Habeas data vs. lucha contra delitos financieros: duelo de titanes bajo el derecho internacional
En una esquina, se encuentran la Comisión, el Parlamento y el Consejo de la UE, los cuales impulsan una iniciativa legislativa contra el lavado de activos y la financiación del terrorismo. Estos delitos suponen una grave amenaza para la economía de la UE, porque alrededor del 1 % del PIB anual de la UE está involucrado en actividades financieras sospechosas. La iniciativa legislativa permitiría a las entidades financieras que operan en la UE el intercambio de datos de transacciones bancarias o bursátiles calificadas como sospechosas por ellas y las cuales serían reportadas por las mismas a las unidades de inteligencia financieras de los Estados miembros de la UE. La iniciativa también provee que los datos personales de los clientes recolectados en la apertura de la cuenta bancaria también sean compartidos entre ellas. Así, los datos de los clientes de las entidades financieras de la UE pueden ser compartidos entre ellas, sin que medie ninguna orden judicial o administrativa y más allá de las fronteras de los Estados miembros de la UE. En la otra esquina, se encuentra el Comité Europeo de Protección de Datos (CEPD). Este promueve las normas de protección de datos en toda la UE y está compuesto por representantes de autoridades nacionales de protección de datos y del Supervisor Europeo de Protección de Datos. Las preocupaciones del CEPD En una carta del 28 de marzo dirigida a la Comisión, al Parlamento y al Consejo de la UE, el CEPD señala un eventual menoscabo de los derechos a la intimidad y a la protección de datos por la puesta en marcha del intercambio de datos entre las entidades financieras de la UE a efectos de lucha contra delitos financieros, la cual es un bien público importante y de interés cuyo logro merece políticas y medidas apropiadas. Sin embargo, reitera la importancia de lograr un equilibrio entre este objetivo legislativo y los intereses protegidos por los derechos a la intimidad y protección de datos. El CEDP recuerda que cualquier medida adoptada por las instituciones de la UE en el ámbito de la lucha contra delitos financieros debe ser compatible con la Carta de los Derechos Fundamentales de la UE y expresa su preocupación por la ausencia de necesidad y proporcionalidad en el intercambio de datos supranacional entre entidades financieras y recomienda que no sean incluidas en el texto final de la propuesta de regulación sobre la lucha contra delitos financieros. Intercambio de información y reporte de actividad sospechosa: Aunque no existe en el mundo una legislación con el alcance supranacional como la propuesta en la UE, algunos países tienen legislaciones que permiten a las entidades financieras el intercambio de datos de sus clientes con propósitos de detectar, prevenir y reportar delitos financieros. Por ejemplo, el articulo 314 (b) de la Ley Patriota de EE UU permite a las instituciones financieras que operan en el territorio estadunidense, previa notificación al Departamento del Tesoro de los Estados Unidos, compartir información entre ellas para identificar y reportar al gobierno federal actividades que puedan involucrar lavado de activos o terrorismo. En Colombia, no existe normas que permita a las instituciones financieras el intercambio de datos de sus clientes con propósitos de luchar contra el lavado de activos y financiación del terrorismo. Sin embargo, y de conformidad con la Circular Externa 027 de 2020 de la Superintendencia Financiera, a las instituciones financieras vigiladas se les permite compartir información de sus clientes cuando son de un mismo conglomerado financiero, siempre y cuando haya autorización por parte del titular de la cuenta para tales efectos. Lea también: Privacidad de datos: un reto de las empresas Las justificaciones a establecer limitaciones especiales al derecho al Habeas Data Frente a la obligación de reportar actividad sospechosa por parte de las instituciones financieras a la Unidad de Información y Análisis Financiero, la Corte Constitucional, mediante la Sentencia C-851 del 2005, declaró constitucionales las medidas diseñadas por el legislador para la protección del sistema financiero de actividades de lavado de activos. Esta finalidad, dijo la Corte, justifica que el legislador haya establecido limitaciones especiales al derecho al habeas data, como las normas sobre la reserva del reporte de actividades sospechosas frente a quien ha realizado o intenta realizar la operación bancaria. Dijo la Corte que la guarda de la reserva corresponde a unos fines legítimos y al cumplimiento de compromisos internacionales asumidos por el Estado colombiano en la prevención del delito de lavados de activos. Conclusión de la disyuntiva jurídica entre Habeas Data y delitos financieros La UE quiere permitir el intercambio de datos supranacional entre instituciones financieras que operan en su interior para hacer más eficaz la lucha contra delitos financieros. El CEDP señala un menoscabo de los derechos a la intimidad y a la protección de datos por tal intercambio de datos. Para dirimir este problema entre los intereses de cada bien jurídico en disputa, aplicaría un balance entre la necesidad de permitir el intercambio de datos supranacional para proteger el sistema financiero del crimen y a la comunidad del terrorismo y entre la necesidad de proteger el derecho a la intimidad y la protección de datos. El resultado de esa ponderación lleva a la conclusión de que un bien jurídico se tendría que sacrificar en alguna medida para salvaguardar el otro. Los intereses protegidos por el derecho a la intimidad y protección de datos, en este caso, tendrían que limitarse para tutelar el interés general de proteger a la comunidad del terrorismo y salvaguardar el sistema financiero del lavado de activos, financiación del terrorismo y financiación de la proliferación de armas de destrucción masiva. FUENTE: Portilla, Juan Carlos. »‘Habeas data’ vs. lucha contra delitos financieros: duelo de titanes bajo el derecho internacional» Ambitojuridico.com. 09/05/2023. (https://www.ambitojuridico.com/noticias/columnista-online/habeas-data-vs-lucha-contra-delitos-financieros-duelo-de-titanes-bajo-el).
Protección de datos en internet para evitar fraudes y robo de identidad
En México hay cerca de 100 millones de usuarios de Internet y 94 millones que usan redes sociales, según datos citados por la Comisionada del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), Josefina Román Vergara, quien añadió, los internautas deben tener precaución para evitar ser víctimas de robo de identidad o fraude. En el Seminario derechos personales, violencia y otras conductas indeseables en Internet y redes sociales, Vergara puntualizó en que los usuarios de Internet y redes sociales deben compartir información con precaución para evitar ser víctimas de acciones ilícitas o maliciosas, ya que los riesgos son cada vez mayores. Podría interesarle: Iphone – 6 configuraciones avanzadas para mejorar la seguridad de tu móvil Y ejemplificó con los montadeudas, “que empezaron en la vida real, transitaron a la vida digital y ya nos estamos dando cuenta de la importancia que tiene cuidarnos también en el ámbito digital; de que, si no se es tan experto, se tiene que investigar, prepararse, preguntar”. Responsabilidad en el uso adecuado de las tecnologías como base para evitar robos de identidad o fraude La Comisionada del INAI destacó la importancia de promover la responsabilidad y el uso adecuado de las tecnologías de la información y comunicación, ya que las acciones del ámbito digital se reflejan en la vida real, “para bien y para mal”. La experta añadió que el uso de Internet, redes sociales y otros servicios digitales no se lleva a cabo en un vacío jurídico, por ello, los usuarios deben actuar como en cualquier otro ámbito, es decir, con precaución, ya que de no hacerlo podrían convertirse en víctimas de robo de identidad o fraude. En ese sentido, compartió que se debe crear conciencia en la población sobre los riesgos que hay en internet, ya que la consolidación de una ciudadanía digital “se conforma a partir de un conjunto de habilidades”, a las cuales el usuario puede acceder, recuperar, comprender, evaluar, utilizar, crear y compartir. Finalmente, enfatizó en que la “ciudadanía digital implica habilidades para saber navegar en Internet”, y eso se refiere no solo a saber usar una computadora o celular, sino a la responsabilidad y al uso adecuado de las tecnologías de la información y comunicación, “puedo ser el mejor ingeniero en sistemas, pero si soy irresponsable en el uso que le doy a esa tecnología no estoy construyendo ciudadanía digital”, concluyó. FUENTE: Corporativo. »Protección de datos en internet para evitar fraudes y robo de identidad» Idconline.mx. 09/05/2023. (https://idconline.mx/corporativo/2023/05/09/proteccion-de-datos-en-internet-para-evitar-fraudes-y-robo-de-identidad).
La evolución de la ley de protección de datos personales en Brasil
Pieza fundamental para garantizar la privacidad y la seguridad de los datos personales de cada ciudadano, la ley LGPD coloca a Brasil en un selecto grupo de naciones que cuentan con una legislación avanzada en materia de protección de datos, contribuyendo a que el país sea más atractivo para nuevas inversiones y negocios. Con la creación de la Ley General de Protección de Datos (LGPD) en 2018, Brasil se unió a un creciente grupo de países que buscan proteger la privacidad y la seguridad de los datos personales de sus ciudadanos. Lea también: Anuncian posible creación en Angola de agencia de ciberseguridad La nueva LGPD de Brasil y su aplicación práctica Inspirada en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la LGPD es una legislación moderna que establece un conjunto de normas y prácticas para la colecta, almacenamiento, procesamiento y uso de datos personales en Brasil. En vigor desde septiembre de 2020 (2), fue creada para fortalecer la privacidad y la protección de los datos personales en Brasil y así contribuir a mejorar la confianza tanto en las empresas locales como en el gobierno. La LGPD se aplica a todas las empresas y organizaciones que recopilan, almacenan, procesan o utilizan datos personales de ciudadanos brasileños. Esto incluye a las compañías brasileñas y extranjeras que operan en Brasil, así como a las extranjeras que recolectan datos de ciudadanos brasileños fuera del país. Según la nueva ley, las empresas deben obtener el consentimiento de los interesados antes de recoger y procesar sus datos personales. Además, deben proporcionar información clara y accesible sobre cómo se utilizarán los datos y cómo los interesados pueden ejercer sus derechos de privacidad. También se exige a las empresas que tomen medidas para proteger los datos personales de los interesados frente a violaciones de la seguridad y otras amenazas. Esto incluye la aplicación de medidas técnicas y organizativas para salvaguardar los datos, así como la notificación inmediata de las violaciones de seguridad a las autoridades competentes y a los interesados afectados. Algunos desafíos, muchos beneficios Aunque la LGPD representa un cambio importante en la legislación brasileña sobre protección de datos, su aplicación no ha sido nada fácil. Muchas empresas y organizaciones han tenido que invertir en tecnología y personal para adaptarse a las nuevas normas y prácticas y, según una encuesta publicada en el sitio web de Febraban (3), sólo el 20% de las empresas brasileñas se han adaptado a la nueva ley. Además, la LGPD ha suscitado dudas e interpretaciones divergentes, generando incertidumbre y confusión en el ámbito empresarial. Sin embargo, a pesar de los desafíos, la nueva normativa también ha aportado una serie de beneficios a los ciudadanos, como concientizarlos sobre la importancia de la privacidad y la protección de los datos personales y animar a las empresas a mejorar sus prácticas de seguridad y privacidad. Además, se han creado nuevas oportunidades de negocio en el ámbito de la protección de datos y la privacidad. Otro punto importante es el hecho de que la aplicación de la LGPD ha sido decisiva para mejorar la posición de Brasil en el escenario internacional de la protección de datos. Ahora, el país forma parte de un selecto grupo de naciones que cuentan con una legislación de protección de datos personales moderna y avanzada, lo que puede ayudar a atraer más inversiones y negocios. Hay que recordar, sin embargo, que la LGPD deberá ser constantemente actualizada y adaptada para enfrentar los avances tecnológicos y las nuevas amenazas a la privacidad y seguridad de los datos personales. En otras palabras, la ley es un paso fundamental hacia la protección de los derechos de los ciudadanos brasileños, pero debemos seguir trabajando para mejorarla y mantener su eficacia. La importancia de la LGPD en el área de compliance El área de compliance se refiere al conjunto de normas y procedimientos que las empresas adoptan para garantizar que sus operaciones cumplen las leyes y reglamentos aplicables. Así, la Ley General de Protección de Datos (LGPD) es una pieza fundamental del programa de compliance de cualquier empresa que recoja y trate datos personales, ya que impone nuevas obligaciones en materia de protección de datos y establece severas sanciones en caso de infracción. Por lo tanto, las empresas deben revisar y actualizar sus procesos internos para garantizar la conformidad con la LGPD, lo que puede incluir desde el nombramiento de un responsable de protección de datos y la revisión de las políticas de privacidad hasta la reevaluación de los contratos con proveedores, entre otras medidas. Las empresas que no cumplan la LGPD pueden enfrentarse a graves sanciones, como multas de hasta el 2% de su facturación. ¿Qué se está haciendo para mejorar la protección de datos en Brasil? Desde la entrada en vigor de la LGPD en septiembre de 2020, se han realizado esfuerzos para mejorar la protección de datos en Brasil. Entre ellos se incluye la creación de la Autoridad Nacional de Protección de Datos (ANPD), un organismo gubernamental responsable de garantizar la protección de los datos personales, promover la educación sobre privacidad y protección de datos, y supervisar la aplicación de la LGPD. La ANPD está elaborando directrices y reglamentos para orientar a las empresas sobre cómo cumplir la LGPD y ha estado trabajando en colaboración con otros organismos gubernamentales para garantizar el cumplimiento de la ley. Además, se están ofreciendo programas educativos sobre privacidad y protección de datos para ayudar a las empresas a comprender mejor sus obligaciones en virtud de la LGPD. En resumen, la LGPD es una legislación esencial para garantizar la privacidad y la seguridad de los datos personales de los ciudadanos brasileños. Y aunque su aplicación se ha enfrentado a algunos desafíos, la ley ya está aportando numerosos beneficios a los brasileños y mejorando la posición del país en el ámbito internacional de la protección de datos. Pieza fundamental para proteger los derechos de los ciudadanos, también impulsa a las empresas a adoptar buenas prácticas de seguridad y privacidad en sus negocios. FUENTE: Rezende,
Golpe al Mobile: multa de 200.000 euros por saltarse la protección de datos con el reconocimiento facial
Golpe a la GSMA, la patronal mundial de las telecos organizadora del Mobile World Congress de Barcelona. La Agencia de Protección de Datos ha impuesto una multa de 200.000 euros a la GSMA por vulnerar la ley de protección de datos tras una denuncia de una ponente de la feria que fue obligada a identificarse por el sistema de reconocimiento facial para asistir presencialmente al evento, en la edición de 2021. Al obligarla a inscribirse en ese sistema para poder acudir presencialmente -algo que no tenían que hacer los que participaban de manera virtual- la organización le obligó a añadir su pasaporte, con su fotografía y sus datos, que después pasaban a una tercera empresa que lo gestionaba. Lea también: Invertir en ciberseguridad, prioritario tras crecer un 72% en 3 años los delitos informáticos en España El problema, según la Agencia, es que la organizadora del Mobile de Barcelona no llevó a cabo el impacto de la medida, a lo que obliga la ley. De esta forma, por incumplir el artículo 35 de la ley de Protección de Datos, y al considerar la infracción grave según el artículo 73t de la ley, la Agencia impone la citada multa de 200.000 euros. La organizadora del Mobile alegó que el sistema se utilizó de manera temporal, a lo que la Agencia asegura que lo usó durante meses y que cada día pasaron por el congreso miles de personas, por lo que la gravedad de la infracción es clara. Además, la GSMA alegó que los participantes en la feria están familiarizados con estos sistemas tecnológicos, la Agencia responde que la multa no es por utilizar el sistema sino por «no prever la evaluación de impacto del tratamiento». Riesgo La sentencia deja claro que la ley obliga a esa evaluación en el supuesto en el que se utilicen nuevas tecnologías que «por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas». «Se han de analizar los riesgos diversos que se pueden dar, incluyendo su tecnología, en el marco de un uso cada vez más intensivo de este tipo de datos. Su uso, interoperabilidad e interconexión tecnológica, es más que probable que interfiera con estos derechos fundamentales y puede dar lugar a cuestionamientos sobre su implantación», señala el escrito de la Agencia que firma su presidenta, Mar España. Por el congreso del Mobile de 2021 pasaron miles de personas, pese a que todavía no estaba a pleno rendimiento tras la pandemia de coronavirus que obligó a suspender el de 2020. La GSMA, que preside ahora José María Álvarez-Pallete, presidente de Telefónica, ha ratificado ya a Barcelona como sede del Mobile hasta más allá de 2030. FUENTE: Ribagorda, Carlos. »Golpe al Mobile: multa de 200.000 euros por saltarse la protección de datos con el reconocimiento facial» Okdiario.com. 11/05/2023. (https://okdiario.com/economia/golpe-mobile-multa-200-000-euros-saltarse-proteccion-datos-reconocimiento-facial-10893006).
Mejores prácticas de ciberseguridad para smart cities en una guía conjunta de Reino Unido, Australia, Canadá, Nueva Zelanda y EE.UU.
La guía titulada ‘Mejores prácticas de ciberseguridad para ciudades inteligentes’, elaborada conjuntamente por trabajadores públicos del ámbito de la seguridad cibernética de Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda, recoge los principales desafíos de las smart cities y ofrece una serie de recomendaciones y recursos para ayudar a las comunidades a equilibrar la eficiencia y la innovación con la ciberseguridad, la protección de la privacidad y la seguridad nacional. La integración de los servicios públicos en un entorno conectado puede aumentar la eficiencia y la resiliencia de la infraestructura que sustenta la vida cotidiana en las comunidades. No obstante, los territorios que estén considerando convertirse en ciudades inteligentes deben evaluar y mitigar los riesgos de ciberseguridad que conlleva dicha integración. Lea también: Ciberseguridad, la clave para el desarrollo de la economía digital En este contexto, la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), la Agencia de Seguridad Nacional (NSA) y la Oficina Federal de Investigaciones (FBI), en Estados Unidos; el Centro Nacional de Ciberseguridad del Reino Unido (NCSC UK), el Centro Australiano de Ciberseguridad (ACSC), el Centro Canadiense para la Ciberseguridad (CCCS) y el Centro Nacional de Ciberseguridad de Nueva Zelanda (NCSC NZ) han publicado una guía conjunta de ciberseguridad para smart cities. Los datos que se recopilan, transmiten, almacenan y procesan en las ciudades inteligentes pueden incluir información confidencial de gobiernos, empresas y ciudadanos. En lo referente a los sistemas de software impulsados por inteligencia artificial que se suelen usar para integrar los datos mencionados, pueden presentar vulnerabilidades. En este sentido, el documento avisa de que el valor de los datos y las posibles vulnerabilidades de los sistemas digitales significa que existe un riesgo de explotación para el espionaje y para obtener ganancias financieras o políticas por parte de ciberdelincuentes. Riesgos para las ciudades inteligentes La guía incluye una descripción general de los principales riesgos para las ciudades inteligentes. En primer lugar, la integración de una mayor cantidad de sistemas -previamente separados- en un solo entorno de red amplía la superficie de ataque para cada organización interconectada. Esto puede conllevar interrupciones de las operaciones y amenazas a la confidencialidad, la integridad y la disponibilidad de los datos, los sistemas y las redes, así como la pérdida de visibilidad de los riesgos del sistema colectivo. En segundo lugar, las vulnerabilidades en la cadena de suministro de las TIC, ya sea debido a fines maliciosos o a prácticas de seguridad deficientes, pueden implicar el robo de datos y de propiedad intelectual, la pérdida de confianza en la integridad de un sistema de ciudad inteligente o fallos en el sistema o la red por la interrupción de un servicio. En este aspecto, los proveedores TIC deben adoptar un enfoque holístico de la seguridad a través de prácticas de desarrollo de seguridad por diseño y por defecto. Contenido relacionado: Agencia Nacional de Ciberseguridad de Chile: ¿cuáles son sus funciones? Por último, señala el incremento de la automatización de las operaciones, que puede proporcionar una mejor consistencia, fiabilidad y agilidad, pero también introducir nuevos riesgos al aumentar la cantidad de puntos de entrada remotos a la red, como es el caso de los sensores IoT. Para protegerse frente a estos riesgos, la guía ofrece recomendaciones en materia de planificación y diseño seguros, gestión proactiva de riesgos de la cadena de suministro y resiliencia operativa. Recomendaciones de ciberseguridad para smart cities La guía recomienda implementar estrategias para la planificación y el diseño seguros a fin de garantizar que cualquier característica inteligente o conectada que se planee incluir en el nuevo modelo de ciudad sea segura por diseño, teniendo en cuenta la creación de resiliencia, el riesgo físico y el cibernético. Esto incluye el principio de mínimo privilegio, que sostiene que una arquitectura de seguridad debe diseñarse de modo que cada entidad reciba los recursos mínimos del sistema y las autorizaciones que necesita para realizar su función. También la aplicación de la autenticación de múltiples factores, un método de control de acceso informático que requiere la demostración de la identidad del usuario presentando dos o más pruebas; y la implementación de una arquitectura de confianza cero, que solicita autenticación y autorización para cada nueva conexión con un enfoque de seguridad en capas y de defensa en profundidad, y permite una mayor visibilidad de la actividad de la red, la identificación de tendencias, la resolución de problemas mediante la automatización y la orquestación, además de una gobernanza de seguridad de la red más eficiente. Por su parte, la gestión de los cambios en los riesgos de la arquitectura interna supone identificar, agrupar y aislar los sistemas comerciales críticos y aplicar los controles de seguridad de red apropiados y sistemas de monitorización para reducir el impacto de una vulnerabilidad a lo largo de una comunidad. Asimismo, se recomienda la gestión segura de los activos de la smart city, la mejora de la seguridad de los dispositivos vulnerables, la protección de los servicios orientados a Internet, la corrección de fallos en los sistemas y aplicaciones, y la revisión de los riesgos legales, de seguridad y privacidad asociados a las implementaciones. Gestión proactiva de riesgos y resiliencia operativa En cuanto a la gestión proactiva de riesgos, la guía contempla el establecimiento de requisitos de seguridad claros para las cadenas de suministro de software, hardware e IoT, así como la revisión de los acuerdos con vendedores externos, tales como proveedores de servicios administrados y cloud. Todas las organizaciones responsables de implementar tecnología de smart city han de gestionar proactivamente los riesgos de la cadena de suministro de las TIC, un proceso que debe incluir la participación desde todos los niveles de la organización; y colaborar solamente con proveedores fiables. Por su parte, los responsables urbanos deben comunicar los requisitos mínimos de seguridad a los proveedores y articular las acciones de respuesta ante infracciones en este sentido. Además, las cadenas de suministro de tecnología de ciudad inteligente deben ser transparentes para la ciudadanía, pues los sistemas recopilarán y procesarán sus datos. Otros contenidos: ¿Qué países están intentando
Anuncian posible creación en Angola de agencia de ciberseguridad
El Gobierno de Angola anunció hoy que estudia la posible creación de una agencia nacional de ciberseguridad, con su respectivo observatorio para dar respuestas a las amenazas en tiempo real. La puesta en práctica de la iniciativa ayudaría a conformar políticas públicas cada vez más consistentes y realistas a fin de elevar la protección de sistemas e infraestructuras críticas propensos a los ataques cibernéticos, argumentó el secretario de Estado de Coordinación Económica, Manuel Nunes Júnior. El proyecto de agencia y la idea de abrir una academia en Luanda para la formación especializada en cuestiones de seguridad informática, responden a una estrategia nacional, que perfila sus contenidos para el período 2022-2027, explicó el funcionario. Lea también: Agencia Nacional de Ciberseguridad de Chile: ¿cuáles son sus funciones? La concepción general también debe incluir acciones encaminadas a sensibilizar y educar a la población sobre la importancia de la ciberseguridad, subrayó Nunes Júnior, al inaugurar este miércoles un foro temático, promovido por la cartera de Telecomunicaciones, Tecnologías de la Información y Comunicación Social. Las necesidades de Angola para acoplarse al ritmo del mundo actual Según reconoció, el país precisa actualizar y fortalecer su marco legal para encarar los retos asociados al creciente uso gubernamental, empresarial y social de las herramientas y los espacios digitales, con un contexto mundial de acelerado desarrollo tecnológico en ese campo. La legislación nacional, acotó, debe contemplar penas severas para los posibles ciberdelitos, a fin de disuadir a los atacantes y malhechores. En opinión del dirigente, las empresas y las administraciones públicas están llamadas a invertir en la formación de sus empleados para que conozcan los riesgos y sepan cómo contribuir a la protección de los datos de sus respectivas instituciones. Todos los usuarios del universo cibernético tienen la responsabilidad de encontrar las mejores soluciones para fomentar la cultura de la seguridad y la adopción de las mejores prácticas en la materia, estimó. FUENTE: »Anuncian posible creación en Angola de agencia de ciberseguridad» Prensa-latina.cu. 10/05/2023. (https://www.prensa-latina.cu/2023/05/10/anuncian-posible-creacion-en-angola-de-agencia-de-ciberseguridad#).
Agencia Nacional de Ciberseguridad de Chile: ¿cuáles son sus funciones?
Con el objetivo de reforzar la seguridad cibernética de los organismos del Estado y de las instituciones privadas, Chile ha elaborado la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. Una norma que, entre otras novedades, impulsa la creación de la Agencia Nacional de Ciberseguridad y establece cuáles serán sus principales atribuciones. Atribuciones de la Agencia Nacional de Ciberseguridad de Chile Según la ley marco, la nueva Agencia Nacional de Ciberseguridad es un servicio público descentralizado, dotado de su propia personalidad jurídica y patrimonio, de carácter técnico y especializado, que tendrá las siguientes funciones. Todas las atribuciones de la Agencia Nacional de Ciberseguridad se detallan y amplían en el artículo 9 de la ley marco. Y, además de las citadas, figuran otras como la creación y administración de un Registro Nacional de Incidentes de Ciberseguridad o la elaboración y actualización de una lista de servicios esenciales y operadores de importancia vital. Lea también: Costa Rica apunta a 7 objetivos con su estrategia de ciberseguridad De igual manera, se le encomendará la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional. Además, certificará el cumplimiento de los estándares de seguridad cibernética por parte de los organismos públicos. Y ayudará tanto a estos últimos como a las instituciones privadas que se vean afectados por incidente de ciberseguridad, entre otras funciones. Relación con los CSIRT públicos y privados existentes en el país Del mismo modo, está previsto que la Agencia Nacional de Ciberseguridad de Chile tenga una estrecha relación con los equipos de respuesta a incidentes de seguridad (CSIRT, por sus siglas en inglés) del país. En este sentido, se centrará en las siguientes actuaciones: FUENTE: Redacción. »Agencia Nacional de Ciberseguridad de Chile: ¿cuáles son sus funciones?» Segurilatam.com. 08/05/2023. (https://www.segurilatam.com/actualidad/agencia-nacional-de-ciberseguridad-de-chile-cuales-son-sus-funciones_20230508.html).
¿Usas ChatGPT? Sigue estas precauciones para mantener tu privacidad
Recientemente, varios clientes nos han trasladado en distintas reuniones por otros asuntos su preocupación sobre el impacto que herramientas de IA como ChatGPT pueden tener en sus organizaciones, y más concretamente, qué consideraciones deben trasladar a compañeros y clientes en relación con la protección y la privacidad de datos personales al hacer uso de dichas herramientas; máxime cuando la propia AEPD ha decidido iniciar, de oficio, actuaciones de investigación a OpenAI, empresa propietaria de ChatGPT. Y qué mejor para plantear esta cuestión que pedir ayuda a dichas herramientas. A la pregunta: El equipo de comunicación del despacho de abogados para el que trabajamos nos ha pedido que hablemos, en la newsletter semanal interna con información sobre actividades del despacho, sobre algún aspecto que hayamos visto recientemente vinculado con la práctica profesional de la abogacía en el ámbito de la protección y la privacidad de datos. ¿Podrías introducirnos en 300 palabras o menos este tema? ChatGPT responde textualmente: Uno de los temas actuales en la protección de datos es el impacto de las tecnologías de inteligencia artificial como ChatGPT en la privacidad de los datos. ChatGPT es un modelo de lenguaje basado en la IA que procesa grandes cantidades de datos para generar respuestas a preguntas y llevar a cabo conversaciones. Sin embargo, el uso de ChatGPT implica la recopilación y procesamiento de datos personales, ya que las conversaciones pueden contener información sensible de los usuarios. Por tanto, es importante que las empresas que utilizan ChatGPT aseguren que cumplen con todas las normativas de protección de datos aplicables. En este sentido, es necesario que las empresas informen a los usuarios sobre el uso de ChatGPT y obtengan su consentimiento para recopilar y procesar sus datos personales. Además, deben asegurarse de que los datos se procesen de manera segura y responsable y de que se respeten los derechos de privacidad de los usuarios. Lea también: Superintendencia de Industria tiene en la mira a la aplicación “Chat-GPT” Por otro lado, los abogados también tienen un papel importante en la protección de datos en relación con el uso de ChatGPT. Deben asesorar a sus clientes sobre cómo cumplir con las normativas de protección de datos aplicables y garantizar la privacidad de los datos en el contexto del uso de tecnologías de inteligencia artificial como ChatGPT. En definitiva, el impacto de ChatGPT desde una perspectiva de protección de datos es un tema importante que requiere la atención tanto de las empresas que lo utilizan como de los abogados que asesoran en este ámbito. ChatGPT y su efectividad Si bien la respuesta de ChatGPT, tangencialmente similar a la de otras herramientas similares como BingAI o Perplexity AI, puede parecer asombrosa, lo primero que procede aclarar ante cualquier consulta es que ni ChatGPT ni cualquiera de sus competidores son máquinas que nos dicen lo que piensa, sino herramientas que saben cómo usar palabras (dicho de otro modo, no sabe el “significado” de una palabra, pero sabe cómo se utiliza). Sin embargo, o justamente por esta misma limitación, la inteligencia artificial en la fase actual es extremadamente efectiva para responder preguntas, redactar artículos o resumir conjuntos de información compleja o desordenada. Es, por tanto, mucho más efectiva desde el punto de vista del usuario que tener que estar utilizando el buscador para, entre toda la información obtenida, proceder a elaborar el documento final. Son justamente estas habilidades las que hacen estas herramientas tan atractivas para las organizaciones y sus empleados, optimizando los procesos de creación de contenido, elaboración de materiales informativos, etc. pero a la vez muy arriesgadas por el riesgo que suponen para la protección de la información de toda índole (confidencial, personal o reservada). De hecho, las principales herramientas de IA disponibles para el público son entornos cerrados en los que la misma herramienta se alimenta de la información que los distintos usuarios le aportan. Esto significa que, en un entorno de inteligencia artificial, nada es privado, y todo lo que compartamos con la herramienta podrá ser utilizado, con nosotros o con terceros, en el futuro. Ese es su principal riesgo. Por ello, es de fundamental importancia (y así lo hemos trasladado a nuestros clientes cuando nos lo han consultado) que: FUENTE: Torrado, José Antonio. »¿Usas ChatGPT? Sigue estas precauciones para mantener tu privacidad» Legaltoday.com. 08/05/2023. (https://www.legaltoday.com/practica-juridica/derecho-publico/proteccion-datos/usas-chatgpt-sigue-estas-precauciones-para-mantener-tu-privacidad-2023-05-08/).
Superintendencia de Industria tiene en la mira a la aplicación “Chat-GPT”
En la mira de la Superintendencia de Industria y Comercio está la aplicación ChatGPT, para comprobar si cumple con la regulación de protección de datos personales de los colombianos. Podría interesarle: El regulador europeo de privacidad crea un grupo de trabajo sobre ChatGPT De acuerdo con la SIC lo que se busca es determinar si se han implementado medidas relacionadas con el principio de responsabilidad demostrada de conformidad con la regulación nacional, la cual está orientada a proteger información personal de los usuarios de dichas empresas. “Esta actuación se enmarca en un trabajo coordinado por la Red Iberoamericana de Protección de Datos, de la cual hacen parte la Superintendencia de Industria y Comercio y otras 15 autoridades de diferentes países de la región, cuyo objetivo es promover y garantizar el derecho fundamental a la protección de datos personales”, reveló la Superintendencia. Lea también: Los límites que ChatGTP tiene frente a la protección de datos y la propiedad intelectual de las personas La Superintendencia de Industria y Comercio -SIC- recomendó a los usuarios del servicio “Chat GPT” consultar la política de privacidad asociada a este servicio, que valoren la conveniencia de aportar datos personales y consultas que realicen, además de tomar con cautela la información que el servicio les suministra, mientras se surte el proceso administrativo que adelanta la autoridad. FUENTE: Hurtado, Luis Enrique. »Superintendencia de Industria tiene en la mira a la aplicación “Chat-GPT” Caracol.com.co. 15/05/23. (https://caracol.com.co/2023/05/15/superintendencia-de-industria-tiene-en-la-mira-a-la-aplicacion-chat-gpt/).
