Upload
analia-aspis
View
401
Download
0
Embed Size (px)
Citation preview
El derecho a la privacidad del consumidor y las nuevas tecnologías
Pontificia Universidad Católica del Perú
Dra. Analía Aspis 25 de junio de 2010
Propósitos de reflexión conjunta
Presentación del derecho a la privacidad de datos
El caso del RFID y los derechos a la privacidad del consumidor
Mi nombre es Analía Aspis
Identificación?
Identidades
www.pipl.com www.paterva.com/maltego
The valor de la privacidad y la protección de los datos
Derecho humano Libertad de expresión Libertad de
pensamiento
Lugar privado Intrusiones del
Estado La naturaleza de la
protección de la privacidad
Cultura
SALUD MILITAR DERECHOS HUMANOS
LABORAL SINDICAL EMPRESARIAL
PENAL CONTRACTUAL CONSUMIDOR
Protección de datos personales (Tribunal Supremo de España)
Consumer’s privacy rights online
Panóptico y consumidor
Minority Report, 2002
Publicidad
+ Organismo europeo del consumo + Presidente de Francia + Campaña de Africa Occidental a favor
de los derechos de los consumidores + Estados de US
+ Food Drug Administration and RFID and pharmaceutical products
ONLINE OFFLINE
DERECHO
ACTIVIDADES
Vigilancia – Tracking- Profiling
Intercambio
De información
1
Perfil
1
Collecicón de datos 1
“It’s the databases, stupid”
RFID
LO NUEVO
•Cantidad de •objetos
•Tratamiento• instantáneo •de datos
• Cantidad de información
EXISTENTE
PROCESAMIENTO DE DATOS
BASE DE DATOS
ipv6
RFID como objeto de estudio para la comprensión de los derechos del consumidor a la privacidad de sus
datos
Que es exactamente RFID?
Grupo de tecnologías que utilizan la onda de radio para identificar objetos o
personas
25
Sistema tradicionales de identificación
Código de barras Bandas magnéticas Sistema de vigilancia electrónico
Nuevos sistema de identificación
Biometría Reconocimiento óptico Smart cards Reconocimiento de voz
RFID
TAGS y LECTORES:Como son?
Lectores
TAGS
PASIVOS
No iniciar la comunicación por sí mismos
Necesitan un lector 30 pies de distancia
ACTIVOS
Inician por si solos la comunicacion
No necesitan un lector
100 pies (o más) Ex: E-ZPass
RFID y sus aplicaciones: dos grupos de productos
Productos en los cuales el RFID es el componente esencial para su uso
Sistemas de control de acceso Vehicle inmobilization systems Autopistas
Los objetos que están “tagueados” con el RFID
El sistema de los RFID
Tag Tag + sensor(es)
Temperatura humedad
Lectores Middelware Base de datos Wireless sensor networks (WSNs)
32
Cómo funciona el RFID?
Taginfoinfo
EPC 2489343
DVD
LECTOR
PC
Sr. Perez Red
Ejemplo de la tecnología RFID
Zapatoshttp://www.youtube.com/watch?v=qNkPaRqXI
Estacionamientohttp://www.youtube.com/watch?v=f5FqX_Taw30
Metro grouphttp://www.youtube.com/watch?v=sSlEa1udYGw&feature=related IBMhttp://www.youtube.com/watch?
v=eob532iEpqk&feature=PlayList&p=A3C1C46D3224DA55&playnext_from=PL&playnext=1&index=41
E-ZPass is an electronic toll-collection system used on most tolled roads, bridges, and tunnels in the Northeastern US, south to Virginia and West Virginia, and west to Illinois. Currently, there are 25 agencies spread across 14 states that make up the E-ZPass Interagency Group (IAG). All member agencies use the same technology, allowing travelers to use the same E-ZPass transponder throughout the IAG network. Various independent systems that use the same technology have been integrated into the E-ZPass system. These include Fast Lane in Massachusetts, I-Pass in Illinois, i-Zoom in Indiana, and the defunct M-Tag in Maryland and Smart Tag in Virginia.
Indicios de la importancia del RFID a nivel mundial
Inversión empresarial Actuales proyectos científico-tecnológicos(1) Debate (2) Por qué entre todas estas tecnologías RFID ha
generado un debate social y jurídico?
Regulación (3)
Investigación científica (1)
Debate (1)
a) Consumidores vs. Empresas
Ocultamiento de los tags (chips) Inventario clandestiono y data mining Profiling, prototyping, stigmatisation, targeting Seguimienot y monitoreo
Maximización de productividad Favorecimiento del consumidor Respeto al consumidor
El Debate
Consumidores
CASPIAN EPIC BEUC
Corporaciones
Wallmart Phillips Benetton Tesco Metro Group P&G Y más….
Preocupación del consumidor
Reacciones de los consumidores
Ocultamiento de los tags
El boycott a Gillete
OCDEITUWIPOInternational conference on Data Protection and Privacy Comissionars
Auto-IDCENELEC (UE)IETFIRTFW3CEPC GlobalCENCEPTETSIICNIRPIECISOUS patent officeInstitute for Prospective Technological Studies
Bridge ProjectTACRFID consultationData Protection Working PartiyEuropean Network and Information Security AgentComission of the European CommunitiesFidisCouncil of Europe of Data ProtectionEuropeaCommittee on legal Cooperation (CDCS)European Radio Communications OfficeEuropean data protection supervisorComité d’ expert sur la prtection des donnesCouncil of Europe of Data Protection
Internacional
Tecnológica
Europa
REGULACION REGULACION (3)(3)
Privacy internationalCASPIANPrivacy rights clearinghouseEPICPrivacillaANECBEUCEDRIEFFTransatlantic RFID consumerUK: Nacional RFID Centre Canada:Netherlands: ConsumentenboundGermany: Federation of German Consumer Organisations (VZBV)Denmark: Danish Consumer CouncilNorway: The Consumer Council of Norway (Forbrukerrader)Note: Survey
Federal legislationState legislationFederal Trade Commission regulation
EPCNational Institute of Standards and Technology: Guidelines for Securing Radio Frequency Identification (RFID) SystemsSector regulation
Consumers
US
Self-regulation
OECD
CUATRO INFORMES DESDE 2006 A 2008
●OECD Policy Guidance: A focus on information security and privacy●Working Party on Information Security and Privacy: RFID Applications, Impacts and Country Initiatives●Working Party on Information Security and Privacy: A focus on information security and privacy●Radio Frequency Identification (RFID): Drivers, Challenges and Public Policy Considerations
ARTICULO 29 DEL GRUPO DE TRABAJO SOBRE PROTECCION DE DATOS
●Work Programme 2008-2009-20110: Prioridad alta:● Perfiles de comportamiento, data mining● RFID● Biométrica
●Opinion 4/2007 sobre el concepto de datos personales●Documento de trabajo referente a la protección de datos y la tecnología RFID.●Opinión sobre el uso de datos de localización para el ofrecimiento de servicios de valor agregado (value-added services)
SUPERVISOR EUROPEO DE PROTECCION DE DATOS
●Opinion on Radio Frequency Identification (RFID) in Europe: steps towards a policy framework” 23.4.2008
COMISION EUROPEA
● Revisión de la E-Directive (agenda)●Francia, el anterior titular de la Presidencia rotativa de la UE propuso la idea de introducir nuevos derechos de privacidad para los consumidores●Documento de trabajo “Las redes del futuro e Internet: Los primeros retos con respecto a la Internet de los objetos”:●Draft recommendation addressing RFID privacy-related concerns●Communicación “Radio Frequency Identification (RFID) in Europe: steps towards a policy framework●Commission public consultation on RFID policy.
Tecnologías de Identificación automática
Intervención del sector público Retenciones Requisitos
Aplicaciones: muchas! Transporte Venta minorista Sector de la salud(?) - Farmacéuticos
Lectores externos
Identificación automática de objetos, personas, o perfiles
50
Cómo funciona el RFID?
Taginfoinfo
EPC 2489343
DVD
LECTOR
PC
Sr. Perez Red
BENEFICIOS: Qué promueve la empresa?
Prevenir robo de autos Recuperar objetos robados Mejorar la seguridad en las prescripciones médicas Mejorar la calidad de los alimentos mediante el “tagging”de
animales Disminuir costo en la cadena de distribución Reducir tiempo de espera en las cajas Mejorar la información disponible sobre los productos Reducir el margen de error de stock disponible Crecimiento general del acceso a productos Permite el reconocimiento instantáneo de preferencias German laboratory example
Publicidades actuales
•IBM RFID Commercial - The Future Market
http://www.youtube.com/watch?v=eob532iEpqkhttp://www.youtube.com/watch?v=oAvQcYcvyaw&feature=related
•Mastercardhttp://www.youtube.com/watch?v=_V6X0bCvCPE&feature=related
•
Planteo del problema en el comercio minorista
RFID patent’s registration
American Express US PATENT (2007)#20050038718
“…consumer interface [configured to...provide a consumer identity signal to a radio frequency identification reader via a radio frequency signal] may also collect and transmit time and location information regarding the path traversed by consumer within the merchant’s facility. Such information may be acquired by consumer trackers situated at specific locations throughout the merchant’s facility…” [Section 0212; Bracketed information from Section 16]
“…different aisles and/or checkpoints throughout the stores may be equipped with RFID readers to facilitate tracking the shopper’s performance….By facilitating the shopping experience, the shopping identifier may be used to track a shopper…” [Section 0195]
“…it may also be desirable to acquire information about consumer behavior and their actions in response to specific stimuli. For example, suppliers of goods may wish to test the effectiveness of specific targeted offers, which may be tailored to individual consumers…” [Section 0004]
56
SUPPLY CHAIN RETAILINTERNET OF THE THINGS
RFID AND THE PRIVATE SECTORRFID AND THE PRIVATE SECTOR
Internet NetworkNanotechnologySensorsTransborder flow of dataUbiquitousWireless sensor networksAd-hoc sensor networks
Applications
TransportPharmacy
Events
57
En cual parte del sistema puede existir una mayor amenaza para los consumidores?
Identificando atentados a la privacidad
Tag
EPC 2489343
DVD
LECTOR
PC
Sr. Perez
2489343 tag
Sr. Perez (NN)
Linqueo de datos
Perfil
Seguimiento
RETAILER DATABASE
Dato(s)
Network
Reconocimiento?
(1) (2)
Localización
Desactivation
Nunca Luego de pago
Vigencia de:
•Data mining•Perfiles•Reconocmiento (ya sea por el perfil o por el método de pago
Cómo funciona el RFID?
LECTOR
PC
Sr. Perez Red
LECHE
Sr. Perez
LECHE
Sector A13.55 AM
9-6-2009
SECTOR B14.00 AM9-6-2009
Sr. Perez
LECHE
Sector C
14.10
9-6-2009
(o NN)
Sr Perez o NNA: 13.55B: 14.00C: 14.10
Dudas sobre confidencialidad:
1. Nivel alto de objetos marcados2. Oculta la colocación de etiquetas y
lectores sin el conocimiento del consumidor
3. Clandestino el inventario o data mining4. Profiling, prototyping, stigmatisation and
individual targeting5. Tracking and Monitoring
61
Amenazas a la privacidadSon tecnológicamente posibles de ser llevadas a cabo? Profiling Linking Data mining Tracking Re-recognition
Intercepción
Cuales están relacionadas con: - el tag
- la base de datos- el lector
Cuales están relacionadas con:- solamente riesgos tecnológicos- responsabilidad del controlador de los datos- terceras personas
Tres posibilidades
a) Pago en efectivo
b) Tarjeta de crédito
(a or b) + Tarjeta de consumidor habitual (Loyalty Card )
ONLINE OFFLINE
DERECHO
ACTIVIDADES
Surveillance – Tracking- Profiling
Intercambio
De información
1
Perfil
1
Collecicón de datos 1
“It’s the databases, stupid”
RFID
LO NUEVO
•Cantidad de •objetos
•Tratamiento• instantáneo •de datos
• Cantidad de información
EXISTENTE
PROCESAMIENTO DE DATOS
BASE DE DATOS
ipv6
¿HAY ALGUNA DE PROTECCIÓN DE LOS CONSUMIDORES DE PRIVACIDAD DE
TECNOLOGÍA RFID?
Reglamento de la privacidad y el RFID en el contexto US (1) Contexto constitucional Resistencia gubernamental Legislación Federal
Privacidad vista como una política comercial en lugar de un derecho individual o de libertad civil
Fair Credit Reporting Act of 1970 (Use and disclosure of personal information by credit cards reporting acts
Privacy Act of 1974 Family Educational Rights (privacy in school records) Cable Communications Policy Act of 1984 Video Privacy Protection Act
Legislación de Estado Microchip implanting California bill (2)
NEW SECTION 3Bill 1031
“A person that intentionally scans another person’s identification device remotely, without that person’s prior knowledge and prior consent, for the purpose of fraud, identitiy theft, or for any other illegal purpose..”
August 2008
1798.79“ A person or entity that intentionally remotely reads or
attemps to remotely read a person’s identification document using RFID, for the purpose of reading that person’s identification document without that person knowledge and prior consent, shall be punished by impresonment in a country jail for up to one year, a fine of not more than one thousand five hundred dollars (1500), or both that fine and imprisonment”
“
Reglamento de la privacidad y el RFID en el contexto US (2)
Federal Trade CommissionCorportations with own RFID guidelines –
(self regulation) 15 USC SECTION 5: prohibits deceptive or
unfair acts or practices in commerce
Copyright?
US LIMITES:La distinción entre la esfera pública y privada
CONSTITUTIONAL FRAMEWORK FEDERAL LEVEL
Only specific goverment agency, industry or economic sector Specif issues
STATE LEVEL Law conflict No regulation/enforcement Differents regulations vs efficient commerce Vis a vis national/ multinational regulations Federal Law prevails
FTC FTC authority discretionary Limited resources Needs first a company to voluntary established a privacy policy
RFID regulation in the US Privacy Self-regulation framework
Privacy rights are (mostly all) to be claimed against Goverment
Openness of information flows (democratic society and market economy)
Preference for private action (specific tools and flexibility)
Limited role for the Goverment (filling the market gap)
EPC líneas directrices (1)
Alentar notará el consumidor, la elección y la educación
Usos determinado registro, retenton y prácticas de seguridad
“Sin embargo, estas directrices no se la identificación de ciertos datos, ni el “data mining”
EPCglobal guidelines (2)
Etiquetado Visibilidad
Explicar la forma de quitar las etiquetas, después del punto de venta
Habilitar la eliminación de etiquetas ( Las empresas deben publicar información relacionada
con la forma en que conservan, utilizan y protegen los datos
El derecho a la intimidad protegido por el marco legislativo
Convenio Europeo de Derechos Humanos y las Libertades Fundamentales (Art. 8)
Carta de los Derechos Fundamentales de la Unión (Art. 7 & 8)
RFID regulación en el marco de la UE
DIRECTIVA 95/46/EC (Data protection Directive -DPD)
DIRECTIVA 2002/58/EC (ePrivacy Directive)
Art 29 Data Protection Working Party European Data Protection Supervisor
Conceptos actuales de protección de datos
Dato personal Principio de necesidad Limitación del propósito Transparencia El controlador de los datos
Tag life Derechos del titular de los datos Supervisión de la utilización de los datos
Es posible que los datos almacenados en o producido por una etiqueta RFID considerarse como datos personales?
“«datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;”
(Art. 2 a. D.95/46/EC)
Dato personal? Identificación Directa / Indirecta
Necesidad de vincular el número de identificación para dirigir factores identificable, como un nombre
Tratamiento
Inexistencia de información personal per se
Reconocimiento No estricta identifcación en términos de nombre, domicilio, etc
(no calificable como dato personal) Interpretación en sentido amplio: “La capacidad para
determinar que un conjunto de características pertenece a una persona única pueden llevar en algunos casos a dañar la privacidad de esa persona, aún sin nombrarla”
Interpretación estricta: sólo puede identificarse si hay un dato personal
Dato personal?(2)
Pefiles Silencio Art 15 DPD ? : decisiones individuales automatizadas
a) Una decisión tuvo que ser tomada b) tuvo que haber tenido efectos legales para con un
individuo o haberlo afectado significativamente c) la decisión debe haber sido tomada sobre la base
exclusivamente a través de un tratamiento automatizado de datos
d) los datos tratados deben ser diseñados para evaluar determinados aspectos de la personalidad del individuo afectado por la decisión
eDirective
Servicios de comunicaciones electrónicas y redes públicas de comunicaciones
Redes privadas? European Commission amendement (Nov.2007)
“las redes de comunicaciones públicas de apoyo a la recopilación de datos y dispositivos de identificación”
“la recolleción de información, incluidos datos personales utilizando las frecuencias de radio, como la RFID debe ser objeto de la Directiva sobre intimidad”
Datos personales
EPC288024824
288024824
No figuran un dato personal
La persona puede ser rastreada = Dato Personal
Agregación de información
Correlaciones
Probabilidad de la re-utilización del producto
Datos personales
LA NUBE EPC
ProbabilidadDel producto
Adiciones Redes sociales(sale-gift)Assume patterns
Possibility of not traditional identifiers available
Datos personales
Escenario I Solo existe registro del EPC
Escenario II EPC + link a tarjeta de consumo, crédito o débito
Scenario III EPC + información personal grabada en el tag
Necesidad de regulación para las nuevas tecnologías? Fair information practices (data protection commissioners)
Notice, consent, choice and control Auto-regulación
Confianza del consumidor No obligatoria
Regulación legislativa Específica Modificación
Mix Privacy-enhanced technologies Data protection by Design International? Nuevas reglas?