Your SlideShare is downloading. ×
Slides
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Slides

392
views

Published on

Published in: Business, Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
392
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. El derecho a la privacidad del consumidor y las nuevas tecnologías Pontificia Universidad Católica del Perú Dra. Analía Aspis 25 de junio de 2010
  • 2. Propósitos de reflexión conjunta
    • Presentación del derecho a la privacidad de datos
    • El caso del RFID y los derechos a la privacidad del consumidor
  • 3.
    • Mi nombre es Anal ía Aspis
  • 4. Identificación?
  • 5.  
  • 6. Identidades
  • 7.  
  • 8.  
  • 9.
    • www.pipl.com
    • www.paterva.com /maltego
  • 10.  
  • 11.  
  • 12. The valor de la privacidad y la protección de los datos
    • Derecho humano
        • Libertad de expresión
        • Libertad de pensamiento
    • Lugar privado
    • Intrusiones del Estado
    • La naturaleza de la protección de la privacidad
    • Cultura
  • 13. Protección de datos personales (Tribunal Supremo de España) SALUD MILITAR DERECHOS HUMANOS LABORAL SINDICAL EMPRESARIAL PENAL CONTRACTUAL CONSUMIDOR
  • 14. Consumer’s privacy rights online
  • 15. Panóptico y consumidor Minority Report, 2002
  • 16. Publicidad
  • 17.  
  • 18.  
  • 19.  
  • 20.  
  • 21.
    • + Organismo europeo del consumo
    • + Presidente de Francia
    • + Campaña de Africa Occidental a favor de los derechos de los consumidores
    • + Estados de US
        • + Food Drug Administration and RFID and pharmaceutical products
  • 22. ONLINE OFFLINE DERECHO ACTIVIDADES Vigilancia – Tracking- Profiling Intercambio De información 1 Perfil 1 Collecicón de datos 1 “ It’s the databases, stupid” RFID LO NUEVO
    • Cantidad de
    • objetos
    • Tratamiento
    • instantáneo
    • de datos
    • Cantidad de
    • información
    EXISTENTE PROCESAMIENTO DE DATOS BASE DE DATOS ipv6
  • 23.
    • RFID como objeto de estudio para la comprensión de los derechos del consumidor a la privacidad de sus datos
  • 24. Que es exactamente RFID?
    • Grupo de tecnologías que utilizan la onda de radio para identificar objetos o personas
  • 25.
          • Sistema tradicionales de identificación
            • Código de barras
            • Bandas magnéticas
            • Sistema de vigilancia electrónico
          • Nuevos sistema de identificación
            • Biometría
            • Reconocimiento óptico
            • Smart cards
            • Reconocimiento de voz
            • RFID
  • 26. TAGS y LECTORES: Como son?
  • 27.  
  • 28. Lectores
  • 29. TAGS
    • PASIVOS
    • No iniciar la comunicación por sí mismos
    • Necesitan un lector
    • 30 pies de distancia
    • ACTIVOS
    • Inician por si solos la comunicacion
    • No necesitan un lector
    • 100 pies (o más)
    • Ex: E-ZPass
  • 30. RFID y sus aplicaciones : dos grupos de productos
    • Productos en los cuales el RFID es el componente esencial para su uso
        • Sistemas de control de acceso
        • Vehicle inmobilization systems
        • Autopistas
    • Los objetos que están “ tagueados ” con el RFID
  • 31. El sistema de los RFID
    • Tag
    • Tag + sensor(es)
            • Temperatura
            • humedad
    • Lectores
    • Middelware
    • Base de datos
    • Wireless sensor networks (WSNs)
  • 32. Cómo funciona el RFID? Tag info EPC 2489343 DVD LECTOR PC Sr. Perez Red
  • 33. Ejemplo de la tecnología RFID
  • 34.
    • Zapatos
    • http://www.youtube.com/watch?v=qNkPaRqXI
    • Estacionamiento
    • http://www.youtube.com/watch?v=f5FqX_Taw30
    • Metro group
    • http://www.youtube.com/watch?v=sSlEa1udYGw&feature=related
    • IBM
    • http://www.youtube.com/watch?v=eob532iEpqk&feature=PlayList&p=A3C1C46D3224DA55&playnext_from=PL&playnext=1&index=41
  • 35. E-ZPass is an electronic toll-collection system used on most tolled roads , bridges , and tunnels in the Northeastern US , south to Virginia and West Virginia, and west to Illinois. Currently, there are 25 agencies spread across 14 states that make up the E-ZPass Interagency Group (IAG) . All member agencies use the same technology, allowing travelers to use the same E-ZPass transponder throughout the IAG network. Various independent systems that use the same technology have been integrated into the E-ZPass system. These include Fast Lane in Massachusetts , I-Pass in Illinois , i-Zoom in Indiana , and the defunct M-Tag in Maryland and Smart Tag in Virginia .
  • 36. Indicios de la importancia del RFID a nivel mundial
    • Inversión empresarial
    • Actuales proyectos científico-tecnológicos(1)
    • Debate (2) Por qué entre todas estas tecnologías RFID ha generado un debate social y jurídico ?
    • Regulación (3)
  • 37. Investigación científica (1)
  • 38. Debate (1) a) Consumidores vs. Empresas
    • Ocultamiento de los tags (chips)
    • Inventario clandestiono y data mining
    • Profiling, prototyping, stigmatisation, targeting
    • Seguimienot y monitoreo
    • Maximización de productividad
    • Favorecimiento del consumidor
    • Respeto al consumidor
  • 39. El Debate
    • Consumidores
    • CASPIAN
    • EPIC
    • BEUC
    • Corporaciones
    • Wallmart
    • Phillips
    • Benetton
    • Tesco
    • Metro Group
    • P&G
    • Y más….
  • 40. Preocupación del consumidor
  • 41.  
  • 42. Reacciones de los consumidores
  • 43. Ocultamiento de los tags
  • 44. El boycott a Gillete
  • 45. Internacional Tecnológica Europa REGULACION (3) OCDE ITU WIPO International conference on Data Protection and Privacy Comissionars Auto-ID CENELEC (UE) IETF IRTF W3C EPC Global CEN CEPT ETSI ICNIRP IEC ISO US patent office Institute for Prospective Technological Studies Bridge Project TAC RFID consultation Data Protection Working Partiy European Network and Information Security Agent Comission of the European Communities Fidis Council of Europe of Data Protection EuropeaCommittee on legal Cooperation (CDCS) European Radio Communications Office European data protection supervisor Comité d’ expert sur la prtection des donnes Council of Europe of Data Protection
  • 46. Privacy international CASPIAN Privacy rights clearinghouse EPIC Privacilla ANEC BEUC EDRI EFF Transatlantic RFID consumer UK: Nacional RFID Centre Canada: Netherlands: Consumentenbound Germany: Federation of German Consumer Organisations (VZBV) Denmark: Danish Consumer Council Norway: The Consumer Council of Norway (Forbrukerrader) Note: Survey Federal legislation State legislation Federal Trade Commission regulation EPC National Institute of Standards and Technology: Guidelines for Securing Radio Frequency Identification (RFID) Systems Sector regulation Consumers US Self-regulation
  • 47.
    • OECD
    • CUATRO INFORMES DESDE 2006 A 2008
      • OECD Policy Guidance: A focus on information security and privacy
      • Working Party on Information Security and Privacy: RFID Applications, Impacts and Country Initiatives
      • Working Party on Information Security and Privacy: A focus on information security and privacy
      • Radio Frequency Identification (RFID): Drivers, Challenges and Public Policy Considerations
    • ARTICULO 29 DEL GRUPO DE TRABAJO SOBRE PROTECCION DE DATOS
      • Work Programme 2008-2009-20110: Prioridad alta:
            • Perfiles de comportamiento, data mining
            • RFID
            • Biométrica
      • Opinion 4/2007 sobre el concepto de datos personales
      • Documento de trabajo referente a la protección de datos y la tecnología RFID.
      • Opinión sobre el uso de datos de localización para el ofrecimiento de servicios de valor agregado ( value-added services )
    • SUPERVISOR EUROPEO DE PROTECCION DE DATOS
      • Opinion on Radio Frequency Identification (RFID) in Europe: steps towards a policy framework”
    • 23.4.2008
    • COMISION EUROPEA
      • Revisión de la E-Directive (agenda)
      • Francia, el anterior titular de la Presidencia rotativa de la UE propuso la idea de introducir nuevos derechos de privacidad para los consumidores
      • Documento de trabajo “Las redes del futuro e Internet: Los primeros retos con respecto a la Internet de los objetos ”:
      • Draft recommendation addressing RFID privacy-related concerns
      • Communicación “Radio Frequency Identification (RFID) in Europe: steps towards a policy framework
      • Commission public consultation on RFID policy.
  • 48.  
  • 49.
    • Tecnologías de Identificación automática
        • Intervención del sector público
            • Retenciones
            • Requisitos
        • Aplicaciones: muchas!
            • Transporte
            • Venta minorista
            • Sector de la salud(?) - Farmacéuticos
        • Lectores externos
    Identificación automática de objetos, personas, o perfiles
  • 50. Cómo funciona el RFID? Tag info EPC 2489343 DVD LECTOR PC Sr. Perez Red
  • 51. BENEFICIOS: Qué promueve la empresa?
    • Prevenir robo de autos
    • Recuperar objetos robados
    • Mejorar la seguridad en las prescripciones médicas
    • Mejorar la calidad de los alimentos mediante el “tagging”de animales
    • Disminuir costo en la cadena de distribución
    • Reducir tiempo de espera en las cajas
    • Mejorar la información disponible sobre los productos
    • Reducir el margen de error de stock disponible
    • Crecimiento general del acceso a productos
    • Permite el reconocimiento instantáneo de preferencias
    • German laboratory example
  • 52. Publicidades actuales
    • IBM RFID Commercial - The Future Market
    • http://www.youtube.com/watch?v=eob532iEpqk
    • http://www.youtube.com/watch?v=oAvQcYcvyaw&feature=related
    • Mastercard
    • http://www.youtube.com/watch?v=_V6X0bCvCPE&feature=related
  • 53.
    • Planteo del problema en el comercio minorista
  • 54. RFID patent’s registration
  • 55. American Express US PATENT (2007) #20050038718
    • “… consumer interface [configured to...provide a consumer identity signal to a radio frequency identification reader via a radio frequency signal] may also collect and transmit time and location information regarding the path traversed by consumer within the merchant’s facility. Such information may be acquired by consumer trackers situated at specific locations throughout the merchant’s facility…” [Section 0212; Bracketed information from Section 16]
    • “… different aisles and/or checkpoints throughout the stores may be equipped with RFID readers to facilitate tracking the shopper’s performance….By facilitating the shopping experience, the shopping identifier may be used to track a shopper…” [Section 0195]
    • “… it may also be desirable to acquire information about consumer behavior and their actions in response to specific stimuli. For example, suppliers of goods may wish to test the effectiveness of specific targeted offers, which may be tailored to individual consumers…” [Section 0004]
  • 56. RFID AND THE PRIVATE SECTOR SUPPLY CHAIN RETAIL INTERNET OF THE THINGS Internet Network Nanotechnology Sensors Transborder flow of data Ubiquitous Wireless sensor networks Ad-hoc sensor networks Applications Transport Pharmacy Events
  • 57. En cual parte del sistema puede existir una mayor amenaza para los consumidores? Identificando atentados a la privacidad Tag EPC 2489343 DVD LECTOR PC Sr. Perez 2489343 tag Sr. Perez (NN) Linqueo de datos Perfil Seguimiento RETAILER DATABASE Dato(s) Network Reconocimiento ? (1) (2) Localización
  • 58. Desactivation
    • Nunca
    • Luego de pago
    • Vigencia de:
    • Data mining
    • Perfiles
    • Reconocmiento (ya sea por el perfil o por el método de pago
  • 59. Cómo funciona el RFID? LECTOR PC Sr. Perez Red LECHE Sr. Perez LECHE Sector A 13.55 AM 9-6-2009 SECTOR B 14.00 AM 9-6-2009 Sr. Perez LECHE Sector C 14.10 9-6-2009 (o NN) Sr Perez o NN A: 13.55 B: 14.00 C: 14.10
  • 60. Dudas sobre confidencialidad:
    • 1. Nivel alto de objetos marcados
    • 2. Oculta la colocación de etiquetas y lectores sin el conocimiento del consumidor
    • 3. Clandestino el inventario o data mining
    • 4. Profiling, prototyping, stigmatisation and individual targeting
    • 5. Tracking and Monitoring
  • 61. Amenazas a la privacidad Son tecnológicamente posibles de ser llevadas a cabo?
    • Profiling
    • Linking
    • Data mining
    • Tracking
    • Re-recognition
    • Intercepción
    • Cuales están relacionadas con:
    • - el tag
    • - la base de datos
    • - el lector
    • Cuales están relacionadas con:
    • - solamente riesgos tecnológicos
    • - responsabilidad del controlador de los datos
    • - terceras personas
    Tres posibilidades a) Pago en efectivo b) Tarjeta de crédito (a or b) + Tarjeta de consumidor habitual (Loyalty Card )
  • 62. ONLINE OFFLINE DERECHO ACTIVIDADES Surveillance – Tracking- Profiling Intercambio De información 1 Perfil 1 Collecicón de datos 1 “ It’s the databases, stupid” RFID LO NUEVO
    • Cantidad de
    • objetos
    • Tratamiento
    • instantáneo
    • de datos
    • Cantidad de
    • información
    EXISTENTE PROCESAMIENTO DE DATOS BASE DE DATOS ipv6
  • 63.
    • ¿HAY ALGUNA DE PROTECCIÓN DE LOS CONSUMIDORES DE PRIVACIDAD DE TECNOLOGÍA RFID?
  • 64.  
  • 65. Reglamento de la privacidad y el RFID en el contexto US (1)
    • Contexto constitucional
    • Resistencia gubernamental
    • Legislación Federal
    • Privacidad vista como una política comercial en lugar de un derecho individual o de libertad civil
      • Fair Credit Reporting Act of 1970 (Use and disclosure of personal information by credit cards reporting acts
      • Privacy Act of 1974
      • Family Educational Rights (privacy in school records)
      • Cable Communications Policy Act of 1984
      • Video Privacy Protection Act
    • Legislación de Estado
      • Microchip implanting
      • California bill (2)
  • 66.  
  • 67. NEW SECTION 3 Bill 1031
    • “ A person that intentionally scans another person’s identification device remotely, without that person’s prior knowledge and prior consent, for the purpose of fraud, identitiy theft, or for any other illegal purpose..”
  • 68. August 2008
    • 1798.79
    • “ A person or entity that intentionally remotely reads or attemps to remotely read a person’s identification document using RFID, for the purpose of reading that person’s identification document without that person knowledge and prior consent, shall be punished by impresonment in a country jail for up to one year, a fine of not more than one thousand five hundred dollars (1500), or both that fine and imprisonment”
  • 69. Reglamento de la privacidad y el RFID en el contexto US (2)
    • Federal Trade Commission
      • Corportations with own RFID guidelines – (self regulation)
      • 15 USC SECTION 5: prohibits deceptive or unfair acts or practices in commerce
    • Copyright?
  • 70. US LIMITES : La distinción entre la esfera pública y privada
    • CONSTITUTIONAL FRAMEWORK
    • FEDERAL LEVEL
      • Only specific goverment agency, industry or economic sector
      • Specif issues
    • STATE LEVEL
      • Law conflict
      • No regulation/enforcement
      • Differents regulations vs efficient commerce
      • Vis a vis national/ multinational regulations
      • Federal Law prevails
    • FTC
      • FTC authority discretionary
      • Limited resources
      • Needs first a company to voluntary established a privacy policy
  • 71. RFID regulation in the US Privacy Self-regulation framework
    • Privacy rights are (mostly all) to be claimed against Goverment
    • Openness of information flows (democratic society and market economy)
    • Preference for private action (specific tools and flexibility)
    • Limited role for the Goverment (filling the market gap)
  • 72. EPC líneas directrices (1)
    • Alentar notará el consumidor, la elección y la educación
    • Usos determinado registro, retenton y prácticas de seguridad
    • “ Sin embargo, estas directrices no se la identificación de ciertos datos, ni el “ data mining”
  • 73. EPCglobal guidelines (2)
    • Etiquetado
      • Visibilidad
    • Explicar la forma de quitar las etiquetas, después del punto de venta
    • Habilitar la eliminación de etiquetas (
    • Las empresas deben publicar información relacionada con la forma en que conservan, utilizan y protegen los datos
  • 74.  
  • 75. El derecho a la intimidad protegido por el marco legislativo
    • Convenio Europeo de Derechos Humanos y las Libertades Fundamentales ( Art. 8)
    • Carta de los Derechos Fundamentales de la Unión ( Art. 7 & 8)
  • 76. RFID regulación en el marco de la UE
    • DIRECTIVA 95/46/EC (Data protection Directive -DPD)
    • DIRECTIVA 2002/58/EC (ePrivacy Directive)
    • Art 29 Data Protection Working Party
    • European Data Protection Supervisor
  • 77. Conceptos actuales de protección de datos
    • Dato personal
    • Principio de necesidad
    • Limitación del propósito
    • Transparencia
    • El controlador de los datos
      • Tag life
    • Derechos del titular de los datos
    • Supervisión de la utilización de los datos
  • 78. Es posible que los datos almacenados en o producido por una etiqueta RFID considerarse como datos personales ?
    • “ « datos personales»: toda información sobre una persona física identificada o identificable (el «interesado»); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social; ”
    • (Art. 2 a. D.95/46/EC)
  • 79. Dato personal?
    • Identificación Directa / Indirecta
        • Necesidad de vincular el número de identificación para dirigir factores identificable, como un nombre
        • Tratamiento
    • Inexistencia de información personal per se
      • Reconocimiento
      • No estricta identifcación en términos de nombre, domicilio, etc (no calificable como dato personal)
      • Interpretación en sentido amplio : “ La capacidad para determinar que un conjunto de características pertenece a una persona única pueden llevar en algunos casos a dañar la privacidad de esa persona, aún sin nombrarla ”
      • Interpretación estricta : sólo puede identificarse si hay un dato personal
  • 80. Dato personal?(2)
    • Pefiles
      • Silencio
      • Art 15 DPD ? : decisiones individuales automatizadas
        • a) Una decisión tuvo que ser tomada
        • b) tuvo que haber tenido efectos legales para con un individuo o haberlo afectado significativamente
        • c) la decisión debe haber sido tomada sobre la base exclusivamente a través de un tratamiento automatizado de datos
        • d)   los datos tratados deben ser diseñados para evaluar determinados aspectos de la personalidad del individuo afectado por la decisión
    •  
    •  
  • 81. eDirective
    • Servicios de comunicaciones electrónicas y redes públicas de comunicaciones
    • Redes privadas?
    • European Commission amendement (Nov.2007)
      • “ las redes de comunicaciones públicas de apoyo a la recopilación de datos y dispositivos de identificación ”
      • “ la recolleción de información, incluidos datos personales utilizando las frecuencias de radio, como la RFID debe ser objeto de la Directiva sobre intimidad ”
  • 82. Datos personales EPC 288024824 288024824 No figuran un dato personal La persona puede ser rastreada = Dato Personal Agregación de información Correlaciones Probabilidad de la re-utilización del producto
  • 83. Datos personales
    • LA NUBE EPC
    Probabilidad Del producto Adiciones Redes sociales (sale-gift) Assume patterns Possibility of not traditional identifiers available
  • 84. Datos personales
    • Escenario I
        • Solo existe registro del EPC
    • Escenario II
        • EPC + link a tarjeta de consumo, crédito o débito
    • Scenario III
        • EPC + información personal grabada en el tag
  • 85. Necesidad de regulación para las nuevas tecnologías?
    • Fair information practices ( data protection commissioners )
      • Notice, consent, choice and control
    • Auto-regulación
      • Confianza del consumidor
      • No obligatoria
    • Regulación legislativa
      • Específica
      • Modificación
    • Mix
    • Privacy-enhanced technologies
    • Data protection by Design
    • International?
    • Nuevas reglas?
  • 86. Gracias! Dra. Analía Aspis [email_address]