Ciberseguridad en la agenda global
El comienzo de 2024 ha sido desafiante, con un panorama de riesgos complejo en el que se destaca la ciberseguridad, un tema que el informe de Riesgos Globales 2024 del Foro Económico Mundial enfatiza como una prioridad en la agenda de las empresas y los gobiernos durante los próximos años. El estudio de IBM sobre el costo de una filtración de datos en 2022 asegura que, en promedio, un ataque alcanzó los US$4,35 millones. No es algo menor. Autoridades como Jürgen Stock, secretario general de Interpol, han expresado su preocupación dado que aún existen países y organizaciones que no disponen de los elementos adecuados para enfrentar la situación, lo cual impide contar con una respuesta eficaz. Es cierto. Pero si bien las empresas y los gobiernos deben tener las herramientas de seguridad cibernética para proteger su negocio, la infraestructura, la administración pública y sus procesos, no todos están en posibilidad de hacerlo, principalmente por el alto costo de la tecnología y la escasez de expertos, de los cuales aún se requieren 4 millones para satisfacer la demanda. Lea también: Colombia sigue siendo el país con más ataques de ciberseguridad en Latinoamérica, según IBM Cada organización toma las medidas conforme a sus necesidades y capacidades, y sin duda, un buen lugar para comenzar es la construcción de una cultura interna de prevención en el cuidado de los datos, lo cual requiere un trabajo continuo y un alto nivel de concientización. Si no lo hemos sufrido ya, todos somos conscientes que la naturaleza de las amenazas está en continuo cambio y los piratas informáticos son muy hábiles para que los empleados y los clientes compartan inicios de sesión y otros elementos confidenciales para acceder a su información. El reto para las organizaciones es mantener un compromiso con la seguridad de los datos y con la experiencia de usuario, en donde la confianza permita interacciones digitales fluidas y seguras sin entorpecer la experiencia de colaboradores y consumidores. Para ello es necesario que las compañías adopten una estrategia de Experiencia Total (un término creado por Gartner), pues tanto la experiencia del cliente (CX) como la experiencia del empleado (EX), están íntimamente relacionadas. En este sentido, el estudio 2024 Thales Digital Trust Index, revela que el sector bancario y de salud, a nivel global, son los más confiables cuando se trata de compartir y proteger los datos personales y brindar experiencias digitales confiables. La misma investigación, asegura que el 26% de las personas encuestadas a nivel global han abandonado una marca durante los últimos 12 meses como consecuencia de sus preocupaciones sobre la privacidad. FUENTE: De Maupeou, Lionel. »Ciberseguridad en la agenda global» Portafolio.com.co. 01/03/2024. (https://www.portafolio.co/opinion/analisis/ciberseguridad-en-la-agenda-global-599524).
Acciones clave para la protección de datos personales en las organizaciones
Las empresas deben contar con un área especializada en protección de datos y trabajar de la mano con expertos en derecho corporativo para asegurarse de cumplir las normativas nacionales e internacionales. En un mundo cada vez más digitalizado, las empresas están cada vez más expuestas a sufrir la fuga o el robo de datos confidenciales de sus clientes. A su vez, esta situación puede conducir a la imposición de sanciones de los entes reguladores, según el sector en que opera cada organización. No solo nos referimos a multas emitidas por la Autoridad Nacional de Protección de Datos Personales, sino también de la Unión Europea, en caso de incumplir su Reglamento General de Protección de Datos. Otras consecuencias derivadas son la pérdida de reputación, la fuga de clientes y las caídas en el costo de las acciones, en caso de cotizar en la bolsa de valores. Por ello, es responsabilidad de las empresas tomar las medidas necesarias para proteger al máximo los datos personales de sus clientes. Marco normativo Antes de pensar en qué medidas tomar para proteger su información confidencial, las empresas deben establecer qué tipo de datos consideran más relevantes. La Ley n.o 29733, Ley de Protección de Datos Personales, nos puede orientar al respecto, ya que el numeral 5 de su artículo 2.o considera como datos sensibles los relacionados con temas financieros, económicos, de salud, clínicos, étnicos y raciales, etc. Podría interesarle: Así es la situación de los Delegados de Protección de Datos en la Unión Europea La normativa también considera como datos sensibles los que permiten identificar al titular, como pueden ser sus nombres, apellidos, etc., los cuales suelen aparecer en el DNI. En ese sentido, y pese a que este documento se considera de carácter público, las empresas que lo solicitan a sus clientes deben resguardar toda la información recabada, ya que solo la recopilan para identificar a cada consumidor. Procesos clave Una vez que la empresa haya definido qué tipo de información se considera sensible, tendrá que establecer procesos claros para protegerla, distribuir roles entre el personal a cargo e implementar la tecnología necesaria para cumplir este objetivo. Para ello, es necesario establecer una unidad de gobierno de datos y empoderarla, a fin de que todas las medidas a tomar (encriptación, disociación, etc.) cumplan con el marco legal de la Ley n.o 29733. Otra acción importante es el discovering, que consiste en determinar dónde se almacenan los datos confidenciales. Algunos pueden hallarse en una base de datos con acceso restringido, mientras que otros pueden estar en un documento de Excel, ubicado en la computadora de algún colaborador. A partir de esta exploración, podemos determinar cuán vulnerable es cada tipo de información. El derecho corporativo es clave en este proceso para asegurar el cumplimiento de las normativas nacionales e internacionales sobre protección de datos. En ese sentido, las empresas, a través de sus unidades legales o sus áreas de cumplimiento legal, deben trabajar con asesores y evaluadores en temas legales. ¿Qué medidas toma tu empresa para proteger la información privada de sus clientes? Cuéntanos tu experiencia. Antes de pensar en qué medidas tomar para proteger su información confidencial, las empresas deben establecer qué tipo de información de sus clientes se consideran más sensibles. FUENTE: Morales Gómez, Gianncarlo Gustavo. »Acciones clave para la protección de datos personales en las organizaciones» Esan.edu.pe. 26/02/2024. (https://www.esan.edu.pe/conexion-esan/acciones-clave-para-la-proteccion-de-datos-personales-en-las-organizaciones).
La economía del dato en la UE, una apuesta férrea que precisa de nuevas revisiones para nuevos retos
La economía del dato se ha convertido en los últimos tiempos en un activo realmente valioso, pues su gestión, procesamiento y análisis adecuados generan ventajas competitivas muy importantes para todo tipo de organizaciones. Se estima que su valor actual es de 829.000 millones de euros, lo otorgaría trabajo para casi 11 millones de expertos en 2025, duplicándose las cifras de 2018. Casi cuatro años después de la publicación de ‘Una Estrategia de Datos’, emitida por la Comisión Europea, en la que si fijan las líneas generales de esta futura economía, ahora se precisa de una revisión periódica sobre su estado. Esto se recoge en el estudio reciente elaborado por la red PromethEUs1, titulado ‘La Estrategia europea del dato desde una perspectiva multidimensional’. Aquí se engloban los aspectos políticos y regulatorios, así como las claves geopolíticas, a tener en cuenta para que la economía del dato en la UE funcione perfectamente y se incremente la digitalización del sector de la salud en el sur de Europa. Regulaciones a tener en cuenta Resulta fundamental que la economía del dato facilite la configuración de un entorno fiable y seguro, materializando nuevos servicios y productos. Así pues, se apostará por la reutilización de información protegida en manos del sector público, aunque respetando la privacidad y confidencialidad en todo momento. También es necesario crear mecanismos para la cesión altruista de datos y configurar un marco para el fomento de servicios neutrales de intermediación de datos, asegurando la soberanía en su totalidad. Con el nuevo Reglamento de Datos (DA) se fijarán reglas armonizadas sobre el acceso y el uso equitativo de los datos, eliminando desequilibrios en las relaciones contractuales entre proveedores y usuarios, así como promoviendo su interoperabilidad y portabilidad eficiente. Pese a todo, hay que analizar otros textos normativos que influyen directamente en la economía del dato en la UE. Aquí entran en juego: la Directiva de Datos Abiertos (2019), la Declaración de Derechos Digitales (2022), la Ley de Mercados Digitales, la Ley de Servicios Digitales o las propuestas para la Ley de Inteligencia Artificial. Además, el Reglamento de Protección de Datos Personales (2016) y la Directiva sobre la privacidad y las comunidades electrónicas (2002). Consecuencias de la estrategia europea de datos El documento PromethEUs se basa en tres dimensiones en cuanto a los efectos de la Estrategia Europea de los Datos: política, economía y regulación. No obstante, se espera que sean efectos positivos, pese a la incertidumbre vinculada a las leyes asociadas y a su implementación práctica. Dimensión política La Comisión Europea y el Comité Europeo de Innovación en materia de Datos (EDIB), según el artículo 29 de la DGA, serán esenciales para coordinar y desplegar la economía del dato en base a los Estados Miembros y sus autoridades competentes. Así pues, se creará un marco institucional heterogéneo, el cual podría retrasar la implementación de la Estrategia. Para ello, se fijarán directrices claras y guías para evitar posibles confusiones. Dimensión económica Un estudio de la OCDE estima que el acceso y compartición de datos generará beneficios sociales y económicos por un valor de entre 0,1 y 1,5% del GDP en el sector público de datos. De igual modo, se alcanzará entre el 1 y el 2,5% en consideración con el sector privado. Todo ello puede generar hasta 196.700 millones de euros al año en 2028, propiciando 2,2 millones de empleos entre 2024 y 2028. Fundamental para la economía del dato en la UE será el impulso de la competitividad y la inversión en I+D, creando una plena confianza a nivel B2B. Se fomentará el mantenimiento interno de los datos y la creación de valor a partir de la transformación y de la combinación de datos. En relación con las pymes, es necesario reducir las barreras de acceso y los costes de cumplimiento, todo ello pese a que las pymes estén protegidas en muchos aspectos. Dimensión regulatoria Es importante fijar cuerpos regulatorios bien capacitados ante el abundante trabajo que surgirá, siendo necesario crear cuerpos efectivos ante la elevada inversión en recursos humanos y habilidades. No obstante, existe un riesgo de solapamiento de atribuciones entre administraciones públicas y reguladoras, en materia como la infraestructura de red y la ciberseguridad. En este sentido, la coordinación es fundamental en todos los niveles de la Economía del Dato en Europa. Habrá que ir intercalando nuevas normativas y la actuación armonizada de autoridades y organismos que la apliquen según sus ámbitos de competencia. Una Estrategia Europea clave para el futuro. FUENTE: Martorell Delgado, Sergio. »La economía del dato en la UE, una apuesta férrea que precisa de nuevas revisiones para nuevos retos» Larazon.es. 27/02/2024. (https://www.larazon.es/emergente/economia-dato-apuesta-ferrea-que-precisa-nuevas-revisiones-nuevos-retos_2024022765dd89fb82085c00019f4e37.html).
Superintendencia Financiera impone plazo para la protección de datos personales
La Superintendencia Financiera impuso un límite de 15 días hábiles para resolver peticiones, quejas o reclamos relacionados con el derecho de habeas data por parte de las entidades vigiladas. Este anuncio se dio luego de que esta entidad detectara un aumento de quejas y tutelas vinculadas al fraude y al ejercicio de este derecho fundamental durante el 2023. Esta disposición responde a la necesidad de reforzar la protección al consumidor financiero y garantizar la adecuada gestión de sus datos personales. Para tal fin, la Superintendencia Financiera esbozó un conjunto de medidas específicas que incluyen la obligación de las entidades de obtener el consentimiento expreso de los titulares de los datos, mantener esta autorización documentada y actualizar de manera regular la información financiera reportada para evitar desactualizaciones o errores. Además, se contempla que ante cualquier inconformidad presentada por los usuarios, las entidades deben no solo atender y resolver estas directamente, sino también notificar al operador de información en un plazo de dos días hábiles, aplicando la leyenda “reclamo en trámite” al registro individual del consumidor afectado. Esta serie de acciones busca ofrecer una respuesta más ágil y eficiente a las inquietudes y problemas que puedan surgir en el manejo de datos personales dentro del sector financiero. En el documento, la Superintendencia dejó estipulado que para mitigar todo tipo acciones fraudulentas, las entidades que se encuentran bajo su vigilancia deberán: Lea también: SIC pública guía oficial de protección de datos personales Así mismo, dejó claro que el tiempo para responder las peticiones, quejas o reclamos que se encuentren directamente relacionados con el derecho fundamental del habeas data es de 15 días hábiles después de la radicación de las mismas. Del mismo modo, este tiempo se podrá prorrogar por un periodo adicional de máximo ocho días hábiles. ¿Qué es el habeas data y cuál es la importancia en el sector financiero? El derecho de habeas data es fundamental para garantizar la protección de datos personales en archivos y bancos de datos tanto públicos como privados en Colombia. Según indica la Superintendencia de Industria y Comercio (SIC), este derecho permite a cualquier ciudadano conocer, actualizar y rectificar la información recopilada sobre sí mismo. Además, la Corte Constitucional específica que incluye el acceso, inclusión, exclusión, corrección, actualización entre otros aspectos para manejar la divulgación de datos personales. Esta legislación se aplica a todas las entidades, sean estas públicas o privadas, que manejen datos personales dentro del territorio colombiano. Tal como menciona el abogado Francisco Bernate, es obligatorio para estas entidades respetar y actualizar la información personal, estableciendo políticas claras para el manejo de estos datos. La relevancia de la Ley de habeas data radica en su enfoque en salvaguardar la privacidad e integridad de los ciudadanos, asegurando así una gestión adecuada de su información personal. Lea también: ¡Prepárese para reportar ante la SIC, las peticiones que han presentado los titulares de los datos de su empresa! Los datos personales de niños y adolescentes cuentan con un nivel adicional de protección bajo esta ley, prohibiendo su tratamiento salvo en circunstancias específicas que respeten y respondan al interés superior de este grupo de edad. Este énfasis en proteger a los más vulnerables pone de manifiesto el compromiso de la ley con los derechos fundamentales. Entre tanto, los datos sensibles, que incluyen información que podría ser utilizada para la discriminación del titular, como el origen racial, las convicciones religiosas o la orientación política, tienen restricciones específicas de manejo y tratamiento para evitar abusos. La Ley 1581 de 2012 es una pieza clave en la estructura de protección de derechos en Colombia, y su adecuada aplicación e interpretación son esenciales para garantizar la dignidad y la privacidad de todos los ciudadanos. Este conjunto de reglas y principios subraya la importancia de una gestión responsable de los datos personales en la era digital, marcando un precedente en la legislación colombiana en cuanto a la protección de datos. FUENTE: Saavedra, Frank. »Superintendencia Financiera impone plazo para la protección de datos personales» Infobae.com. 27/02/2024. (https://www.infobae.com/colombia/2024/02/27/superintendencia-financiera-dio-15-dias-para-contestar-quejas-y-reclamos-por-habeas-data-por-aumento-de-casos/).
Así es la situación de los Delegados de Protección de Datos en la Unión Europea
Desde la entrada en aplicación del RGPD, el Delegado de Protección de Datos (en adelante, “DPO” por sus siglas en inglés) se ha erigido como una figura sumamente relevante para las organizaciones que lo han designado por estar obligados a ello, o bien de forma voluntaria. Entidades públicas y privadas han tenido que adaptarse para dejar en las manos del DPO el papel de garante del cumplimiento de la normativa en materia de protección de datos, sin perjuicio de que la responsabilidad por el cumplimiento recaiga sobre el propio Responsable o el Encargado del Tratamiento. Dada la importancia del rol que los DPO ocupan en el organigrama de las organizaciones, el Comité Europeo de Protección de Datos (en adelante, “CEPD”) decidió centrar sus investigaciones del año 2023 en la designación y posición de los DPO dentro de las organizaciones. Como resultado, en enero de este año 2024 se publicaron los hallazgos encontrados por 25 autoridades de protección de datos de los Estados Miembros, incluyendo la Agencia Española de Protección de Datos (en adelante, “AEPD”), que contribuyó con estadísticas basadas en las respuestas de más de 10.000 entidades del sector público y privado. El informe publicado ofrece una imagen veraz de la situación actual en la que se encuentran los DPO dentro de sus respectivas organizaciones, y describe los desafíos actuales a los que éstos se enfrentan en el desempeño de sus labores. Asimismo, el CEPD ha publicado una serie de recomendaciones orientadas a solventar los desafíos identificados. A continuación, se analizarán los aspectos más relevantes de la investigación, elaborada a partir un cuestionario único que ha sido compartido entre las diferentes autoridades de control. Los 5 principales desafíos 1. Ausencia de un DPO En primer lugar, se ha detectado que, a pesar de que el RGPD entró en vigor hace ya más de 5 años, todavía existen organizaciones ubicadas en los Estados Miembros que no han designado a un DPO pese a estar obligadas a ello. Al respecto, el CEPD recomienda a las autoridades de control realizar campañas de sensibilización sobre la necesidad de designar a un DPO, o emitir guías en esta materia. Como consecuencia, a pesar de que no figura en el informe, consideramos recomendable documentar la correspondiente evaluación sobre la necesidad de disponer de esta figura dentro de la organización para poder, en su caso, acreditar la diligencia debida. 2. Falta de recursos para el DPO A pesar de que el Artículo 38, apartado 2, del RGPD dispone que los Responsables y Encargados del Tratamiento deben proveer de los recursos necesarios a los DPO para el correcto ejercicio de sus funciones, los resultados de la investigación evidencian que esta provisión no siempre se lleva a cabo. De hecho, no son pocas las autoridades de control que han expresado que este es un problema relativamente generalizado. A mayor abundamiento, se ha detectado que existe una falta de capital humano, sobre todo en aquellos cargos o posiciones cuyas tareas consisten en apoyar al DPO principal. A su vez, esto tiene una serie de repercusiones negativas en las organizaciones, ya que se espera que los DPO asuman una carga de trabajo superior a la que son capaces de gestionar, y existe un riesgo de incumplimiento del RGPD cuando el DPO se encuentra ausente. Para estos casos, el CEPD recomienda a las autoridades llevar a cabo iniciativas para incentivar y sensibilizar a los órganos de administración de las organizaciones, con el objetivo de que dediquen más recursos a esta figura. Asimismo, también se sugiere a los Responsables y Encargados del Tratamiento que realicen un análisis detallado de la cantidad de recursos que deben ser asignados. 3. Falta de conocimiento y experiencia Otra deficiencia detectada ha sido la falta de conocimiento de los DPO a la hora de asumir esta posición y la posterior ausencia de formación proporcionada a éstos una vez asumido el cargo. Esta falta de aptitud para el cargo es de especial relevancia, puesto que el ámbito de la privacidad es un sector que está experimentando un vertiginoso desarrollo y donde cada vez son más las leyes y materias que el DPO debe dominar, como el futuro Reglamento de IA, y los ya aplicables Reglamentos de Servicios y Mercados Digitales, Reglamento de Gobernanza de Datos y Reglamento de Datos. Por ende, y para cumplir con lo establecido por el artículo 37, apartado 5, del RGPD, el CEPD aconseja de forma general que se documenten y proporcionen las suficientes oportunidades, tiempo y recursos para mantener actualizados los conocimientos y habilidades del personal a cargo de los asuntos relacionados con la privacidad. En esta línea, y a la vista de la emergencia de nuevas normativas aprobadas por la Comisión Europea en el ámbito digital, también es recomendable para las organizaciones recurrir a terceros especializados con las habilidades técnicas requeridas para que puedan dar soporte al DPO y garanticen el cumplimiento de estos nuevos Reglamentos. 4. Papel secundario del DPO dentro de la organización De la investigación llevada a cabo por las autoridades, se ha constatado que algunas de las organizaciones analizadas no asignan las responsabilidades suficientes a sus DPO. Asimismo, también se observa que existen inconsistencias respecto del rol que ocupa en la práctica esta figura y en ocasiones no existe la comunicación necesaria entre el DPO y la dirección de las organizaciones que el RGPD exige. En primer lugar, esto se puede deber, o bien (1) a que las organizaciones no han definido formalmente cuáles han de ser las funciones que debe llevar a cabo un DPO, o bien (2) a que existe una falta de entendimiento o comprensión sobre el papel que debe ocupar un DPO dentro de una organización. En segundo lugar, las autoridades también concluyen que en ocasiones no se consulta al DPO en aspectos de protección de datos que son de su competencia, lo que dificulta a éstos el ejercicio de sus funciones y afecta negativamente al soporte que éstos pueden prestar a los Responsables del Tratamiento en el cumplimiento de las obligaciones dispuestas por el RGPD. Para solucionar este conflicto, y más allá de las
¿Qué es la Ley de Transparencia y Protección de Datos Personales que AMLO violó al filtrar los datos de la periodista de NYT?
En su habitual conferencia matutina, el presidente de México, Andrés Manuel López Obrador, desató una controversia al divulgar el número de teléfono de la corresponsal del The New York Times en el país, Natalie Kitroeff. Esta acción, según expertos, podría constituir una violación a la Ley Federal de Protección de Datos Personales en posesión de particulares, también conocida como Ley de Transparencia. De hecho, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) anunció de inmediato una investigación de oficio, considerando la gravedad de exponer información personal durante una conferencia presidencial. Lea también: Datos biométricos en México, ¿sin protección? Este incidente agrega más preocupaciones a la ya tensa relación entre el gobierno de López Obrador y la libertad de prensa, ya que durante su mandato se han registrado 43 asesinatos de periodistas en México. Ante las críticas, el presidente mexicano defendió su acción argumentando que, por encima de la Ley de Transparencia, está la “autoridad moral” y política que representa. “Por encima de esa ley, esta la autoridad moral, la autoridad política, yo represento a un pueblo que merece respeto”, fue la respuesta a la reportera Jesica Zermeño de la Cadena Univisión, que lo cuestionó por la divulgación de información confidencial. Sin embargo, esta postura genera inquietudes sobre el respeto a la privacidad y la protección de los periodistas en un país donde la libertad de prensa enfrenta constantes desafíos. ¿Qué es la Ley de Transparencia? La Ley Federal de Protección de Datos Personales en posesión de particulares fue promulgada en 2010 durante el mandato del presidente Felipe Calderón Hinojosa. Esta legislación, aplicable en todo México, tiene como objetivo salvaguardar la privacidad y el derecho a la autodeterminación informativa de las personas al regular el tratamiento legítimo, controlado e informado de los datos personales por parte de particulares. La normativa busca establecer directrices para garantizar una gestión ética de la información personal. Con ello, se pretende prevenir posibles abusos y asegurar que el manejo de datos respete los derechos individuales. El artículo 3 de la Ley Federal de Protección de Datos Personales en posesión de particulares establece criterios específicos sobre los datos personales, especialmente en sus fracciones V y VI. En esencia, destaca la sensibilidad de ciertos datos que pueden afectar la esfera más íntima del titular o que, si se utilizan indebidamente, podrían dar lugar a discriminación o representar un riesgo significativo para el individuo. Se definen como datos sensibles aquellos que revelan información sobre el origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual. Este enfoque resalta la necesidad de un tratamiento especial y más cuidadoso de esta categoría de datos para proteger la privacidad y la autodeterminación informativa de las personas. FUENTE: Contreras, Jorge. »¿Qué es la Ley de Transparencia y Protección de Datos Personales que AMLO violó al filtrar los datos de la periodista de NYT?» Infobae.com. 23/02/2024. (https://www.infobae.com/mexico/2024/02/23/que-es-la-ley-de-transparencia-y-proteccion-de-datos-personales-que-amlo-violo-al-filtrar-los-datos-de-la-periodista-de-nyt/).
Más del 80% de las aplicaciones móviles “podrían incumplir” la ley de protección de datos
Más del 80% de las aplicaciones móviles “podrían incumplir” la ley de al compartir información personal al compartir información personal con empresas como Google o Meta sin el “conocimiento ni consentimiento” del usuario. Además, la “mayoría”, más del 70% de los datos personales, “terminan en manos de solo diez organizaciones”. Así lo concluye un estudio “pionero” realizado por un equipo de investigadores de la Universidad Politécnica de Madrid (UPM), junto con expertos de Carnegie Mellon University (CMU), que “saca a la luz una preocupante realidad sobre la privacidad de datos en aplicaciones Android”, según defendió este miércoles la universidad madrileña en un comunicado. Para llevar a cabo el trabajo, el equipo de científicos desarrolló un método para “capturar” prácticas de intercambio de datos en aplicaciones de Android y evaluar su divulgación “adecuada” de acuerdo con el Reglamento General de Protección de Datos de la UE (RGPD). El trabajo muestra “ejemplos prácticos” de aplicaciones que, según los expertos, “estarían potencialmente incumpliendo la ley de protección de datos”, por lo que, según el investigador de la UPM y líder del proyecto, José María del Álamo, “al cometer este incumplimiento, los creadores de las aplicaciones podrían ser sancionados con multas millonarias, al ser los responsables de proteger el derecho a la privacidad de sus usuarios y velar por una adecuada protección de sus datos personales”. Los desarrolladores »no son conscientes» No obstante, advirtió de que, “a menudo”, los desarrolladores “no son conscientes de que sus aplicaciones incumplen la ley, ya que desconocen el comportamiento de algunos de los componentes de uso común y gratuito en el desarrollo de aplicaciones móviles”. Para poder obtener estos resultados, investigadores del grupo de la UPM Sistemas de tiempo real y arquitectura de servicios telemáticos (Strast) emplearon un conjunto de técnicas de ciberseguridad junto con ChatGPT, que les permitió procesar la información de miles de políticas de privacidad para conocer a qué empresas dicen compartir los datos. Podría interesarle: Los ataques por correo electrónico crecen un 222% y no dejan de aumentar A su vez, las técnicas de ciberseguridad empleadas les permitieron observar qué datos personales “recopilan” las aplicaciones móviles y “con quién se comparten”. “Al cruzar esta información, hemos conseguido saber si el responsable de la aplicación incumple con la legislación al no mencionarlo de forma transparente en su política de privacidad, como requiere la ley”, explicó David Rodríguez, otro de los investigadores de la UPM que formó parte del equipo de trabajo. Hecho preocupante En paralelo, la investigación desveló un algo “preocupante”, a juicio de los investigadores, como es el hecho de que más del 70% de los datos personales que envían las aplicaciones “terminan en manos de sólo 10 empresas”. “Este hallazgo tiene una importante implicación y es que confiere un gran poder a pocas organizaciones, permitiéndoles cruzar información para conocer con gran precisión a casi cualquier persona”, abundaron los especialistas, al tiempo que advirtieron de que Google y Meta son las dos empresas que “más datos personales reciben”, lo que, a su entender, “les permite una gran capacidad de vigilancia y de perfilado de usuarios, sin que los afectados sean realmente conocedores de ello”. Tras calificar esta circunstancia como “alarmante”, puntualizaron que la “falta de transparencia” respecto a la “compartición” de datos personales no solo “vulnera” la legislación europea de protección de datos, sino que “también pone en riesgo la privacidad y seguridad de los usuarios, exponiéndolos a posibles usos indebidos de su información personal”. “Los resultados del estudio resaltan la urgente necesidad de una mayor supervisión y control de las prácticas de privacidad de las aplicaciones móviles”, indicaron los investigadores, convencidos de que, además, “han de servir como una llamada de atención para los desarrolladores, instándolos a adoptar prácticas más transparentes y respetuosas con la privacidad de los usuarios, asegurando que las políticas de privacidad no solo sean respetadas, sino comunicadas claramente”. FUENTE: REDACCIÓN | AGENCIAS. »Más del 80% de las aplicaciones móviles “podrían incumplir” la ley de protección de datos» Telemadrid.es. 21/02/2024. (https://www.telemadrid.es/tecnologia/Mas-del-80-de-las-aplicaciones-moviles-podrian-incumplir-la-ley-de-proteccion-de-datos-0-2644835540–20240221060321.html).
La AEPD publica su Plan de Responsabilidad Social, alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible
La Agencia Española de Protección de Datos (AEPD) ha presentado su Marco de Actuación de Responsabilidad Social 2019-2024 en un acto en el que han participado la Alta Comisionada para la Agenda 2030, Cristina Gallach; la directora general del Trabajo Autónomo, de la Economía Social y de la Responsabilidad Social de las Empresas, Mª Antonia Pérez León, y la directora de la AEPD, Mar España. El Marco de Actuación de Responsabilidad Social de la AEPD, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, está alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible, y estructura el compromiso de este organismo en cuatro grandes ejes, tanto internos como externos: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. Para llevar a cabo las responsabilidades asumidas, se han identificado 100 acciones: un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas. Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento. Algunas de las medidas más significativas en el área de prevención son las siguientes: En cuanto a la igualdad de género, dentro de las acciones para combatir la violencia de género en internet, destacan las siguientes: Podría interesarle: Las 35 medidas y las 10 actuaciones de la AEPD para limitar el acceso de los menores al porno Para potenciar la innovación y el emprendimiento a la hora de crear productos y servicios compatibles con los derechos de las personas y, en consecuencia, sostenibles, la Agencia va a contribuir a la realización de encuentros y seminarios donde se reúnan emprendedores. Por otro lado, además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación “Ángela Ruiz Robles”, precursora española del libro electrónico. De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público. Ello se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación. En cuanto al compromiso con los empleados, cabe mencionar: Por último, en el apartado de medioambiente, la Agencia se compromete a seguir profundizando en las medidas internas orientadas a la promoción de políticas de reciclado, el impulso de acciones de movilidad sostenible para empleados, el uso responsable del papel y una evaluación sobre el uso eficiente de los recursos energéticos de la Agencia. FUENTE: »La AEPD publica su Plan de Responsabilidad Social, alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible» AEPD.es. 15/05/2019. (https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-su-plan-de-responsabilidad-social-alineado).
Microsoft Copilot prepara avances en protección de datos
Microsoft Copilot, la Inteligencia Artificial diseñada por Microsoft, tendrá mejoras en protección de datos para los usuarios que la utilicen activamente. Esta mejora, así, permitirá garantizar tanto a usuarios particulares como a empresas que la IA no recogerá datos ilícitos, ya que no los procesará y no formarán parte del aprendizaje y entrenamiento del sistema. Copilot no usará la información de sus usuarios Tal y como la compañía ha revelado a través del blog de Bing, Copilot está siendo preparado para garantizar al máximo la protección de datos de los usuarios y empresas que utilicen este sistema. Con ello, Microsoft quiere dejar claro que la compañía tiene como prioridad mostrar que no tiene interés en los datos del usuario mientras esté usando los servicios de Copilot en sus versiones 365. Podría interesarle: Microsoft Cloud permite mantener todos los datos personales dentro de la EU Data Boundary Es evidente que Copilot está convirtiéndose en una pieza fundamental de la estrategia de marca de Microsoft, y precisamente es por eso por lo que quieren alejar de ella algunos de los principales estigmas que posee la IA en la actualidad. Por su parte, Copilot ya está integrado de manera profunda en diversos servicios de Microsoft, como Bing o Teams, donde ofrece un apoyo considerable al usuario. La IA y el uso de datos Uno de los puntos que más preocupa a muchos usuarios a la hora de utilizar la Inteligencia Artificial es el mero hecho de formar parte del aprendizaje y entrenamiento por parte de la IA. Al tratarse de herramientas en constante evolución, muchos de estos sistemas aprovechaban el propio uso de los usuarios para crear variaciones y avances en diversas materias. Sin embargo, con el tiempo, se ha mostrado que, en muchos casos, eso ha terminado “atontando” a la IA. A pesar de ello, a muchos usuarios le supone un hecho bastante irónico que una IA, la cual se entrena precisamente recopilando datos masivamente de manera ilícita a través de Internet, tenga que mostrarse activamente con un sistema que garantice que Copilot no usará los datos de los usuarios para seguir mejorando. Se trata de un tema con muchas aristas, y que países como Estados Unidos ya han comenzado a regular. Asimismo, la Unión Europea también está avanzando para contar con una legislación que proteja a los usuarios de los abusos que la Inteligencia Artificial pueda llevar a cabo en todos los aspectos. FUENTE: García, Daniel. »Microsoft Copilot prepara avances en protección de datos» Softonic.com. 15/02/2024. (https://www.softonic.com/articulos/microsoft-copilot-prepara-avances-en-proteccion-de-datos).
