• Bogota D.C - Carrera 7ma No. 57-05 Edificio Atlantis - Oficina 1401.
  • 300 639 2513
Facebook Linkedin Instagram
¡Cotiza Ahora!
Buscar
Cerrar este cuadro de búsqueda.

Etiqueta: Protección de Datos

Endesa: multa histórica de 6.100.000 euros por violación grave de protección de datos

La Agencia Española de Protección de Datos (AEPD) ha impuesto su segunda sanción más alta, y en esta ocasión, la compañía que se lleva el premio es Endesa, con una multa asombrosa de 6.100.000 euros. Esta sanción surge como resultado de una grave vulneración de la protección de datos que ha expuesto información sensible de millones de clientes. Según el informe de la AEPD, los datos personales de 4,8 millones de clientes de electricidad y 1,2 millones de gas de Endesa estuvieron expuestos a terceros no autorizados. Lea también: Protección de datos personales: ¿quiénes se preocupan más por su privacidad? Además, se identificó la posibilidad de acceder a datos técnicos de 30,6 millones de puntos de suministro eléctrico y 8,6 millones de gas, incluyendo información confidencial como nombres, apellidos, DNI, teléfonos, correos electrónicos, direcciones postales, números de cuenta bancaria, CUPS (punto de suministro), consumo, facturación y deudas. El informe detalla que Endesa descubrió esta vulnerabilidad en agosto de 2021, relacionada con la publicación de claves de acceso en Facebook para su plataforma Sales Folder. Sin embargo, la empresa no tomó las medidas adecuadas de inmediato ni notificó a las autoridades competentes, lo que agrava aún más la situación. Así se desglosa la sanción contra Endesa La sanción impuesta por la AEPD se desglosa en varias infracciones del Reglamento General de Protección de Datos (RGPD): Infracción del artículo 5.1.f) del RGPD: Multa de 2.500.000 euros. Vulneración del artículo 32 del RGPD: Multa de 1.500.000 euros. Incumplimiento del artículo 33 del RGPD: Multa de 800.000 euros. También, la infracción del artículo 34 del RGPD: Multa de 800.000 euros. Por último, la vulneración del artículo 44 del RGPD: Multa de 500.000 euros. Este caso subraya la importancia crítica de garantizar la seguridad y la protección de los datos personales, así como la urgencia de contar con asesoramiento legal especializado en materia de protección de datos para prevenir consecuencias adversas. FUENTE: Herrera, Felipe. »Opinión | Endesa: multa histórica de 6.100.000 euros por violación grave de protección de datos» Confilegal.com. 08/12/2023. (https://confilegal.com/20231208-opinion-endesa-multa-historica-de-6-100-000-euros-por-violacion-grave-de-proteccion-de-datos/).

Protección de datos personales: ¿quiénes se preocupan más por su privacidad?

A medida que aumenta la digitalización y nuestras interacciones en línea, crece también la necesidad de verificar y proteger los datos personales que damos a las empresas al momento de acceder a un servicio, pero ¿qué generaciones son las más interesadas en hacerlo? Desde utilizar plataformas de mensajería instantánea hasta el empleo de redes sociales, pasando por aplicaciones de streaming o de banca, y correos electrónicos, prácticamente todas las actividades que realizamos en línea llevan implícita la recopilación de datos personales que puede vulnerar la privacidad de las personas, al no tener certeza sobre qué hacen con la información. Aunque por mucho tiempo se pensó que no había nada que los usuarios pudieran hacer al respecto, el desarrollo de leyes de protección de datos y las campañas informativas han cambiado la percepción, y cada vez más personas toman acciones para cuidar su información. Cristóbal Mariscal, director legal de Cisco México, asegura que esto se advierte por el incremento de consultas que las personas hacen a las empresas para descubrir qué datos privados tienen sobre ellas, cuyo porcentaje pasó de 24% en 2022 a 28% durante este año. “Año con año, la población toma mayor conciencia que la privacidad de sus datos es un derecho y que las organizaciones tienen la responsabilidad de garantizar su confidencialidad. En este sentido, también ha crecido el interés por saber qué datos han compartido de manera voluntaria o involuntaria, y solicitar que dichos datos se modifiquen o eliminen en algunos casos”, señala Mariscal. ¿Quienes son los que más se preocupan por sus datos personales? De acuerdo con los resultados de la Encuesta de Privacidad del Consumidor 2023, realizada por Cisco en 12 países, entre ellos México, las nuevas generaciones son las que más se ocupan de la revisión y protección de sus datos. El estudio encontró que más del 40% de los jóvenes entre 18 y 34 años ha ejercido su derecho para conocer si sus datos personales se están tratando y con qué fin, mientras que apenas el 13% de los adultos (entre 65 y 74 años) y solo el 6% de los mayores de 75 años lo han hecho. Podría interesarle: Cómo borrar tu huella digital en Internet con estos 8 pasos Cuando se trata de cambiar o eliminar la información personal en posesión de organizaciones, los grupos poblacionales de millennials y centennials son también los más cautelosos a diferencia del resto de las generaciones, que tiene una actitud mucho más relajada sobre su privacidad. De hecho, 32% de los jóvenes entre 18 y 24 años y 28% de entre 25 y 34 años han solicitado rectificar o salvaguardar su información, en comparación con el 8% de los adultos entre 65 y 74 años, y el 4% de los mayores de 75 años. “Si bien todas las generaciones dicen estar interesadas en proteger su privacidad, hay diferencias significativas en la manera en que cada grupo aborda el tema. Lo que podemos concluir de este estudio es que las personas que mejor conocen y entienden las leyes de privacidad, son las que se sienten más confiadas en poder proteger adecuadamente sus datos”, asegura Mariscal. Inteligencia artificial genera nuevos desafíos El uso de herramientas y dispositivos que utilizan inteligencia artificial (IA) también ha impactado significativamente en la forma en que algunas empresas recaban y almacenan datos personales. La Encuesta de Privacidad del Consumidor de Cisco indica que aunque casi la mitad de los entrevistados (48%) está de acuerdo con que la IA puede mejorar la vida cotidiana en aspectos relacionados con las compras, servicios de streaming y atención médica, seis de cada 10 personas expresan preocupación por la forma en que se utiliza su información, y el mismo número asegura haber perdido la confianza en organizaciones por el uso de IA. Los encuestados también dicen que explicar cómo funciona la IA en la toma de decisiones (75%) y la implementación de programas de gestión ética en torno a esta tecnología (78%), ayudarían para mejorar la percepción y aumentar la confianza en las empresas. “La privacidad es un derecho fundamental y una responsabilidad compartida que requiere de la actuación de los gobiernos, las organizaciones y los individuos. Es necesario hacer una revisión a las legislaciones para asegurar que estén acordes a la realidad actual y nuevas tecnologías; las empresas a su vez deben ser más transparentes y adoptar medidas para garantizar el almacenamiento y uso adecuado de datos personales, mientras que las personas deben ser más cuidadosas e informarse antes de compartir sus datos con otros”, concluye el ejecutivo de Cisco. ¿Cómo proteger los datos personales? Los datos personales es toda la información que de manera aislada o en conjunto puede ayudar a identificar a una persona. Algunas medidas que se pueden llevar a cabo para la protección de los datos personales son: FUENTE: Redacción Tech Bit. »Protección de datos: ¿quiénes se preocupan más por su privacidad?» Eluniversal.com.mx. 08/12/2023. (https://www.eluniversal.com.mx/techbit/proteccion-de-datos-en-la-era-digital-quienes-se-preocupan-mas-por-su-privacidad/).

Cómo borrar tu huella digital en Internet con estos 8 pasos

Elementos como contraseñas, correos electrónicos, direcciones, números de teléfono, datos bancarios, preferencias de compra, ámbito laboral, fecha de nacimiento… A eso se le llama huella digital. Es decir, es el rastro que dejamos al interactuar con diversos servicios, páginas web o aplicaciones en el amplio y en muchas ocasiones desconocido mundo de internet. El peligro de la huella digital pasiva Cuando compartimos contenido en nuestras redes sociales, estamos dejando esa huella, pero siendo conscientes, o deberíamos de serlo, de que son públicas, aunque también existe la que no vemos y esa es la huella digital pasiva. Esta última se manifiesta cuando una página web rastrea nuestra dirección IP o posee nuestro correo electrónico debido a que nos hemos suscrito, por ejemplo, a una newsletter. Lea también: Tome nota: ¿Qué datos necesitan los ciberdelincuentes para estafarlo? El problema lo encontramos en que podemos ser víctimas de posibles ciberataques por los delincuentes informáticos. Esto es más probable debido a la presencia de información que ni siquiera somos conscientes o no recordamos de haber compartido, lo que subraya la importancia de comprender y gestionar nuestra huella digital en la era digital actual. Borra tu huella digital paso a paso Para poder protegernos ante esto, el usuario de Instagram @forgoodcode, que tiene 1,7 millones de seguidores, ha compartido un post en dicha red social en el que explica el cómo borrar el 99,4% de la huella digital en internet. Estos son los 8 pasos que el experto recomienda realizar para poder borrar casi con totalidad nuestra información de la red. FUENTE: Bordonaba, Mario. »Cómo borrar tu huella digital en Internet con estos 8 pasos» 20minutos.es. 07/12/2023. (https://www.20minutos.es/tecnologia/ciberseguridad/como-borrar-huella-digital-internet-8-pasos-5193285/).

Diez principios para gobernar la ciberseguridad en la era de ChatGPT

Nos encontramos viviendo una era de avances tecnológicos que transforman la manera en que interactuamos con la información y nos comunicamos con el mundo. La inteligencia artificial, en particular, ha emergido como una fuerza disruptiva que está moldeando rápidamente diversas facetas de nuestra vida, desde la toma de decisiones empresariales hasta la comunicación cotidiana. En este contexto, la llegada de ChatGPT, un modelo de lenguaje basado en IA desarrollado por OpenAI, ha suscitado un interés sin precedentes. Podría interesarle: Ataques de hackers afines a Irán afectan varios estados de EEUU Este avance representa un hito en la creación de sistemas de procesamiento de lenguaje natural, y plantea cuestiones importantes sobre cómo lo utilizamos y cómo impacta en nuestra sociedad. A continuación, expondremos una guía de gobernanza para los líderes empresariales, con el objetivo de prevenir riesgos y resguardar sus activos: Conciencia de Riesgos Es clave que los líderes empresariales comprendan en profundidad los riesgos inherentes al uso de ChatGPT y sistemas de inteligencia artificial. Esta conciencia informada capacita a tomar decisiones estratégicas que protejan los activos y la integridad de la organización en el entorno digital actual. Directrices Evidentes La creación de políticas claras y bien definidas en relación con el uso de ChatGPT e IA es esencial para mantener una postura sólida en ciberseguridad. Estas políticas establecen expectativas claras para el manejo de los datos recopilados, proporcionando una estructura que guía las acciones y protege la información sensible. Capacitación Integral Permanente Empoderar a los empleados con programas de concientización y capacitación exhaustiva es un pilar fundamental en la estrategia de prevención de riesgos. Proporcionar conocimientos sobre el uso seguro de ChatGPT e IA es fomentar la capacidad de detectar posibles amenazas, para asegurar que cada miembro del equipo sea un defensor activo de la ciberseguridad. Protección de Datos La implementación de medidas robustas de seguridad para proteger los datos recopilados y alrededor del ecosistema ChatGPT e IA es un mandamiento inquebrantable. Mediante la encriptación avanzada y el control de acceso restringido, se crea una barrera defensiva que salvaguarda la información confidencial de posibles vulnerabilidades y ataques. Monitoreo Continua Mantener una supervisión constante sobre el uso de ChatGPT e IA se erige como una salvaguardia activa contra amenazas latentes. El monitoreo en tiempo real permite la detección temprana de comportamientos anómalos, facilitando una respuesta ágil ante cualquier intento de violación de seguridad. Actualización de Plataformas La actualización regular y estratégica del software de ChatGPT e IA es un mandato crucial en la lucha contra las vulnerabilidades. Mantenerse al día con las últimas versiones y parches de seguridad reduce la exposición a posibles exploits y garantiza un entorno más resiliente. Preparación ante Incidentes Un plan de respuesta a incidentes sólido es esencial para mitigar los efectos de una posible violación de seguridad. Tener protocolos claros y estructurados para gestionar incidentes garantiza una reacción rápida y eficaz, minimizando el impacto en caso de una brecha. Auditorías Rigurosas Las auditorías de seguridad regulares permiten una evaluación exhaustiva de la efectividad de las medidas de seguridad implementadas. Estas evaluaciones periódicas identifican posibles lagunas y oportunidades de mejora, permitiendo que la estrategia de ciberseguridad evolucione con las cambiantes amenazas de ciberseguridad. Pruebas de Penetración Ejecutar pruebas de penetración de manera regular es una directriz proactiva para identificar y remediar posibles debilidades en el sistema. Estas evaluaciones exhaustivas, no solo al servicio en sí mismo, sino a todas las capas de punta a punta en el uso de IA, permiten una revisión minuciosa de la infraestructura y la detección temprana de brechas, antes de que puedan ser explotadas por amenazas externas. Colaboración con Expertos La colaboración con expertos en ciberseguridad aporta una perspectiva externa e invaluable para fortalecer la defensa. La experiencia de estos profesionales permite la identificación temprana de amenazas emergentes y la formulación de estrategias de prevención adaptativas y efectivas. Juntos, pueden guiar a la organización hacia un futuro más seguro y resiliente en el mundo digital. FUENTE: Descalzo, Fabián. »Diez principios para gobernar la ciberseguridad en la era de ChatGPT» Canal-ar.com.ar. 01/12/2023. (https://www.canal-ar.com.ar/31415-Diez-principios-para-gobernar-la-ciberseguridad-en-la-era-de-ChatGPT.html).

España busca adaptar su normativa a la era de la inteligencia artificial

La evolución de las tecnologías de creación de imágenes y el creciente protagonismo de la inteligencia artificial (IA) en los últimos años han desencadenado un amplio espectro de oportunidades en la gran mayoría de sectores. Sin embargo, este avance vertiginoso también ha suscitado retos y dilemas, especialmente debido a la falta de una regulación adecuada que se ajuste a estas innovaciones. En particular, las técnicas vinculadas a la recreación de imágenes y voces de personas mediante técnicas de inteligencia artificial demandan una protección mayor de ciertos derechos fundamentales, como la intimidad, la propia imagen y el honor. Deepfakes e hiperrealismo, de los principales problemas de la inteligencia artificial En este escenario de rápidos avances tecnológicos, las deepfakes o vídeos hiperrealistas se destacan como uno de los exponentes más reconocibles. Estas creaciones se definen como composiciones visuales, auditivas o audiovisuales que emulan la realidad, generando imágenes y/o voces ficticias de personas. Basada en el uso de IA y aprendizaje automático (machine learning), esta tecnología logra recrear acciones con una apariencia hiperrealista, aparentando ser ejecutadas por las personas en cuestión. Este fenómeno plantea desafíos significativos, ya que la capacidad de generar contenidos realistas de manera ficticia puede tener repercusiones éticas y sociales, afectando directamente a la percepción pública y la confianza en los medios visuales y auditivos. Ejemplo de ello en España son los casos de las adolescentes de Almendralejo o de la reconocida cantante Rosalía, en los que se utilizó la manipulación de imágenes mediante IA con el propósito de crear contenido pornográfico falso. Proposición de Ley En respuesta a esta problemática, España ha dado un paso significativo con la presentación, el 13 de octubre de 2023, de una Proposición de Ley Orgánica para regular las simulaciones de imágenes y voces generadas por inteligencia artificial. Esta iniciativa legislativa reconoce la imperante necesidad de establecer marcos legales sólidos frente a la amenaza emergente que implica esta tecnología, especialmente teniendo en cuenta que desde el año 2009 el Tribunal Europeo de Derechos Humanos ha reconocido como una dimensión ineludible del derecho a la intimidad, el control de la propia imagen. Lea también: 50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento La Proposición de Ley aboga por modificar normativas existentes. Partiendo de que la regulación de la inteligencia artificial implica reformar el ordenamiento jurídico español, esta iniciativa busca abordar las modificaciones legislativas consideradas más inmediatas y urgentes. Estas modificaciones se centran en áreas críticas, como el acceso a información veraz y la protección de derechos fundamentales, enfocándose especialmente en aspectos como la privacidad y la intimidad. Modificaciones propuestas Las principales y destacables reformas propuestas son las siguientes:  Marco jurídico internacional En el plano internacional también ha habido avances regulatorios en esta materia, especialmente a nivel de la Unión Europea, donde se espera la pronta aprobación del Reglamento de Inteligencia Artificial, que aborda la tecnología deepfake y establecerá una serie de pautas para su uso. La Proposición de Ley española, por ende, deberá adecuarse a las disposiciones de este reglamento. Además, el reciente Reglamento europeo de Servicios Digitales también hace referencia a la tecnología deepfake al imponer la obligación a los motores de búsqueda en línea y a las plataformas en línea de muy gran tamaño de etiquetar las deepfakes como tal, de conformidad con el principio de transparencia. En este contexto, el Servicio de Estudios del Parlamento Europeo ha emitido el informe Tackling deepfakes in European policy, referenciado en la exposición de motivos de esta Proposición de Ley. Este informe examina los riesgos asociados con las deepfakes, como el robo de identidad, la intimidación y la afectación de derechos fundamentales como la igualdad y la no discriminación, proponiendo medidas para abordar estos riesgos en diversas dimensiones (entre otras, la tecnológica, la creativa o la de difusión). En otras latitudes se ha oportado por implementar medidas similares Fuera de Europa, Corea del Sur ha adoptado medidas drásticas mediante la promulgación de una ley en 2020 que prohíbe la distribución de deepfakes que puedan causar perjuicio al interés público, con sanciones que incluyen penas de hasta cinco años de prisión o multas de hasta 43.000 dólares estadounidenses. En China, el 10 de enero de 2023 entraron en vigor unas disposiciones aplicables a proveedores y usuarios de tecnología deepfake que regulan procedimientos que abarcan todo el ciclo de vida de esta tecnología, desde su creación hasta su distribución. En contraste, en Estados Unidos, a pesar de la ausencia de legislación federal específica sobre las deepfakes, algunos estados como California, Texas o Nueva York han implementado leyes centradas principalmente en el ámbito de la pornografía deepfake. FUENTE: IT and data. »España busca adaptar su normativa a la era de la inteligencia artificial» Osborneclarke.com. 27/11/2023. (https://www.osborneclarke.com/es/insights/espana-busca-adaptar-su-normativa-la-era-de-la-inteligencia-artificial).

Fichar con la huella dactilar en el trabajo era legal. En Europa han decidido que ya no lo es y amenazan con multar a quien usen datos biométricos

Los sistemas de control de datos biométricos de entrada han estado en el foco de la polémica desde que se obligó a las empresas a registrar la jornada de los empleados. Su normativa ha estado sujeta a guías, normativas e incluso leyes, que no han dejado de cambiar y complicarse desde sus inicios, creando inseguridad jurídica que puede desembocar en severas multas. Por resumir la última polémica en cuatro palabras: si una empresa utiliza un sistema de reconocimiento de huella dactilar para fichar en la entrada o salida, estaría incumpliendo la normativa de la Agencia Española de Protección de Datos (AEPD), y la empresa podría ser sancionada porque utilizar la huella dactilar es ilegal incluso cuando el empleado ha dado su consentimiento de uso. Pero, tal y como destacan desde Audens, no siempre lo ha sido. En julio de 2007 el Tribunal Supremo dictaba sentencia considerando que utilizar la huella dactilar para el control horario no era una medida excesiva, y el uso a esta tecnología no estaba limitado por norma alguna. En noviembre de 2012 se aplicaban cambios en el artículo 20.3 del Real Decreto Legislativo 2/2015 indican que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales”. Es decir, que el empresario podía continuar usando el registro de jornada por huella dactilar de forma legal. La inclusión de regulación de datos biométricos en el RGPD En 2016 se publica el Reglamento General de Protección de Datos (RGPD), y en él se incluyen los sistemas de identificación por huella dactilar y datos biométricos como “categoría especial”, diferenciando los usos de “identificación” y “autenticación”. El RGPD dice: “Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”. Lea también: Hacia el futuro digital de Europa: implicaciones en privacidad y protección de datos de la nueva Ley de Datos o “Data act” Esto implica que el sistema de registro de jornada por huella dactilar vendría a verificar la identidad de un empleado previamente registrado está presente, con lo cual no incurre en los supuestos de identificación sino en los de autenticación, quedando fuera de “categoría especial”. Por lo tanto, en este supuesto, el registro por huella dactilar todavía se ajusta a la doctrina del Tribunal Supremo y mantiene su legalidad. Los cambios en la normativa europea En abril de 2023, el Comité Europeo de Protección de Datos confirmó unas directrices que tiraban por tierra las instrucciones del Tribunal Supremo y de la Agencia Española de Protección de Datos. En estas directrices se unifica el criterio de Autenticación y e Identificación que la AGPD había mantenido separado metiendo a ambos en “categoría especial” para el tratamiento de datos. El artículo 12 de esta directriz del Comité Europeo de Protección de Datos dice: ”Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el procesamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de información personal”. Con la nueva interpretación de la AEPD, debe sustituirse un sistema de registro de huella dactilar o por reconocimiento facial por una persona que controle y verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos. Su aplicación es inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico en 2023 puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema fuera legal. FUENTE: Andrés, Rubén. »Fichar con la huella dactilar en el trabajo era legal. En Europa han decidido que ya no lo es y amenazan con multar» Xataka.com.

50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento

La Agencia Española de Protección de Datos ha impuesto una sanción de 50.000 euros a la compañía eléctrica Iberia, por realizar dos contrataciones con un usuario sin que este tuviese conocimiento ni, por supuesto, diese su consentimiento. Concretamente, la Administración entiende que ha existido una vulneración del Reglamento General de Protección de Datos en lo relativo a la legitimidad de tratamiento. La empresa realizó indebidamente dos contratos con los datos de una persona con la que había suscrito un contrato consentido. “De las actuaciones se desprende que únicamente de la segunda contratación existe acreditado el consentimiento por la parte reclamante. No consta acreditado consentimiento alguno en las otras dos contrataciones”, se lee en el expediente. En virtud de las contrataciones fraudulentas se realizaron diversos cargos a la cuenta bancaria de la parte reclamante. Según la mercantil, se trató de un error. El error radicaba en el traspaso de los datos por parte de una tercera empresa, a la que Suministradora Ibérica de Energía había subcontratado la contratación de clientes y que tenía la condición de encargado del tratamiento, mientras que la compañía principal es la responsable del tratamiento de los datos personales que se deriven de esa contratación. Por contrato, la tercera empresa debía facilitar la grabación íntegra de la conversación mantenida con el cliente en la que este consentía el tratamiento de sus datos personales. Sin embargo, en este caso nadie pudo aportar dichas grabaciones que debían haber sido comprobadas antes de proceder al contrato. “La propia parte reclamada ha reconocido en diversas ocasiones que ambas contrataciones se activaron por error, debido a que la prestadora de servicios remitió los datos del reclamante erróneamente”. ¿Por qué la AEPD multó a la compañía eléctrica? La actuación de la compañía eléctrica vulneró el artículo 6 del Reglamento de Protección de Datos, no existiendo ninguna causa que legitimase el tratamiento. “En este sentido, debe tenerse en cuenta que, en virtud del principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD, incumbe al responsable la carga de la prueba de que el tratamiento de los datos personales de la parte reclamante que efectuó estaba amparado en alguna de las circunstancias de licitud previstas en el artículo 6.1 del RGPD. En el caso que nos ocupa, de la instrucción del presente procedimiento se desprende que el tratamiento de los datos personales de la parte reclamada realizado por SIE, no estaba legitimado por ninguna de las causas enunciadas en el citado artículo 6.1 del RGPD.» Lea también: La AEPD fija los criterios de uso de sistemas biométricos Como circunstancias agravantes se recoge que la parte reclamada ha sido sancionada anteriormente por la AEPD por hechos similares a estos y la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos. Además de la sanción, la empresa tiene tres meses a partir de esta resolución para acreditar que ha puesto las medidas oportunas para que no vuelva a suceder una situación como esta. FUENTE: Montes, Pablo. »50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento» Economistjurist.com. 27/11/2023. (https://www.economistjurist.es/actualidad-juridica/50-000-euros-de-sancion-a-una-compania-electrica-por-dar-de-alta-y-facturar-a-un-usuario-sin-su-consentimiento/).

Hacia el futuro digital de Europa: implicaciones en privacidad y protección de datos de la nueva Ley de Datos o “Data act”

Los datos son un componente fundamental de la economía digital y un recurso esencial para garantizar las transiciones ecológica y digital. En los últimos años, el volumen de datos generados por los seres humanos y las máquinas ha aumentado exponencialmente. Sin embargo, la mayoría de los datos no se utilizan, o su valor se concentra en manos de pocas grandes empresas. Regular el acceso y el uso de los datos es un requisito previo fundamental para aprovechar las oportunidades que ofrece la era digital en la que vivimos. En este sentido, dentro de la estrategia de datos impulsada por la Unión Europea[i], la Ley de Datos o “Data Act” es un pilar clave, pues, en palabras del Parlamento Europeo, “contribuye a la creación de un marco de gobernanza intersectorial para el acceso a los datos y su utilización al legislar sobre cuestiones que afectan a las relaciones entre los agentes de la economía de los datos, con el fin de ofrecer incentivos para el intercambio horizontal de datos entre sectores”. Podría interesarle: La AEPD fija los criterios de uso de sistemas biométricos Esta legislación fue propuesta por primera vez por la Comisión Europea en febrero de 2022 y, en síntesis, tiene como objetivo regular el uso y acceso a los datos generados a través de dispositivos conectados (Internet of things, IoT), por ejemplo, los teléfonos inteligentes, y también impone requisitos generales a los proveedores de computación en la nube con el fin de facilitar el cambio entre proveedores. Según esta norma, a los usuarios individuales y empresariales de dispositivos conectados se les concederá derechos mejorados para acceder y transferir a un tercero los datos que se han generado a través del uso del dispositivo conectado. Los dispositivos deben estar configurados para facilitar el ejercicio de estos derechos en torno a los datos Para dar cabida a estos nuevos derechos, los fabricantes de dispositivos conectados deben garantizar que los dispositivos y los servicios relacionados estén diseñados para facilitar el ejercicio de estos derechos. Además, en reconocimiento de la importancia de los datos para la formulación de políticas y otros fines de interés público, la Data Act exige, en ciertos casos, el intercambio de datos del sector privado con organismos e instituciones del sector público en la UE, por ejemplo, cuando existe una necesidad excepcional (por ejemplo, una emergencia de salud pública) o para investigación. Pero, a diferencia de las leyes de protección de datos de la UE, la Ley de Datos se refiere tanto a datos personales como a datos no personales, por lo que a lo largo del texto propuesto encontramos múltiples referencias al Reglamento General Europeo de Protección de datos 2016/679 y cómo este se armoniza en la práctica con la nueva Ley de datos o Data Act.  Considerandos El Considerando 7, por ejemplo, destaca que “ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la intimidad y la confidencialidad de las comunicaciones”. Esto tiene una consecuencia importante, ya que, en el caso de conjuntos de datos mixtos que comprenden tanto datos personales como no personales, el RGPD será plenamente aplicable. El Considerando 8 hace referencia a los principios de minimización y protección de datos desde el diseño y por defecto, y la necesidad de aplicar medidas técnicas y organizativas como la seudonimización y el cifrado para tratar de obtener información valiosa sin que sea necesaria la transmisión entre las partes ni la copia superflua de los datos brutos o estructurados. O el Considerando 23, que hace distinción entre las obligaciones de información sobre cómo acceder a los datos generados y su distinción con las obligaciones de información que imponen los artículos 13 y 14 del RGPD. Lea también: EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño» Sin embargo, aplicar estos nuevos términos definidos en la norma a los términos del RGPD no es sencillo. Por ejemplo, de acuerdo con la Ley de datos, el “titular de los datos” es una persona física o jurídica que tiene el derecho o la obligación de poner a disposición determinados datos, o que, en el caso de los datos no personales y a través del control del diseño técnico del producto o servicios relacionados, tiene la capacidad de poner a disposición determinados datos, concepto que difiere, en esencia, del concepto de interesado o “titular” definido en el RGPD.  Y los usuarios, por otro lado, se definen como entidades que poseen o tienen derechos contractuales temporales sobre un producto conectado o que reciben servicios relacionados. La Ley establece disposiciones para los usuarios, sean interesados o no. En los casos en que los usuarios no tienen la condición de interesados, de acuerdo con el RGPD, el intercambio entre los titulares de datos y estos usuarios requeriría una base legal válida del RGPD para poder llevar cabo dicha comunicación. Esto también plantea problemas prácticos a la hora de definir correctamente las figuras que intervienen en el tratamiento, considerando quién determina efectivamente los fines y los medios del tratamiento. Buenas prácticas en la gestión de los datos En este sentido, el Considerando 24 establece que en la medida en que se traten datos personales, el titular de datos debe ser responsable del tratamiento con arreglo al RGPD, pero en algunos casos, los “titulares” y “usuarios” de los datos pueden actuar conjuntamente como responsables del tratamiento, y también tendrían esta condición los terceros que reciben los datos para sus propios fines. Por otro lado, tanto el RGPD como la Ley de Datos incluyen obligaciones sobre la portabilidad de los datos. La Ley de Datos sigue la estructura básica del RGPD e incluye tanto la obligación de los titulares de datos de ponerlos a disposición de los usuarios en un formato de uso común y legible por máquina, como la opción de compartir datos con un tercero a petición del interesado. La Ley de Datos también exige que los diseñadores de productos conectados implementen buenas prácticas de gestión

EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño»

Las directrices sugieren prácticas de ciberseguridad que las empresas de IA deben aplicar a la hora de diseñar, desarrollar, lanzar y supervisar modelos de IA. Estados Unidos, Reino Unido, Australia y otros 15 países han publicado directrices globales para ayudar a proteger los modelos de inteligencia artificial (IA) contra manipulaciones, instando a las empresas a hacer que sus modelos sean “seguros por diseño”. El 26 de noviembre, los 18 países publicaron un documento de 20 páginas que describe cómo las empresas de IA deben manejar la ciberseguridad al desarrollar o utilizar modelos de IA, ya que afirmaron que “la seguridad a menudo puede ser una consideración secundaria” en la industria de ritmo rápido. Lea también: Pilares, tendencias y panorama de la ciberseguridad en 2024 según Check Point Las directrices consistieron principalmente en recomendaciones generales, como mantener un estricto control sobre la infraestructura del modelo de IA, monitorear cualquier manipulación con los modelos antes y después de su lanzamiento y capacitar al personal en los riesgos de ciberseguridad. Directrices con espacio para mejora No se mencionaron ciertos problemas controvertidos en el espacio de la inteligencia artificial, incluyendo posibles controles sobre el uso de modelos generadores de imágenes y deep fakes o métodos de recopilación de datos y su uso en la capacitación de modelos, un problema que ha llevado a que varias empresas de IA sean demandadas por reclamaciones de infracción de derechos de autor. “Estamos en un punto de inflexión en el desarrollo de la inteligencia artificial, que bien podría ser la tecnología más trascendental de nuestro tiempo”, dijo Alejandro Mayorkas, Secretario de Seguridad Nacional de Estados Unidos, en un comunicado. “La ciberseguridad es clave para construir sistemas de IA que sean seguros, sólidos y confiables.” Las directrices siguen a otras iniciativas gubernamentales que se pronuncian sobre la IA, incluida la reunión de gobiernos y empresas de IA en un Encuentro sobre Seguridad en AI en Londres a principios de este mes para coordinar un acuerdo sobre el desarrollo de la AI. Mientras tanto, la Unión Europea está ultimando detalles de su Ley de Inteligencia Artificial que supervisará el espacio y el presidente de los Estados Unidos, Joe Biden, emitió una orden ejecutiva en octubre que establece estándares para la seguridad y la ciberseguridad de la IA, aunque ambos han enfrentado resistencia de la industria de la Inteligencia Artificial que afirma que podrían frenar la innovación. Otros firmantes de las nuevas directrices «seguras por diseño» incluyen a Canadá, Francia, Alemania, Israel, Italia, Japón, Nueva Zelanda, Nigeria, Noruega, Corea del Sur y Singapur. Empresas de IA, como OpenAI, Microsoft, Google, Anthropic y Scale AI, también contribuyeron al desarrollo de las directrices. FUENTE: Coghlan, Jesse. »EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño» Es.cointelegraph.com. 27/11/2023. (https://es.cointelegraph.com/news/us-britain-countries-ink-ai-cybersecurity-guidelines-secure-by-design).

Oficina Principal

  • Bogota D.C - Carrera 7ma No. 57-05 Edificio Atlantis - Oficina 1401.
  • Teléfono: (+57) 3138834959 - 601 7953297 Ext. 120

Oficinas regionales

  • Dirección General (Bogotá) - Teléfono +57 3104251481 - 601 7953297 Ext. 104
  • Atención al Cliente (Oficina Principal) -
    Teléfono 601 7953297 Ext. 120
  • Bogotá - Teléfono +57 3006393483 -
    601 7953297 Ext. 102
  • Antioquia - Teléfono +57 3006393132 -
    601 7953297 Ext. 128
  • Occidente - Teléfono: +57 3006392290 -
    601 7953297 Ext.125

Portafolio de servicios

Legal

Noticias

CONTACTO

Facebook Linkedin Instagram
  • info@protecdatacolombia.com
  • Certified by
© 2022 – PROTECDATA COLOMBIA S.A Todos los derechos reservados.
Sitio web hecho con ♥ por Inngenium.

¡No te pierdas nada!

Inscríbete ahora y sé el primero en recibir todas las novedades y actualizaciones exclusivas de nuestra página

¡Tu acceso a la información que necesitas está a un clic!
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.
Política de cookies
×

Hola!

Recibe información gratuita y personalizada

 Protegemos el activo más importante de tu compañía: ¡Los Datos!

× ¡Recibe info personalizada!