Se publica el primer borrador de la nueva Ley de Protección de Datos Personales de Vietnam (PDPL) para comentarios públicos
El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL) para su consideración por parte del público. El proyecto de ley tiene disposiciones más estrictas que el Decreto de Protección de Datos Personales y está previsto que entre en vigor a partir del 1 de enero de 2026. El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL). Este proyecto de ley, que entrará en vigor el 1 de enero de 2026, marca otro paso adelante en los esfuerzos de Vietnam por construir un marco sólido para la protección de datos personales. El proyecto está actualmente abierto a consulta pública hasta el 24 de noviembre de 2024, lo que permite a las partes interesadas enviar comentarios. Lea también: 5 claves: Guía para entender la nueva Ley de Protección de Datos Personales de Chile El borrador de la PDPL, elaborado por el Ministerio de Seguridad Pública (MPS), consta de 68 artículos repartidos en siete capítulos. El borrador de la PDPL es más completo que el Decreto Nº 13/2023/ND-CP sobre Protección de Datos Personales (PDPD) del año pasado y cubre una amplia gama de áreas, incluidos los servicios de marketing, la publicidad basada en el comportamiento, el procesamiento de macrodatos, la inteligencia artificial, la computación en la nube, el seguimiento y la contratación de empleados, los datos financieros y crediticios, la atención sanitaria, los seguros y más. Se espera que la Asamblea Nacional adopte el proyecto de ley en mayo de 2025. No prevé un período de transición para su cumplimiento, excepto para las microempresas, las pymes y las empresas emergentes, que solo están exentas de designar un departamento de protección de datos durante los dos primeros años desde su creación. Sin embargo, estas empresas más pequeñas deben cumplir con todas las demás obligaciones de la ley en el mismo plazo que las empresas más grandes. Principales objetivos y políticas En marzo de 2024, el Ministerio de Seguridad Pública (MPS) presentó una propuesta a la Asamblea Nacional para elaborar un proyecto de Ley de Protección de Datos Personales. El MPS destacó que el proyecto tiene como objetivo mejorar el marco legal de Vietnam para la protección de datos personales, establecer una base jurídica clara para salvaguardar los datos personales, mejorar la capacidad de las organizaciones y los individuos nacionales para proteger los datos personales a fin de cumplir con los estándares internacionales y regionales, y fomentar el uso legal de los datos personales para apoyar el desarrollo económico y social. Para lograr los objetivos antes mencionados, el proyecto de PDPL se ha elaborado de acuerdo con cuatro misiones clave: Características principales del proyecto de ley PDPL Podría interesarle: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA Evaluaciones de impacto de la protección de datos (EIPD) y evaluaciones de impacto de transferencia (EIT): el borrador de la PDPL exige que las organizaciones realicen evaluaciones de impacto de la protección de datos y evaluaciones de impacto de transferencia, que deben actualizarse cada seis meses o ante cualquier cambio sustancial. Esto garantiza que el procesamiento de datos personales se controle de forma continua y cumpla con el cambiante panorama regulatorio. Obligaciones de las empresas: El proyecto de ley impone a las empresas obligaciones estrictas en materia de cumplimiento de la normativa de protección de datos. Por ejemplo, las empresas deben designar un departamento de protección de datos para el tratamiento de datos básicos y sensibles. Este departamento puede ser subcontratado a proveedores de servicios externos, lo que permite una mayor flexibilidad para las empresas. El proyecto de ley también establece que las empresas deben tener al menos un experto en protección de datos personales en estos departamentos, al tiempo que establece requisitos detallados para la contratación de este personal. Otros contenidos: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA Exención para las MIPYMES: Las microempresas, las PYMES y las empresas emergentes solo están exentas del requisito de contar con un departamento de protección de datos durante los primeros dos años, y todas las demás obligaciones deben cumplirse dentro del mismo plazo que las organizaciones más grandes. Sin embargo , las microempresas , las PYMES y las empresas emergentes que participan directamente en actividades de procesamiento de datos personales no están sujetas a la exención. Notificaciones de violaciones de datos: las empresas tendrán un plazo de 72 horas para notificar a las autoridades cualquier incidente de violación de datos, una norma heredada de la PDPD. Este requisito de respuesta rápida refleja las mejores prácticas internacionales, lo que garantiza una acción oportuna en caso de violaciones de la seguridad de los datos. Nuevos mecanismos de certificación: el proyecto introduce la certificación de protección de datos personales, creando de hecho un sistema de calificación crediticia para las empresas en función de su cumplimiento. Las empresas pueden obtener calificaciones como “alta credibilidad” o “confianza” en función de sus prácticas de protección de datos personales, lo que podría mejorar la confianza de los consumidores y la reputación en el mercado. Prohibición de venta de datos personales en cualquier forma El proyecto de PDPL establece claramente ocho principios de protección de datos personales, uno de los cuales es que los datos personales no pueden comprarse ni venderse en ninguna forma. Según el proyecto de ley, los datos personales son información en forma de símbolos, letras, números, imágenes, sonidos o formas similares en el entorno electrónico que se asocian a una persona determinada o que permiten identificarla. Estos datos se dividen en dos tipos: Detener las actividades de marketing cuando lo solicite el titular de los datos El proyecto de ley reserva un artículo separado para regular la protección de datos personales en los servicios de marketing. En consecuencia, las organizaciones y personas que prestan servicios de marketing solo pueden utilizar los datos personales de los clientes recopilados a través de sus
El regulador de la UE investiga la IA de Google por el cumplimiento de la protección de datos
La Comisión de Protección de Datos (CPD) de Irlanda ha abierto una investigación sobre Google para determinar si el gigante tecnológico ha respetado la legislación de la Unión Europea en materia de protección de datos al utilizar datos personales de usuarios de la UE en el desarrollo de su modelo de inteligencia artificial. La investigación, anunciada el jueves, se centra en el Pathways Language Model 2 (PaLM 2) de Google, un avanzado sistema de inteligencia artificial diseñado por Google, de Alphabet Inc, que tiene su sede de la UE en Irlanda. El CPD está examinando los procesos empleados por Google para garantizar la protección de los datos personales antes de utilizarlos para mejorar el modelo de IA. Esta acción forma parte de un esfuerzo más amplio del CPD y sus homólogos del Espacio Económico Europeo para regular cómo se procesan los datos personales de los ciudadanos de la UE en la creación de modelos y sistemas de IA. Lea también: Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos La investigación sigue a una decisión reciente de una empresa de redes sociales, que acordó la semana pasada detener el entrenamiento de sus sistemas de IA con datos de usuarios de la UE hasta que los usuarios tuvieran la oportunidad de excluirse. Este acuerdo se alcanzó después de que el regulador irlandés llevara a los tribunales a la plataforma de redes sociales. Alphabet Inc, la empresa matriz de Google, cotiza en la bolsa NASDAQ bajo el ticker NASDAQ:GOOGL. La actual investigación del CPD sobre las prácticas de protección de datos de Google refleja la preocupación y el escrutinio constantes sobre la forma en que las empresas tecnológicas manejan los datos de los usuarios, especialmente en el contexto del desarrollo de la IA. Reuters ha contribuido a este artículo. FUENTE: Ghigini, Emilio. »El regulador de la UE investiga la IA de Google por el cumplimiento de la protección de datos» 12-09-24. Mx.investing.com. (https://mx.investing.com/news/stock-market-news/el-regulador-de-la-ue-investiga-la-ia-de-google-por-el-cumplimiento-de-la-proteccion-de-datos-93CH-2899387).
X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA
La red social X, propiedad de Elon Musk, acordó detener de manera definitiva el uso de datos personales de sus usuarios europeos para entrenar su sistema de inteligencia artificial (IA) conocido como Grok, tras llegar a un acuerdo con las autoridades de protección de datos de la Unión Europea (UE). La Comisión de Protección de Datos de Irlanda (DPC), el regulador principal de la empresa en Europa, debido a la ubicación de su sede en Irlanda, anunció la resolución este miércoles. El conflicto comenzó en agosto de 2024, cuando la DPC solicitó ante el Tribunal Superior de Irlanda que X dejara de procesar información personal de los usuarios de la UE, citando violaciones a las normativas de protección de datos del bloque. La empresa había utilizado datos personales de los usuarios europeos recopilados entre el 7 de mayo y el 1 de agosto de ese año para entrenar a Grok, lo cual fue considerado ilegal en ocho países europeos, según la organización austriaca Noyb, que monitorea el cumplimiento de las leyes de privacidad. En respuesta a las advertencias de la DPC, X suspendió temporalmente esta práctica en agosto, pero ahora ha decidido convertir esta suspensión en un compromiso permanente. Podría interesarle: Privacidad ante todo: X detiene el uso de datos de usuarios no autorizado para su IA Según Graham Doyle, jefe de comunicación de la DPC, X ha acordado dejar de procesar los datos personales de los usuarios europeos de manera definitiva, cumpliendo así con las exigencias de la legislación europea sobre privacidad. El regulador irlandés tomó medidas luego de recibir múltiples quejas en toda Europa sobre el uso indebido de los datos personales en la plataforma de X. Entre los principales puntos de preocupación estaban los posibles riesgos para los derechos de los usuarios al procesar datos sin consentimiento explícito para el entrenamiento de sistemas de IA. La utilización de datos personales en herramientas de inteligencia artificial ha sido motivo de controversia en los últimos meses, no solo en el caso de X, sino también en otras grandes plataformas tecnológicas como Meta Platforms, Inc. La DPC explicó que el uso de datos personales de usuarios sin su consentimiento explícito contraviene las normas de protección de datos de la UE, que son de las más estrictas a nivel mundial. Las regulaciones en cuestión están diseñadas para proteger la privacidad de los ciudadanos europeos, quienes tienen derecho a saber cómo se utilizan sus datos y a dar su aprobación para cualquier uso que se realice con fines distintos a los originalmente establecidos. Lea también: Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA Con este acuerdo, X ha logrado evitar mayores sanciones legales y la continuación de los procedimientos judiciales en su contra. La DPC también ha solicitado al Comité Europeo de Protección de Datos que inicie un debate sobre cómo deben interactuar las normativas de protección de datos y el desarrollo de modelos de inteligencia artificial. Este es un tema que ha cobrado relevancia en los últimos tiempos, a medida que las tecnologías de IA avanzan y requieren grandes volúmenes de datos para su entrenamiento, muchas veces obtenidos de las publicaciones de los usuarios en plataformas digitales. Por el momento, la medida representa una victoria para los reguladores europeos en su esfuerzo por proteger la privacidad de los usuarios frente al uso no autorizado de sus datos personales en la era de la inteligencia artificial. FUENTE: Redacción Tecnología. »X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA» 04/09/2024. Semana.com. (https://www.semana.com/tecnologia/articulo/x-de-elon-musk-dejara-de-usar-datos-personales-de-los-usuarios-en-la-ue-para-entrenar-a-su-ia/202443/).
5 claves: Guía para entender la nueva Ley de Protección de Datos Personales de Chile
Chile acaba de aprobar una nueva ley de protección de datos personales que busca alinearse con estándares internacionales, como el GDPR de la Unión Europea. Multas significativas y una Agencia de Protección de Datos Personales son algunos de los cambios. Luego de siete años de tramitación, este lunes la Cámara de Diputados aprobó la Ley de Protección de Datos, siendo despachada para su promulgación. Como anunció el gobierno, la nueva normativa busca “regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información”. Como contexto, distintas empresas, instituciones e incluso personas manejan diversos datos de la población: Nombres, RUTs, correos electrónicos, teléfonos, domicilio, situación crediticia, hay una enorme variedad de información de las personas que está circulando y utilizándose permanentemente con distintos fines. Con esta nueva ley, la forma de manejar esos datos cambiará. Aquí 5 claves para entender lo que se viene. 1. Esta ley busca poner a Chile a la altura de la regulación de los países europeos La ley tiene como objetivo actualizar el marco normativo para la protección y tratamiento de datos personales, alineándose con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Algunos de los puntos que se ajustarán a estos criterios son: En conversación con Pulso, el expresidente del Consejo para la Transparencia, Marcelo Drago, explicó que esta nueva normativa “permitirá que Chile sea declarado ‘país adecuado’ por la UE, lo que permite un libre flujo de datos con ese bloque económico. Esto abre nuevas oportunidades de intercambio comercial con los países europeos y con muchos otros que han obtenido la misma declaración”. 2. Debe crearse una agencia de protección de datos personales para implementar la ley en Chile A través de la creación de la Agencia de Protección de Datos Personales, la ley pretende introducir mecanismos para proteger los derechos de los ciudadanos y regular con detalle los deberes de las empresas en el tratamiento de datos, con el fin de elevar el estándar de protección de la información personal. Esta nueva normativa aplica a cualquier persona natural o jurídica, incluyendo órganos públicos o privados que realicen manejo de datos personales en territorio nacional o dirigido a personas en Chile, exceptuando ciertos tratamientos relacionados a emitir opiniones e informar. 3. Habrá multas y sanciones (y algunas serán muy duras) La nueva ley establece multas de hasta 20.000 UTM (US$1.418.000) por infracciones, que pueden triplicarse en caso de reincidencia, clasificándolas en leves, graves y gravísimas. Las grandes empresas enfrentan sanciones de hasta el 2% de sus ingresos anuales por infracciones graves y hasta el 4% por infracciones gravísimas. Las sanciones son multas a beneficio fiscal, según la gravedad: Macarena Gatica, socia de Alessandri y directora de AmCham, explicó a Pulso que esta nueva normativa corrige una debilidad de la ley vigente al incluir multas disuasivas, aunque las sanciones para grandes empresas, en caso de reincidencia, podrían considerarse desproporcionadas. “La reincidencia, con un periodo de 30 meses, podría desincentivar la inversión debido a la falta de cultura en protección de datos en el país”, detalla. 4. Esta ley sumará derechos para las personas de Chile y deberes para los que manejan datos, pero su aplicación aún no está definida Como explica el estudio de abogados Carey, la ley otorga a los titulares de datos personales varios derechos irrenunciables e intransferibles, conocidos como Derechos ARCOP, que incluyen: 5. La aplicación de la ley tomará tiempo y los detalles de esta aún están difusos La misma ley establece que esta debería entrar en vigor 24 meses después de su publicación en el Diario Oficial. Sin embargo, la creación de la Agencia de Protección de Datos Personales que debe generar el marco regulatorio de ley podría tomar la misma cantidad de tiempo e incluso más. Por ende, detalles de la ley, como qué acciones específicas serán consideradas infracciones y cómo funcionarán las denuncias, aún es una incógnita. Dicho lo anterior, hay cosas que ya sabe serán sancionadas, como las llamadas comerciales no deseadas. Según explicó la subsecretaria de la presidencia, Macarena Lobos, “si yo entrego mi correo electrónico o mi número de teléfono a un banco, con el fin único de tramitar un crédito que estoy solicitando, ese banco no podrá utilizar mi número de teléfono o mi correo para otros fines, como hacer publicidad o tratar de ofrecer otros de sus productos”. FUENTE: Solis, Isadoris. »5 claves: Guía para entender la nueva Ley de Protección de Datos Personales» 31/08/2024. Latercera.com. (https://www.latercera.com/servicios/noticia/5-claves-guia-para-entender-la-nueva-ley-de-proteccion-de-datos-personales/U6DTRT7GRJDWNJA26EZ2UVON6A/).
Movistar Empresas lanza curso gratuito de ciberseguridad para pymes en Colombia
Una de las búsquedas más recurrentes de las pequeñas y medianas empresas es cómo proteger sus activos digitales ante el creciente número de ciberataques. Movistar Empresas ha dado un paso adelante en esta dirección al lanzar un curso gratuito de ciberseguridad dirigido a pymes en Colombia. Este curso, que se llevará a cabo los días 22 y 29 de agosto de manera virtual, tiene como objetivo capacitar a las empresas en la protección de sus recursos digitales, abordando tanto los fundamentos de la ciberseguridad como estrategias avanzadas para fortalecer su seguridad. Ciberseguridad: Un reto crucial para las pymes Con un 28% de las pymes colombianas afectadas por ciberataques en el último año, según el Sondeo de Adopción Digital de Movistar Empresas, la necesidad de fortalecer las medidas de protección digital se ha vuelto más urgente que nunca. Este curso, titulado «Ciberseguridad para pymes: Protege tus recursos digitales», ofrecerá a las pymes las herramientas y conocimientos necesarios para enfrentar las amenazas cibernéticas actuales. Durante la primera sesión, los participantes aprenderán sobre las principales amenazas como malware, phishing y ransomware, así como sobre las buenas prácticas para proteger sus datos y dispositivos. Lea también: 5 Directrices estratégicas de ciberseguridad para 2024 En la segunda sesión, se profundizará en estrategias avanzadas de ciberseguridad, incluyendo el uso de autenticación de dos factores, la protección de redes Wi-Fi empresariales, y la gestión de contraseñas y accesos. Además, se discutirán técnicas para responder a incidentes de seguridad y promover una cultura de ciberseguridad dentro de las empresas. Apoyo a la transformación digital de las pymes Movistar Empresas, a través de su Academia de Innovación, refuerza su compromiso con la transformación digital de las pymes en Colombia, ofreciendo capacitación y recursos que les permitan enfrentar los desafíos tecnológicos actuales. Carolina Navarrete, Directora de Marketing B2B en Telefónica Hispanoamérica, destaca: “Es crucial que las empresas adquieran conocimientos en ciberseguridad y formen a sus equipos en las mejores prácticas para proteger eficazmente los activos digitales y enfrentar las amenazas cibernéticas”. Este curso es solo una de las muchas iniciativas que Movistar Empresas está desarrollando para apoyar a las pymes en su proceso de digitalización, garantizando su crecimiento sostenible y la seguridad de sus operaciones en un entorno cada vez más digitalizado. FUENTE: Actualidad. »Movistar Empresas lanza curso gratuito de ciberseguridad para pymes en Colombia» 24/08/2024. Revistaclevel.com. (https://revistaclevel.com/movistar-empresas-lanza-curso-gratuito-de-ciberseguridad-para-pymes-en-colombia).
Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos
Según la autoridad neerlandesa, Uber recopiló información sensible de conductores europeos, incluido licencias de taxi, datos de localización, fotos, detalles de pago, documentos de identidad, “y en algunos casos incluso datos penales y médicos”. La autoridad neerlandesa de protección de datos multó este lunes a Uber 324 millones de dólares por transferir a su sede en Estados Unidos los datos personales de conductores europeos sin la suficiente protección. Las transferencias son una “violación seria” del reglamento general de protección de datos de la Unión Europea (RGPD), afirmó el regulador neerlandés. “Uber no cumplió los requisitos del RGPD para garantizar el nivel de protección a los datos transferidos a Estados Unidos”, señaló en un comunicado el presidente del organismo, Aleid Wolfsen, considerando que “es muy grave”. Según la autoridad neerlandesa, Uber recopiló información sensible de conductores europeos, incluido licencias de taxi, datos de localización, fotos, detalles de pago, documentos de identidad, “y en algunos casos incluso datos penales y médicos”. Durante un periodo de dos años, la información se mandó a la sede de la compañía en Estados Unidos sin usar las herramientas adecuadas, criticó la agencia regulatoria. “La protección de los datos personales no era suficiente”, denunció. Quejas de conductores franceses En los últimos años, el bloque de 27 países europeos ha impuesto una serie de reglas para las grandes empresas tecnológicas. También ha infligido enormes multas por infracciones. La agencia neerlandesa empezó a investigar el caso después de que más de 170 conductores franceses se quejaran a un grupo de derechos humanos, que interpuso una queja a la agencia de protección de datos de Francia. Según el RGPD, una empresa que procesa datos en varios países de la UE debe tratar con la autoridad de protección de datos del lugar donde se encuentre su sede principal. La sede europea de Uber está en Países Bajos. “En Europa, el RGPD protege los derechos fundamentales de las personas, exigiendo a las empresas y a los gobiernos que manejen los datos personales con el debido cuidado”, dijo Wolfsen. “Pensemos en los gobiernos que pueden intervenir datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la UE”, prosiguió. La multa de Uber es la tercera que impone la autoridad regulatoria neerlandesa a la empresa. Las anteriores, en 2018 y 2023, fueron respectivamente de 600.000 euros y 10 millones de euros. La decisión judicial en Uruguay contra Uber La justicia de Uruguay obligó a la compañía estadounidense de servicios de transporte Uber a reconocer la relación laboral de dependencia con uno de sus choferes, algo que hasta ahora no había ocurrido en el país sudamericano. El Tribunal de Apelaciones de Trabajo de primer turno confirmó la sentencia de primera instancia a favor del conductor demandante emitida en marzo y dispuso que Uber lo afilie como “trabajador dependiente” ante el organismo de seguridad social uruguayo BPS. La sentencia condenó a Uber a contratar un seguro de accidentes de trabajo y enfermedades profesionales y regularizar toda la documentación laboral relativa a la condición de dependencia del chófer, así como pagarle las diferencias de salarios reclamadas. Aunque Uber “se presenta y define como una empresa de tecnología que sólo presta un servicio que permite el uso de una plataforma informática llamada ‘driver app’, la realidad que surge de la forma en que se ejecutó el contrato entre las partes pone en evidencia que la actividad de Uber no se limitó a unir oferta y demanda”, indica el tribunal. Lea también: SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia Según los magistrados, “existió un involucramiento en la etapa de ejecución del servicio de transporte y una injerencia y participación preponderante de Uber en la forma en que se prestó dicho servicio, siendo el actor en tanto conductor vinculado a ella, un engranaje en su organización con miras a cumplir el objetivo de la empresa”. El conductor en cuestión trabaja con la plataforma Uber desde 2015. El servicio de Uber, compañía con sede en Estados Unidos, está disponible en unos 70 países de América, Europa (excluyendo Rusia), Medio Oriente, África y Asia (excluyendo China y el Sudeste Asiático). La plataforma de transporte, creada en 2010, defiende con vigor el uso del estatuto de trabajador independiente, pero decisiones judiciales de varios países le obligaron a conceder el estatuto de empleado a sus conductores. FUENTE: Redacción Mundo. »Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos» 26/08/2024. Semana.com. https://www.semana.com/mundo/articulo/paises-bajos-impone-multimillonaria-multa-a-uber-por-incumplir-normas-sobre-proteccion-de-datos/202441/.
Toyota confirma el robo de datos financieros y personales de sus clientes
El gigante automovilístico Toyota se ha visto envuelto en un importante incidente de ciberseguridad consistente en el robo de datos que ha puesto en riesgo la privacidad de sus clientes. La compañía ha confirmado un incidente significativo tras la filtración de un archivo de 240 GB de información robada en un foro de ciberdelincuencia. ¿Qué datos fueron robados? El 25 de diciembre de 2022, los atacantes lograron acceder a un servidor de respaldo donde se almacenaban datos críticos de Toyota Financial Services (TFS). Este ataque, confirmado por la compañía a Bleeping Computer, compromete tanto datos financieros como personales, ha sido reivindicado por el grupo de ransomware Medusa. El archivo robado contenía información sobre empleados, clientes, contratos y detalles financieros de la compañía. TFS es la rama financiera de Toyota Motor Corporation, encargada de proporcionar servicios como préstamos para automóviles, leasing y soluciones de seguros a nivel mundial. Entre los datos comprometidos se encuentran nombres completos, direcciones de residencia, información de contacto, detalles de arrendamiento con opción de compra y números de cuenta bancaria internacional (IBAN). Esta información es altamente sensible, ya que puede ser utilizada para fraudes financieros y suplantación de identidad, lo que agrava la situación para los afectados. La amenaza del grupo de ransomware Medusa El 17 de noviembre de 2023, el grupo de ransomware Medusa reclamó la autoría del ataque a Toyota y exigió un rescate de 8 millones de dólares para no filtrar la información robada. Además, ofrecieron una extensión del plazo por un costo adicional de 10.000 dólares por día. Lea también: ¿Cuál fue el error de la firma de ciberseguridad CrowdStrike que provocó la falla global de Microsoft? El grupo Medusa estableció el 26 de noviembre como fecha límite para el pago del rescate, y como prueba de su ataque, publicaron una muestra de los datos robados. Entre los documentos filtrados se encuentran documentos financieros, facturas, contraseñas cifradas, escaneos de pasaportes y más. Los documentos en alemán sugieren que gran parte de la información fue extraída de sistemas de la oficina de Toyota en Alemania. La vulnerabilidad de Citrix Bleed: el vector de ataque El experto en ciberseguridad Kevin Beaumont fue uno de los primeros en descubrir que la oficina de Toyota en Alemania tenía un Citrix Gateway vulnerable expuesto en línea. Los ciberdelincuentes probablemente aprovecharon la vulnerabilidad conocida como Citrix Bleed para obtener acceso inicial a la red de la empresa. Este tipo de vulnerabilidad en las infraestructuras digitales expone a las organizaciones a riesgos significativos, especialmente cuando se trata de grandes corporaciones con datos valiosos y sensibles. Citrix Bleed es una vulnerabilidad conocida que afecta a las puertas de enlace Citrix ADC, utilizadas comúnmente por grandes organizaciones para permitir el acceso remoto a sus redes. La explotación de esta vulnerabilidad permitió a los atacantes infiltrarse en los sistemas de Toyota y robar los datos críticos que posteriormente fueron utilizados para extorsionar a la compañía. La respuesta de Toyota Toyota ha intentado restar importancia al incidente, afirmando que la brecha de seguridad tiene un «alcance limitado» y que no afecta a todo su sistema. La compañía ha notificado a las personas afectadas y se ha comprometido a proporcionar asistencia si es necesario. Sin embargo, Toyota no ha ofrecido detalles técnicos sobre el ataque ni ha revelado cuántos clientes o empleados se vieron afectados. En un comunicado, Toyota declaró: «Somos conscientes de la situación. El problema es de alcance limitado y no afecta a todo el sistema. Estamos comprometidos con aquellos que se han visto afectados y proporcionaremos asistencia si es necesario». A pesar de estas declaraciones, la gravedad del incidente y la cantidad de datos filtrados han generado preocupación entre los expertos en ciberseguridad y los clientes. Toyota ha aconsejado a los clientes afectados que estén atentos a cualquier actividad sospechosa en sus cuentas y que informen de inmediato cualquier irregularidad a sus bancos. Además, la compañía ha ofrecido servicios de protección contra el robo de identidad a las personas afectadas, lo que incluye la monitorización de crédito y el acceso a asistencia legal en caso de fraude. FUENTE: Domínguez, MLuz. »Toyota confirma el robo de datos financieros y personales de sus clientes» 20/08/2024. Bitlifemedia.com. (https://bitlifemedia.com/2024/08/toyota-confirma-el-robo-de-datos-financieros-y-personales-de-sus-clientes/).
SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia
Worldcoin Foundation, una organización sin fines de lucro, ha ganado notoriedad recientemente debido a su ambicioso proyecto de crear una infraestructura digital que pretende revolucionar la economía global. Su misión principal es establecer un sistema que permita a todas las personas, sin importar su ubicación geográfica o situación económica, verificar su identidad de manera única y segura. Para lograr esto, la fundación utiliza un innovador proceso de verificación biométrica, en el cual se escanea el iris de las personas para generar una identificación digital única. Es importante destacar que esta identificación no está vinculada a ninguna información personal sensible y no puede ser transferida a terceros. En línea con su objetivo de fomentar la inclusión financiera, la organización ha desarrollado una criptomoneda llamada WLD. Esta moneda digital se distribuye de manera gratuita a las personas que se registran en su plataforma. Según la fundación, WLD busca ser una herramienta que facilite la inclusión financiera y que aporte un valor adicional a la economía global. Podría interesarle: Número de cédula no está sujeta a reserva, dice la Corte Constitucional No obstante, el proyecto ha generado preocupaciones, especialmente en lo que respecta a la protección de datos personales. En este contexto, la Superintendencia de Industria y Comercio (SIC) de Colombia, como autoridad encargada de la protección de datos personales, ha formulado un pliego de cargos contra Worldcoin Foundation y Tools for Humanity Corporation. Estas acciones se deben a posibles infracciones al régimen de protección de datos personales en Colombia. La SIC está investigando si las organizaciones mencionadas han violado la legislación colombiana en la recolección y tratamiento de datos personales sensibles. Las acusaciones incluyen fallos en la implementación de políticas de tratamiento de datos, falta de autorización previa y clara de los usuarios, y posibles deficiencias en la implementación de políticas de seguridad y manuales internos de procedimientos. La SIC está investigando si las organizaciones mencionadas han violado la legislación colombiana en la recolección y tratamiento de datos personales sensibles. Las acusaciones incluyen fallos en la implementación de políticas de tratamiento de datos, falta de autorización previa y clara de los usuarios, y posibles deficiencias en la implementación de políticas de seguridad y manuales internos de procedimientos. La decisión se encuentra actualmente en trámite de notificación y, una vez sea conocida por las partes involucradas, se hará efectiva sin posibilidad de apelación. FUENTE: Villamil, Mauricio. »SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia» 20/08/2024. Infobae.com. (https://www.infobae.com/colombia/2024/08/21/sic-investiga-a-worldcoin-foundation-por-posibles-infracciones-en-proteccion-de-datos-personales-en-colom
Número de cédula no está sujeta a reserva, dice la Corte Constitucional
La Sala Sexta de Revisión de la Corte Constitucional revocó los fallos revisados y amparó los derechos de acceso a la información pública y de petición únicamente en relación con la solicitud del número de cédula de un exdocente que los padres de una estudiante pidieron al colegio donde aquel trabajaba, y que este se negó a entregar con el argumento de que se trataba de información protegida por las leyes de habeas data y protección de datos personales. Los padres también habían solicitado que les fueran informadas: la dirección de residencia, el número de línea celular, el correo electrónico y la información del colegio donde actualmente labora el profesor. «La Sala encontró, por un lado, que la dirección de residencia, el número de la línea celular, el correo electrónico y el lugar donde actualmente trabaja el profesor son datos semiprivados no sensibles, para cuyo acceso se requiere autorización previa otorgada por el titular en los términos del artículo 9 de la Ley 1581 de 2012. Respecto de ellos, la negativa del colegio estuvo adecuadamente sustentada», aseguró la Corte. Podría interesarle: Ley 1581: La SIC de Colombia introduce la figura del Oficial de Protección de Datos Personales Sin embargo, el número de la cédula no entra en esa categoría porque «es un dato público que consta en documento público y no requiere de autorización del titular para ser divulgado, con independencia de que obre en una hoja de vida». En consecuencia, «la negativa del colegio de dar a los peticionarios el número de la cédula del exdocente desconoció el derecho de acceso a la información pública que está en obligación de garantizar. En efecto, por ser una persona jurídica que presta el servicio público de educación, tiene la categoría de sujeto obligado con respecto a la información relacionada directamente con el servicio que presta según el literal c) del artículo 5 de dicha Ley». Por otro lado, la Sala encontró que el colegio también vulneró el derecho de petición porque cuando se pide acceder a información pública, la respuesta que niega el acceso debe tener un sustento normativo suficiente con base en alguna causal establecida en la ley. En este caso, el colegio se negó a entregar la información solicitada al considerarla reservada por reposar en la hoja de vida del exdocente, desconociendo con ello el contenido del inciso tercero del artículo 32 de la Ley 1437 de 2011 que establece: “Las organizaciones privadas solo podrán invocar la reserva de la información solicitada en los casos expresamente establecidos en la Constitución Política y la ley”. FUENTE: Zona Cero. »Número de cédula no está sujeta a reserva, dice la Corte Constitucional» 09/08/2024. Zonacero.com. (https://zonacero.com/generales/numero-de-cedula-no-esta-sujeta-reserva-dice-la-corte-constitucional).