martes, 22 de abril de 2008

La privacidad y la inseguridad de la información: Dos conceptos convergentes

Luego de conocer la reciente noticia que la Ley de Habeas Data fue devuelta por la Corte Constitucional por vicios de forma, nuevamente se genera incertidumbre sobre el tema de la protección de datos y sus implicaciones en el manejo de los mismos dentro y fuera del país.

En este escenario y luego de revisar un documento de investigación de la firma Forrester Research, donde se establece un clara distinción en lo que representa la seguridad de los datos y la privacidad de los mismos, es conveniente aclarar las mismas para comprender mejor este derecho constitucional que todo ciudadano frente a los registros de su información que puedan tener terceros.

El derecho constitucional de Hábeas Data consignado en el inciso primero del artículo 15 de la constitución política de Colombia, establece que “Todas las personas (…), tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. En este sentido, cada ciudadano tiene el derecho de solicitar su información particular consignada en medios informáticos para conocer, actualizar y rectificar la misma y asegurarse que ésta es utilizada conforme la autorización concedida para su uso.

Considerando lo anterior, los ciudadanos son los que deciden que se puede hacer con sus datos, con su información, pues en el contexto de una sociedad de la información, lo que nosotros somos o representamos, finalmente se materializa en un dato, en un registro. Queramos o no, la información fluye y muchas veces si nuestra autorización, por lo cual la inseguridad propia de los operadores de la misma, así como la falta de formalidad en una buena práctica de protección de la privacidad de la información, establecen un escenario donde no hay medidas que protejan al ciudadano, ahora en un contexto digital y global.

Para analizar esta problemática consideremos el documento denominado Guidelines on the protection of privacy and transborder flows of personal data (http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html), emitido por la OECD en septiembre de 1980, como una iniciativa internacional que establece una serie de principios para la protección de la privacidad de los datos personales.

Principios de la privacidad: (Traducción tomada de: Remolina, N. (2002) Data protection: panorama nacional e internacional. En Internet, Comercio Electrónico y Telecomunicaciones. Universidad de los Andes – Legis, pág.129)

1. Transparencia y franqueza: Debe haber una práctica general de franqueza con las persona acerca de las políticas para el tratamiento de la información personal. Deben existir métodos disponibles para establecer la existencia y naturaleza de información personal y los principales propósitos de su uso.

2. Especificación de propósitos: El propósito para la colección de información personal debe ser especificado en el momento del registro de la misma.

3. Limitación de la colección: La colección de información personal debe ser obtenida por medio de métodos legales y justos, además con el conocimiento y consentimiento del sujeto.

4. Limitación de uso: La información personal no debe ser revelada para usos secundarios sin el consentimiento del sujeto o de la ley.

5. Participación individual: Se debe permitir a las personas inspeccionar y corregir su información personal.

6. Calidad: La información personal debe ser exacta, completa y actual, además debe ser pertinente al propósito para el cual fue adquirido.

7. Seguridad: La información personal debe ser protegida con una seguridad razonable, salvaguardándola contra riesgos como son entre otros, acceso no autorizado, pérdida, destrucción, modificación, uso o revelación.

8. Responsabilidad: En toda organización que trate datos personales debe haber responsables por el cumplimiento de las políticas de privacidad y protección de datos personales.

Luego de revisar estos principios de la privacidad, se hace claro que esta buena práctica internacional aún está por desarrollarse en nuestro país, adicionalmente las implicaciones de esta directriz internacional en los temas de administración de la inseguridad de la información, pone de manifiesto en cada organización la necesidad y obligación de manejar los datos personales de cada uno de sus clientes.

En razón con lo anterior, la inseguridad de la información no solamente es un aspecto técnico ni administrativo, sino una responsabilidad legal clara y formal que la Constitución le exige a todos aquellos que manejen datos personales, pues se exponen derechos conexos de los ciudadanos como el derecho a la información, la honra y el buen nombre y la intimidad, como los bienes jurídicamente tutelables más significativos en este contexto.

Por tanto, el manejo de la inseguridad de la información no está supeditado a las áreas de tecnologías de información o seguridad de la información, sino que es una responsabilidad particular y colectiva, que inicia con una custodia propia e indelegable por parte de nosotros sobre nuestra información y se extiende a las organizaciones y sus decisiones y actividades que sobre ella se detallen.

En este sentido, no es posible pensar que la inseguridad de la información no es algo que me afecte, pues cada vez que rellenamos una encuesta, ofrecemos nuestros datos en una llamada, diligenciamos un formulario en el web, nuestra información estará expuesta a la inseguridad jurídica propia de un ambiente digital y a la inseguridad informática inherente al mecanismo que se utilice.

Recuerde: “No podemos alcanzar mayores niveles de seguridad informática en Internet, sin una adecuada administración de la inseguridad jurídica”.


Mayor información en:
http://www.oecd.org/document/18/0,2340,es_2649_34255_1815186_1_1_1_1,00.html
http://gecti.uniandes.edu.co/columna.html
http://gecti.uniandes.edu.co/revista.html

Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450007284&random=9392

No hay comentarios: