Nuevas Tendencia de regulación en Tecnología de la Información. Andrés Pumarino M. Abogado

Transcripción

1 Nuevas Tendencia de regulación en Tecnología de la Información Andrés Pumarino M. Abogado 1

2 Temario Nueva ley de propiedad intelectual (2010) Reforma a la Ley de protección de la vida privada (2010) Proyecto de Ley de protección de la vida privada (2012) Aspectos legales del cloud computing Comentarios 2

3 Nueva Ley de Propiedad Intelectual 24 mayo pilares básicos para cautelar los derechos de autor: 1. El establecimiento de un nuevo sistema de excepciones y limitaciones; 2. el endurecimiento de las sanciones, creando nuevos delitos para sancionar los abusos contra la propiedad intelectual; 3. y la regulación de la responsabilidad de los proveedores de servicios de Internet en este ámbito. Entre las excepciones se puede mencionar, por ejemplo, que el derecho de cita ya reconocido en la ley actual, se amplía para permitir las citas de fragmentos de obras cuando se realicen con fines de crítica, ilustración, enseñanza e investigación. 3

4 4

5 Usos programas computacionales Usos autorizados de programas computacionales (nuevo art. 71 Ñ) No se requiere autorización del autor o titular ni pago de remuneración alguna. Usos permitidos: -Adaptación o copia esencial para el uso y respaldo -Ingeniería inversa para lograr compatibilidad operativa o fines de investigación y desarrollo -Pruebas, investigación o corrección de funcionamiento o seguridad de programas Condiciones: -Adaptaciones obtenidas no pueden transferirse sin autorización del respectivo titular y copias no pueden transferirse sin que se haga en conjunto con el ejemplar que sirve de copia matriz -La información obtenida de ingeniería inversa no puede usarse para producir o comercializar un software similar en infracción de la ley de propiedad intelectual -La información obtenida de pruebas, investigación o corrección de funcionamiento o seguridad sólo puede utilizarse para tal fin 5

6 Responsabilidad de los ISP Responsabilidad de los ISP, se establece un sistema para determinar cuando existe responsabilidad de los proveedores que dan acceso a Internet frente a posibles infracciones a derechos de autor por parte de determinados usuarios, y para tales efectos se fija un procedimiento judicial para fijarlo. Es decir, más que buscar responsabilidad de los usuarios y solicitarles a las ISPs qe bajen los contenidos, se establece la forma de exigir responsabilidad a ISP en caso de omisión o no cumplimiento de ciertos mandatos judiciales 6

7 El Interés del Poder Ejecutivo Se incorpora una obligación específica establecida en el Tratado de Libre Comercio suscrito con Estados Unidos y porque consagra el principio de colaboración entre el proveedor de servicios y el titular de los derechos de autor, que debe orientar todas las normas de limitación de responsabilidad de los proveedores de servicios de internet. Si se elimina este inciso se perdería el principio de colaboración y el objetivo de prevenir un daño al titular de los derechos por colocar a disposición de todos su obra a través de internet. que si hay una medida ágil de colaboración, como la que plantea el inciso segundo del artículo 85 T se puede aminorar y prevenir un daño mayor. 7

8 Ley de neutralidad de internet 26 agosto 2010 La discusión respecto de la neutralidad de la red es para algunos una disputa entre operadores de redes y proveedores de contenidos, productos y servicios en la Internet (Google, Yahoo, MSN, etc) acerca de la capacidad que puedan tener los primeros para cobrar a los segundos por el uso de la red. 8

9 Objetivos de la ley Evitar la discriminación arbitraria, impedir que se favorezcan a algunos proveedores respecto de otros. Mejorar la información a los consumidores ya que la información actual es muy pobre. Establecer una regulación mínima que garantice que las velocidades contratadas se parezcan a las velocidades reales, Establecer la facultad de los usuarios de Internet para reclamar acogiéndose al procedimiento de reclamo contemplado en la Ley General de Telecomunicaciones. 9

10 Reforma ley Principio finalidad del dato 17 de Febrero 2012 Los registros o bancos de datos pueden comunicar aquella información referida a obligaciones de carácter económico, financiero, bancario o comercial, cuando éstas cumplen los siguientes requisitos: Consten en letras de cambio y pagarés protestados. Consten en cheques protestados por falta de fondos, por haber sido girados contra cuenta corriente cerrada o por otra causa. Sean obligaciones derivadas de mutuos hipotecarios y de préstamos o créditos de bancos, sociedades financieras, administradoras de mutuos hipotecarios, cooperativas de ahorros y créditos, organismos públicos y empresas del Estado sometidas a la legislación común, y de sociedades administradoras de créditos otorgados para compras en casas comerciales. 10

11 Se trate de otras obligaciones de dinero que determine el Presidente de la República mediante decreto supremo, las que deberán estar sustentadas en instrumentos de pago o de crédito válidamente emitidos, en los cuales conste el consentimiento expreso del deudor u obligado al pago y su fecha de vencimiento. 11

12 Principales cambios Sólo permite el tratamiento de estos datos para la evaluación de riesgo comercial y para el proceso de crédito y dispone que su comunicación puede efectuarse, exclusivamente, al comercio establecido y a las empresas que se dedican a la evaluación de riesgo. Prohíbe exigir estos datos para trámites de selección de personal, admisión pre escolar, escolar o de educación superior, atención médica de urgencia o postulación a un cargo público. Permite al titular de los datos requerir a los distribuidores la información personal contenida en ellos para fines distintos a los permitidos, en cuyo caso recibirá un certificado para fines especiales, el que contendrá sólo las obligaciones vencidas y no pagadas del solicitante. 12

13 Impide comunicar la información relacionada con obligaciones repactadas, renegociadas o novadas, o éstas se encuentren con alguna modalidad pendiente. Asimismo, prohíbe comunicar la información relacionada con deudas contraídas con concesionarios de autopistas por el uso de ésta. Se establece el deber de los distribuidores de datos económicos, financieros, bancarios y comerciales de disponer de un sistema que registre el acceso y entrega de los antecedentes contenidos en ellos, que individualice el nombre de quien los ha requerido, el motivo, la fecha y la hora de la solicitud. Permite al titular de los datos poder solicitar a los distribuidores, gratuitamente y cada cuatro meses, la información contenida en este registro de acceso y entrega referida a sus datos personales. 13

14 Introduce mecanismos destinados a facilitar el ejercicio de los derechos de los titulares. En este sentido: Se invierte la carga de la prueba, estableciendo la obligación del distribuidor o responsable de los registros o bancos de datos de probar ante el juez que dio cumplimiento a las normas que rigen el tratamiento y comunicación de datos; y Se establece la obligación de los distribuidores de designar una persona natural encargada del tratamiento de datos, frente a la cual los titulares de datos puedan hacer efectivos los derechos reconocidos en la ley, sin perjuicio de su facultad de iniciar las acciones legales que esta misma reconoce. 14

15 Perdonazo Por única vez, se borrarán las obligaciones totales impagas que informe el registro hasta el 31 de diciembre de 2011, siempre y cuando el deudor registre deudas totales impagas por un monto inferior a $ , por concepto de capital, excluídos intereses, reajustes o cualquier otro rubro. 15

16 Proyecto de Ley Protección de datos Boletín Introduce modificaciones a la ley sobre protección de la vida privada y protección de datos de carácter personal. Origen: Cámara de Diputados Ingresado el 11 de enero de

17 Objetivo del proyecto de ley Establece protección de datos sin importar el soporte en que consten siempre que permitan su tratamiento por entidades privadas o públicas, vinculando dicha protección con el legítimo ejercicio del derecho de protección de la vida privada. Se elimina el art. 1 la excepción que se efectúe al tratamiento de datos que se realice en ejercicio de las libertades de emitir opinión y de informar. Se elimina la norma general que permite que toda persona efectúe el tratamiento de datos personales, siempre que dicho tratamiento fuere hecho de manera concordante con la ley en el pleno ejercicio de derechos fundamentales de los titulares. 17

18 Consentimiento previo Se modifica el art. 2 relativo a la definición de ciertos conceptos. El más importante es la incorporación de un nuevo literal P) Consentimiento del titular como toda manifestación expresa de voluntad efectuada de manera libre, inequívoca e informada, mediante la cual el titular acepta el tratamiento de datos personales que le concierne. El nuevo art. 4 establece que el consentimiento debe ser previo y constar en cualquier medio físico o tecnológico, pudiendo ser éste revocado en cualquier momento por el otorgante. Además, establece un listado taxativo de excepciones que autorizan el tratamiento de datos personales sin que medie consentimiento previo del titular, sin perjuicio que deba tener conocimiento posterior de que sus datos son objeto de tratamiento autorizado por ley. 18

19 Datos Sensibles Datos Sensibles. Estos sólo pueden ser objeto de tratamiento con el consentimiento expreso, escrito, previo y específico de su titular, cuando lo permita la ley o cuando sea necesario para otorgar beneficios de salud. Se introduce un nuevo artículo 3, los principios de protección de datos reconocidos por la OCDE siendo estos, el principio de proporcionalidad, de calidad de los datos, de especificación del propósito o finalidad, de limitación de uso, de seguridad de los datos, de acceso y oposición de su titular, y de transparencia, cuya aplicación práctica se realiza mediante la modificación de varios artículos. 19

20 Art. 4 B - Principios Debe de comunicar al titular de los datos personales las condiciones bajo las cuales se le solicita su información personal. El responsable tiene el deber de informar al titular de forma clara la existencia de un registro o base de datos personales. La finalidad de la recolección de datos y el carácter obligatorio o facultativo de la entrega de los datos que se le soliciten entre otras. Lo anterior va acompañado con un sistema de advertencias en la recolección electrónica de los datos. 20

21 Derecho a la información Obligación de los receptores de datos personales desde terceros no titulares, de disponer de un historial de transmisiones, cesiones o transferencia que le permita al titular obtener información de los datos objeto del tratamiento. Respecto de los derechos de las personas respecto del tratamiento de datos personales, se establecen entre otros, el derecho de acceso a la información que exista sobre él en registros o bases de datos públicos o privados de forma gratuita una vez al año, derecho de acceso así como los derechos de rectificación, cancelación y oposición que el titular puede ejercer contra el responsable de base de datos. 21

22 Información de origen de los datos La transferencia de datos personales al extranjero sólo puede realizarse si las partes de la transferencia establecen garantías y obligaciones aplicables al receptor de los datos para hacerle exigible el cumplimiento de lo dispuesto en la ley, pudiendo a su vez las partes adoptar modelos de prevención en infracciones a la ley, acreditados por empresas certificadoras. Tolo lo anterior, es para asegurar al titular de que quien envíe sus datos al exterior será siempre responsable de que el tratamiento cumpla con lo dispuesto en la ley, procediendo la correspondiente indemnización al afectado en caso de incumplimiento. 22

23 Deber de informar El proyecto de ley prohíbe el tratamiento de datos personales de niños, salvo que sean indispensable para su identificación o en caso de urgencia médica, los que sólo podrán otorgarse con el consentimiento específico de quien ejerce su cuidado persona. Los adolescentes, únicamente se prohíbe el tratamiento de sus datos sensibles, pudiendo sólo otorgarse con consentimiento específico de quien ejerce su cuidado personal a los responsables del tratamiento de datos, aplicándose respecto del resto de los datos personales, la regla general para los adultos, pero con autorización de quien tiene el cuidado personal. 23

24 Datos de niños y Adolescentes Se establece la obligación a los establecimientos educacionales y a quienes ejerzan el cuidado personal de velar por la protección de la información de los niños y adolescentes que se encuentren bajo su cuidado. Se establece un nuevo procedimiento de reclamo judicial, estableciéndose un reclamo en consideración a la calidad de públicos o privados del organismo sujeto pasivo del reclamo. En caso de infracciones de organismos públicos, el afectado podrá reclamar ante el Consejo para la Transparencia, siendo reclamable la resolución del Consejo ante la Corte de Apelaciones correspondiente. Respecto de reclamaciones contra privados, el afectados podrá promover un entendimiento voluntario a través del Sernac, en forma previa al ejercicio de acciones sancionadoras e indemnizatorias ante el juez civil. 24

25 Sanciones Entre los temas de prevención están la autodenuncia para el infractor que denuncie infracción al Sernac, informando el cese inmediato del hecho que constituye la infracción y proponiendo bases de reparación a afectados y la atenuante pro prevención si el infractor acredita haber dado cumplimiento a sus deberes de dirección y supervisión para la protección de los datos personales, lo cual se demostraría mediante el otorgamiento de un certificado por una empresa certificadora de cumplimiento. 25

26 Prevención e incentivos a la autorregulación Otro elemento por parte del infractor, de propuestas de acuerdos sujetos a aprobación judicial y del Sernac, que contengan alternativas de solución para todos los titulares afectados por la misma situación. Las empresas certificadoras podrá ser de auditoría externa, sociedad clasificadora de riesgo u otra entidad acreditada por el SERNAC, las que serán inscritas en un registro electrónico que llevará el Servicio previo pago del correspondiente arancel. 26

27 Contrato de certificación de prevención Se establece un contrato a ser suscrito entre la empresa certificadora de cumplimiento y el responsable de tratamiento de datos, que requiere de sus servicios denominado contrato de certificación en el que se especificarán todos los derechos y obligaciones necesarias para cumplir con lo dispuesto en esta ley. Contratos en los que la empresas certificadoras será responsables de culpa levísima, no pudiendo a su vez, contener cláusulas de exención de responsabilidad para la certificadora. 27

28 Cloud Computing La Nube 28

29 Modelos de prestación de servicios a través de la nube (I) Infraestructura como servicio: Forma más simple de externalizar. (Outsourcing) Alquiler de almacenamiento y capacidad de computación. El Usuario instala y utiliza las aplicaciones de informáticas de su elección. Deslocalización de los servidores puestos a disposición del usuario. Puesta a disposición del Usuario de los recursos en función de sus necesidades. Cobro, según el consumo real de capacidad. 29

30 Modelos de prestación de servicios a través de la nube (II) Software como servicio : Software a través de internet El proveedor tecnológico se encarga de la instalación, mantenimiento y configuración de sistemas operativos y aplicaciones. El software podrá estar ubicado en cualquier parte y podrá ser utilizado por cualquier cliente. Suministrado, por regla general, a muy bajo costo. 30

31 Modelos de prestación de servicios a través de la nube (III) Plataformas como servicio: Plataforma para el desarrollo de aplicaciones informáticas utilizando una plataforma de programación en la nube. Abarca, generalmente, todo el ciclo completo de la vida de una aplicación, permitiendo que el programador diseñe, analice, desarrolle, teste, documente y ponga en marcha aplicaciones todo en un sólo proceso. 31

32 Clasificaciones de la Nube Pública Son gestionadas y pertenecen a terceros, se encuentran fuera de las instalaciones del usuario. Acceso por todo tipo de Usuarios 32

33 Clasificaciones de la Nube Privada: Se denominan también: Nube Interna o corporativa. Acceso restringidos a los miembros de una organización. Utilizadas por aquellas organizaciones que quieren tener un control mayor sobre su información. Puede estar gestionada por la propia organización o por un tercero. Puede estar ubicadas en las instalaciones de la organización o en la de un tercero Híbrida o mixta: Combinación de los anteriores. La que será utilizada con mayor frecuencia por las empresas. 33

34 Riesgos: Un uso y abuso del cloud computing pone en riesgo a la organización. Les Recomiendo revisar el documento de la Cloud Security Alliance 34

35 Aspectos Contractuales Cláusulas más habituales: Modelo Contractual Condiciones Generales: Contrato de adhesión El receptor de los servicios deberá equilibrar: Los riesgos que supone la utilización del servicio El ahorro financiero La usabilidad del servicio Contratos negociados En la medida en que los servicios se vayan haciendo más complejos las partes podrán negociar un contrato a medida Las partes deberán asegurarse de que el contenido del contrato se ajusta a sus necesidades: Durante la vigencia del contrato En el momento de la resolución Deberá contar con los mecanismos correspondientes que permitan la minoración de los riesgos 35

36 Aspectos Contractuales: Cláusulas más habituales Condiciones de Uso del Servicio Finalidades a la que va a destinarse la información alojada en la nube Responsabilidades respecto de la gestión de la Información alojada en la nube Prohibición del Usuario de alterar el Servicio Uso de la información que pudiera suministrar el proveedor Confidencialidad Finalidades autorizadas Posibilidad de revender y sublicenciar el Servicio Cesiones a terceros Condiciones relativas a la exportación de servicios y productos 36

37 Aspectos Contractuales: Cláusulas más habituales SLA Los servicios objeto de prestación por parte del proveedor. Instrumentos a emplear para poder medir el cumplimiento del servicio y los recursos utilizados por el usuario. El nivel de disponibilidad y las circunstancias controladas o no que pueden dar lugar a la falta de cumplimiento de los niveles de servicio pactadas. Exclusiones del ámbito de aplicación del SLA: Servicios no comprendidos Situaciones fuera del control del prestador de servicios: Casos de Fuerza Mayor Problemas relacionados con las redes de telecomunicaciones Paradas programadas En tanto que se va a producir cierta escalabilidad en la asignación de recursos y que durante los procesos de escalado se producen incumplimientos del SLA es preciso determinar cuales son los parámetros que se van a tener cuenta durante esas fases a la hora de valorar si se ha producido la efectiva prestación de los servicios. 37

38 Recomendación Según lo analizado en esta presentación podemos señalar que el referente es Cobit. No dice el cómo, sino en qué hay que fijarse, para gestionar adecuadamente las TI, pero sin perder de vista el cumplimiento y el desempeño, podemos decir que son posturas complementarias. 38

39 Sitios recomendados Podrán encontrar más información sobre los temas tratados, en los siguientes sitios web:

40 Nuevas Tendencia de regulación en Tecnología de la Información Andrés Pumarino M. Abogado 40