Derecho y NBIC

El Derecho de NBIC es una materia transversal, relacionada con tecnologías convergentes (Nanotecnologías, Biotecnologías, Tecnologías de la Información y ciencias Cognitivas). Enfatizan la creciente interconexión entre lo infinitamente pequeño (N), la creación de seres vivos (B), las máquinas pensantes (I) y el estudio del cerebro humano (C). Inciden en la ciencia y el derecho, tornando complejo establecer sus límites, desafíos y consecuencias económicas, político- sociales y éticas.

martes, 11 de febrero de 2014

DATOS PERSONALES Y GEOLOCALIZACION DE VEHICULOS DE EMPLEADOS

Este artículo pretende reaccionar a determinadas prácticas y normas promulgadas en el Perú sobre la materia y su relacion con la protección de datos personales y derecho de la informática, particularmente, algunos aspectos de la Ordenanza N° 1769 del Municipio de Lima, que regula el Sistema de Corredores Complementarios del Sistema Integrado de Transporte Público de Lima Metropolitana.

La geolocalización tiene dos aspectos bastante bien definidos: uno técnico y el otro jurídico. Este segundo aspecto debe contemplar normas relativas a la protección de datos personales y de derecho de la informática. En el Perú, estos aspectos han sido descuidados, o regulados impropiamente, mientras que Europa y particularmente Francia, se han dotado de instrumentos normativos necesarios a la proteccion de la persona humana.

“Los datos de localización son aquellos datos tratados en una red de comunicaciones accesibles al público”, así lo define la Directiva Europea 2002/58/CE.

La Comisión Nacional Informática y Libertades, CNIL, de Francia, ha definido las reglas de uso de la geolocalización de los asalariados, y en particular, la instalación y uso de dispositivos de geolocalización de vehículos automotores utilizados por empleados de instituciones privada o pública. La Deliberación N° 2006-067 del 16 de marzo de la CNIL adopto la Norma Simplificada N° 51 Geolocalización de Vehículos de Empleados.

El artículo se organiza, primero, en base al contenido de la Deliberación 2006-067 de la CNIL y de la Norma Simplificada N° 51; segundo, analiza los alcances propuestos sobre la Ordenanza N° 1769 del Municipio de Lima, particularmente, sobre tres artículos: Sustento de la comisión de infracciones, Art. 68, Titulo IV Infracciones y Sanciones; Acciones de Fiscalización, Art. 77[1], y Notificación, Art. 80, inciso 80.3[2], ambos del Título VI Procedimiento Sancionador. Finalmente, plantea algunas conclusiones y recomendaciones.

Parte I

A. DELIBERACION 2006-067 de la CNIL

La CNIL ha definido las reglas de uso de la geolocalización en la empresa en una Deliberación de fecha 16 de marzo 2006, relativa a la implementación de dispositivos destinados a geolocalizar los vehículos automotores utilizados por los empleados de una institución privada o pública.

LIMITACIONES

Ellas conciernen:

- Los empleados que disponen de una amplia autonomía de organización, tales como los representantes de ventas, visitadores médicos, vendedores a domicilio, etc.;

- La imposibilidad de vigilar a los empleados permanentemente.

INFORMACIÓN

Ellas conciernen:

- los desplazamientos en tanto tales;

- velocidad media;

- kilometraje.

En ningún caso, los datos deben permitir establecer la existencia de infracciones.

TRATAMIENTOS

La CNIL considera que las únicas finalidades admisibles son:

- La seguridad o la seguridad del propio empleado o de los bienes o vehículos de los cuales es responsable (empleados aislados, transporte de fondos y objetos de valor, etc.).

- Una mejor asignación de los recursos para la prestación de servicios a realizar en lugares geográficamente dispersos (intervenciones de urgencia, choferes de taxi, flota de reparaciones mecánicas, grúas, etc.)

- El seguimiento y la facturación de una prestación de transporte de personas o de mercancías o de una prestación de servicios directamente relacionados con el uso del vehículo (autobús escolar, limpieza de bordes de carreteras, limpieza de lodo, nieve, patrullas de servicio en la red de carreteras, etc.).

- El seguimiento del tiempo de trabajo, cuando éste no puede realizarse por otros medios.

Deben corresponder sólo para los fines declarados.

En lo concerniente a la duración de conservación, la CNIL distingue dos tipos de duración relativa:

- a la localización;

- a las horas de trabajo.

Para la primera categoría, el plazo es de dos meses; para la segunda, el plazo es de cinco años.

PRINCIPIO DE PROPORCIONALIDAD

Los desplazamientos controlados pueden incluir:

- La localización del vehículo;

- Los itinerarios;

- Los tiempos de desplazamientos;

- Las paradas.

La CNIL considera que conviene hacer una distinción entre:

- los vehículos de función;

- los vehículos profesionales.

Vehículos de Función

En la medida en que esos vehículos correspondan a un beneficio en especie, la CNIL recomienda la implantación de un conmutador que permita a los usuarios de desactivar la función de geolocalización con el fin de preservar la privacidad de las personas concernidas.

Vehículos Profesionales

Cuando el empleador autoriza el uso de estos vehículos para regresar a sus hogares, la CNIL requiere la instalación de un conmutador en condiciones similares a las exigidas para los vehículos de función.

OBLIGACIÓN DE INFORMACIÓN

Los empleados que se encuentran sujetos a una localización deben ser informados:

- del derecho general al derecho a la información;

- del derecho de desistimiento.

El derecho de desistimiento concierne los "datos de localización distintos de los datos de tráfico" referidos a los usuarios del servicio de geolocalización (Directiva 2002/58/CE, art. 9).

Tiene por objeto la posibilidad para la persona afectada de retirar su consentimiento en cualquier momento, de manera permanente o temporal por un medio simple y gratuito Avis 5/2005 del Grupo 29 de la Comunidad Europea, sobre el uso de datos de localización para los fines de provisión de servicios de valor agregado.

B. NORMA SIMPLIFICADA N ° 51

La Deliberación N º 2006-067 de 16 de marzo 2006, que establece una norma simplificada concerniente el tratamiento automatizado de datos personales realizado por las instituciones públicas o privadas destinada a geolocalizar vehículos utilizados por los empleados

Artículo 1:

Solo pueden beneficiar del procedimiento de declaración simplificado conforme a presente norma los tratamientos automatizados relacionados a la geolocalización de vehículos utilizados por los empleados de instituciones públicas o privadas que cumplan con las condiciones establecidas en los artículos siguientes.

Artículo 2: Fines del tratamiento

El tratamiento puede perseguir todo o parte de los fines siguientes:

a) el cumplimiento de una obligación legal o reglamentaria que impone la implementación de un dispositivo de geolocalización debido al tipo de transporte o de la naturaleza de las mercancías transportadas;

b) el seguimiento y la facturación de la prestación de transporte de personas o de mercancías o la prestación de servicios directamente relacionados con el uso del vehículo;

c) la seguridad o la seguridad del propio empleado o de las mercancías o vehículos de los cuales es responsable;

d) una mejor asignación de recursos para servicios a realizarse en lugares dispersos, particularmente en intervenciones de emergencia.

El tratamiento puede tener por finalidad accesoria la vigilancia del tiempo de trabajo, cuando este seguimiento no puede lograrse por otros medios.

Artículo 3: Datos tratados

Los datos tratados para los fines descritos en el artículo 2 son:

a) la identificación del empleado: prenombres, apellidos, direcciones profesionales, número interno, número de inmatriculación del vehículo;

b) datos sobre los desplazamientos de los empleados: datos de localización resultantes del uso de un dispositivo de geolocalización, histórico de los desplazamientos efectuados;

c) datos adicionales asociados a la utilización del vehículo: velocidad de circulación del vehículo número de kilómetros recorridos, duración de uso del vehículo, tiempo de conducción, número de paradas.

A menos que una legislación específica lo permita, el tratamiento de la velocidad máxima sólo puede efectuarse conforme al artículo 9 de la ley que prohíbe particularmente a las personas privadas de aplicar tratamientos que tengan por objeto revelar directamente datos relativos a las infracciones.

Artículo 4: Destinatarios de datos

Puede solamente dentro de los límites de sus respectivas atribuciones, ser destinatarios de datos personales tratados en el marco de un dispositivo de geolocalización las personas que, en el ejercicio de sus funciones, pueden legítimamente tener conocimientos en relación con el propósito del dispositivo, tales como las personas encargadas de coordinar , planificar o seguir las intervenciones , los responsables de la seguridad de los bienes transportados o las personas transportadas o , de personas, en su caso, el responsable de recursos humanos.

Artículo 5: Duración de conservación

Los datos relativos a la localización de un empleado no pueden ser conservados sino por una duración pertinente en consideración a la finalidad del tratamiento que ha justificado la geolocalización.

Respecto a los fines que pueden justificar la creación de un dispositivo de geolocalización una duración de dos meses se considera como adecuada.

Los datos de localización pueden ser conservados por un período superior a dos meses:

si una reglamentación específica la prevé;
si dicha conservación se requiere para fines de prueba de la ejecución de un servicio, cuando no es posible aportar la evidencia por otros medios. En ese caso, la duración de conservación se fija en un año, esta duración no obstaculiza una conservación superior en caso de controversia de servicios prestados;
si la conservación se lleva a cabo para mantener un histórico de los desplazamientos con fines de optimización de rutas, por un período máximo de un año.

En el caso de vigilancia de tiempo de trabajo, sólo los datos relativos a los horarios efectuados pueden mantenerse por un período de cinco años.

Artículo 6: Información y derechos de las personas

El responsable del tratamiento debe proceder, de acuerdo con las disposiciones del Código del Trabajo y la legislación aplicable a las tres funciones públicas[3], a la información y a la consulta de las instancias representativas del personal antes de la implementación de un dispositivo de geolocalización de los empleados.

Los empleados referidos deben ser informados individualmente, previamente a la aplicación del tratamiento de geolocalización, de la finalidad o finalidades perseguida(s) por el tratamiento, las categorías de los datos de localización tratados, de la duración de conservación de los datos de geolocalización que les conciernen, los destinatarios o categorías de destinatarios de los datos, de la existencia de un derecho de acceso y rectificación y de un derecho de oposición y de sus modalidades de ejercicio.

Los empleados deben tener la posibilidad de desactivar la función de geolocalización de los vehículos al final de su tiempo de trabajo, cuando estos vehículos pueden ser utilizados para fines privados.

Los empleados investidos de un mandato electivo o sindical no deben ser objeto de una operación de geolocalización cuando ellos actúan en el ámbito del ejercicio de su mandato.

Artículo 7: Seguridades

El responsable del tratamiento deberá tomar todas las precauciones necesarias para preservar la seguridad de los datos mencionados en el artículo 3 y, en particular, evitar que sean accesibles a personas que no tienen vocación a acceder a ellos.

Los accesos individuales a los datos de geolocalización debe efectuarse por un nombre de usuario y una contraseña individuales, renovadas periódicamente, o por cualquier otro medio de autenticación.

Artículo 8: Publicación

Esta decisión se publicará en el Diario Oficial de la República francesa.

[1] Art. 77. Son las acciones que realiza PROTRANSPORTE en la fiscalización de campo o gabinete, y de ser el caso, las entidades señaladas en el numeral 7.3 de la presente norma. En ambos casos, la fiscalización del Servicio a través de mecanismos electrónicos, computarizados o digitales también constituye una acción de fiscalización.

[2] 80.3 PROTRANSPORTE podrá establecer mecanismos de notificación escrita o virtual, tales como correo certificado, fax, correo electrónico o cualquier otro medio físico o virtual que permita comprobar fehacientemente su acuse de recibo y quién lo recibe, de acuerdo con lo dispuesto por la Ley Nº 27444, Ley del Procedimiento Administrativo General.

[3] De Estado, hospitalaria y territorial.

Parte II ORDENANZA N° 1769 DEL MUNICIPIO DE LIMA, QUE REGULA EL SISTEMA DE CORREDORES COMPLEMENTARIOS DEL SISTEMA INTEGRADO DE TRANSPORTE PÚBLICO DE LIMA METROPOLITANA. (A publicarse...

lunes, 10 de febrero de 2014

COMISION NACIONAL DE INFORMATICA Y LIBERTADES DE FRANCIA MULTA GOOGLE

El grupo restringido (formation restreinte)[1] de la Comisión Nacional de Informática y Libertades, CNIL aplica una multa de € 150.000 contra GOOGLE Inc[2].

08 de enero 2014

El 3 de enero 2014, el grupo de la CNIL impuso una multa de 150.000 euros contra GOOGLE Inc., por estimar que las normas de confidencialidad aplicadas por ella desde el 1ero de marzo 2012 no se ajustan a la ley "Informática y Libertades". Este grupo ordenó a Google de proceder a la publicación de una declaración sobre esta decisión en la página principal Google.fr, en el plazo de ocho días desde la notificación de la decisión.

El 01 de marzo 2012, Google decidió fusionar en una sola política individual diferentes normas de confidencialidad aplicables a sesenta servicios, incluyendo Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Debido a la cantidad de servicios en cuestión, casi todos los usuarios de Internet franceses se ven afectados por esta decisión.

El " G29 " grupo de las Comisiones Nacionales de Informática y Libertades, europeos, llevó a cabo un análisis de esta política de confidencialidad, llegando a la conclusión de que ésta no era compatible con el marco jurídico europeo, e hizo varias recomendaciones. No habiendo Google Inc. efectivizado éstas, seis autoridades europeas iniciaron en su contra procedimientos represivos, cada uno en sus ámbitos respectivos.

En este contexto, el 3 de enero de 2014, el grupo restringido CNIL emitió contra la compañía GOOGLE Inc. una multa de 150.000 euros, alegando que ésta no cumplió con varias disposiciones de la ley "Informática y Libertades. "

En su decisión, el grupo restringido considera que los datos sobre los usuarios de los servicios de Google en Francia y tratados por esta empresa constituyen datos personales. También señala que, contrariamente a lo que sostiene Google Inc., la ley francesa se aplica a los tratamientos, para ella, los datos personales de los usuarios residentes en Francia.

En cuanto al fondo, el grupo restringido no cuestiona la legitimidad del objetivo de simplificación perseguido por la Compañía al fusionar sus políticas de privacidad.

Sin embargo, el grupo considera que las condiciones de aplicación de esta política única son contrarias a las exigencias de la ley:

• La Compañía no informa suficientemente a sus usuarios sobre las condiciones y el tratamiento de datos personales. Por lo tanto, ellos no pueden entender, ni las finalidades de la colecta, no estando estas determinadas como lo exige la ley, ni la magnitud de los datos colectados a través los diferentes servicios. En consecuencia, ellos no están en condiciones de ejercer sus derechos, sobre todo de acceso, oposición o eliminación.

• La Compañía no respeta las obligaciones que le incumben de obtener el consentimiento de sus usuarios antes de instalar “cookies”, rastreadores, en sus dispositivos.

• Ella no establece la duración de conservación para el conjunto de los datos procesados.

• Ella se autoriza, finalmente, sin ninguna base legal, a proceder a la combinación de la integralidad de los datos que ella colecta sobre los usuarios a través del conjunto de sus servicios.

Estas conclusiones son similares a aquellas anteriormente tomadas por las autoridades holandesas y españolas de protección de datos en noviembre y diciembre 2013 en virtud de sus respectivas legislaciones nacionales.

La multa aplicada constituye la cantidad más alta hasta ahora aplicada por el grupo restringido. Ella se justifica por el número y la gravedad de las deficiencias detectadas.

Además, el grupo restringido ordenó a Google Inc. de proceder a la publicación de un comunicado en relación a la decisión en el sitio https://www.google.fr durante 48 horas, en el plazo de ocho días desde la notificación de la decisión. Esta medida de publicidad se explica por la amplitud de los datos colectados, así como por la necesidad de informar a las personas que no son capaces de ejercer sus propios derechos.

[1] Es la reunión de un grupo de seis (6) comisarios de la CNIL encargado de aplicar sanciones.

[2] Articulo traducido del enlace de la CNIL: http://www.cnil.fr/linstitution/actualite/article/article/la-formation-restreinte-de-la-cnil-prononce-une-sanction-pecuniaire-de-150000-EUR-a-lencontre/

La formation restreinte de la CNIL prononce une sanction pécuniaire de 150 000 € à l’encontre de la société GOOGLE Inc.

08 janvier 2014

Le 3 janvier 2014, la formation restreinte de la CNIL a prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la société GOOGLE Inc., estimant que les règles de confidentialité mises en œuvre par celle-ci depuis le 1er mars 2012 ne sont pas conformes à la loi « informatique et libertés ». Elle enjoint Google de procéder à la publication d’un communiqué relatif à cette décision sur la page d’accueil de Google.fr, sous huit jours à compter de la notification de la décision.

Le 1er mars 2012, Google a décidé de fusionner en une seule politique les différentes règles de confidentialité applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, etc. Du fait du nombre des services en cause, quasiment tous les internautes français sont concernés par cette décision.

Le " G29 ", groupe des CNIL européennes, a alors mené une analyse de cette politique de confidentialité, concluant que celle-ci n'était pas conforme au cadre juridique européen, et a émis plusieurs recommandations. La société Google Inc. n'ayant pas donné de suite effective à celles-ci, six autorités européennes ont engagé à son encontre des procédures répressives, chacune en ce qui la concerne.

Dans ce contexte, le 3 janvier 2014, la formation restreinte de la CNIL a prononcé à l'encontre de la société GOOGLE Inc. une sanction pécuniaire de 150 000 euros, estimant que celle-ci ne respectait pas plusieurs dispositions de la loi " informatique et libertés ".

Dans sa décision, la formation restreinte considère que, les données relatives aux utilisateurs des services de Google en France et traitées par cette société, sont bien des données à caractère personnel. Elle retient également que, contrairement à ce que soutient la société Google Inc., la loi française s'applique aux traitements, par celle-ci, des données personnelles des internautes résidant en France.

Sur le fond, la formation restreinte ne conteste pas la légitimité de l'objectif de simplification poursuivi par la société en fusionnant ses politiques de confidentialité.

Elle considère cependant que les conditions de mise en œuvre de cette politique unique sont contraires aux exigences de la loi :

La société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement.
La société ne respecte pas les obligations qui lui incombent d'obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux.
Elle ne fixe pas de durées de conservation pour l'ensemble des données qu'elle traite.
Elle s'autorise enfin, sans base légale, à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services.

Ces conclusions sont similaires à celles précédemment retenues par les autorités néerlandaise et espagnole de protection des données en novembre et décembre 2013, au regard de leur droit national respectif.

La sanction pécuniaire décidée constitue le montant le plus élevé prononcé jusqu'à présent par la formation restreinte. Elle se justifie par le nombre et la gravité des manquements constatés.

Par ailleurs, la formation restreinte a enjoint Google Inc. de procéder à la publication d'un communiqué relatif à cette décision sur le site https://www.google.fr, pendant 48 heures, sous huit jours à compter de la notification de la décision. Cette mesure de publicité s'explique par l'ampleur des données collectées ainsi que par la nécessité d'informer les personnes concernées, qui ne sont pas en mesure d'exercer leurs droits.