educ.ar
Canal Encuentro
Ministerio de Educación, Ciencia y Tecnología
Bicentenario argentino

Colección educ.ar: Uso seguro y responsable de las TIC | CD 27

Los datos personales

Tu nombre y apellido; el número del D.N.I.; las huellas dactilares; nuestra imagen (en una fotografía u otro soporte); e información sobre nuestra salud, orientaciones y creencias, entre otros, constituyen la base de nuestros datos personales. Aquí te contamos sobre tus derechos al respecto y porqué un tercero no puede utilizarlos arbitrariamente.

 

datospersoanles.jpg

Los datos personales

Los datos personales permiten identificarnos como individuos únicos y singulares. Entre ellos podemos encontrar nuestro/s nombre/s y apellido/s; el número del Documento Nacional de Identidad (D.N.I.); las huellas dactilares; nuestra imagen (capturada en una fotografía u otro soporte); e información variada sobre nuestra salud, orientaciones y creencias, entre otros.

Cabe destacar que somos dueños de nuestros datos personales y que por lo general no estamos obligados a facilitarlos; a excepción que una ley así nos lo exija, como sucede con el Registro Civil para identificar a los recién nacidos, para contraer matrimonio, etcétera. Lo cierto es que si un tercero quiere utilizarlos para algún fin, debe antes solicitarnos permiso y hacerlo bajo nuestro expreso consentimiento y conformidad.

Entendiendo que la protección de los datos personales constituye un derecho (Ley 25.326) y que la información debe preservarse, debemos entender con respecto a qué necesitamos resguardarla. Esto significa conocer las amenazas que atentan contra la seguridad de la información, ya sean deliberadas o no intencionales, mediadas por las TIC, etcétera.

Una amenaza consiste en una violación potencial de la seguridad (no es necesario que la violación ocurra para que la amenaza exista). Dentro de las amenazas provocadas por el hombre, encontramos que estas pueden ser maliciosas (deliberadas) o no maliciosas (no intencionales).

Actualmente en Argentina, como en el resto del mundo, existen normas que regulan el tratamiento de la información y de los datos personales; como ser la Ley de Protección de Datos Personales (Ley 25.326), la Ley de Delitos Informáticos (Ley 26.388), y la Ley de Derecho de Autor (Ley 11.723), entre otras.

La Ley 25.326, por ejemplo, establece que los datos personales no pueden procesarse sin el consentimiento expreso del titular, salvo contadas excepciones. Todo aquel que adquiera, procese o ceda datos personales sin el consentimiento del titular estará realizando una actividad ilícita.

En definitiva, y siguiendo las recomendaciones del Proyecto CLI-Prometeo 2008/2009 (España), tenemos derecho a:

  • Que nos informen sobre la recolección de nuestros datos personales.
  • Saber para qué los quieren.
  • Conocer la identidad de quien/es lo solicita/n.
  • Negarnos a proporcionarlos, a no ser que una ley nos obligue a ello.
  • Acceder a ellos siempre que queramos; a rectificarlos o cancelarlos y oponernos a su tratamiento en determinadas circunstancias.

De igual manera, quienes los solicitan están comprometidos a:

  • Garantizar la seguridad de dichos datos evitando que se pierdan, se manipulen o que alguien acceda a ellos sin autorización.
  • Pedir nuestro consentimiento para su tratamiento.
  • Contestar a todas las preguntas que realicemos sobre su utilización.
  • No proporcionar o vender nuestros datos a terceros sin nuestro consentimiento.

La obtención ilegal de información personal y/o confidencial: el phishing

El phishing (del inglés “fish”: pescar) consiste en una forma de engaño mediante el cual se envía un mensaje (“anzuelo”), a una o varias personas, intentando convencerlas para que revelen sus datos personales. Luego, la información recolectada suele utilizarse para dar origen a diversas acciones fraudulentas o delictivas.

El modo de difusión más utilizado para realizar un ataque de phishing suele ser el correo electrónico. Estos correos suelen ser muy convincentes y simulan haber sido enviados por una entidad conocida y confiable. En los mensajes suelen alegarse motivos creíbles y a continuación se solicita ingresar a un sitio web para modificar o verificar una serie de datos personales.

Pero dicho sitio web suele ser, en realidad, un sitio falsificado (aunque a veces sean similares, o incluso idénticos, al de las páginas web verídicas). Asimismo, estos sitios tienen direcciones web que pueden confundir al usuario desprevenido por su parecido con las direcciones web auténticas. En la mayoría de los casos, el texto del enlace escrito en el correo electrónico es la dirección real del sitio web. Sin embargo, si el usuario hace clic sobre ese enlace, se lo redirige a una página web falsa controlada por un tercero.

También existen casos donde el usuario recibe un mensaje SMS en su teléfono celular o una llamada telefónica, donde mediante técnicas similares se lo intenta convencer para que llame a un número de teléfono indicado en el mensaje. Al llamar a ese número, un sistema automatizado -haciéndose pasar por un organismo verdadero- suele solicitarle sus datos personales para luego ser utilizados sin su autorización.   

Algunas medidas preventivas contra el phishing

  • Si recibís un correo electrónico solicitando información personal, no respondas. Si el mensaje te invita a acceder a un sitio web a través de un enlace incluido en su contenido, no lo hagas. Las organizaciones que trabajan seriamente están al tanto de este tipo de actividades y por lo tanto no solicitan información “sensible” por correo electrónico. Tampoco te contactan por teléfono, ni mediante mensajes SMS o por fax.
  • No envíes información personal usando mensajes de correo electrónico. El correo electrónico, si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar información personal o confidencial.
  • Evitá ingresar a sitios web de entidades financieras, comercio electrónico, o a brindar datos personales desde un cyber, locutorio u otros lugares públicos. Las computadoras instaladas en estos lugares podrían contener hardware o “programas maliciosos” destinados a capturar tus datos personales.
  • Verificá los indicadores de seguridad del sitio web donde vas a ingresar información personal. Si es indispensable realizar un trámite o proveer información personal a una organización por medio de su sitio web, escribí la dirección web por tu cuenta en el navegador y buscá los indicadores de seguridad del sitio. Al acceder al sitio web, deberás notar que la dirección web comienza con “https://”, donde la “s” indica que la transmisión de información es “segura”. Verificá también que en la parte inferior de tu navegador aparezca la imagen de un candado cerrado.
  • Hay que mantener actualizado el software de nuestra computadora. Instalá las actualizaciones de seguridad de tu sistema operativo y de todas las aplicaciones que utilizás, especialmente el programa antivirus. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en forma automática.
  • No descargues ni abras archivos de fuentes no confiables. Estos archivos pueden tener “programas maliciosos” que podrían permitir a un tercero acceder a tu computadora y, por lo tanto, a toda la información que tengas almacenada.


En definitiva: debemos permanecer siempre atentos para evitar el acceso indebido a nuestra información personal. Todos los días aparecen nuevas estrategias de engaño. Nuestra atención y el cuidado con que analizamos los sitios web donde ingresamos nuestros datos personales constituyen nuestra mejor protección.

Formas (in)voluntarias de ofrecer/conseguir datos en la Web

En los últimos tiempos, y junto con la profusión de las redes sociales, los blogs, los fotologs y los dispositivos de chateo, mucha información que antes circulaba en pequeños círculos íntimos cobró nuevas dimensiones. Consciente o inconscientemente, muchos adultos, jóvenes y niños hacen público todo tipo de datos personales, los cuales pueden ser objeto de captura y reutilizados con diversas motivos. Si bien podría catalogarse más como una “tendencia” (práctica) que como una “amenaza” (externa), lo cierto es que también habilita una posibilidad para la recolección y re-apropiación de nuestros datos personales. Para más información, consultar la sección “Pensar antes de publicar”.


Fuentes:

  • ArCERT (Coordinación de Emergencias en Redes Teleinformáticas). Recomendaciones para evitar ser victima del "phishing". Buenos Aires, Oficina Nacional de Tecnologías de la Información, Subsecretaría de la Gestión Pública de la Jefatura de Gabinete de Ministros, 2006.
  • ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) e Instituto Nacional de la Administración Pública. Manual del Instructor en Seguridad de la Información,  Buenos Aires, Oficina Nacional de Tecnologías de la Información, Subsecretaria de la Gestión Pública de la Jefatura de Gabinete de Ministros, 2007. Páginas 39, 40, 42-44.
  • Proyecto CLI-Prometeo 2008/2009. Manual Práctico de 15 a 17 años. Madrid, Comisión de Libertades e Informática (CLI), 2008. Página 26.