La Unión Europea prohíbe a Meta el uso de datos personales para publicidad
La Unión Europea a través del Comité Europeo de Protección de Datos o CEPD ja prohibido a Meta el uso de datos personales para fines publicitarios. Nuevo golpe contra Meta (Facebook) en la Unión Europea contra el rastreo de información personal de los usuarios. El Comité Europeo de Protección de Datos o CEPD ha prohibido a la red social de Mark Zuckerberg utilizar los datos personales de los usuarios para fines publicitarios. Incluso le ha impuesto una multa por 390 millones de euros. La medida del CEPD es vinculante y de urgencia, ya que Meta no cuenta con una “base jurídica adecuada” para explotar los datos de los usuarios con el propósito de realizar publicidad comportamental. Incluso viola al Reglamento General de Protección de Datos o RGPD. Desde el regulador lamentan la falta de cumplimiento de las normas por parte de Meta que se suma a la prohibición temporal por parte de Noruega con una multa diaria de casi 89.000 euros. Ante este escenario, Meta lanzó una suscripción de pago en sus principales plataformas obligando a los usuarios a pagar 12.99 euros al mes para evitar que sus datos sean rastreados. Algo que fue criticado por la UE y llevado a tribunales por violar leyes de privacidad. Pero el rastreo de datos no es el único problema al que se enfrenta Meta, también está en el ojo del huracán por prácticas desleales y engañosas. ¿Qué dicen los analistas? Según Tipranks, Meta cuenta con la revisión de 38 analistas divididas en 37 compras y 1 mantener. El precio objetivo promedio es de 387.71 dólares con un pronóstico alto de 435 dólares y un pronóstico bajo de 345 dólares. El precio objetivo promedio representa un cambio del 19,19% con respecto al cierre del lunes. Meta (Facebook) cerraba la sesión del lunes a la baja en los 324.98 dólares. La media móvil de 70 periodos se encuentra debajo de las últimas velas, RSI a la baja en los 49 puntos y las líneas del MACD se mantienen sobre el nivel de cero. Lea también: Google crea el ordenador más infectado con malware: este es el motivo La resistencia a largo plazo se encuentra en los 352.69 dólares. Mientras, los indicadores de Ei se muestran mixtos. FUENTE: Redacción/Estrategias de Inversión. »La Unión Europea prohíbe a Meta el uso de datos personales para publicidad» Estrategiasdeinversion.com. 12/12/2023. (https://www.estrategiasdeinversion.com/actualidad/noticias/bolsa-eeuu/la-union-europea-prohibe-a-meta-el-uso-de-datos-n-670797).
Endesa: multa histórica de 6.100.000 euros por violación grave de protección de datos
La Agencia Española de Protección de Datos (AEPD) ha impuesto su segunda sanción más alta, y en esta ocasión, la compañía que se lleva el premio es Endesa, con una multa asombrosa de 6.100.000 euros. Esta sanción surge como resultado de una grave vulneración de la protección de datos que ha expuesto información sensible de millones de clientes. Según el informe de la AEPD, los datos personales de 4,8 millones de clientes de electricidad y 1,2 millones de gas de Endesa estuvieron expuestos a terceros no autorizados. Lea también: Protección de datos personales: ¿quiénes se preocupan más por su privacidad? Además, se identificó la posibilidad de acceder a datos técnicos de 30,6 millones de puntos de suministro eléctrico y 8,6 millones de gas, incluyendo información confidencial como nombres, apellidos, DNI, teléfonos, correos electrónicos, direcciones postales, números de cuenta bancaria, CUPS (punto de suministro), consumo, facturación y deudas. El informe detalla que Endesa descubrió esta vulnerabilidad en agosto de 2021, relacionada con la publicación de claves de acceso en Facebook para su plataforma Sales Folder. Sin embargo, la empresa no tomó las medidas adecuadas de inmediato ni notificó a las autoridades competentes, lo que agrava aún más la situación. Así se desglosa la sanción contra Endesa La sanción impuesta por la AEPD se desglosa en varias infracciones del Reglamento General de Protección de Datos (RGPD): Infracción del artículo 5.1.f) del RGPD: Multa de 2.500.000 euros. Vulneración del artículo 32 del RGPD: Multa de 1.500.000 euros. Incumplimiento del artículo 33 del RGPD: Multa de 800.000 euros. También, la infracción del artículo 34 del RGPD: Multa de 800.000 euros. Por último, la vulneración del artículo 44 del RGPD: Multa de 500.000 euros. Este caso subraya la importancia crítica de garantizar la seguridad y la protección de los datos personales, así como la urgencia de contar con asesoramiento legal especializado en materia de protección de datos para prevenir consecuencias adversas. FUENTE: Herrera, Felipe. »Opinión | Endesa: multa histórica de 6.100.000 euros por violación grave de protección de datos» Confilegal.com. 08/12/2023. (https://confilegal.com/20231208-opinion-endesa-multa-historica-de-6-100-000-euros-por-violacion-grave-de-proteccion-de-datos/).
ChatGpt genera datos de ensayos clínicos falsos para respaldar hipótesis científicas
Un grupo de investigadores del departamento de Oftalmología de la Universidad Magna Graecia de Catanzaro (Italia) ha utilizado la tecnología que hay detrás de ChatGPT de inteligencia artificial (IA) para crear un conjunto de datos de ensayos clínicos falsos y respaldar una afirmación científica no verificada, advirtiendo del peligro que puede suponer esta tecnología para la ciencia, según revela una carta publicada en ‘Jama Ophtalmogoly’ y recogida por la revista ‘Nature‘. Los datos generados por la inteligencia artificial (IA) compararon los resultados de dos procedimientos quirúrgicos e indicaron, erróneamente, que un tratamiento es mejor que el otro. Para ello, los autores utilizaron GPT-4, la última versión del modelo de lenguaje en el que se ejecuta ChatGPT, junto con el Análisis de datos avanzado (ADA), un modelo que incorpora el lenguaje de programación Python y puede realizar análisis estadísticos y crear visualizaciones de datos. «Nuestro objetivo era resaltar que, en unos minutos, se puede crear un conjunto de datos que no está respaldado por datos originales reales, y que también es opuesto o en la dirección contraria a la evidencia disponible», dice el coautor del estudio y cirujano ocular de la Universidad de Cagliari en Italia, Giuseppe Giannaccare, en ‘Nature’. Preocupa la capacidad de ChatGPT de generar datos convicentes y reales, según estudio Tras este hallazgo, la capacidad de la IA para fabricar datos convincentes aumenta la preocupación entre los investigadores y editores de revistas sobre la integridad de la investigación. «Una cosa era que la IA generativa pudiera usarse para generar textos que no serían detectables mediante software de plagio, pero la capacidad de crear conjuntos de datos falsos pero realistas es el siguiente nivel de preocupación», apunta la microbióloga e investigadora independiente, Elisabeth Bik. Así, Bik asegura que esta tecnología «hará que sea muy fácil para cualquier investigador o grupo de investigadores crear mediciones falsas en pacientes inexistentes, respuestas falsas a cuestionarios o generar un gran conjunto de datos sobre experimentos con animales». Lea también: Ciberataques con IA, una de las grandes amenazas financieras para 2024 Los autores describen los resultados como una «base de datos aparentemente auténtica» pero, cuando los especialistas examinaron estos datos, no pasaron los controles de autenticidad y contenían signos reveladores de haber sido inventados. El método de investigación que llevó a estos resultados Para llegar a esta conclusión, los investigadores pidieron a GPT-4 ADA que creara un conjunto de datos sobre personas con una afección ocular llamada queratocono, que causa adelgazamiento de la córnea y puede provocar problemas de concentración y mala visión. Para entre el 15 y el 20 por ciento de las personas con la enfermedad, el tratamiento implica un trasplante de córnea, realizado mediante uno de estos dos procedimientos. El primer método, la queratoplastia penetrante (PK), consiste en extirpar quirúrgicamente todas las capas dañadas de la córnea y reemplazarlas con tejido sano de un donante. El segundo procedimiento, queratoplastia lamelar anterior profunda (DALK), reemplaza solo la capa frontal de la córnea, dejando intacta la capa más interna. Los autores ordenaron a ChatGpt que fabricara datos para respaldar la conclusión de que el método DALK produce mejores resultados que PK. Para ello, le pidieron que mostrara una diferencia estadística en una prueba de imagen que evalúa la forma de la córnea y detecta irregularidades, así como una diferencia de cómo podían ver los participantes del ensayo antes y después de los procedimientos. Los datos generados por la IA incluyeron a 160 participantes masculinos y 140 femeninos e indicaron que aquellos que se sometieron a DALK obtuvieron mejores puntuaciones tanto en la prueba de visión como en la prueba de imágenes que aquellos que se sometieron a PK, un hallazgo que contradice lo que muestran los ensayos clínicos actuales. En un informe de 2010 de un ensayo con 77 participantes, los resultados de DALK fueron similares a los de PK hasta dos años después de la cirugía. ¿Cómo reconocer el origen no humano de los datos? Aparentemente los datos científicos parecen estar generados por humanos y no por una inteligencia artificial, pero los investigadores aseguran que haciendo un examen minucioso sí que es posible diferenciar el origen no humano de dichos datos. «Si se mira muy rápidamente el conjunto de datos, es difícil reconocer el origen no humano de la fuente de datos», apunta el cirujano Giuseppe Giannaccare. A petición de la revista ‘Nature’, los investigadores evaluaron el conjunto de datos falsos mediante un protocolo de detección diseñado para comprobar su autenticidad. Esto reveló una discrepancia en muchos «participantes» entre el sexo designado y el sexo que normalmente se esperaría de su nombre. Además, no se encontró correlación entre las medidas preoperatorias y postoperatorias de la capacidad visual y la prueba de imágenes oculares. Asimismo, se inspeccionó la distribución de números en algunas de las columnas del conjunto de datos para comprobar si había patrones no aleatorios. Los valores de las imágenes oculares pasaron esta prueba, pero algunos de los valores de edad de los participantes se agruparon de una manera que sería extremadamente inusual en un conjunto de datos genuino ya que hubo un número desproporcionado de participantes cuyos valores de edad terminaron en siete y ocho. FUENTE: Europa Press. »ChatGpt genera datos de ensayos clínicos falsos para respaldar hipótesis científicas» Lanacion.com.ar. 07/12/2023. (https://www.lanacion.com.ar/agencias/chatgpt-genera-datos-de-ensayos-clinicos-falsos-para-respaldar-hipotesis-cientificas-nid07122023/).
83 medios españoles demandan a Meta por incumplimiento de la protección de datos y competencia desleal
La Asociación de Medios de Información (AMI) ha dado a conocer que, en representación de 83 medios de información españoles, ha presentado una demanda contra Meta – titular de Facebook, WhatsApp e Instagram- por el incumplimiento masivo y sistemático de la normativa europea de protección de datos en el periodo comprendido entre el 25 de mayo de 2018 y el 31 de julio de 2023. Lea también: Google avisa a España de que tiene «un problema gordo» de ciberseguridad “Meta ha incumplido de forma reiterada la legislación comunitaria de protección de datos, ignorando el requerimiento normativo de que los ciudadanos deben consentir la utilización de sus datos para el perfilado de publicidad, según se desprende de las diferentes resoluciones de las autoridades europeas competentes en esta materia”, explican desde AMI en un comunicado en el que detallan que reclaman a la firma 550 millones de euros. En un comunicado, detallan haber reclamado 550 millones de euros a Meta Según detallan, los medios representados apuntan en su demanda que el comportamiento de la tecnológica supone que el 100% de sus ingresos derivados de la venta de publicidad segmentada han sido obtenidos de forma ilegítima. “La utilización sistemática y masiva de datos personales de los usuarios de las plataformas de Meta, rastreados sin su consentimiento en toda su navegación digital, habrían permitido a la compañía americana ofrecer en el mercado la venta de espacios publicitarios a partir de una ventaja competitiva ilegítimamente obtenida”, señalan desde la asociación. AMI destaca la importancia de esta acción, que considera sin precedentes, puesto que pone en evidencia cómo la compañía ha construido su posición de dominio en el mercado de la publicidad “despreciando” un marco regulatorio concebido para garantizar la privacidad e intimidad de los ciudadanos. Apunta, además, que esta práctica ha generado un perjuicio evidente para los medios de información españoles, llegando, incluso, a comprometer su sostenibilidad, la cual es fundamental para la calidad democrática del país. Aprovechando la ocasión, la asociación ha resaltado que, según los últimos datos del Ministerio de Economía, los medios de información suponen el segundo sector más digitalizado de la economía española, solo por detrás de las compañías tecnológicas. AMI considera que esta posición es fruto de la innovación constante y los esfuerzos inversores, y a pesar de que el dominio del ecosistema digital por parte de las grandes plataformas les “impide obtener una justa monetización”. El despacho de abogados dirigido por el catedrático de Derecho Procesal Nicolás González-Cuéllar será el encargado de dirigir la acción judicial. FUENTE: Redacción. »83 medios españoles demandan a Meta por incumplimiento de la protección de datos y competencia desleal» Reasonwhy.es. 04/12/2023. (https://www.reasonwhy.es/actualidad/medios-informacion-ami-demanda-meta-incumplimiento-proteccion-datos).
Ataques de hackers afines a Irán afectan varios estados de EEUU
Una pequeña empresa de suministro de agua del oeste de Pensilvania fue sólo una de las múltiples organizaciones que sufrieron ataques en Estados Unidos por parte de piratas informáticos afiliados a Irán, que atacaron un dispositivo de control industrial específico porque es de fabricación israelí, señalaron autoridades estadounidenses e israelíes. “Las víctimas abarcan varios estados de Estados Unidos”, informaron el FBI, la Agencia de Protección Ambiental de Estados Unidos, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras, conocida como CISA, y la Dirección Cibernética Nacional de Israel por medio de un comunicado enviado por correo electrónico a The Associated Press la noche del viernes. No indicaron cuántas organizaciones fueron hackeadas ni las describieron de otro modo. Matthew Mottes, presidente de la Autoridad Municipal de Aguas de Aliquippa, que descubrió que había sido víctima de hackers el 25 de noviembre, declaró el jueves que las autoridades federales le habían informado que el mismo grupo también había hackeado otros cuatro servicios públicos y un acuario. Expertos en ciberseguridad afirman que, aunque no hay pruebas de la implicación iraní en el ataque del 7 de octubre contra Israel por parte de Hamás que desencadenó la guerra en Gaza, preveían que los hackers iraníes respaldados por el estado y activistas informáticos propalestinos intensificaran los ciberataques contra Israel y sus aliados tras el atentado. Y así ha sido. Distintos sectores, implicados en el ataque de los hackers afines a Irán El aviso multiinstitucional explicaba lo que la CISA no había hecho al confirmar el hackeo de Pensilvania el miércoles —que otras industrias, aparte de las instalaciones de agua y tratamiento de aguas, utilizan el mismo equipo: Los controladores lógicos programables de la serie Vision fabricados por Unitronics— y también eran potencialmente vulnerables. Entre esos sectores se encuentran “la energía, la fabricación de alimentos y bebidas y la atención sanitaria”, según el aviso. Los dispositivos regulan procesos como la presión, la temperatura y el flujo de fluidos. Lea también: EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño» El hackeo sufrido por Aliquippa obligó a los trabajadores a interrumpir temporalmente el bombeo en una estación remota que regula la presión del agua para dos pueblos cercanos, lo generó que cuadrillas de trabajadores cambiaran al funcionamiento manual. Los hackers dejaron una tarjeta de visita digital en el dispositivo comprometido diciendo que todos los equipos de fabricación israelí son “un objetivo legítimo”. FUENTE: Bajak, Frank; Levy, Marc. »Ataques de hackers afines a Irán afectan varios estados de EEUU» Santamariatimes.com. 02/12/2023. (https://santamariatimes.com/espanol/noticias/nacional/ataques-de-hackers-afines-a-ir-n-afectan-varios-estados-de-eeuu/article_2277d548-edb9-564c-bfa1-6c53f4fd5347.html).
Google Abre En España Su Mayor Centro Europeo De Ciberseguridad
Google inauguró este miércoles en Málaga, en el sur de España, su mayor centro europeo de ciberseguridad, para desarrollar herramientas de lucha contra las ciberamenazas en colaboración con instituciones y empresas europeas, anunció el grupo estadounidense. En un contexto de fuerte aumento de los ciberataques en todo el mundo, este es el tercer centro de ciberseguridad que abre Google en Europa, después de los de Múnich, especializado en privacidad, y de Dublín, dedicado a los contenidos. Lea también: Samsung y la Universidad de Málaga lanzan un nuevo curso de ciberseguridad online gratis: así es como puedes inscribirte «Los ciberataques en el mundo aumentaron un 38% en 2022, los piratas informáticos son cada vez más agresivos y también intentan desestabilizar la democracia. Por eso debemos trabajar juntos a nivel internacional», dijo a periodistas Kent Walker, responsable de Asuntos Globales de Google. «La UE estima que cada día se detectan 230.000 nuevas infecciones de programas malignos», apuntó Dita Charanzova, vicepresidenta del Parlamento Europeo, en un mensaje de video. Google busca convertir a Málaga en un referente global en ciberseguridad «No tenemos ninguna duda de que las próximas elecciones europeas», en junio de 2024, «serán blanco de desinformación e injerencias», dijo. Google busca convertir el centro de Málaga en «un referente en ciberseguridad mundial», gracias a la colaboración público-privada entre instituciones, empresas, universidades y gobiernos europeos. En particular, analizará amenazas, principalmente aquellas que puedan estar apoyadas por Estados, compartirá consignas sobre buenas prácticas y desarrollará la capacitación. Objetivo frecuente de piratas informáticos, el gigante estadounidense anunció en 2021 que invertiría 10.000 millones de dólares en cinco años para reforzar la ciberseguridad de las infraestructuras mundiales. La empresa amplió sus equipos internos, incluso reclutando a varias docenas de «hackers éticos», y realizó varias adquisiciones. En 2012 compró la empresa emergente española VirusTotal, con sede en Málaga, que hoy cuenta con una de las bases de datos de programas malignos más grandes del mundo. FUENTE: Agence France Presse. »Google Abre En España Su Mayor Centro Europeo De Ciberseguridad» Barrons.com. 29/11/2023. (https://www.barrons.com/articles/google-abre-en-espana-su-mayor-centro-europeo-de-ciberseguridad-bb326a81).
50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento
La Agencia Española de Protección de Datos ha impuesto una sanción de 50.000 euros a la compañía eléctrica Iberia, por realizar dos contrataciones con un usuario sin que este tuviese conocimiento ni, por supuesto, diese su consentimiento. Concretamente, la Administración entiende que ha existido una vulneración del Reglamento General de Protección de Datos en lo relativo a la legitimidad de tratamiento. La empresa realizó indebidamente dos contratos con los datos de una persona con la que había suscrito un contrato consentido. “De las actuaciones se desprende que únicamente de la segunda contratación existe acreditado el consentimiento por la parte reclamante. No consta acreditado consentimiento alguno en las otras dos contrataciones”, se lee en el expediente. En virtud de las contrataciones fraudulentas se realizaron diversos cargos a la cuenta bancaria de la parte reclamante. Según la mercantil, se trató de un error. El error radicaba en el traspaso de los datos por parte de una tercera empresa, a la que Suministradora Ibérica de Energía había subcontratado la contratación de clientes y que tenía la condición de encargado del tratamiento, mientras que la compañía principal es la responsable del tratamiento de los datos personales que se deriven de esa contratación. Por contrato, la tercera empresa debía facilitar la grabación íntegra de la conversación mantenida con el cliente en la que este consentía el tratamiento de sus datos personales. Sin embargo, en este caso nadie pudo aportar dichas grabaciones que debían haber sido comprobadas antes de proceder al contrato. “La propia parte reclamada ha reconocido en diversas ocasiones que ambas contrataciones se activaron por error, debido a que la prestadora de servicios remitió los datos del reclamante erróneamente”. ¿Por qué la AEPD multó a la compañía eléctrica? La actuación de la compañía eléctrica vulneró el artículo 6 del Reglamento de Protección de Datos, no existiendo ninguna causa que legitimase el tratamiento. “En este sentido, debe tenerse en cuenta que, en virtud del principio de responsabilidad proactiva previsto en el artículo 5.2 del RGPD, incumbe al responsable la carga de la prueba de que el tratamiento de los datos personales de la parte reclamante que efectuó estaba amparado en alguna de las circunstancias de licitud previstas en el artículo 6.1 del RGPD. En el caso que nos ocupa, de la instrucción del presente procedimiento se desprende que el tratamiento de los datos personales de la parte reclamada realizado por SIE, no estaba legitimado por ninguna de las causas enunciadas en el citado artículo 6.1 del RGPD.» Lea también: La AEPD fija los criterios de uso de sistemas biométricos Como circunstancias agravantes se recoge que la parte reclamada ha sido sancionada anteriormente por la AEPD por hechos similares a estos y la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos. Además de la sanción, la empresa tiene tres meses a partir de esta resolución para acreditar que ha puesto las medidas oportunas para que no vuelva a suceder una situación como esta. FUENTE: Montes, Pablo. »50.000 euros de sanción a una compañía eléctrica por dar de alta y facturar a un usuario sin su consentimiento» Economistjurist.com. 27/11/2023. (https://www.economistjurist.es/actualidad-juridica/50-000-euros-de-sancion-a-una-compania-electrica-por-dar-de-alta-y-facturar-a-un-usuario-sin-su-consentimiento/).
Hacia el futuro digital de Europa: implicaciones en privacidad y protección de datos de la nueva Ley de Datos o “Data act”
Los datos son un componente fundamental de la economía digital y un recurso esencial para garantizar las transiciones ecológica y digital. En los últimos años, el volumen de datos generados por los seres humanos y las máquinas ha aumentado exponencialmente. Sin embargo, la mayoría de los datos no se utilizan, o su valor se concentra en manos de pocas grandes empresas. Regular el acceso y el uso de los datos es un requisito previo fundamental para aprovechar las oportunidades que ofrece la era digital en la que vivimos. En este sentido, dentro de la estrategia de datos impulsada por la Unión Europea[i], la Ley de Datos o “Data Act” es un pilar clave, pues, en palabras del Parlamento Europeo, “contribuye a la creación de un marco de gobernanza intersectorial para el acceso a los datos y su utilización al legislar sobre cuestiones que afectan a las relaciones entre los agentes de la economía de los datos, con el fin de ofrecer incentivos para el intercambio horizontal de datos entre sectores”. Podría interesarle: La AEPD fija los criterios de uso de sistemas biométricos Esta legislación fue propuesta por primera vez por la Comisión Europea en febrero de 2022 y, en síntesis, tiene como objetivo regular el uso y acceso a los datos generados a través de dispositivos conectados (Internet of things, IoT), por ejemplo, los teléfonos inteligentes, y también impone requisitos generales a los proveedores de computación en la nube con el fin de facilitar el cambio entre proveedores. Según esta norma, a los usuarios individuales y empresariales de dispositivos conectados se les concederá derechos mejorados para acceder y transferir a un tercero los datos que se han generado a través del uso del dispositivo conectado. Los dispositivos deben estar configurados para facilitar el ejercicio de estos derechos en torno a los datos Para dar cabida a estos nuevos derechos, los fabricantes de dispositivos conectados deben garantizar que los dispositivos y los servicios relacionados estén diseñados para facilitar el ejercicio de estos derechos. Además, en reconocimiento de la importancia de los datos para la formulación de políticas y otros fines de interés público, la Data Act exige, en ciertos casos, el intercambio de datos del sector privado con organismos e instituciones del sector público en la UE, por ejemplo, cuando existe una necesidad excepcional (por ejemplo, una emergencia de salud pública) o para investigación. Pero, a diferencia de las leyes de protección de datos de la UE, la Ley de Datos se refiere tanto a datos personales como a datos no personales, por lo que a lo largo del texto propuesto encontramos múltiples referencias al Reglamento General Europeo de Protección de datos 2016/679 y cómo este se armoniza en la práctica con la nueva Ley de datos o Data Act. Considerandos El Considerando 7, por ejemplo, destaca que “ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la intimidad y la confidencialidad de las comunicaciones”. Esto tiene una consecuencia importante, ya que, en el caso de conjuntos de datos mixtos que comprenden tanto datos personales como no personales, el RGPD será plenamente aplicable. El Considerando 8 hace referencia a los principios de minimización y protección de datos desde el diseño y por defecto, y la necesidad de aplicar medidas técnicas y organizativas como la seudonimización y el cifrado para tratar de obtener información valiosa sin que sea necesaria la transmisión entre las partes ni la copia superflua de los datos brutos o estructurados. O el Considerando 23, que hace distinción entre las obligaciones de información sobre cómo acceder a los datos generados y su distinción con las obligaciones de información que imponen los artículos 13 y 14 del RGPD. Lea también: EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño» Sin embargo, aplicar estos nuevos términos definidos en la norma a los términos del RGPD no es sencillo. Por ejemplo, de acuerdo con la Ley de datos, el “titular de los datos” es una persona física o jurídica que tiene el derecho o la obligación de poner a disposición determinados datos, o que, en el caso de los datos no personales y a través del control del diseño técnico del producto o servicios relacionados, tiene la capacidad de poner a disposición determinados datos, concepto que difiere, en esencia, del concepto de interesado o “titular” definido en el RGPD. Y los usuarios, por otro lado, se definen como entidades que poseen o tienen derechos contractuales temporales sobre un producto conectado o que reciben servicios relacionados. La Ley establece disposiciones para los usuarios, sean interesados o no. En los casos en que los usuarios no tienen la condición de interesados, de acuerdo con el RGPD, el intercambio entre los titulares de datos y estos usuarios requeriría una base legal válida del RGPD para poder llevar cabo dicha comunicación. Esto también plantea problemas prácticos a la hora de definir correctamente las figuras que intervienen en el tratamiento, considerando quién determina efectivamente los fines y los medios del tratamiento. Buenas prácticas en la gestión de los datos En este sentido, el Considerando 24 establece que en la medida en que se traten datos personales, el titular de datos debe ser responsable del tratamiento con arreglo al RGPD, pero en algunos casos, los “titulares” y “usuarios” de los datos pueden actuar conjuntamente como responsables del tratamiento, y también tendrían esta condición los terceros que reciben los datos para sus propios fines. Por otro lado, tanto el RGPD como la Ley de Datos incluyen obligaciones sobre la portabilidad de los datos. La Ley de Datos sigue la estructura básica del RGPD e incluye tanto la obligación de los titulares de datos de ponerlos a disposición de los usuarios en un formato de uso común y legible por máquina, como la opción de compartir datos con un tercero a petición del interesado. La Ley de Datos también exige que los diseñadores de productos conectados implementen buenas prácticas de gestión
EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño»
Las directrices sugieren prácticas de ciberseguridad que las empresas de IA deben aplicar a la hora de diseñar, desarrollar, lanzar y supervisar modelos de IA. Estados Unidos, Reino Unido, Australia y otros 15 países han publicado directrices globales para ayudar a proteger los modelos de inteligencia artificial (IA) contra manipulaciones, instando a las empresas a hacer que sus modelos sean “seguros por diseño”. El 26 de noviembre, los 18 países publicaron un documento de 20 páginas que describe cómo las empresas de IA deben manejar la ciberseguridad al desarrollar o utilizar modelos de IA, ya que afirmaron que “la seguridad a menudo puede ser una consideración secundaria” en la industria de ritmo rápido. Lea también: Pilares, tendencias y panorama de la ciberseguridad en 2024 según Check Point Las directrices consistieron principalmente en recomendaciones generales, como mantener un estricto control sobre la infraestructura del modelo de IA, monitorear cualquier manipulación con los modelos antes y después de su lanzamiento y capacitar al personal en los riesgos de ciberseguridad. Directrices con espacio para mejora No se mencionaron ciertos problemas controvertidos en el espacio de la inteligencia artificial, incluyendo posibles controles sobre el uso de modelos generadores de imágenes y deep fakes o métodos de recopilación de datos y su uso en la capacitación de modelos, un problema que ha llevado a que varias empresas de IA sean demandadas por reclamaciones de infracción de derechos de autor. “Estamos en un punto de inflexión en el desarrollo de la inteligencia artificial, que bien podría ser la tecnología más trascendental de nuestro tiempo”, dijo Alejandro Mayorkas, Secretario de Seguridad Nacional de Estados Unidos, en un comunicado. “La ciberseguridad es clave para construir sistemas de IA que sean seguros, sólidos y confiables.” Las directrices siguen a otras iniciativas gubernamentales que se pronuncian sobre la IA, incluida la reunión de gobiernos y empresas de IA en un Encuentro sobre Seguridad en AI en Londres a principios de este mes para coordinar un acuerdo sobre el desarrollo de la AI. Mientras tanto, la Unión Europea está ultimando detalles de su Ley de Inteligencia Artificial que supervisará el espacio y el presidente de los Estados Unidos, Joe Biden, emitió una orden ejecutiva en octubre que establece estándares para la seguridad y la ciberseguridad de la IA, aunque ambos han enfrentado resistencia de la industria de la Inteligencia Artificial que afirma que podrían frenar la innovación. Otros firmantes de las nuevas directrices «seguras por diseño» incluyen a Canadá, Francia, Alemania, Israel, Italia, Japón, Nueva Zelanda, Nigeria, Noruega, Corea del Sur y Singapur. Empresas de IA, como OpenAI, Microsoft, Google, Anthropic y Scale AI, también contribuyeron al desarrollo de las directrices. FUENTE: Coghlan, Jesse. »EE.UU., Gran Bretaña y otros países elaboran directrices sobre IA «seguras por diseño» Es.cointelegraph.com. 27/11/2023. (https://es.cointelegraph.com/news/us-britain-countries-ink-ai-cybersecurity-guidelines-secure-by-design).
