Alcance del derecho a la protección de datos personales en organizaciones que realizan inspección de HTTPS no informada

Alfonso Vicente; Ariel Sabiguero; Gonzalo Esnal

doi:10.47274/DERUM/49.3

Autores/as

Alfonso Vicente Universidad de la República, Uruguay https://orcid.org/0000-0003-3575-5326
Ariel Sabiguero Universidad de la República, Uruguay https://orcid.org/0009-0008-6759-0865
Gonzalo Esnal Investigador independiente, Uruguay https://orcid.org/0009-0006-3256-7169

DOI:

https://doi.org/10.47274/DERUM/49.3

Palabras clave:

Privacidad, Datos personales, Derechos digitales

Resumen

En el contexto del acceso a Internet, surge una tensión entre el derecho de las organiza-ciones a proteger sus activos y el derecho a la privacidad de las personas. Esta tensión se agudiza cuando las organizaciones inspeccionan el tráfico HTTPS sin informar ni ob-tener consentimiento. Muchas personas utilizan dispositivos provistos por una organiza-ción para conectarse a Internet y transmitir información personal de cuya privacidad se preocupan, con la expectativa de que esta transmisión sea privada y no pueda ser ins-peccionada por terceras partes. En algunos casos, las organizaciones que proveen estos dispositivos, en un intento legítimo de proteger sus activos frente a amenazas existentes en Internet, utilizan técnicas para inspeccionar esta información, pero lo hacen sin aviso, sin solicitud de consentimiento y de una forma que es muy difícil de percibir para un usuario no especializado. En este trabajo se elabora un argumento en contra de esta práctica cuando se realiza sin conocimiento y sin consentimiento de los titulares de los datos personales. Asimismo, comentamos el Dictamen N° 22/022 de la Unidad Regulado-ra y de Control de Datos Personales que se redactó a instancias de nuestra consulta, y las implicancias de la reciente Ley 20.327 sobre ciberdelincuencia.

Descargas

Los datos de descargas todavía no están disponibles.

Citas

Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (2018). Guía Didáctica de Seguridad de la Información. https://www.gub.uy/centro-nacional-respuesta-incidentes-seguridad-informatica/comunicacion/publicaciones/guia-didactica-de-seguridad-de-la-informacion

Brookman, J. (2015) Is Breaking Web Encryption Legal? En Center for Democracy and Technology. https://cdt.org/insights/is-breaking-web-encryption-legal

Castello, Alejandro. (2010). Límites del control tecnológico del empleador. En El trabajo ante las nuevas tecnologías, pp. 35-68. FCU.

Consejo de Europa. (2018). Protocolo de enmienda al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal (Convenio 108+), suscrito en Estrasburgo el 10 de octubre de 2018. https://rm.coe.int/16808ac918

Constitución de la República Oriental del Uruguay. (1997). Constitución de 1967 con las reformas de 1989, 1994 y 1997. Montevideo: IMPO – Centro de Información Oficial. https://www.impo.com.uy/bases/constitucion

Felt, A. P., Barnes, R., King, A., Palmer, C., Bentzel, C., y Tabriz, P. (2017). Measuring HTTPS adoption on the web. En 26th USENIX Security Symposium (USENIX Security 17) (pp. 1323-1338).

Google. (2022). Cifrado HTTPS en la Web – Informe de transparencia de Google [Versión archivada]. Wayback Machine. https://web.archive.org/web/20220610000000/https://transparencyreport.google.com/https/overview

Google. (2023a). An update on the lock icon. Chromium Blog. https://blog.chromium.org/2023/05/an-update-on-lock-icon.html

Google. (2023b). Towards HTTPS by default. Chromium Blog. https://blog.chromium.org/2023/08/towards-https-by-default.html

Hayek, F. A. (1985). Derecho, legislación y libertad. Unión Editorial.

Naciones Unidas. (1948). Declaración Universal de Derechos Humanos. https://www.un.org/es/universal-declaration-human-rights/

National Security Agency. (2019). Managing Risk from Transport Layer Security Inspection. NSA. https://www.nsa.gov/Press-Room/Digital-Media-Center/Document-Gallery/igphoto/2002225460/

Organización de los Estados Americanos. (1969). Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica). https://www.oas.org/es/cidh/mandato/Basicos/convencion.asp

Organización Internacional del Trabajo. (1997). Repertorio de recomendaciones prácticas sobre la protección de los datos personales de los trabajadores. Ginebra: Oficina Internacional del Trabajo. https://www.ilo.org/global/publications/WCMS_160878/lang--es/index.htm

Parekh, J. J., Wang, K., y Stolfo, S. J. (2006). Privacy-preserving payload-based correlation for accurate malicious traffic detection. En Proceedings of the 2006 SIGCOMM workshop on Large-scale attack defense (pp. 99-106). DOI: https://doi.org/10.1145/1162666.1162667

Raso Delgue, J. (2010). Privacidad del trabajador, en El trabajo ante las nuevas tecnologías, pp. 19-24. FCU.

Raso Delgue, J. (2014). Nuevas tecnologías: conflictos entre el interés de la empresa y la vida privada del trabajador. En Relaciones Laborales y Derecho del Empleo.

Sabiguero, A., Vicente, A. y Esnal, G. (2024). Let There Be Trust. En 2024 IEEE URUCON (pp. 1-5). IEEE. DOI: https://doi.org/10.1109/URUCON63440.2024.10850093

Soghoian, C., y Stamm, S. (2011). Certified lies: Detecting and defeating government interception attacks against SSL (short paper). En International Conference on Financial Cryptography and Data Security (pp. 250-259). Springer, Berlin, Heidelberg. DOI: https://doi.org/10.1007/978-3-642-27576-0_20

Unidad Reguladora y de Control de Datos Personales. (2010). Dictamen N.º 10/010. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/dictamen-no-10010

Unidad Reguladora y de Control de Datos Personales. (2014). Resolución N.º 79/014. Reglas para la aplicación del artículo 23 del Decreto N.º 414/009 sobre cesión y comunicación de datos personales entre organismos públicos. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/resolucion-no-79014

Unidad Reguladora y de Control de Datos Personales. (2022). Dictamen N.º 22/022. URCDP. https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/dictamen-no-22022

Uruguay. (1985). Ley N.º 15.737. Régimen de protección de la información y de los actos administrativos. IMPO. https://www.impo.com.uy/bases/leyes/15737-1985

Uruguay. (2008). Ley N.º 18.331. Protección de datos personales y acción de habeas data. IMPO. https://www.impo.com.uy/bases/leyes/18331-2008

Uruguay. (2014). Decreto N.º 92/014. Reglamentación de la Ley N.º 18.331 sobre protección de datos personales. IMPO. https://www.impo.com.uy/bases/decretos/92-2014

Uruguay. (2015). Ley N.º 19.355. Rendición de Cuentas y Balance de Ejecución Presupuestal. Ejercicio 2014. IMPO. https://www.impo.com.uy/bases/leyes/19355-2015

Uruguay. (2021). Ley N.º 19.948. Modificación de la Ley N.º 18.331 sobre protección de datos personales. IMPO. https://www.impo.com.uy/bases/leyes/19948-2021

Uruguay. (2023). Ley N.º 20.327. Protección de datos personales. Derogación de la Ley N.º 18.331. IMPO. https://www.impo.com.uy/bases/leyes/20327-2023

Vicente, A., Sabiguero, A. y Esnal, G. (2024). Firmar con prestadores de servicios de confianza: riesgos y precauciones a tener en cuenta. En Revista de la Asociación de Ingenieros del Uruguay, 100(1), 55-61.

Viega, María José. (2010). Protección de los datos personales relacionados con el trabajo, en El trabajo ante las nuevas tecnologías, pp. 25-34. FCU.