Gran tema, se comparte la inquietud, pero hay mucho paño que cortar… Un dato: fui uno de los que se opuso a que se regulara en Chile el año 2006 y mediante un Decreto Supremo 93  el envío de correos desde los servicios públicos -en definitiva sólo se reguló acá el filtrado o la forma de eliminarlo-, porque los teóricos de turno entendían que el envío de DOS (léase bien, 2) correos en el año en el marco de sus funciones de servicio público y para beneficio de los ciudadanos debía ser “spam” y que debía pedírsele autorización expresa a los ciudadanos…

Entonces, primero consensuemos que entendemos por spam y después veamos si los servicios públicos pueden ser sancionados como spammers… Cabe entenderse por “spam” al envío indiscriminado de correos electrónicos no solicitados, “basura” o “chatarra” y generalmente con promociones comerciales, los que saturan casillas de correos electrónicos. No es necesario contar con una definición detallada o unívoca de esta práctica. Basta con tener presente un concepto que reúna algunas de las diversas características que se han consensuado y que, de concurrir -no necesariamente todas a la vez-, la transforman en una actividad nociva, perjudicial y eventualmente ilícita, si se hace en forma clandestina, masiva y abusiva.

Lo que no debe hacerse es caer en la simpleza de definírselos como “todo correo electrónico no deseado, no solicitado o no consentido” y de creer que así se engloban sus principales características, de partida porque un correo que se envía por ejemplo una única vez no causa perjuicio alguno al destinatario, y porque en definiciones tan simples cabría por ejemplo el caso de que un alumno de derecho o un colega abogado le enviaran un correo a otro abogado para formalizar un contacto, sin que ambos supieran que el destinatario no lo deseaba y no lo consentía, y por cierto sin haberlo solicitado el receptor.

El tema si está regulado para los servicios públicos; (i) en la Ley de Bases de la Administración del Estado, porque los recursos públicos sólo se pueden usar para fines de servicio público, y este sería el caso si la base de datos personales con las direcciones de correo hubiese sido alimentada, sin ruidos ni silencios, por el servicio público; (ii) en el artículo 20 de la ley 19.628, si es que tratar el dato dirección de correo y usarlo para comunicaciones con los ciudadanos fuera una de las competencias de derecho público de un servicio; y (iii) por el artículo 4° de la misma ley, si existiera una norma legal expresa que lo permitiera sin necesidad de pedirle autorización al ciudadano titular de la dirección de email. Agora, aggiornando: …existen incluso normas especiales que permiten las notificaciones y las citaciones de Derecho Público realizadas en forma electrónica o mediante casillas de correo electrónico.

Además, el referido Decreto Supremo 93 ha sido complementado por un Ordinario N°563 de fecha 25 de Abril del año 2007, del Ministerio Secretaría General de la Presidencia, que recogiendo los trabajos de un Subcomité de Gestión de Seguridad y Confidencialidad del Documento Electrónico, puso a disposición de los servicios públicos una “Guía Modelo de Protección de Casillas Electrónicas”. Sugiero leerlo… No obstante ser su contexto el de las formas técnicas y administrativas de evitar o minimizar “la recepción” de correos masivos, no solicitados y con promociones comerciales en los sistemas de los servicios públicos, desde otra perspectiva muy diversa, la Guía contiene un numeral Octavo referido a las consideraciones que deben tenerse presente en materia de “emisión” o envío de “spam” (es el término usado) desde redes gubernamentales, de cara a la responsabilidad del funcionario público “usuario” y a la del “administrador de los sistemas”.

En esencia, subyace la idea y la percepción en los redactores de la Guía   -que rechazamos por ilegal y no ajustada a la ley 19.628- que un órgano de la Administración del Estado debería enviar un correo electrónico (lo que técnicamente implica el tratamiento de un dato personal del ciudadano) con autorización previa del receptor (la que legalmente está dada); que el correo debería contener información clara y precisa sobre la fuente de origen del mensaje (lo que siempre ocurre tratándose de servicios públicos, que no operan en forma anónima); y, que se debería ofrecer al ciudadano un mecanismo efectivo para que pueda exigir su exclusión (es el criterio del opt-out) de la lista usada para el envío de los mensajes electrónicos.

El Subcomité de Gestión de Seguridad que redactó el documento consideró que, “consciente o inconscientemente“, las redes telemáticas de gobierno y sus usuarios se convertían en emisoras de spam, provocando -supuestamente, porque no realizaron levantamiento empírico serio- daños a la imagen de la red gubernamental, problemas de capacidad de respuesta en los servidores de correo institucional, desperdicio de ancho de banda nacional e internacional con flujos de correo basura y molestias a los ciudadanos receptores de los correos. Para este Subcomité, de legalidad cuestionable, resultó “relevante” que se tomara conciencia del problema -que en mi opinión es inexistente- y que se adoptaran las medidas necesarias para monitorearlo y controlarlo si se llegara a detectar algún “brote” de la actividad.

Entre las consideraciones sobre la posible responsabilidad de los  funcionarios  públicos “administradores de los sistemas de correo electrónico”, de manera genérica se señala que ellos deben velar porque las condiciones de seguridad de sus sistemas permitan minimizar las posibilidades de que ocurran emisiones de spam desde la red gubernamental, y de manera específica y esencialmente técnica, se sugiere, por ejemplo,  el generar reglas para controlar y monitorear los tráficos de correos salientes, o incluso, al extremo y ya alejándose definitivamente del envío de correos masivos, el establecer políticas para controlar el uso de aplicaciones “P2P” que se prestan para actividades ilegales cuando se intercambian creaciones digitales originales violándose las leyes de derecho de autor.

Es muy poco probable que los servicios públicos en Chile adquieren listas de correos en el mercado informal o, desde otra perspectiva, vendan o comercializen las bases de datos con las direcciones de correos de los ciudadanos que recopilan en el marco de su función pública. Es que si lo hacen, el sumario por la responsabilidad administrativa “caería de cajón…”. Además que al no poseer competencia para hacerlo y al recaer en principio sobre ellos la obligación general de secreto del artículo 7° de la ley 19.628, este proceder sería ilegal y negligente, sancionable incluso penalmente por el artículo 4° de la ley 19.223 si fuera el funcionario responsable del sistema el que revelase las cuentas de correo.

Los servicios públicos  tampoco podrían incurrir en prácticas en las que concurran algunas de las posibles notas características más perjudiciales del spam en el sector privado, esto es: (i) no envían correos electrónicos en forma masiva y reiterativa; (ii) al enviar un correo electrónico no lo hacen de forma anónima sino que se contiene la identidad del emisor y del receptor del mensaje; (iii) no realizan promociones comerciales o publicidad no solicitada; (iv) no actúan fuera de su competencia legal; y, (v) no operan usando direcciones de correo adquiridas ilícitamente en el mercado informal sino sólo las de sus propias bases de datos. Creo que no es el caso que le afectó a mi amigo….

Incluso más: los servicios públicos son competentes y no pueden desviar la data nominativa “direcciones de correo electrónico” que identifica a los ciudadanos que recogen para cumplir sus obligaciones legales para “fines diversos” -por ejemplo una campaña política partidista en período de elecciones-, porque serían responsables legal, constitucional, administrativa y civilmente en conformidad a las leyes generales, de la actuación indebida, del mal uso del dato personal dirección de correo electrónico y de los eventuales perjuicios ocasionados al administrado.

Ojo, a lo mejor se pensó que si en Chile el spam todavía es legal en el sector privado, bajo ciertos respectos, podía entenderse que esta validación alcanza a generar competencia  para que un servicio público promueva sus servicios entre los ciudadanos. Pero la respuesta es negativa, toda vez que la validación requiere que estemos en los supuestos de la ley de derechos del consumidor, esto es, que el correo lo envíe un comerciante a un consumidor o posible cliente, y que el contenido consista en la oferta comercial de un bien o de la prestación de un servicio.

¿La sugerencia a mi amigo? …presentar un recurso de habeas data del artículo 12 de la ley 19.628, para que le informen dentro de 48 horas como obtuvieron su dato personal dirección de correo electrónico y con que fin lo usan, pudiendo pedir que lo eliminen.

rjl

 http://blogs.elmercurio.com/cienciaytecnologia/2009/03/09/finlandia-aprobo-una-ley-para.asp

Finlandia aprobó una ley para controlar los correos electrónicos.

Desde el pasado miércoles, una nueva ley permite a los empleadores finlandeses monitorear el correo electrónico de sus empleados. El Parlamento de Finlandia aprobó la iniciativa, que se conoce popularmente como “Ley Nokia”, por 96 votos a favor y 56 en contra.La alusión al fabricante de celulares se debe a que Nokia presionó durante más de dos años para obtener la facultad de revisar el correo electrónico de sus empleados. La empresa alegó haber sido víctima de espionaje industrial.Políticos de la oposición, expertos en Derecho y organizaciones civiles han criticado duramente la “Ley Nokia”, ya que consideran que atenta contra los derechos fundamentales de los ciudadanos. Hasta ahora, la legislación finlandesa garantizaba el secreto de las comunicaciones y, en caso de actividades sospechosas, sólo la policía podía investigar el mail de los trabajadores mediante la correspondiente orden judicial.

Cuándo y a quién

La nueva cláusula estipula que los empleadores tienen la facultad de investigar el destinatario, la hora y el tamaño de los archivos enviados desde los correos de sus trabajadores, para evitar la filtración de secretos corporativos. No pueden acceder al contenido de los mensajes.

Para el abogado chileno Renato Jijena, experto en el tema de la protección de los datos personales ( www.habeasdataorg.cl), “no hay violación de derechos en la Ley Nokia, porque se ha entendido que, en el contexto de la sociedad de la información, los derechos deben conciliarse con intereses que (en el caso de supuestos delitos) aparecen como más relevantes”.

Jijena explica que, como se afecta al mail de la empresa, no cabe calificarlos como “correos electrónicos privados, que son los únicos que un mal dictamen de la Dirección del Trabajo en Chile ha sugerido que deben protegerse”.

Destaca el profesor de derecho informático de la Pontificia Universidad Católica de Valparaíso, que los finlandeses “fueron cuidadosos, porque sólo se podrán revisar los datos de envío y destino, no así el contenido de los correos. Ningún empleado o funcionario podría negarse a explicar por qué tal día y a tal hora mandó tales mails”.

Jijena agrega que en Chile existen normas que permiten sostener este criterio, “que es pragmático, no dogmático, y que no viola las garantías como la confidencialidad de las comunicaciones o la privacidad, porque estos derechos no pueden ser absolutos, ni al extremo de amparar prácticas ilícitas como los delitos”.

En tanto, Josué Ariza, gerente en la firma de soluciones de seguridad Websense, señala que la información es “la moneda del mundo actual, y protegerla es un reto para cualquier empresa. Los secretos industriales son los que permiten a las empresas sobrevivir, y si los pierden, estarán a merced de un mercado implacable que posiblemente las verá desaparecer”.

Sugiere Ariza que “herramientas como las llamadas ‘Prevención de Fuga de Información’ o DLP (Data Loss Prevention) son un elemento que, junto a políticas de análisis de la información, cerrarán las posibilidades de que la información confidencial salga de las empresas”.

No es inédita

Además de las empresas, la nueva legislación finlandesa permite el control de las comunicaciones electrónicas a los ministerios, las bibliotecas, los centros educativos e incluso a las comunidades de vecinos que compartan un mismo servidor de internet.

“La ley no es inédita”, hace notar Renato Jijena. “El tema se debate hace tiempo, con posturas y fallos en ambos sentidos y bastante extremos: o total acceso del empleador o total protección del trabajador. Lo clave en el caso de la Ley Nokia es que permite auditar los servidores de correos a sus propios dueños, pero, para equilibrar, resguarda el contenido de los correos. Yo soy más radical: por tratarse de comunicaciones abiertas, y no encriptadas, y debido a que se están usando los medios del empleador, cuya sola finalidad es trabajar, no se trata de las comunicaciones privadas a las que alude la Constitución”.

Queremos invitarlos a un debate on line, para, de esta manera, promover el trámite parlamentario de un proyecto de ley que en Chile pretende abordar el spam en el contexto de una ley de protección de datos. Es decir, considerando jurídicamente ya no sólo la operatoria de los spammers en el marco de los derechos de los consumidores sino también el abuso que se hace “del dato personal dirección de correo electrónico”.

El proyecto y el debate generado está en la URL http://www.senado.cl/blog/jnovoa/?p=12

Dice el Senador patrocinante que la ley sobre “protección de datos personales”, actualmente vigente, no permite una adecuada protección de los datos o antecedentes personales que se procesan computacionalmente, especialmente de los llamados datos sensibles o personalísimos, como por ejemplo, enfermedades, patrimonio, etc. Agrega que ello ha llevado a que personas inescrupulosas y con un mero afán de lucro, utilicen este tipo de datos sin que ello haya sido expresamente autorizado por su titular, quién puede verse seriamente afectado, por ejemplo, para arrendar una vivienda, buscar un trabajo, etc. El proyecto propone, además, una solución al problema del SPAM, que afecta seriamente a los usuarios de internet…