MEDIDA PROVISÓRIA Nº 1.124, DE 13 DE JUNHO DE 2022
Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e transforma cargos em comissão.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o art. 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:
La Asociación de Bancos (Asbanc) del Peru mostró su preocupación por la filtración de datos personales a través de las plataformas de las entidades del Estado enviando una carta a las autoridades. La brecha incluye datos personales como nombre, dirección y documento de identidad, datos familiares, bienes, saldo deudor, incluyendo la imagen de sus huellas digitales.
A raiz de estos reclamos la agencia peruana de datos dio inicio actuaciones de oficio.
COMUNICADO
La Autoridad Nacional de Protección de Datos Personales (ANPD) del Ministerio de Justicia y Derechos Humanos (MINJUSDH), a través de la Dirección de Fiscalización e Instrucción, ha iniciado acciones de fiscalización con el fin de determinar si se da trámite a un procedimiento sancionador contra quienes resulten responsables de obtener en forma irregular y difundir datos personales de ciudadanos, contenidos en los bancos de datos personales de titularidad del Reniec y otras entidades. El Centro Nacional de Seguridad Digital (PCM) ha dado cuenta de estos hechos de manera formal en el Comunicado N° 007-2022-PCM/SGTD recibido por el MINJUSDH este 20 de mayo de 2022.
La Autoridad ha detectado que se estarían utilizando las cuentas asignadas a diversas entidades públicas para comercializar los datos de identificación de las personas, por lo que se estarían vulnerando los principios de consentimiento y finalidad, al margen de la naturaleza delictiva de estas acciones. La investigación permitirá conocer los niveles de exposición de los datos personales. Los hallazgos se pondrán en conocimiento de la División de Investigación de Delitos de Alta Tecnología de la Policía Nacional del Perú y de las demás instancias competentes. De acuerdo a lo establecido en la Ley 29733, Ley de Protección de Datos Personales y su reglamento, una conducta como la descrita constituiría una infracción muy grave, por tratarse de una recopilación de datos personales mediante medios fraudulentos, desleales o ilícitos, cuya multa es de 50 UIT hasta 100 UIT.
La Autoridad insta a las entidades públicas y privadas que posean cuentas otorgadas por Reniec para acceder a información sobre la identificación de personas, a implementar herramientas que contribuyan al monitoreo periódico del correcto uso de las mencionadas cuentas. Asimismo, insta que instruyan a sus trabajadores sobre las obligaciones que demanda el acceso a datos personales y sobre las responsabilidades administrativas y penales que genera su mal uso.
Ninguna consultora o empresa privada que comercialice información sobre los datos del Reniec ha obtenido dicha data de forma lícita, de la fuente oficial, para esa finalidad. Quien acceda a sus servicios estará utilizando datos de origen ilícito. La ciudadanía debe permanecer alerta ante ofrecimientos para el acceso a información de bases de datos públicas o privadas.
El presidente de Costa Rica, Rodrigo Chaves, quien tomó posesión del cargo hace unas semanas, declaró estado de emergencia nacional en su país para hacer frente a ciberataques contra instituciones públicas.
Se trata del Decreto 43542. La norma dice que "Se declara estado de emergencia nacional en todo el sector público del Estado costarricense, debido a los cibercrímenes que han afectado la estructura de los sistemas de información de distintas instituciones del país".En el decreto, de siete artículos, se señala que la declaratoria de emergencia comprende todas las acciones, obras y servicios necesarios para "poder contener, solucionar y prevenir" nuevos ataques en contra de los sistemas de información del Estado.
En abril de 2022 el anterior Gobierno de Costa Rica confirmó un ciberataque en la plataforma digital del Ministerio de Hacienda, que llevó a que servicios aduaneros y de declaración de impuestos quedaran suspendidos temporalmente, así como el funcionamiento de sistemas financieros internos entre instituciones y de pago de planillas en entidades como el Tribunal Supremo de Elecciones (TSE) y el Ministerio de Educación, donde trabajan unos 85.000 funcionarios. Los ataques también tuvieron como objetivo el sistema de recursos humanos de la Agencia de Seguridad Social y el Ministerio de Trabajo.
El ciberataque habría sido ejecutado por un grupo denominado Conti. La semana pasada, el Gobierno de EE.UU. anunció una recompensa de hasta 10 millones de dólares para quien ofrezca información que permita identificar o ubicar a sus integrantes.
The IAPP Vanguard Award recognizes IAPP members each year who have scaled new heights in leadership, knowledge and creativity in the field of privacy. This year, for the first time, we have selected five winners, representing five regions of our global community (Asia, EMEA, Latin America, Oceania and North America). In this LinkedIn Live event, IAPP President and CEO J. Trevor Hughes, CIPP, talks with the winners of the most prestigious award in privacy.
To view this video on LinkedIn, click here. To access all IAPP LinkedIn Live videos, click here. Access the IAPP's LinkedIn profile here.
IAPP Vanguard Awards 2022
IAPP Vanguard Awards honor privacy professionals whose pioneering work is helping to shape the future of privacy and data protection.
The IAPP is pleased to present this 2022 Vanguard Award to an exceptional individual in each of the following regions: EMEA, Asia, Oceania, North America, and Latin America.
EMEA: Dan Or-Hof, Owner of Or-Hof Law and founding member of Strand Advisory.
Asia: Abhishek Tiwari, Manager of IT Advisory and Digital Consulting for KPMG.
Oceania: Anna Johnston, Principal with Salinger Privacy.
North America: Barbara Lawler, Chief Operating Officer and Senior Strategist at the Information Accountability Foundation.
Latin America: Pablo Palazzi, Partner at Allende & Brea.
Learn about the winners’ accomplishments and remarkable careers here.
ABOUT THE AWARDS
The IAPP recognizes five Privacy Vanguard Award winners, one from each of these geographical regions: EMEA, Asia, Oceania, North America (US and Canada) and Latin America (including Mexico). The winners will have demonstrated exceptional leadership, knowledge and creativity in privacy and data protection.
Winners are formally celebrated at special awards presentation ceremonies at the IAPP Global Privacy Summit, IAPP Europe Data Protection Congress, the ANZ Summit and Asia Privacy Forum. They receive distinctive IAPP keepsakes commemorating their achievements and are recognized in IAPP publications.
THANK YOU TO OUR 2022 JUDGES
Cathy Baena, CIPP/E, CIPM, FIP, Global Digital and Privacy Counsel, Glaxo Smith Kline
Maria Flores Sueiro, CIPP/E, CIPP/US, CIPM, CIPT, FIP, Global Data Protection Lead, RELX
Nick Ginger, CIPP/E, IPP/US, CIPM, FIP, Privacy Counsel at Major, Lindsey & Africa
Emma Pond, CIPP/E, CIPM, FIP, Director, Simply Privacy
Akarsh Singh, CIPP/E, CIPM, CIPT, FIP, CEO & Co-Founder, Tsaaro
ABOUT THE NOMINATIONS
THE IAPP VANGUARD AWARDS ARE NOW CLOSED UNTIL DECEMBER 2022.
Awards nominations are open at the beginning of each calendar year. The nomination of an individual should include a description of the nominee's work, including a short but detailed summary of specific projects or programs (s)he has worked on including innovative projects, substantiated savings, etc. Nominators are required to verify the accuracy of the information provided in the nominations they submit. Nominees may also be required to confirm their information.
Questions? Email awards@iapp.org
Mediante decreto 255 del 23 de febrero de 2022 en Colombia se reglamentaron las NORMAS CORPORATIVAS VINCULANTES en materia de tratamiento de datos personales.
El 6 de enero de 2022, el Congreso de Colombia profirió la Ley 2191 a través de la cual crea, regula y promueve la desconexión laboral, con el fin de garantizar el goce efectivo del tiempo libre y los tiempos de descanso, licencias, permisos y/o vacaciones para conciliar la vida personal, familiar y laboral.
El PEN envió un proyecto de ley al Congreso para aprobar el Acuerdo de Comercio electrónico del Mercosur. El proyecto de ley se puede consultar en este enlace.
Después de un data breach masivo que podría haber llegado a afectar a todos los ciudadanos de Argentina, y luego de 22 años de vigencia de la ley 25.326 de proteccion de datos personales, el RENAPER adopta Politica de protección (PP) de datos..
Lo bueno de la norma:
- el RENAPER se da una PP para regular sus datos personales.
- La PP sigue de cerca la ley 25.326.
- La PP establece claras obligaciones para amparar los datos.
- Se requiere se nombre un DPO para Renaper cfr. art. 25 de la PP (primer DPO del Estado?).
- Hay una norma especial para gestión de indicendes de seguridad.
Lo malo:
- la ley 25.326 está vigente desde el 2.000, es decir que el Renaper, que administra los datos de todos los ciudadanos, tardó 22 años implementar una PP (RENAPER ya contaba con una Política de seguridad de la información del año 2013 que no es lo mismo que una de datos personales).
- el hacking al RENAPEr ya ocurrió.
- la PP implementada podría haber evitado el data breach.
- no hay referencia a transferenica de datos personales en causas penales.
- no hay referencia a transferencia internacional de datos personales.
- el RENAPEr se arroga facultades de prohibir a otras dependencias crear una base de datos similar.
Resolución N° 23/021 del 08/06/2021
Se resuelve sobre la necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
Montevideo, 8 de junio de 2021.
VISTO: La necesidad de actualizar la Resolución Nº 4/019, de 12 de marzo de 2019, sobre los países u organizaciones consideradas adecuadas para las transferencias internacionales de datos, de conformidad con lo establecido por el artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
Prologo
La solicitud de mi amigo, el profesor Renato Jijena Leiva, de realizar un prólogo para el libro Tópicos de Derecho Informático que él ha coordinado constituye para mí una nueva oportunidad para manifestar públicamente mi gran afecto y máxima consideración académica hacia el autor y coordinador de esta obra.
El profesor Renato Jijena Leiva enseña Derecho Informático en la PUCV desde 1996 y debe ser considerado un pionero en la materia en su país. Bajo sus cursos han transitado infinidad de alumnos que luego terminan trabajando en empresas, o en la judicatura, o también dictando clases.
Quienes enseñamos Derecho Informático desde hace mucho tiempo disfrutamos poder ver cómo las nuevas generaciones van incorporando los conocimientos jurídicos que se enfocan en la regulación de la tecnología. Asimismo, venimos viendo cómo estas cuestiones han pasado de ser una “ciencia oculta” que pocos comprendían a algo que se aplica todos los días a las situaciones más banales.
En los últimos años los estudiantes de Derecho cuentan con la ventaja de ser “nativos digitales”, y de ver y usar a la tecnología como algo más rutinario que sus generaciones pasadas. Estoy seguro que sin duda eso va a influir en las reglas jurídicas que ellos mismos van a tener que desarrollar e inventar.
Por otra parte, la tecnologización y digitalización de la vida en sociedad, del comercio y de las empresas y sobre todo la presencia de Internet en todos los quehaceres hace que cada vez sean más frecuentes estas cuestiones jurídicas y se presenten en todas las ramas del Derecho.
Tal como explica en detalle el profesor Jijena Leiva en su introducción a esta obra, el Derecho Informático ha atravesado un largo camino de transformación desde la década de los “ochenta” y los “noventa” cuando sólo se dedicaba a las computadoras que ocasionalmente se conectaban a Internet (si tenían un modem de 2400 bps instalado) y a temas entonces incipientes como privacidad en bases de datos o protección legal del software. Hoy en día el Derecho de Internet, omnipresente y super-abarcador ha devorado al antiguo Derecho Informático y se extiende a cientos de cuestiones en todas las ramas del Derecho. A medida que todo se digitaliza, todo terminará pasando de alguna manera por el Derecho de Internet y de las nuevas tecnologías. Aparecen además nuevas manifestaciones de estas áreas jurídicas con fancy names como ser el Legaltech, el Fintech, el Insurtech e incluso el omnicomprensivo Regtech.
Más allá de las novedades que pueden tener estos nuevos términos, lo cierto es que con la pandemia del covid-19 la tecnología llegó para quedarse. Descubrimos a la fuerza las ventajas del trabajo a distancia, de las clases virtuales y de la posibilidad de dar y tomar cursos en forma remota en todo el mundo sin movernos del cómodo sillón de nuestra oficina (ahora nuestra casa). Esto también tiene sus problemas, pero si nos fijamos en las ventajas, el mundo tecnológico salió favorecido con la pandemia por el crecimiento exponencial que tuvo su uso. Todo esto incrementó los problemas legales relacionados con la tecnología y por eso los temas de esta obra son importantes.
Los temas sobre los que versan cada una de las memorias de esta obra son de los más variados y reflejan esta multidiversidad de aspectos característica del Derecho de Internet.
Así encontramos una nota sobre el interés público de los nombres de dominio, otra sobre la responsabilidad de los proveedores de Internet respecto a cuestiones de propiedad intelectual, otra sobre el software y otra sobre el cloud computing en la administración pública, y finalmente cuatro ensayos sobre protección de datos. Estos últimos tratan sobre protección de datos personales del trabajador, los principios y deberes de la ley actual de datos personales, las cookies bajo la ley chilena de datos personales y el GDPR y finalmente, la reciente reforma constitucional chilena en materia de datos personales.
En materia de datos personales Chile tiene una deuda pendiente desde hace tiempo para la aprobación de un plexo normativo moderno en materia de datos personales. Los proyectos van y vienen pero ninguno logra salir del Congreso para hacerse ley. Chile fue el primer país latinoamericano en aprobar una ley de privacidad relacionada con el mundo digital en el año 1999 y ya desde el año 1992 contaba con una obra de doctrina pionera que explicaba la protección de datos personales para América Latina cuando nadie por estos lugares todavía sabía bien lo que era regular el procesamiento de datos personales (ver Jijena Leiva, Renato, Chile, la Protección Penal de la Intimidad y el Delito Informático, Editorial Jurídica de Chile, 1992). A veces parece que ser los primeros no es garantía. En el otro extremo tenemos el ejemplo de Brasil que estaba atrasado con sus normas (salvo por haber acuñado el término habeas data en su Constitución) y que finalmente logró aprobar una ley muy compatible con el estándar internacional del GDPR o RGPD. Claro, ahora el desafío para Brasil está en implementar la ley y hacerla efectiva en el día a día, tema nada menor si se tiene en cuenta que en materia de datos personales hay una gran brecha entre el dicho y el hecho.
Es realmente interesante prologar una obra escrita por estudiantes de Derecho, que han investigado bajo la guía de un reconocido profesor de Derecho Informático. Uno puede ver cómo las ganas de descubrir si las reglas jurídicas, siempre detrás de la tecnología, cubren o no un nuevo fenómeno, afloran detrás de cada trabajo.
Creo que los estudios de derecho informático y de Internet, dan un poco de “aire fresco” a la formalidad que tienen las otras ramas del Derecho. Convengamos que muchos de nuestros sistemas jurídicos se basan en conceptos e institutos legales que tienen varios siglos de antigüedad, e incluso algunos se remontan al Derecho Romano. Es entendible entonces que las nuevas generaciones encuentren atractivo estudiar estos temas que son un claro desafío a las reglas existentes. Es entendible también que se preocupen por que el Derecho avance y recepte las nuevas tecnologías en la sociedad que les tocará vivir.
En fin, esta obra sirve para demostrar que las nuevas generaciones de juristas tienen mucho para aportarnos y que también podemos aprender de ellos, algo que siempre encuentro cuando leo una tesina o trabajo de un alumno de grado. Y también sirve para revalorizar el trabajo de los profesores en la materia, que ayudan a que estos trabajos vean la luz. Estos son los primeros intentos de investigar seriamente en pregrado sobre los temas actuales de las nuevas tecnologías. Bienvenidos los alumnos que se animan a internarse en las lagunas del Derecho Informático para encontrar nuevas islas.
Pablo A. Palazzi
Profesor de Derecho
Universidad de San Andrés
Director del Centro de Tecnología y Sociedad de la Universidad de San Andrés
Buenos Aires, julio de 2021