Alcance del derecho a la protección de datos personales en organizaciones que realizan inspección de HTTPS no informada

Alfonso Vicente; Ariel Sabiguero; Gonzalo Esnal

doi:10.47274/DERUM/49.3

Authors

Alfonso Vicente Universidad de la República, Uruguay https://orcid.org/0000-0003-3575-5326
Ariel Sabiguero Universidad de la República, Uruguay https://orcid.org/0009-0008-6759-0865
Gonzalo Esnal Investigador independiente, Uruguay https://orcid.org/0009-0006-3256-7169

DOI:

https://doi.org/10.47274/DERUM/49.3

Keywords:

Privacy, Personal data, Digital rights

Abstract

In the context of Internet access, a tension arises between the right of organizations to protect their assets and the right to privacy of individuals. This tension is exacerbated when organizations inspect HTTPS traffic without informing or obtaining consent. Many individuals use devices provided by an organization to connect to the Internet and trans-mit personal information about whose privacy they are concerned, with the expectation that this transmission is private and cannot be inspected by third parties. In some cases, organizations that provide these devices, in a legitimate attempt to protect their assets from threats on the Internet, use techniques to inspect this information, but they do so without notice, without requesting consent, and in a way that is very difficult for a non-specialized user to perceive. In this paper we elaborate an argument against this practice when it is carried out without the knowledge and consent of the owners of the personal data. We also comment on the Opinion No. 22/022 of the Regulatory and Personal Data Control Unit, which was drafted at the request of our consultation, and the implications of the recent Law 20.327 on cybercrime.

Downloads

Download data is not yet available.

References

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (2018). Guía Didáctica de Seguridad de la Información. https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-informatica/comunicacion/publicaciones/guia-didactica-de-seguridad-de-la-informacion

Brookman, J. (2015) Is Breaking Web Encryption Legal? En Center for Democracy and Technology. https://cdt.org/insights/is-breaking-web-encryption-legal

Castello, Alejandro. (2010). Límites del control tecnológico del empleador. En El trabajo ante las nuevas tecnologías, pp. 35-68. FCU.

Consejo de Europa. (2018). Protocolo de enmienda al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108+), suscrito en Estrasburgo el 10 de octubre de 2018. https://rm.coe.int/16808ac918

Constitución de la República Oriental del Uruguay. (1997). Constitución de 1967 con las reformas de 1989, 1994 y 1997. Montevideo: IMPO – Centro de Información Oficial. https://www.impo.com.uy/bases/constitucion

Felt, A. P., Barnes, R., King, A., Palmer, C., Bentzel, C., y Tabriz, P. (2017). Measuring HTTPS adoption on the web. En 26th USENIX Security Symposium (USENIX Security 17) (pp. 1323-1338).

Google. (2022). Cifrado HTTPS en la Web – Informe de transparencia de Google [Versión archivada]. Wayback Machine. https://web.archive.org/web/20220610000000/https://transparencyreport.google.com/https/overview

Google. (2023a). An update on the lock icon. Chromium Blog. https://blog.chromium.org/2023/05/an-update-on-lock-icon.html

Google. (2023b). Towards HTTPS by default. Chromium Blog. https://blog.chromium.org/2023/08/towards-https-by-default.html

Hayek, F. A. (1985). Derecho, legislación y libertad. Unión Editorial.

Naciones Unidas. (1948). Declaración Universal de Derechos Humanos. https://www.un.org/es/universal-declaration-human-rights/

National Security Agency. (2019). Managing Risk from Transport Layer Security Inspection. NSA. https://www.nsa.gov/Press-Room/Digital-Media-Center/Document-Gallery/igphoto/2002225460/

Organización de los Estados Americanos. (1969). Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica). https://www.oas.org/es/cidh/mandato/Basicos/convencion.asp

Organización Internacional del Trabajo. (1997). Repertorio de recomendaciones prácticas sobre la protección de los datos personales de los trabajadores. Ginebra: Oficina Internacional del Trabajo. https://www.ilo.org/global/publications/WCMS_160878/lang--es/index.htm

Parekh, J. J., Wang, K., y Stolfo, S. J. (2006). Privacy-preserving payload-based correlation for accurate malicious traffic detection. En Proceedings of the 2006 SIGCOMM workshop on Large-scale attack defense (pp. 99-106). DOI: https://doi.org/10.1145/1162666.1162667

Raso Delgue, J. (2010). Privacidad del trabajador, en El trabajo ante las nuevas tecnologías, pp. 19-24. FCU.

Raso Delgue, J. (2014). Nuevas tecnologías: conflictos entre el interés de la empresa y la vida privada del trabajador. En Relaciones Laborales y Derecho del Empleo.

Sabiguero, A., Vicente, A. y Esnal, G. (2024). Let There Be Trust. En 2024 IEEE URUCON (pp. 1-5). IEEE. DOI: https://doi.org/10.1109/URUCON63440.2024.10850093

Soghoian, C., y Stamm, S. (2011). Certified lies: Detecting and defeating government interception attacks against SSL (short paper). En International Conference on Financial Cryptography and Data Security (pp. 250-259). Springer, Berlin, Heidelberg. DOI: https://doi.org/10.1007/978-3-642-27576-0_20

Unidad Reguladora y de Control de Datos Personales. (2010). Dictamen N.º 10/010. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/dictamen-no-10010

Unidad Reguladora y de Control de Datos Personales. (2014). Resolución N.º 79/014. Reglas para la aplicación del artículo 23 del Decreto N.º 414/009 sobre cesión y comunicación de datos personales entre organismos públicos. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/resolucion-no-79014

Unidad Reguladora y de Control de Datos Personales. (2022). Dictamen N.º 22/022. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/dictamen-no-22022

Uruguay. (1985). Ley N.º 15.737. Régimen de protección de la información y de los actos administrativos. IMPO. https://www.impo.com.uy/bases/leyes/15737-1985

Uruguay. (2008). Ley N.º 18.331. Protección de datos personales y acción de habeas data. IMPO. https://www.impo.com.uy/bases/leyes/18331-2008

Uruguay. (2014). Decreto N.º 92/014. Reglamentación de la Ley N.º 18.331 sobre protección de datos personales. IMPO. https://www.impo.com.uy/bases/decretos/92-2014

Uruguay. (2015). Ley N.º 19.355. Rendición de Cuentas y Balance de Ejecución Presupuestal. Ejercicio 2014. IMPO. https://www.impo.com.uy/bases/leyes/19355-2015

Uruguay. (2021). Ley N.º 19.948. Modificación de la Ley N.º 18.331 sobre protección de datos personales. IMPO. https://www.impo.com.uy/bases/leyes/19948-2021

Uruguay. (2023). Ley N.º 20.327. Protección de datos personales. Derogación de la Ley N.º 18.331. IMPO. https://www.impo.com.uy/bases/leyes/20327-2023

Vicente, A., Sabiguero, A. y Esnal, G. (2024). Firmar con prestadores de servicios de confianza: riesgos y precauciones a tener en cuenta. En Revista de la Asociación de Ingenieros del Uruguay, 100(1), 55-61.

Viega, María José. (2010). Protección de los datos personales relacionados con el trabajo, en El trabajo ante las nuevas tecnologías, pp. 25-34. FCU.