[lac-discuss-es] RV: [ALAC-Announce] ICANN News Alert -- ICANN Seeks Public Comment on 2013 RAA Data Retention Specification Data Elements and Legitimate Purposes for Collection and Retention

Alberto Soto asoto en ibero-americano.org
Jue Mar 27 03:58:46 UTC 2014


Aída y todos. Nuestras leyes (Uruguay y Argentina), están inspiradas en la
LSI española, así que pueden diferir algo en la forma, pero no en el fondo.
La Ley Argentina de Protección de Datos Personales no habla de retención de
datos en comunicaciones. Sí,  hubo una ley sobre este último tema, pero fue
dejada en “suspensión” por las numerosas críticas recibidas.

La Ley argentina es la Nro 25326, que también define datos personales
(información de cualquier tipo referida a personas físicas o de existencia
ideal determinadas o determinables; y  Datos sensibles ( Datos personales
que revelan origen racial y étnico, opiniones políticas, convicciones
religiosas, filosóficas o morales, afiliación sindical e información
referente a la salud o a la vida sexual). 

También define “Tratamiento de datos: Operaciones y procedimientos
sistemáticos, electrónicos o no, que permitan la recolección, conservación,
ordenación, almacenamiento, modificación, relacionamiento, evaluación,
bloqueo, destrucción, y en general el procesamiento de datos personales, así
como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.”

Respecto de la seguridad de la información, nuestra Ley dice: 1. El
responsable o usuario del archivo de datos debe adoptar las medidas técnicas
y organizativas que resulten necesarias para garantizar la seguridad y
confidencialidad de los datos personales, de modo de evitar su adulteración,
pérdida, consulta o tratamiento no autorizado, y que permitan detectar
desviaciones, intencionales o no, de información, ya sea que los riesgos
provengan de la acción humana o del medio técnico utilizado.

2. Queda prohibido registrar datos personales en archivos, registros o
bancos que no reúnan condiciones técnicas de integridad y seguridad.

Respecto de la   confidencialidad:  1. El responsable y las personas que
intervengan en cualquier fase del tratamiento de datos personales están
obligados al secreto profesional respecto de los mismos. Tal obligación
subsistirá aun después de finalizada su relación con el titular del archivo
de datos.

2. El obligado podrá ser relevado del deber de secreto por resolución
judicial y cuando medien razones fundadas relativas a la seguridad pública,
la defensa nacional o la salud pública.

Respecto de la Cesión de Datos: 1. Los datos personales objeto de
tratamiento sólo pueden ser cedidos para el cumplimiento de los fines
directamente relacionados con el interés legítimo del cedente y del
cesionario y con el previo consentimiento del titular de los datos, al que
se le debe informar sobre la finalidad de la cesión e identificar al
cesionario o los elementos que permitan hacerlo.

Luego de esta larga introducción, debo coincidir contigo prácticamente en
todo. 

Entiendo que tanto un Registrador como un Registrante, tienen (o deberían
tener!) una infraestructura  tecnológica adecuada a las necesidades. Es
decir que tienen un adecuado sistema de seguridad de la información, con
separaciones entre sus servidores de áreas administrativas y de producción,
inclusive de desarrollo de sistemas si es que tienen esta área.  Además de
su red interna de comunicaciones, separadas y sin posibilidad de acceso
entre las diferentes áreas, elemental en un prestador de servicios de
internet. Esto, además de ajustarse a las leyes locales de protección de
datos personales.

Esto implicaría, por ejemplo, que los  elementos de datos descriptos en los
puntos 1.1.8 (Procesamiento de pagos recurrentes); y el 1.2.1. (Información
relativa a pagos concurrentes), están resguardados en un lugar diferente a
los  elementos de datos del Whois, con lo cual el acceso a los mismos es
solo posible, libre para este último, y  por personal interno del
registrador o registrante a la información de los precitados ítems, que
contienen asociados nombres, tarjetas de crédito, domicilios, etc.  Se
afirma que si se suprime la fuente de información de pago, un registrante no
tendrá manera de evaluar los reclamos de disputa de facturación o
devoluciones del cargo del proceso. Que en muchos casos en disputa con
tarjetas de crédito o cargos bancarios.

Esto está relacionado con la legislación de cada país. En Argentina, las
tarjetas de crédito y los bancos tienen la obligación de guardar este tipo
de información durante muchos años; en este momento no recuerdo si son siete
o diez años. De ser así, existen al menos dos lugares con la información
necesaria. 

 

Con respecto a los temas de hackeo, venta irregular de dominio por engaño
del comprador,etc.,  se habla de un año o más de retención de datos. Este
plazo tiene que tener relación con la prescripción del delito cometido,
porque si prescribe a los dos años, no debo guardarlos por tres años.

Entiendo que no se fijen plazos de retención, porque este tema ha sido y
sigue siendo muy discutido por que requiere almacenamiento, medidas de
seguridad adicionales, etc.  Y más aún siendo datos de tráfico.

 

Espero no haber aburrido

Saludos cordiales

 

Alberto Soto

 

De: Aida Noblia [mailto:aidanoblia en gmail.com] 
Enviado el: miércoles, 26 de marzo de 2014 04:55 p.m.
Para: Alberto Soto
CC: Fatima Cambronero; LACRALO Español
Asunto: Re: [lac-discuss-es] RV: [ALAC-Announce] ICANN News Alert -- ICANN
Seeks Public Comment on 2013 RAA Data Retention Specification Data Elements
and Legitimate Purposes for Collection and Retention

 

Fátima, Alberto, Alejandro y todos:

 

Entiendo que sí es un tema muy importante, complejo y también en las
legislaciones, no pude asistir a la mesa redonda que mencionó Fátima, se
puede escuchar alguna grabación? todavía queda algo de plazo para
comentarios ? no tengo claro cuál es la fecha de cierre de comentarios.

 

 Las legislaciones nacionales sobre protección de datos personales son
bastante estrictas,  también las de derecho de acceso a la información
pública, porque ahí estaría el límite necesario para saber lo que se puede y
debe publicar y lo que no, con qué extensión, por cuánto tiempo, quiénes
pueden hacerlo, qué datos se pueden publicar líbremente y cuáles requieren
el consentimiento libre, expreso, escrito, del titular...

 

En Uruguay la ley 18331 y sus decretos reglamentarios refieren a la
protección de datos personales (calificados en dos tipos (sensibles o no)
,como un derecho humano amparado por la constitución de la República. Se
otorga al titular de los datos personales los derechos ARCO, sigla que a
nivel de las legislaciones incluye derecho de Acceso a la base de datos,
Rectificación de los datos erróneos o modificados en la realidad, Corrección
de datos erróneos o inexactos y Oposición a que se haga lo que la ley llama
"tratamiento" de los datos que es en general cualquier uso de esos datos
personales, sin el consentimiento escrito y expreso de su titular.  

 

Hay una Unidad Reguladora de Registro y Control de esos datos a cargo de la
Agencia del Gobierno Electrónico,  que lleva el Registro de las Bases que
contienen datos personales, obligatorio para todo el que tiene una base, ya
sea de personas públicas o privadas, controla, realiza procedimientos y
auditorías y sanciona a los infractores con multas e incluso clausura de la
base de datos. 

 

Hay un responsable de la base y un encargado de llevarla en la práctica por
cuenta de terceros o la suya propia. La ley regula sus responsabilidades. El
propietario de la base, persona física o jurídica es el que responde por el
uso o tratamiento de los datos  personales al titular de esos datos.

 

Aún cuando se puedan usar o tratar en determinadas circunstancias, con
consentimiento del titular o en los casos de datos que se admita su
tratamiento sin él, los datos personales no pueden ser usados para otros
fines que para los que el titular su uso permitió. 

 

El responsable de la base es su propietario o quien decide su uso: Los datos
personales son recolectados para una  finalidad y deben ser eliminados una
vez que se cumplió la finalidad para la que se recolectaron, se pueden
trasmitir solo en determinadas condiciones.. etc. Es ese responsable de la
base, que puede ser persona física o jurídica, a quien el titular de los
datos puede exigir el cumplimiento o las sanciones que puedan corresponder.

 

Con variantes, esto se repite en las legislaciones. En caso de transferencia
internacional de datos se aplica el derecho internacional, y por tanto habrá
que analizar cuál es la ley aplicable y la jurisdicción competencia.

 

 

En el caso de ICANN, el propietario de la base de datos no es ICANN, por
tanto, no es responsable legalmente del tratamiento que se realice de los
datos personales.

 

Según pude ver, en el sistema del nuevo acuerdo, el servicio se terceriza,
para mejorarlo en cuanto a la calidad de los datos y también respecto a su
tratamiento, pero eso no implica el cambio de propietario.

 

Entonces,  ICANN  consiente la "excención" de retención de datos, en algunos
casos puntuales que analiza y mediante un procedimiento especial, pero
perjudicando el servicio que se pretendía mejorar a los usuarios por este
nuevo medio. 

 

Esto se hace a pedido de los registros para quedar liberados de su
responsabilidad legal porque al no tener que conservar los datos según el
acuerdo con ICANN ya no tienen que responder ante la ley por su
conservación, deterioro, mal uso, etc.  Se insiste en la exigencia de la
buena fe por parte del propietario o titular de la base de datos (registro)
que contiene dichos datos, aunque esta buena fe es un asunto de difícil
prueba cierta.

 

Además, al no conservar estos datos, se impide que haya posibilidades
cumplir  las funciones de ICANN en estos casos, respecto a la prevención de
daños que se puedan ocasionar por uso indebido de nombres de dominio y
similares.  

 

 

El tema es  analizar en cada caso de estas solicitudes, si realmente la
retención de estos datos es necesaria  para la prestación del servicio que
se brinda a través del Registro o si ella constituye una violación de la
ley. En el blog que se mencionan los casos que se pueden dar y no parecen
tan raros. Y la posición de los registradores es claramente  buscar que se
les facilite su tarea. pero en este caso podría ser contra la efectividad y
certeza del servicio que brinda ICANN.  De lo que ya se ha dado y se puede
ver en la web, parece que predomina la seguridad. Pero más allá de los
requisitos de presentación que tiene el caso (con informes de abogado , etc
)  debería estudiarse muy bien en que casos se da y no  tanto presumir la
buena fe como forma de resolver estos casos.

 

De otro modo por dar un respaldo a los propietarios de los Registros los
libera de responsabilidades legales, con riesgo de afectar el cumplimiento
de otras obligaciones, todo a afectar otras obligaciones que tiene el
Registro y su propietario como dueño o quien trata los datos.

 

Como decían me parece un asunto de interés. 

 

 

Saludos 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2014-03-22 20:59 GMT-03:00 Alberto Soto <asoto en ibero-americano.org
<mailto:asoto en ibero-americano.org> >:



Fátima, solo serán las 04:00 AM en Buenos Aires… Pero prometo participar.

Gracias!!



Alberto Soto



De: Fatima Cambronero [mailto:fatimacambronero en gmail.com
<mailto:fatimacambronero en gmail.com> ]
Enviado el: sábado, 22 de marzo de 2014 08:54 p.m.
Para: Alberto Soto
CC: Dr. Alejandro Pisanty Baruch; LACRALO Español
Asunto: Re: [lac-discuss-es] RV: [ALAC-Announce] ICANN News Alert -- ICANN

Seeks Public Comment on 2013 RAA Data Retention Specification Data Elements
and Legitimate Purposes for Collection and Retention




Alejandro, Alberto,



Comparto la opinión de que estamos frente a un tema interesante que
deberíamos poder analizar y pronunciarnos desde nuestra región.



El día lunes 24 a las 15 hs. local de Singapur está prevista una Mesa
Redonda sobre Servicios de Directorio de Registro: presente y futuro. Si
bien este tema concretamente no está incluido en la agenda de la reunión, es
un tema muy relacionado que quizás aparezca en los debates.



Sería bueno participar en esta Mesa Redonda para escuchar y discutir los
comentarios que pueda haber al respecto. Entiendo que en el horario de
nuestros países queda en una franja un poco complicada. Yo voy a estar
atendiendo a dicha reunión. Si hay algún comentario o consulta que quieran
hacer llegar, me ofrezco para transmitirlos.



Este es el enlace a la agenda de esta Mesa Redonda:
https://community.icann.org/display/atlarge/At-Large+Roundtable+on+Registrat
<https://community.icann.org/display/atlarge/At-Large+Roundtable+on+Registra
tion+Directory+Services%3A+Now+and+the+Future+-+2014.03.24+-+Singapore> 
ion+Directory+Services%3A+Now+and+the+Future+-+2014.03.24+-+Singapore



Aquí el enlace al Adobe Connect: https://icann.adobeconnect.com/sin49-vip/
(este es el mismo para todas las reuniones de At-Large de la semana).



Saludos cordiales,

Fatima Cambronero



2014-03-21 23:40 GMT-03:00 Alberto Soto <asoto en ibero-americano.org
<mailto:asoto en ibero-americano.org> 

<mailto:asoto en ibero-americano.org <mailto:asoto en ibero-americano.org> > >:


Creo que  el interés debe ser suficiente. Es justamente uno de los temas que
hacen a la existencia de entidades orientadas al usuario final de Internet,
es decir, NOSOTROS.
Con seguridad hay distintas legislaciones para cada país, al menos en
algunos ítems sustanciales. Aunque hay países que aún no tienen legislación.
Hay 30 días para comentarios, es poco tiempo para  la importancia del tema.
Sugiero que muy rápidamente las respectivas ALSs de cada país de nuestra
Región, lea   los antecedentes de esta referencia, y luego  informen la
legislación vigente en su respectivo país, con comentarios. También sugiero
que para esta primera fase, la fecha límite sea el próximo viernes
28/03/2014.
También sugiero que quienes están participando en Singapur, sean eximidos de
participar, tienen cosas muy importante que hacer por nosotros.

Saludos cordiales

Alberto Soto

-----Mensaje original-----
De: lac-discuss-es-bounces en atlarge-lists.icann.org
<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org> 
<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org
<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org> >

[mailto:lac-discuss-es-bounces en atlarge-lists.icann.org
<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org> 

<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org
<mailto:lac-discuss-es-bounces en atlarge-lists.icann.org> > ] En nombre de Dr.
Alejandro Pisanty Baruch
Enviado el: viernes, 21 de marzo de 2014 11:25 p.m.
Para: lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> 

<mailto:lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> >

Asunto: [lac-discuss-es] RV: [ALAC-Announce] ICANN News Alert -- ICANN Seeks

Public Comment on 2013 RAA Data Retention Specification Data Elements and
Legitimate Purposes for Collection and Retention

Colegas,

el llamado anexo puede tener implicaciones legales apreciables en nuestra
región. Convoquemos a los expertos en protección de datos personales y otros
temas relacionados con la retención de datos (cómputo forense, leyes de
telecomunicaciones, Marco Civil en el caso particular de Brasil) para
conformar una opinión sólida, si hay el interés suficiente.

Alejandro Pisanty


- - - - - - - - - - - - - - - - - - - - - - - - - - -
     Dr. Alejandro Pisanty
Facultad de Química UNAM
Av. Universidad 3000, 04510 Mexico DF Mexico



+52-1-5541444475 <tel:%2B52-1-5541444475>  FROM ABROAD

+525541444475 <tel:%2B525541444475>  DESDE MÉXICO SMS +525541444475
<tel:%2B525541444475> 
Blog: http://pisanty.blogspot.com
LinkedIn: http://www.linkedin.com/in/pisanty
Unete al grupo UNAM en LinkedIn,
http://www.linkedin.com/e/gis/22285/4A106C0C8614
Twitter: http://twitter.com/apisanty
---->> Unete a ISOC Mexico, http://www.isoc.org
.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .

________________________________________
Desde: alac-announce-bounces en atlarge-lists.icann.org
<mailto:alac-announce-bounces en atlarge-lists.icann.org> 

<mailto:alac-announce-bounces en atlarge-lists.icann.org
<mailto:alac-announce-bounces en atlarge-lists.icann.org> >
[alac-announce-bounces en atlarge-lists.icann.org
<mailto:alac-announce-bounces en atlarge-lists.icann.org> 
<mailto:alac-announce-bounces en atlarge-lists.icann.org
<mailto:alac-announce-bounces en atlarge-lists.icann.org> > ] en nombre de
ICANN
At-Large
Staff [staff en atlarge.icann.org <mailto:staff en atlarge.icann.org>
<mailto:staff en atlarge.icann.org <mailto:staff en atlarge.icann.org> > ] Enviado

el: viernes, 21 de marzo de 2014
20:00
Hasta: ALAC-Announce en atlarge-lists.icann.org
<mailto:ALAC-Announce en atlarge-lists.icann.org> 

<mailto:ALAC-Announce en atlarge-lists.icann.org
<mailto:ALAC-Announce en atlarge-lists.icann.org> >

Asunto: [ALAC-Announce] ICANN News Alert -- ICANN Seeks Public Comment on
2013 RAA Data Retention Specification Data Elements and Legitimate Purposes
for Collection and Retention

[http://www.icann.org/images/gradlogo_bow.jpg]<http://www.icann.org/>
News Alert

http://www.icann.org/en/news/announcements/announcement-3-21mar14-en.htm

________________________________
ICANN Seeks Public Comment on 2013 RAA Data Retention Specification Data
Elements and Legitimate Purposes for Collection and Retention

21 March 2014

ICANN has been in discussions with a number of Registrars regarding data
retention waiver requests ("Waiver Requests") submitted under the 2013
Registrar Accreditation Agreement (the "2013 RAA"). Some Registrars are
seeking an exemption from certain collection and/or retention requirements
under the Data Retention Specification (the "Specification") of the 2013
RAA. Section 2 of the Data Retention Specification sets forth requirements
regarding the written materials a Registrar must submit in support of its
good faith determination that the collection and/or retention of any data
element specified in the Specification violates applicable law, and provides
that following notice to ICANN of the Waiver Request, ICANN and the
applicable Registrar shall discuss the matter in good faith in an effort to
reach a mutually acceptable resolution of the matter. An update on the 2013
RAA and the data retention waiver process can be found here:
http://blog.icann.org/2014/02/update-on-2013-raa-and-data-retention-waiver-p

<http://blog.icann.org/2014/02/update-on-2013-raa-and-data-retention-waiver-
<http://blog.icann.org/2014/02/update-on-2013-raa-and-data-retention-waiver-
process/> 
process/>

rocess/

ICANN understands that personal data should be treated in accordance with
applicable data protection laws, which generally permit gathering and
retention of personal data for legitimate purpose(s). ICANN also understands
that the law may vary from country to country as to (i) what is considered a
legitimate purpose, (ii) whether the personal data is adequate, relevant and
not excessive in relation to the legitimate purpose for which they are
collected and (iii) for how long certain data elements may be retained. In
other words, what is considered a legitimate purpose for collection of
certain data in one country may not be considered a legitimate purpose in
another country.

During ICANN's discussions in an effort to reach a mutually acceptable
resolution of the matter, some Registrars have requested that ICANN (a)
clarify and better define certain data elements described in the Data
Retention Specification that the Registrars maintain are not clearly
defined; and (b) describe potentially legitimate purposes for collection and
retention of each data element that would help provide guidance for
Registrars both as to whether such elements may be lawfully collected, and,
if so, for how long such elements might lawfully be retained.

In response to these requests from some Registrars, ICANN is posting for
public comment a document seeking to clarify what is meant by certain data
elements described in the Data Retention Specification and describing
potentially legitimate purposes for collection and retention of those data
elements. That document can be found
here<http://www.icann.org/en/resources/registrars/raa/draft-data-retention-s

<http://www.icann.org/en/resources/registrars/raa/draft-data-retention-spec-
<http://www.icann.org/en/resources/registrars/raa/draft-data-retention-spec-
elements-21mar14-en.pdf> 
elements-21mar14-en.pdf>

pec-elements-21mar14-en.pdf> [PDF, 116 KB]. The document will be posted for
a period of thirty (30) days to seek feedback and input from the community
on (i) whether the data elements are appropriately described, (ii) whether
the cited purposes for collection and retention are appropriate and
legitimate, and (iii) whether there are other potentially legitimate
purposes for collection and retention of such data elements. After the
thirty (30) day period following this posting has expired, ICANN will
consider all feedback and input received in connection with ICANN’s ongoing
discussions to reach a mutually acceptable resolution of Waiver Requests. In
the interim, ICANN will continue its ongoing discussions to reach a mutually
acceptable resolution of Waiver Requests with individual Registrars with the
goal of granting additional Waiver Requests as and when appropriate.

A public comment period will remain open until 23:59 p.m. PDT/California, 21
April 2014. Public comments will be available for consideration by ICANN
staff and the ICANN Board.

 *   Comments can be posted to:
comments-retention-21mar14 en icann.org
<mailto:comments-retention-21mar14 en icann.org> 
<mailto:comments-retention-21mar14 en icann.org
<mailto:comments-retention-21mar14 en icann.org> >

<mailto:comments-retention-21mar14 en icann
<mailto:comments-retention-21mar14 en icann> 

<mailto:comments-retention-21mar14 en icann
<mailto:comments-retention-21mar14 en icann> >
.org>
 *   Comments can be viewed at:
http://forum.icann.org/lists/comments-retention-21mar14/

_______________________________________________
ALAC-Announce mailing list
ALAC-Announce en atlarge-lists.icann.org
<mailto:ALAC-Announce en atlarge-lists.icann.org> 

<mailto:ALAC-Announce en atlarge-lists.icann.org
<mailto:ALAC-Announce en atlarge-lists.icann.org> >

https://atlarge-lists.icann.org/mailman/listinfo/alac-announce

At-Large Official Site: http://www.atlarge.icann.org
_______________________________________________
lac-discuss-es mailing list
lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> 

<mailto:lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> >

https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es

http://www.lacralo.org

_______________________________________________
lac-discuss-es mailing list
lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> 

<mailto:lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> >

https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es

http://www.lacralo.org




--

Fatima Cambronero

Abogada-Argentina

Phone: +54 9351 5282 668 <tel:%2B54%209351%205282%20668> 
Twitter: @facambronero
Skype: fatima.cambronero

Join the LACRALO/ICANN discussions:
https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es


Join the Diplo Internet Governance Community discussions:

http://www.diplointernetgovernance.org/

Join to the Internet Society (ISOC): http://www.internetsociety.org/


_______________________________________________
lac-discuss-es mailing list
lac-discuss-es en atlarge-lists.icann.org
<mailto:lac-discuss-es en atlarge-lists.icann.org> 
https://atlarge-lists.icann.org/mailman/listinfo/lac-discuss-es

http://www.lacralo.org





 

-- 
Aida Noblia 




Más información sobre la lista de distribución lac-discuss-es