JURÍDICO LATAM
Doctrina
Título:Identidad digital y brechas de seguridad
Autor:Reynolds, Alicia
País:
Argentina
Publicación:Revista Digital El Derecho Informático - Número 37
Fecha:30-12-2020 Cita:IJ-I-VI-670
Índice Relacionados
Introducción
I. Identidad y Datos personales
II. Brechas de Seguridad – Ciberataques
Conclusión
Bibliografía
Notas

Identidad digital y brechas de seguridad

Alicia Reynolds[1]

Introducción [arriba] 

A medida que avanzamos hacia la Industria 4.0 o Cuarta Revolución Industrial[2] y se realizan más transacciones de forma digital, la representación digital de la propia identidad se ha vuelto cada vez más importante, esto es aplicable tanto, a los seres humanos, a los dispositivos, al igual que la inteligencia artificial, entidades digitales, robots y a los recursos naturales. Humanos y dispositivos por igual, requieren de una identidad verificable y confiable necesaria para acceder, interactuar y realizar transacciones con otros. Acreditar identidad, es el primer paso de cada transacción, entre dos o más partes tanto en el mundo físico como en el digital. Desde la provisión de servicios financieros hasta la identificación emitida por el Estado. Tal identidad para las personas humanas, constituye un prerrequisito fundamental para poder acceder a servicios esenciales y, participar en sistemas económicos, sociales y políticos. Entonces ¿qué es una identidad digital? ¿Qué sucede con las fugas o filtraciones de datos personales? ¿Debería ser obligatorio notificar los incidentes de seguridad? Éstas son algunas de las preguntas a las que se da respuesta en un artículo más complejo denominado: "Identidad Digital concepto legal emergente en el contexto del ciberespacio y las brechas de seguridad" del cual aquí, se comparte una acotada presentación.

I. Identidad y Datos personales [arriba] 

Expresa la Declaración Universal de Derechos Humanos en su artículo sexto: "Todo ser humano tiene derecho, en todas partes, al reconocimiento de su personalidad jurídica."

Atributos de la personalidad jurídica, son aquellas propiedades o características de identidad propias de las personas humanas o jurídicas como titulares con derechos. Son inherentes, únicos, inalienables, imprescriptibles, e irrenunciables y que se conforman con el nombre, capacidad, domicilio, nacionalidad, estado civil y patrimonio.

Analizando las definiciones que ofrece la Real Academia Española [3], podemos entender a la identidad como el conjunto o universalidad de datos personales de un sujeto en un tiempo determinado. Según la Corte Interamericana de Derechos Humanos, el derecho a la identidad “puede ser conceptualizado, en general, como el conjunto de atributos y características que permiten la individualización de la persona en sociedad y, en tal sentido, comprende varios otros derechos según el sujeto de derechos de que se trate y las circunstancias del caso. (..)".En otras palabras, la identidad es la conciencia de una persona de esa universalidad, que la hace única por lo que configura un Derecho Humano, y por tanto, el bien jurídico tutelado sería la persona.

En contraposición a lo expresado, la ley de Protección de Datos Personales[4], permite el comercio de algunos de los datos personales que conforman la identidad de las personas. Y, por tanto, esos datos personales serían bienes. En consecuencia, la identidad puede ser entendida como una universalidad de datos personales donde algunos tendrían el carácter de bienes y otros no.

I.1. Identidad Digital

Una identificación digital habilita operaciones y transacciones para el movimiento de personas, fondos, bienes, datos y otros recursos y al mismo tiempo, los sistemas y mecanismos de identidad digital ofrecen la promesa de una mayor eficiencia, seguridad y confianza, a través de un conjunto de atributos electrónicos como plantillas biométricas, registros de navegación y trazabilidad. La identidad digital tiene como objetivo, permitir la identificación de una entidad tanto en línea como remotamente por medios electrónicos, a través de la explotación de atributos cibernéticos como huellas digitales. Pero, ¿qué es la identidad digital?

Como consecuencia del uso de las nuevas tecnologías, principalmente Internet, muchos de los datos de las personas se han convertido, prácticamente, en datos de acceso público. Este fenómeno se ha incrementado con el uso masivo de las redes sociales (Lezcano, 2010). Cuando un conjunto de datos personales se asocia a una persona en un marco digital, algunos lo llaman erróneamente “identidad digital” (Sullivan, 2011).

Cuando hablamos de identidad digital no implica una sola fuente de información, sino una combinación de múltiples atributos ¿Cualquier forma de información vinculada a cada uno de nosotros resultaría en un “atributo de identidad digital”? Prácticamente no hay límites en la cantidad de atributos que pueden definirnos, pueden ser indivisibles (datos biológicos) o también acumulativos (datos históricos). Por ejemplo, hay muchos atributos de identidad digital biométricos, como el aspecto de nuestra cara, patrones de voz, etc. Además de otros atributos de identidad digital, como nuestros nombres, o la dirección actual también puede definirnos socialmente.

I.2. Identidad Digital en Argentina

La identidad digital es fundamental dentro del contexto de la Sociedad de la Información. Analizar el marco jurídico aplicable al ciberespacio en nuestro ordenamiento jurídico, centrando la problemática en el derecho de identidad digital confluye en dos temas jurídicos e informáticos de significativa actualidad: la protección jurídica de los datos personales y la regulación de las firmas y certificados digitales.

El RENAPER[5] a través del Decreto 744/2019 autorizó a emitir en forma adicional a la tarjeta, la credencial virtual del DNI para dispositivos móviles inteligentes. Ésta credencial virtual debe contener un certificado encriptado y firmado digitalmente y su validación se realiza a través de la aplicación Mi Argentina[6]. El uso de ésta credencial virtual es posible por medio de la validación en el Sistema de Identidad Digital[7] (SID).

En 2018, la legislatura de la Ciudad Autónoma de Buenos Aires aprobó la reforma del Código Contravencional incorporando el "Capítulo V - Identidad Digital de las Personas" con las siguientes contravenciones: 1) Difusión no autorizada de imágenes o grabaciones íntimas, 2) Hostigamiento digital, y la 3) Suplantación digital de la identidad. Esta última figura permite inferir en la interpretación de los legisladores porteños sobre qué atributos de identidad afectados, configurarían una suplantación de la identidad en el contexto digital: 1) la imagen ¿cualquier imagen? y, 2) los datos filiatorios de una persona.

En el orden nacional, aún hoy no se encuentra tipificada como delito la suplantación de la identidad digital, ni el robo o su usurpación, como tampoco la explotación de identidades digitales, esta última conducta, está vinculada con las violaciones de datos personales masivas, caso "Weleakinfo.com[8]".

La propuesta prevista en el Proyecto de Reforma del Código Penal de la Nación para la suplantación de la identidad, art. 492, no hace a referencias a atributos de la identidad sino directamente utiliza el término "identidad" ¿Debe leerse en un sentido rudimentario de afectación y utilización de datos personales digitalizados vinculados a la identidad física? o ¿debería interpretarse como abarcativo de la identidad digital? Si así fuera, ¿totalizaría todas las identidades en internet vinculadas a la víctima?, o ¿deberíamos separar entre identidades electrónicas y digitales?

II. Brechas de Seguridad – Ciberataques [arriba] 

Una brecha de seguridad, conocida nativamente como data breach (violación de datos), information leakeaged (información filtrada) o data spill (derrame de datos) wikipedia la define como: "un incidente de seguridad en el que los datos confidenciales, protegidos o confidenciales son copiados, transmitidos, vistos, robados o utilizados por una persona no autorizada para hacerlo. Las violaciones de datos pueden involucrar información financiera como una tarjeta de crédito o datos bancarios, información de salud personal, información de identificación personal, datos biométricos, secretos comerciales de corporaciones o propiedad intelectual."

Breve aclaración, una violación o acceso ilegítimo a un sistema informático o dato informático (art. 153 bis CPN) no implica necesariamente una violación de datos personales y, en determinados supuestos, un incidente de seguridad de datos personales no implica rigurosamente un acceso ilegítimo o un ciberataque, sino que, tal filtración podría acaecer por fallas en la seguridad negligentes o ignoradas. La ley 26.388 sólo aportó o modificó conductas dolosas, no culposas, a excepción del art 255.

II.1 Obligación de Notificar o Denunciar Brechas de Seguridad

En el modelo español de protección de datos personales, los operadores que explotan redes públicas de comunicaciones electrónicas o que prestan servicios de comunicaciones electrónicas disponibles al público tienen la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) las brechas de seguridad que sufran cuando supongan la pérdida, destrucción, alteración o acceso ilegítimo a datos de carácter personal. Asimismo, el operador deberá notificar también la violación al abonado o particular sin dilaciones indebidas. Las demás empresas, distintas a las referidas del sector de las comunicaciones electrónicas, no están habilitadas para notificar sino que están obligadas a denunciar dicha afección sufrida sobre los ficheros que están obligadas a custodiar. En caso de que la brecha no haya afectado a datos personales, solo las empresas que formen parte de las infraestructuras críticas del estado podrán, si lo desean, informar al CNPIC español.

En Argentina, no hay tales y claras obligaciones ante un incidente de filtración de datos personales. Tampoco contempladas infracciones administrativas. Sin olvidar que, como se menciona más arriba, las brechas de seguridad "intencionales" configuran delito y, para el caso de que se dieran brechas de seguridad por violación de un sistema, dato informático o base de datos personales en el ámbito de una entidad estatal, sus funcionarios y empleados públicos resultarían obligados por ley a denunciarlas.

No obstante, los vacíos legales, el Congreso Nacional sancionó en el año 2017, la ley 27.411 de adhesión al Convenio de Budapest, sellando un compromiso de adecuación legislativa y de cooperación internacional para la persecución de los delitos allí estipulados, previéndose la obligación de designar un punto de contacto localizable (red 24/7), con el fin de garantizar, una asistencia inmediata en las investigaciones de delitos vinculados a sistemas y datos informáticos, como para la obtención de evidencia digital, con miras en maximizar eficacia en las investigaciones penales en entornos digitales.

Conclusión [arriba] 

Una identidad oficialmente reconocida es un derecho humano básico. La brecha digital y las brechas de seguridad expanden una enorme grieta entre la realidad de los individuos que viven en países desarrollados, de los que viven en países en vías de desarrollo. Nuestros datos son nuestra identidad y para potenciar lo humano, debemos potenciar la identidad. Entiendo que, en la medida que avance la infraestructura tecnológica adecuada de Identidad Digital, se hará más clara su autonomía respecto del régimen de Protección de Datos Personales. Es decir, podría ocurrir, que la migración a una tecnología sólida y autosuficiente a través del uso de Inteligencia Artificial termine garantizando ciberseguridad paulatinamente, creándose así, un sistema de confianza en una entidad supra humana superadora técnicamente, a los discutidos y descuidados sistemas actuales de identidad fragmentados, como a los tensos y vulnerables regímenes de protección de datos actuales, en el estrecho camino del proceso evolutivo hacia la civilización digital.

Bibliografía [arriba] 

• DUPUY, Daniela (Dirección), y KEIFER, Mariana (Coordinación), (2018) "Cibercrimen II", Editorial IB de F. Montevideo-Buenos Aires.

• PARADA, Ricardo y ERRECABIRDE, José, compiladores, Suplemento Especial "Cibercrimen y delitos informáticos" (2018), 1° Edición, Editorial Erreius.

• SULLIVAN, Clare Linda (2011) "Digital Identity - An Emergent Legal Concept." Australia: University of Adelaide. Press. Disponible en: http://ssrn.com/abstract=1803920.

• ADC Digital, Área Digital de la Asociación por los Derechos Civiles (2017), "Desafíos de la biometría para la protección de los datos personales: Reflexiones sobre el caso SIBIOS".

• LEZCANO, José María. “Las redes sociales en Internet. Herramientas para la comprensión de un fenómeno en progreso”, En: XI Congreso Nacional y I Latinoamericano de Sociología Jurídica: Multiculturalismo, Identidad y Derecho. Buenos Aires: Argentina, 7, 8 y 9 de octubre de 2010. Actas. ISBN 978-987-25475-1-6.

 

 

Notas [arriba] 

[1] Abogada. Posgrado en Cibercrimen y Evidencia Digital (UBA). Miembro del equipo de investigación de Legislación, Doctrina y Jurisprudencia del Observatorio de Cibercrimen y Evidencia Digital en Investigaciones Criminales (OCEDIC) de la Universidad Austral. Técnica en Hardware de PC (THPC) Microsoft OEM certified y Técnica en Redes Informáticas (TRI), Microsoft OEM certified. Titular del desarrollo: Abogacía Digital http://abogaciadigital.ar.
[2] El concepto "Cuarta Revolución Industrial" fue acuñado por Klaus Schwab, fundador del Foro Económico Mundial, en el contexto de la edición del Foro Económico Mundial 2016.
[3] 2. f. Conjunto de rasgos propios de un individuo o de una colectividad que los caracterizan frente a los demás. Y 3. f. Conciencia que una persona tiene de ser ella misma y distinta a las demás.
[4] Ley 25.326, sancionada en Octubre 4 de 2000.
[5] La ley 13.482 creó el Registro Nacional de las Personas (Renaper), es el organismo estatal que realiza la identificación y el registro de las personas físicas que se domicilien en el territorio o en jurisdicción de Argentina.
[6] Validación en Mi Argentina https://www.argentina.gob.ar/ miargentina/app
[7] "El SID es un sistema seguro y confiable de validación de identidad que respeta la privacidad de los datos y fotos suministradas por el ciudadano. La biometría de rostro es un modo de identificación legalmente válido y adaptado a las nuevas tecnologías según los términos de la ley 17.671 y su reglamentación decreto 1501/09." https://www.argentina.gob.ar/sid/ preguntasfrecuentes
[8] https://nationalcrimeagency.gov.uk /news/weleakinfo-com -site-hosting-stolen-credentials- taken-down-after-international -operation



© Copyright: Red Iberoamericana de Derecho Informático