Slides

El derecho a la privacidad del consumidor y las nuevas tecnologías

Pontificia Universidad Católica del Perú

Dra. Analía Aspis 25 de junio de 2010

Propósitos de reflexión conjunta

Presentación del derecho a la privacidad de datos

El caso del RFID y los derechos a la privacidad del consumidor

Mi nombre es Analía Aspis

Identificación?

Identidades

www.pipl.com www.paterva.com/maltego

http://www.pipl.com/

The valor de la privacidad y la protección de los datos

Derecho humano Libertad de expresión Libertad de

pensamiento

Lugar privado Intrusiones del

Estado La naturaleza de la

protección de la privacidad

Cultura

SALUD MILITAR DERECHOS HUMANOS

LABORAL SINDICAL EMPRESARIAL

PENAL CONTRACTUAL CONSUMIDOR

Protección de datos personales (Tribunal Supremo de España)

Consumer’s privacy rights online

Panóptico y consumidor

Minority Report, 2002

Publicidad

+ Organismo europeo del consumo + Presidente de Francia + Campaña de Africa Occidental a favor

de los derechos de los consumidores + Estados de US

+ Food Drug Administration and RFID and pharmaceutical products

ONLINE OFFLINE

DERECHO

ACTIVIDADES

Vigilancia – Tracking- Profiling

Intercambio

De información

1

Perfil

1

Collecicón de datos 1

“It’s the databases, stupid”

RFID

LO NUEVO

•Cantidad de •objetos

•Tratamiento• instantáneo •de datos

• Cantidad de información

EXISTENTE

PROCESAMIENTO DE DATOS

BASE DE DATOS

ipv6

RFID como objeto de estudio para la comprensión de los derechos del consumidor a la privacidad de sus

datos

Que es exactamente RFID?

Grupo de tecnologías que utilizan la onda de radio para identificar objetos o

personas

25

Sistema tradicionales de identificación

Código de barras Bandas magnéticas Sistema de vigilancia electrónico

Nuevos sistema de identificación

Biometría Reconocimiento óptico Smart cards Reconocimiento de voz

RFID

TAGS y LECTORES:Como son?

Lectores

TAGS

PASIVOS

No iniciar la comunicación por sí mismos

Necesitan un lector 30 pies de distancia

ACTIVOS

Inician por si solos la comunicacion

No necesitan un lector

100 pies (o más) Ex: E-ZPass

RFID y sus aplicaciones: dos grupos de productos

Productos en los cuales el RFID es el componente esencial para su uso

Sistemas de control de acceso Vehicle inmobilization systems Autopistas

Los objetos que están “tagueados” con el RFID

El sistema de los RFID

Tag Tag + sensor(es)

Temperatura humedad

Lectores Middelware Base de datos Wireless sensor networks (WSNs)

32

Cómo funciona el RFID?

Taginfoinfo

EPC 2489343

DVD

LECTOR

PC

Sr. Perez Red

Ejemplo de la tecnología RFID

Zapatoshttp://www.youtube.com/watch?v=qNkPaRqXI

Estacionamientohttp://www.youtube.com/watch?v=f5FqX_Taw30

Metro grouphttp://www.youtube.com/watch?v=sSlEa1udYGw&feature=related IBMhttp://www.youtube.com/watch?

v=eob532iEpqk&feature=PlayList&p=A3C1C46D3224DA55&playnext_from=PL&playnext=1&index=41

http://www.youtube.com/watch?v=qNkPaRqXI

http://www.youtube.com/watch?v=f5FqX_Taw30

http://www.youtube.com/watch?v=sSlEa1udYGw&feature=related

E-ZPass is an electronic toll-collection system used on most tolled roads, bridges, and tunnels in the Northeastern US, south to Virginia and West Virginia, and west to Illinois. Currently, there are 25 agencies spread across 14 states that make up the E-ZPass Interagency Group (IAG). All member agencies use the same technology, allowing travelers to use the same E-ZPass transponder throughout the IAG network. Various independent systems that use the same technology have been integrated into the E-ZPass system. These include Fast Lane in Massachusetts, I-Pass in Illinois, i-Zoom in Indiana, and the defunct M-Tag in Maryland and Smart Tag in Virginia.

http://en.wikipedia.org/wiki/Electronic_toll_collection

http://en.wikipedia.org/wiki/Road

http://en.wikipedia.org/wiki/Bridge

http://en.wikipedia.org/wiki/Tunnel

http://en.wikipedia.org/wiki/Northeastern_United_States

http://www.e-zpassiag.com/

http://en.wikipedia.org/wiki/Transponder

http://en.wikipedia.org/wiki/Fast_Lane

http://en.wikipedia.org/wiki/Massachusetts

http://en.wikipedia.org/wiki/I-Pass

http://en.wikipedia.org/wiki/Illinois

http://en.wikipedia.org/wiki/I-Zoom

http://en.wikipedia.org/wiki/Indiana

http://en.wikipedia.org/wiki/M-Tag

http://en.wikipedia.org/wiki/Maryland

http://en.wikipedia.org/wiki/Smart_Tag

http://en.wikipedia.org/wiki/Virginia

Indicios de la importancia del RFID a nivel mundial

Inversión empresarial Actuales proyectos científico-tecnológicos(1) Debate (2) Por qué entre todas estas tecnologías RFID ha

generado un debate social y jurídico?

Regulación (3)

Investigación científica (1)

Debate (1)

a) Consumidores vs. Empresas

Ocultamiento de los tags (chips) Inventario clandestiono y data mining Profiling, prototyping, stigmatisation, targeting Seguimienot y monitoreo

Maximización de productividad Favorecimiento del consumidor Respeto al consumidor

El Debate

Consumidores

CASPIAN EPIC BEUC

Corporaciones

Wallmart Phillips Benetton Tesco Metro Group P&G Y más….

Preocupación del consumidor

Reacciones de los consumidores

Ocultamiento de los tags

El boycott a Gillete

OCDEITUWIPOInternational conference on Data Protection and Privacy Comissionars

Auto-IDCENELEC (UE)IETFIRTFW3CEPC GlobalCENCEPTETSIICNIRPIECISOUS patent officeInstitute for Prospective Technological Studies

Bridge ProjectTACRFID consultationData Protection Working PartiyEuropean Network and Information Security AgentComission of the European CommunitiesFidisCouncil of Europe of Data ProtectionEuropeaCommittee on legal Cooperation (CDCS)European Radio Communications OfficeEuropean data protection supervisorComité d’ expert sur la prtection des donnesCouncil of Europe of Data Protection

Internacional

Tecnológica

Europa

REGULACION REGULACION (3)(3)

Privacy internationalCASPIANPrivacy rights clearinghouseEPICPrivacillaANECBEUCEDRIEFFTransatlantic RFID consumerUK: Nacional RFID Centre Canada:Netherlands: ConsumentenboundGermany: Federation of German Consumer Organisations (VZBV)Denmark: Danish Consumer CouncilNorway: The Consumer Council of Norway (Forbrukerrader)Note: Survey

Federal legislationState legislationFederal Trade Commission regulation

EPCNational Institute of Standards and Technology: Guidelines for Securing Radio Frequency Identification (RFID) SystemsSector regulation

Consumers

US

Self-regulation

OECD

CUATRO INFORMES DESDE 2006 A 2008

●OECD Policy Guidance: A focus on information security and privacy●Working Party on Information Security and Privacy: RFID Applications, Impacts and Country Initiatives●Working Party on Information Security and Privacy: A focus on information security and privacy●Radio Frequency Identification (RFID): Drivers, Challenges and Public Policy Considerations

ARTICULO 29 DEL GRUPO DE TRABAJO SOBRE PROTECCION DE DATOS

●Work Programme 2008-2009-20110: Prioridad alta:● Perfiles de comportamiento, data mining● RFID● Biométrica

●Opinion 4/2007 sobre el concepto de datos personales●Documento de trabajo referente a la protección de datos y la tecnología RFID.●Opinión sobre el uso de datos de localización para el ofrecimiento de servicios de valor agregado (value-added services)

SUPERVISOR EUROPEO DE PROTECCION DE DATOS

●Opinion on Radio Frequency Identification (RFID) in Europe: steps towards a policy framework” 23.4.2008

COMISION EUROPEA

● Revisión de la E-Directive (agenda)●Francia, el anterior titular de la Presidencia rotativa de la UE propuso la idea de introducir nuevos derechos de privacidad para los consumidores●Documento de trabajo “Las redes del futuro e Internet: Los primeros retos con respecto a la Internet de los objetos”:●Draft recommendation addressing RFID privacy-related concerns●Communicación “Radio Frequency Identification (RFID) in Europe: steps towards a policy framework●Commission public consultation on RFID policy.

Tecnologías de Identificación automática

Intervención del sector público Retenciones Requisitos

Aplicaciones: muchas! Transporte Venta minorista Sector de la salud(?) - Farmacéuticos

Lectores externos

Identificación automática de objetos, personas, o perfiles

50


Taginfoinfo

EPC 2489343

DVD

LECTOR

PC

Sr. Perez Red

BENEFICIOS: Qué promueve la empresa?

Prevenir robo de autos Recuperar objetos robados Mejorar la seguridad en las prescripciones médicas Mejorar la calidad de los alimentos mediante el “tagging”de

animales Disminuir costo en la cadena de distribución Reducir tiempo de espera en las cajas Mejorar la información disponible sobre los productos Reducir el margen de error de stock disponible Crecimiento general del acceso a productos Permite el reconocimiento instantáneo de preferencias German laboratory example

Publicidades actuales

•IBM RFID Commercial - The Future Market

http://www.youtube.com/watch?v=eob532iEpqkhttp://www.youtube.com/watch?v=oAvQcYcvyaw&feature=related

•Mastercardhttp://www.youtube.com/watch?v=_V6X0bCvCPE&feature=related

•

http://www.youtube.com/watch?v=eob532iEpqk

http://www.youtube.com/watch?v=oAvQcYcvyaw&feature=related

Planteo del problema en el comercio minorista

RFID patent’s registration

American Express US PATENT (2007)#20050038718

“…consumer interface [configured to...provide a consumer identity signal to a radio frequency identification reader via a radio frequency signal] may also collect and transmit time and location information regarding the path traversed by consumer within the merchant’s facility. Such information may be acquired by consumer trackers situated at specific locations throughout the merchant’s facility…” [Section 0212; Bracketed information from Section 16]

“…different aisles and/or checkpoints throughout the stores may be equipped with RFID readers to facilitate tracking the shopper’s performance….By facilitating the shopping experience, the shopping identifier may be used to track a shopper…” [Section 0195]

“…it may also be desirable to acquire information about consumer behavior and their actions in response to specific stimuli. For example, suppliers of goods may wish to test the effectiveness of specific targeted offers, which may be tailored to individual consumers…” [Section 0004]

56

SUPPLY CHAIN RETAILINTERNET OF THE THINGS

RFID AND THE PRIVATE SECTORRFID AND THE PRIVATE SECTOR

Internet NetworkNanotechnologySensorsTransborder flow of dataUbiquitousWireless sensor networksAd-hoc sensor networks

Applications

TransportPharmacy

Events

57

En cual parte del sistema puede existir una mayor amenaza para los consumidores?

Identificando atentados a la privacidad

Tag

EPC 2489343

DVD

LECTOR

PC

Sr. Perez

2489343 tag

Sr. Perez (NN)

Linqueo de datos

Perfil

Seguimiento

RETAILER DATABASE

Dato(s)

Network

Reconocimiento?

(1) (2)

Localización

Desactivation

Nunca Luego de pago

Vigencia de:

•Data mining•Perfiles•Reconocmiento (ya sea por el perfil o por el método de pago


LECTOR

PC

Sr. Perez Red

LECHE

Sr. Perez

LECHE

Sector A13.55 AM

9-6-2009

SECTOR B14.00 AM9-6-2009

Sr. Perez

LECHE

Sector C

14.10

9-6-2009

(o NN)

Sr Perez o NNA: 13.55B: 14.00C: 14.10

Dudas sobre confidencialidad:

1. Nivel alto de objetos marcados2. Oculta la colocación de etiquetas y

lectores sin el conocimiento del consumidor

3. Clandestino el inventario o data mining4. Profiling, prototyping, stigmatisation and

individual targeting5. Tracking and Monitoring

61

Amenazas a la privacidadSon tecnológicamente posibles de ser llevadas a cabo? Profiling Linking Data mining Tracking Re-recognition

Intercepción

Cuales están relacionadas con: - el tag

- la base de datos- el lector

Cuales están relacionadas con:- solamente riesgos tecnológicos- responsabilidad del controlador de los datos- terceras personas

Tres posibilidades

a) Pago en efectivo

b) Tarjeta de crédito

(a or b) + Tarjeta de consumidor habitual (Loyalty Card )

ONLINE OFFLINE

DERECHO

ACTIVIDADES

Surveillance – Tracking- Profiling

Intercambio

De información

1

Perfil

1

Collecicón de datos 1

“It’s the databases, stupid”

RFID

LO NUEVO

•Cantidad de •objetos

•Tratamiento• instantáneo •de datos

• Cantidad de información

EXISTENTE

PROCESAMIENTO DE DATOS

BASE DE DATOS

ipv6

¿HAY ALGUNA DE PROTECCIÓN DE LOS CONSUMIDORES DE PRIVACIDAD DE

TECNOLOGÍA RFID?

Reglamento de la privacidad y el RFID en el contexto US (1) Contexto constitucional Resistencia gubernamental Legislación Federal

Privacidad vista como una política comercial en lugar de un derecho individual o de libertad civil

Fair Credit Reporting Act of 1970 (Use and disclosure of personal information by credit cards reporting acts

Privacy Act of 1974 Family Educational Rights (privacy in school records) Cable Communications Policy Act of 1984 Video Privacy Protection Act

Legislación de Estado Microchip implanting California bill (2)

NEW SECTION 3Bill 1031

“A person that intentionally scans another person’s identification device remotely, without that person’s prior knowledge and prior consent, for the purpose of fraud, identitiy theft, or for any other illegal purpose..”

August 2008

1798.79“ A person or entity that intentionally remotely reads or

attemps to remotely read a person’s identification document using RFID, for the purpose of reading that person’s identification document without that person knowledge and prior consent, shall be punished by impresonment in a country jail for up to one year, a fine of not more than one thousand five hundred dollars (1500), or both that fine and imprisonment”

“

Reglamento de la privacidad y el RFID en el contexto US (2)

Federal Trade CommissionCorportations with own RFID guidelines –

(self regulation) 15 USC SECTION 5: prohibits deceptive or

unfair acts or practices in commerce

Copyright?

US LIMITES:La distinción entre la esfera pública y privada

CONSTITUTIONAL FRAMEWORK FEDERAL LEVEL

Only specific goverment agency, industry or economic sector Specif issues

STATE LEVEL Law conflict No regulation/enforcement Differents regulations vs efficient commerce Vis a vis national/ multinational regulations Federal Law prevails

FTC FTC authority discretionary Limited resources Needs first a company to voluntary established a privacy policy

RFID regulation in the US Privacy Self-regulation framework

Privacy rights are (mostly all) to be claimed against Goverment

Openness of information flows (democratic society and market economy)

Preference for private action (specific tools and flexibility)

Limited role for the Goverment (filling the market gap)

EPC líneas directrices (1)

Alentar notará el consumidor, la elección y la educación

Usos determinado registro, retenton y prácticas de seguridad

“Sin embargo, estas directrices no se la identificación de ciertos datos, ni el “data mining”

EPCglobal guidelines (2)

Etiquetado Visibilidad

Explicar la forma de quitar las etiquetas, después del punto de venta

Habilitar la eliminación de etiquetas ( Las empresas deben publicar información relacionada

con la forma en que conservan, utilizan y protegen los datos

El derecho a la intimidad protegido por el marco legislativo

Convenio Europeo de Derechos Humanos y las Libertades Fundamentales (Art. 8)

Carta de los Derechos Fundamentales de la Unión (Art. 7 & 8)

RFID regulación en el marco de la UE

DIRECTIVA 95/46/EC (Data protection Directive -DPD)

DIRECTIVA 2002/58/EC (ePrivacy Directive)

Art 29 Data Protection Working Party European Data Protection Supervisor

Conceptos actuales de protección de datos

Dato personal Principio de necesidad Limitación del propósito Transparencia El controlador de los datos

Tag life Derechos del titular de los datos Supervisión de la utilización de los datos

Es posible que los datos almacenados en o producido por una etiqueta RFID considerarse como datos personales?

“«datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;”

(Art. 2 a. D.95/46/EC)

Dato personal? Identificación Directa / Indirecta

Necesidad de vincular el número de identificación para dirigir factores identificable, como un nombre

Tratamiento

Inexistencia de información personal per se

Reconocimiento No estricta identifcación en términos de nombre, domicilio, etc

(no calificable como dato personal) Interpretación en sentido amplio: “La capacidad para

determinar que un conjunto de características pertenece a una persona única pueden llevar en algunos casos a dañar la privacidad de esa persona, aún sin nombrarla”

Interpretación estricta: sólo puede identificarse si hay un dato personal

Dato personal?(2)

Pefiles Silencio Art 15 DPD ? : decisiones individuales automatizadas

a) Una decisión tuvo que ser tomada b) tuvo que haber tenido efectos legales para con un

individuo o haberlo afectado significativamente c) la decisión debe haber sido tomada sobre la base

exclusivamente a través de un tratamiento automatizado de datos

d) los datos tratados deben ser diseñados para evaluar determinados aspectos de la personalidad del individuo afectado por la decisión

eDirective

Servicios de comunicaciones electrónicas y redes públicas de comunicaciones

Redes privadas? European Commission amendement (Nov.2007)

“las redes de comunicaciones públicas de apoyo a la recopilación de datos y dispositivos de identificación”

“la recolleción de información, incluidos datos personales utilizando las frecuencias de radio, como la RFID debe ser objeto de la Directiva sobre intimidad”

Datos personales

EPC288024824

288024824

No figuran un dato personal

La persona puede ser rastreada = Dato Personal

Agregación de información

Correlaciones

Probabilidad de la re-utilización del producto

Datos personales

LA NUBE EPC

ProbabilidadDel producto

Adiciones Redes sociales(sale-gift)Assume patterns

Possibility of not traditional identifiers available

Datos personales

Escenario I Solo existe registro del EPC

Escenario II EPC + link a tarjeta de consumo, crédito o débito

Scenario III EPC + información personal grabada en el tag

Necesidad de regulación para las nuevas tecnologías? Fair information practices (data protection commissioners)

Notice, consent, choice and control Auto-regulación

Confianza del consumidor No obligatoria

Regulación legislativa Específica Modificación

Mix Privacy-enhanced technologies Data protection by Design International? Nuevas reglas?

Gracias!

Shortcut to delitos%20informaticos.jpg.lnk

Dra. Analía Aspis [email protected]

Business

Slides