Marco políticas por una internet abierta y de confianza

Share

27 de junio de 2018.   ParticipaciÓn de osvaldo larancuent en el Foro de “Privacidad y protección de datos en la sociedad actual organizado por El Centro de Análisis de Políticas Públicas (CAPP), que preside el diputado Ito Bisonó, celebró

A dicho foro fue invitado el Sr. Osvaldo Larancuent, presidente del capítulo Internet Society de la República Dominicana, para participar en el panel Ciberseguridad y Riesgos Cibernéticos en el que también participó el Sr. Daniel Robles de la empresa Cyborg; y la moderación del Sr. Cesar Moliné, director de Ciberseguridad en INDOTEL.

Al responder la primera pregunta del panel sobre: ¿cuáles considera que son buenas prácticas y/o enfoques técnicos, éticos y políticos para garantizar la protección a la privacidad y cómo se puede compaginar esta con la ciberseguridad?; Osvaldo explicó:

“La Internet Society (ISOC) promueve un internet para todos.  Pero internet debe ser un espacio que promueva el aprendizaje, la productividad, la innovación de forma confiable.  Para ello, dentro de sus acostumbradas recomendaciones en materias de políticas públicas, ha desarrollado el Marco de Políticas en Ciberseguridad para lograr una Internet abierto y que promueva la confianza; compuesta por cuatro ejes para desarrollar:

  • Confianza de los usuarios
    • Construir la confianza de los usuarios significa desplegar la infraestructura adecuada (redes de confianza), motivar a los usuarios para que protejan sus actividades (tecnologías para la confianza), establecer políticas apropiadas y generar un entorno receptivo que aborde de forma adecuada las preocupaciones justificadas (ecosistema confiable).
    • Los principios que apoyan la confianza de los usuarios son:
      • Derechos humanos
      • Confidencialidad en las comunicaciones
      • Privacidad
      • Protección del consumidor
      • Control sobre la información
      • Certeza legal
      • Ejecución y reparaciones
      • No discriminación
      • Controles e informantes
  • Redes de confianza
    • La clave de las redes de confianza es la responsabilidad colectiva y la colaboración. Esta es la noción de que todas las partes interesadas deben colaborar y compartir la responsabilidad para abordar las cuestiones de Internet.
    • Los principios que apoyan el desarrollo de redes de confianza son:
      • Seguridad
      • Conexión de Redes
      • Envíos de Confianza
      • Estándares Abiertos
  • Tecnologías para la confianza
    • Las tecnologías de confianza son importantes para reforzar la confianza en Internet, ya que son las herramientas técnicas que permiten a los usuarios de Internet comunicarse de forma privada (confidencialidad), conocer con quién se están comunicando (autenticación), saber que la información que están mandando o recibiendo no se ha alterado en tránsito (integridad), restringir el acceso a sus datos o comunicaciones (autorización) y conocer si se ha manipulado su dispositivo o tecnología (detección de manipulación y resistencia).
    • Los gobiernos deberían apoyar sus acciones sobre los siguientes principios:
      • motivar a los usuarios para que adopten sus propias medidas técnicas para proteger sus datos y sus comunicaciones en Internet;
      • incentivar el desarrollo y el acceso abierto a herramientas “fáciles de usar” que permitan a los usuarios comunicarse de forma confidencial;
      • estimular a los proveedores de servicios en línea para que ofrezcan a sus clientes soluciones integrales de cifrado.
  • Ecosistema confiable.
    • La confiabilidad del ecosistema de Internet surge a partir de la forma en que se desarrolló la red de redes y de sus procesos de gobernanza de múltiples partes interesadas, donde quienes se ven afectados por las decisiones tienen la oportunidad de ser parte de estas.
    • En esencia, la gobernanza de múltiples partes interesadas personifica: la transparencia, la inclusión, la responsabilidad compartida, incorpora la rendición de cuentas (accountability) y es eficaz en la resolución de cuestiones comunes a internet.
    • Los principios que apoyan el surgimiento de un ecosistema de confianza son:
      • Inclusión y transparencia
      • Responsabilidad compartida
      • Toma de decisiones e implementación eficaz
      • Colaboración mediante una gobernanza distribuida e interoperable”.

2. En relación con las bases de datos que los estados y el sector privado mantienen.  En su opinión:

a) ¿Considera que debería haber archivos o bases de datos personales cuya misma existencia sea secreta?

R. Como indicó la revista The Economist, los datos son el nuevo petróleo de nuestra época.  Sin embargo, quizás los datos sean más valiosos por dos capacidades existentes en la actualidad: 1) pueden ser analizados para identificar patrones de comportamiento e incluso predecir o influir en nuestras decisiones; 2) estos patrones se apoyan en algoritmos informáticos, esto es inteligencia artificial, que apoyada en la velocidad computacional facilita la toma de decisiones ágiles en lo que ha venido a denominarse sistemas expertos.  Nuestro país cuenta protege los datos de los usuarios como un derecho en la Constitución; y en la ley 172-13 sobre Protección Integral de Datos Personales. Pero la misma, como la mayoría de las leyes dominicanas en las que en la mayoría de los casos somos pioneros, quedan rezagadas ante la evolución y el avance de los tiempos. Desde el pasado mes de mayo, la Unión Europea inició la aplicación del nuevo Reglamento de Protección de Datos (GDPR por sus siglas en inglés) en la que eleva la responsabilidad de toda empresa que capture datos de sus clientes, ya sea en línea como de forma tradicional; recomendando una estructura organizacional alrededor de estas funciones, y comprometiéndolos a informar a los clientes de cualquier pérdida de ellos por ataques informáticos; así como principios de portabilidad de los datos. Figuras que deberán ser incorporadas próximamente en nuestras leyes.
Precisamente la GDPR plantea que debe haber un órgano regulador donde se las empresas deban registrarse para identificar los tipos de datos que capturan, las políticas sobre el tratamiento que dan a los mismos, entre otros elementos.
Con relación al secreto, siempre tiene sus limitaciones, pues lo importante es que solo pueda ser revelado por una orden expresa emitida por un juez, basado en los procedimientos que establecidos.

b) ¿Cuáles mecanismos o recursos entienden que debe tener una persona para descubrir qué información sobre él o ella está en un archivo o bases de datos y cómo se usa?
R. La mejor forma sería que el organismo u agencia gubernamental a cargo del rol establecido por ley, facilite una búsqueda restringida a los propietarios de los datos para que conozcan las entidades que están manejando información; pero también a quiénes facilitan el acceso a terceros, notificando al cliente afectado sus identidades; similar a como se aplica al sector financiero y los burós de crédito específicamente.

c) ¿Cuáles mecanismos o recursos consideran que debe tener una persona para evitar que la información sobre él o ella obtenida para un propósito se use o se ponga a disposición para otros fines sin su consentimiento?
R. La ley 172-13 ya establece un mecanismo a este respecto, sin embargo, debe revisarse pues se está aplicando especialmente para el sector financiero. Lo que requiere sea expandida a sectores sensibles como los de salud, telecomunicaciones, servicios tecnológicos, entre otros.

d) ¿Cuáles mecanismos o recursos consideran que debe tener una persona para corregir o modificar un archivo o base de dato que contenga información identificable sobre él o ella?
Todo dominicano tiene derecho constitucional para proteger su buen nombre, dignidad; por ello las diferentes entidades que gestionan su información deben facilitarle al cliente la capacidad para acceder a las mismas; y si no está de acuerdo con el contenido, hacer un reclamo, que le permita corregir lo incorrecto.

3. Respecto de los riesgos cibernéticos ¿Favorece un enfoque de regulación o de auto-regulación para el Estado, operadores de infraestructura crítica y sector privado? ¿Cuáles estiman que son las ventajas o desventajas de cada uno de estos modelos?
R. La ISOC promueve la auto-regulación, especialmente a través de un dialogo de múltiples partes interesadas, en especial los gremios, que deben promover políticas internas en la materia. Sin embargo, debe existir un marco legal amplio y multisectorial que establezca los principios fundamentales que protejan los datos del ciudadano.

4. ¿Cuáles entienden que deben ser las obligaciones en cuanto a la seguridad de los propietarios de los archivos y bases de datos?
R. La credibilidad de los tenedores de datos es fundamental para la creación de confianza. Pues esta se fundamenta también en una cadena de valor cuyo ecosistema debe velar por el respeto a la ley y los principios que esta enarbole.

5. ¿Cuáles entienden que son innovaciones tecnológicas o tecnologías que pueden ayudar a crear un balance entre la ciberseguridad y la privacidad?
R. Este balance es muy inestable, precisamente por la aceleración en la innovación tecnológica. Sin embargo, cada vez más se promueven principios de seguridad desde el mismo diseño de dichas innovaciones, de tal forma que ya cumplan con principios como los enarbolados más arriba que protejan la información de los clientes, la integridad y consistencia de estos datos, su privacidad, entre otros.

6. En cuanto a prácticas y políticas de ciberseguridad que puede implementar el sector privado, ¿cuáles entiende que son buenas prácticas para ser implementadas en el país?
R. Ante todo las organizaciones deben contar con un personal técnico formado en las mejores prácticas sobre la seguridad informática tal como el estándar ISO-27000 y relacionados. También deben formar a su personal sobre los riesgos potenciales; adquirir y facilitar herramientas que promuevan la integridad de los datos como son las firmas digitales; así como la privacidad aplicando el cifrado para prevenir; y finalmente a sus clientes para que sepan las prácticas que vienen adoptando para proteger sus datos, evitar puedan ser víctimas de criminales y tomen decisiones con la información oportuna.

El foro se desarrolló en cuatro paneles el primero sobre Protección de Datos y Gobierno Abierto con la participación de José La Luz; diputado al Congreso Nacional, y Víctor Herrera; asesor del Parque Cibernético de Las Américas. En el segundo panel abordaron sobre Ciberseguridad y Riesgos cibernéticos Osvaldo Larancuet Cueto; Presidente de Internet Society República Dominicana, el general Licurgo Yunes Pérez; Director de la Policía Nacional, Daniel Elías Robles; Consultor de Seguridad de la Información, Cyborg Consultores.  En el tercero: Jaime Ángeles, presidente del bufete Ángeles-Pons, Attorneys in Law; Maria Waleska Álvarez, presidenta ejecutiva del Nap del Caribe; la magistrada Esther Agelán Casasnovas, jueza de la Suprema Corte de Justicia.

También participo como orador ex presidente del consejo directivo del Instituto Dominicano de las Telecomunicaciones (INDOTEL) Jose Del Castillo Saviñon.

Share