nuevas soluciones de seguridad”.
En el contexto de la charla, se remarcó la tensión que se genera entre estos dos elementos importantes que “hacen a la personas y la vida en democracia” como lo son la transparencia de los organismos estatales y la privacidad de los datos personales; o en lo más específico relacionado con la disertación, entre la transparencia y la seguridad informática.
En ese sentido, la política de “datos abiertos” u “open data” ofrece ventajas a la sociedad civil en materia de control, fiscalización, responsabilidad, y garantiza el principio de “in dubio pro petitor”, pero a su vez colisiona con garantías que protegen la privacidad de los datos, o “data privacy”, en su faz del derecho a la Intimidad, confidencialidad o autodeterminación informativa. Conecuentemente, nacen conflictos derivados de la necesidad de contar con el consentimiento del titular de los datos, o se abren nuevas problemáticas por el avance tecnológico y lo que significa la “masificación de actividad riesgosa” con el procesamiento automatizado de gran volumen de datos, conocido como “big data”
Faliero, que se encuentra trabajando en una tesis sobre la temática, desarrolló el concepto autodeterminación informativa como “parte integrante del concepto de los derechos humanos”, y llamó a elevar los estándares de exigencia respecto de los titulares de los datos para su tratamiento, señalando como “problemática” la inclusión de la “aceptación tácita” que prevé el proyecto de reforma de la Ley 25.326.
Se destacó entre otras cosas y a modo de conclusión, la importancia de continuar reflexionando acerca de la necesidad de entender y regular el tratamiento automatizado y masivo de datos, objetivamente como actividad riesgosa. En ese sentido señalaron la importancia de trabajar en la seguridad y la privacidad desde el diseño y por defecto como punto de partida conceptual.
Ambos disertantes también se pronunciaron sobre la mayor preocupación existente en materia de incidentes de seguridad y las medidas que se han adoptado para abordar la problemática, en un contexto de “Creciente cibercriminalidad” y con la necesidad de “nuevas soluciones de seguridad”.
El marco legal existente en Europa impone el deber de notificación y comunicación del incidente a las autoridades, en consonancia con el Nuevo Reglamento de Protección de Datos Personales. En el plano local, a su vez, se encuentra el anexo de la Resolución 47/2018 de la Agencia de Acceso a la Información Pública, que brinda un listado medidas de seguridad recomendadas para el tratamiento y conservación de los Datos Personales en medios informatizados, y que recomienda que ante Incidentes de seguridad se elaboren informes y envíen una notificación
“Dentro de las tensiones de las diadas propuestas respecto del “Cloud Computing & Open Data vs. Data Privacy & Infosecurity”, no puede descuidarse aspectos que hacen a la privacidad por diseño y defecto, anonimización de datos, entre otras, porque abierto no debe significar inseguro, la apertura debe ser robusta y con privacidad como base mínima en la construcción de una una cloud segura”, cocluyeron los especialistas.