Protección de Datos: Van más de 4.000 quejas por violación de datos personales «Superindustria»
En 2018 se impusieron multas por 5.600 millones de pesos a 71 empresas por violar los datos personales de los usuarios. a Superintendencia de Industria y Comercio (SIC) alertó que las quejas de los usuarios por la violación de datos personales cada vez van en aumento. Según el delegado para la Protección de Datos, Nelson Remolina, solo en este año se han recibido más de 4.000 quejas, lo que significa un incremento del 36%. «Históricamente hemos recibido en diez años un poco más de 44 mil quejas cada año y estas aumentan en un 36%. Este año ya llevamos más de 4.000 quejas y, principalmente, porque las personas creen que sus datos no se han tratado bien», señaló. El delegado reveló que en lo corrido de este año la Superindustria ha puesto más de 36 sanciones por violación de datos, que suman más de 3.500 millones de pesos. El principal motivo de la sanción -según el funcionario- es porque muchos tratamientos de datos se hacen sin autorización de la persona. «Para que una empresa pueda utilizar los datos se debe generar una autorización previa por parte del consumidor; el segundo motivo es principalmente porque no se atienden las peticiones de los ciudadanos de ser sacados de las bases de datos de las empresas». Remolina explicó que en promedio cada mes se reciben más de mil denuncias y, en la mayoría de los casos, las quejas recurrentes son hacia el sector financiero, comercial y de telefonía móvil. El delegado señaló que en el 2018 se impusieron multas por 5.600 millones de pesos a 71 empresas por violar los datos personales de los usuarios. En los últimos cinco años, la Superindustria ha impuesto 733 multas e impartió 1.700 órdenes preventivas para que se respeten los derechos de protección de datos personales. La entidad recordó que los usuarios tienen derecho a exigir que sus datos no sean tratados y sean suprimidos de ciertas compañías. Por ejemplo, para que no les envíen publicidad. Igualmente, los usuarios tienen derecho a saber qué tipo de datos tienen las empresas y que tratamiento le dan. Es de recordar que la Ley de Protección de Datos Personales reconoce y protege el derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bases de datos o archivos que sean susceptibles de tratamiento por entidades de naturaleza pública o privada. Sistema Integrado de Información Fuente: https://www.lafm.com.co/colombia/van-mas-de-4000-quejas-por-violacion-de-datos-personales-superindustria
Seguridad y Salud en el Trabajo: ¿Inadmisión de transcripción de la incapacidad da lugar a descontar días no laborados?
Por regla general, las incapacidades son reconocidas por las EPS una vez sean expedidas por los profesionales de la salud pertenecientes a la mismas o adscritos, recordó el Ministerio de Salud. De acuerdo con lo previsto en el artículo 2.1.13.4 del Decreto 780 del 2016, sobre incapacidades por enfermedad general, para su reconocimiento y pago es necesario que los afiliados cotizantes hayan efectuado aportes por un tiempo mínimo de cuatro semanas. Así mismo, no habrá lugar al reconocimiento de la prestación económica con cargo a los recursos del Sistema General de Seguridad Social en Salud cuando se origine en tratamientos con fines estéticos o estén excluidos expresamente del plan de beneficios. En cuanto a la posibilidad de descontar los días no laborados por el funcionario, en el evento en que no haya sido admitida la transcripción de la incapacidad, la entidad precisó que no existe norma que regule de manera expresa la forma en que debe proceder el empleador en estos casos. Sin embargo, recordó lo que al respecto ha dicho la Corte Constitucional. En efecto, la Sentencia T-404 del 2010 indica que corresponde al empleador asumir las prestaciones económicas derivadas de la incapacidad en que incurra el trabajador, cuando el accidente o la enfermedad sea de origen común y no se trate de un caso que las EPS estén obligadas a pagar. Por ejemplo, dice el fallo, en casos en los cuales las enfermedades son de origen común pero el trabajador no tiene el número mínimo de semanas cotizadas, la enfermedad o el accidente es de origen común pero el empleador incurrió en mora en el pago de las cotizaciones sin que la EPS se hubiera allanado o cuando el empleador no suministra la información pertinente acerca de la incapacidad concreta. Minsalud, Concepto 201911600580621, mayo 15/19. Fuente: https://www.ambitojuridico.com/noticias/laboral/laboral-y-seguridad-social/inadmision-de-transcripcion-de-la-incapacidad-da-lugar
Seguridad y Salud en el Trabajo: Procedencia de la licencia de maternidad cuando el bebé o el feto fallecen
El Ministerio de Salud y Protección Social indicó que existen dos situaciones bajo las cuales procede la licencia de maternidad cuando el bebé o el feto fallecen. Dichas situaciones se presentan cuando el embarazo termina en aborto y cuando el bebé nace y muere minutos o días después. El siguiente caso de estudio se abordará con relación a la respuesta dada por el Ministerio de Salud y Protección Social, referente a la procedencia o no de la licencia de maternidad cuando un embarazo termina en aborto o con el fallecimiento del bebé al nacer. Esta institución, el Minsalud, estableció con base en lo dispuesto en la ley laboral que para que sea posible otorgar la licencia de maternidad en caso de muerte del feto o bebé se puede estar ante dos escenarios, a saber: Cuando el embarazo termina en aborto o en un parto con bebé muerto: en esta circunstancia debe concederse a la madre la licencia de maternidad por un período de dos a cuatro semanas. Para efectos de determinar dicho período, el médico tratante debe indicar a la trabajadora el tiempo que estima conveniente para su recuperación. La mujer será remunerada con el salario que devengaba al momento de iniciar la licencia de maternidad, tal como lo establece el artículo 237 del Código Sustantivo del Trabajo –CST–. Cuando el embarazo termina en el nacimiento de un bebé vivo, pero que muere minutos o días después de nacer: en esta situación la mujer tiene derecho al descanso de la totalidad de la licencia de maternidad, es decir 18 semanas (artículo 236 del CST), para lo cual debe presentar el certificado de “nacido vivo” del bebé, y cumplir con los requisitos generales de cotización al sistema de salud y seguridad social (haber cotizado durante el período de gestación, no tener deudas con el sistema, etc.). De igual manera, debe ser remunerada con el salario que devengaba una vez iniciada la licencia. Se tiene entonces que una trabajadora cuyo embarazo termine en aborto o cuyo bebé muera al nacer tendrá derecho al uso de la licencia de maternidad de forma proporcional al tiempo que el médico estime conveniente (como en el primer caso) o en su totalidad (como en el segundo caso), así lamentablemente la gestación no haya finalizado en las mejores circunstancias. Fuente: https://actualicese.com/actualidad/2019/05/13/procedencia-de-la-licencia-de-maternidad-cuando-el-bebe-o-el-feto-fallecen/
Protección de Datos: Dos de cada tres reclamaciones que se envían al DPD se resuelven de forma satisfactoria para el ciudadano
La Agencia Española de Protección de Datos publica su Memoria 2018, que corresponde al primer año de aplicación del Reglamento General de Protección de Datos, y en la que se recogen tanto las cifras de gestión como las actividades realizadas y las tendencias más relevantes Acceso a Memoria 2018 AEPD Gráfico ‘La Agencia Española de Protección de Datos en cifras’ (2018) Gráfico ‘RGPD: un año de aplicación’ (Madrid, 21 de mayo de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado hoy su Memoria 2018, que recoge de forma exhaustiva las actividades realizadas por esta institución, las cifras de gestión, las tendencias destacadas, las decisiones y procedimientos más relevantes del año, y un análisis de los retos presentes y futuros. La publicación de esta Memoria coincide con el primer año de aplicación del Reglamento General de Protección de Datos (RGPD), que ha supuesto un cambio sustancial para la protección de datos en varios niveles, introduciendo novedades tanto en los derechos de los ciudadanos como en la forma de tratar los datos personales por parte de las organizaciones. En cuanto a las reclamaciones recibidas a la Agencia durante 2018, se incrementaron casi un 33% (32.8%), pasando de 10.651 a 14.146. Actualizando estas cifras al primer año de aplicación del RGPD, (desde el 25 de mayo de 2018 al 15 de mayo de 2019) se han presentado ante la AEPD 14.397 reclamaciones. En cuanto a la temática recogida en la Memoria 2018, las reclamaciones corresponden a las siguientes materias: inserción indebida en ficheros de morosidad (16%), videovigilancia (11%), servicios de Internet (10%), reclamación de deudas (10%), Administración pública (7%), sanidad (7%), publicidad -excepto spam- (5%), comercios, transporte y hostelería (5%), entidades financieras/acreedoras (4%) y publicidad a través de e-mail o teléfono móvil (4%). En lo referente a las reclamaciones resueltas con respuesta satisfactoria tras haberlas remitido al responsable o al delegado de protección de datos (DPD), se han producido 863 durante 2018 y 2.079 hasta el 15 de mayo de 2019. Este mecanismo, contemplado en el Reglamento para promover la resolución amistosa de las reclamaciones y que no existía con anterioridad, ha generado que dos de cada tres reclamaciones que se envían al responsable o al DPD se resuelvan de forma satisfactoria para el particular. Además, la mitad de las reclamaciones admitidas en la Agencia se resuelven en una media de 100 días, sin tener que esperar los más de 200 días de media del modelo anterior. Por otro lado, el traslado de la reclamación al responsable/DPD no implica necesariamente que no se vayan a realizar actuaciones inspectoras a posteriori, ya que la Agencia tiene potestad para investigar los mecanismos establecidos por la empresa. De hecho, un 13% de esas 863 reclamaciones (110) están en proceso de investigación. En cuanto a los casos con otras autoridades europeas (sistema coordinado), de los casi 400 casos analizados, en 2018 la Agencia se ha personado como interesada en 237 de ellos, siendo autoridad líder en 11. Desde el 25 de mayo de 2018 al 15 de mayo de 2019 la Agencia ha analizado 1.026 casos procedentes de otras autoridades europeas, actuando como interesada en 539 de ellos y siendo autoridad líder en 18. En lo relativo a las reclamaciones sobre ejercicio de derechos, durante 2018 se han resuelto 1.784 peticiones en la Agencia. De ellas, casi 200 (191) corresponden a reclamaciones por derecho al olvido. La proporción estimadas/desestimadas de estas 191 tutelas/reclamaciones es prácticamente de un 50%. En cuanto a las entidades reclamadas, Google y sus servicios aglutinan 125 de las 191 (65%), 18 a medios de comunicación (9%), 14 a otros buscadores de Internet (7%), 13 corresponden a Administraciones Públicas y boletines (6%), cifras que se completan con un apartado de peticiones a Otras entidades. Durante 2018 se han elaborado y puesto en marcha procedimientos para la gestión de las notificaciones de brechas de seguridad y evaluaciones de impacto. Desde el 25 mayo de 2018 hasta el 31 de diciembre, se atendieron 44 consultas previas sobre evaluaciones de impacto y se recibió un total de 547 notificaciones de quiebras de seguridad. Tras el análisis y la clasificación de estas últimas, sólo 16 se han remitido a la Subdirección General de Inspección de Datos, que afectaban a datos de salud, menores, ideología política, y tratamientos masivos de datos. En el primer año de aplicación del Reglamento (del 25 de mayo de 2018 al 15 de mayo de este año) se han recibido en la Agencia 966 notificaciones de brecha de seguridad. Un 72% de ellas indican que se ha comprometido la confidencialidad de los datos personales y un 36% indican compromiso de la disponibilidad. Más del 53% de las notificaciones de brechas de seguridad tienen como origen un contexto externo e intencionado y, de ellas, el 44% fueron a consecuencia de ciberincidentes mediante algún tipo de técnicas de hacking, malware o mediante phishing. Con respecto a los aspectos procedimentales, el análisis de los incidentes de seguridad notificados apunta a que el 31% de éstos se deben a la pérdida o robo de dispositivos o documentación. En 2018 se han dictado 907 resoluciones sancionadoras (434 con sanción económica, 96 con resolución de infracción a Administraciones Públicas y 377 apercibimientos). En lo referente a la temática de los procedimientos sancionadores, destacan, por este orden: Contratación fraudulenta, inserción indebida en ficheros de Morosidad, Videovigilancia, Spam (LSSI), Publicidad (excepto spam), Servicios de Internet, Reclamación de Deudas, Telecomunicaciones, Administración pública y Sanidad. En el caso de las dos principales (morosidad y contratación fraudulenta), representan, respectivamente, 3.770.803 euros (29%) y 4.979.200 euros (38%) sobre el total del volumen de sanciones (12.824.454 euros). Con respecto al año anterior, crecen las reclamaciones por contratación fraudulenta y descienden levemente las de morosidad. Estas dos áreas acumulan un 67% del volumen total de sanciones impuestas en 2018. En cuanto a la temática de las infracciones por parte de las AAPP, estas declaraciones de infracción están motivadas, entre otros casos, por publicación de datos desproporcionados en páginas web de Administraciones locales, accesos indebidos a datos de terceros por parte de trabajadores públicos o incumplimiento de medidas de seguridad.
Protección de Datos: Los polémicos tutoriales para espiar a la pareja que YouTube retiró
Tras la denuncia de un organismo regulador, la plataforma tuvo que eliminar videos de cibercontrol. «Consigue el móvil de tu novia […] y todas las conversaciones de tu novia aparecerán en tu móvil desde el navegador. […] Cada mensaje que reciba tu chica, tú lo podrás ver desde tu navegador». Este es uno de los «trucos» que difunden en YouTube algunos tutoriales en español dedicados a explicar, paso a paso, cómo espiar a tu pareja a través del celular. El cibercontrol, especialmente en el ámbito de la pareja, es una forma de acoso que se caracteriza por la vigilancia continuada de la actividad de una persona en las redes sociales o incluso de su localización. En febrero de este año el Consejo Audiovisual de Cataluña (CAC), la autoridad de regulación de la comunicación audiovisual en esta región de España, decidió hacer una búsqueda activa de este tipo de videos que incitan a controlar a las parejas. Y lo que encontraron es alarmante. Estos tutoriales promueven sistemas de control de la pareja a través del acceso a la mensajería privada de la persona espiada (especialmente de WhatsApp), del rastreo de su ubicación, del control de sus redes sociales y del acceso físico a su celular. Algunos incluso recomiendan instalar una aplicación en el celular de la persona espiada para acceder a más información. Y ninguno de estos videos hace referencia al carácter ilícito del espionaje: todos incitan a espiar a la víctima sin su consentimiento. Tras hacer un análisis del material, el organismo concentró sus esfuerzos en 12 de los tutoriales analizados, que acumulaban casi 23 millones de visualizaciones. Y los denunciaron a Google, propietario de YouTube. La plataforma, en la que los usuarios pueden denunciar el material que consideren inadecuado, decidió eliminar 11 de estos 12 videos. Las mujeres, principales víctimas Uno de los datos más preocupantes de este estudio del CAC es que el 90,9 por ciento de los videos analizados están protagonizados por un hombre y destinados al control de las mujeres. Por el contrario, ninguno de los tutoriales estaba abiertamente dirigido al espionaje sobre los hombres. Google explicó a la agencia Efe que no retiró todos los videos denunciados (de idéntico contenido a los que sí eliminó) porque «no incumplen términos y condiciones de la plataforma». Cuando ahora un usuario intenta acceder a los videos retirados, se encuentra con uno de estos dos mensajes: «Hemos eliminado este vídeo porque infringía las Normas de la Comunidad de YouTube» o «Hemos eliminado este vídeo porque infringía la política de YouTube sobre spam, prácticas engañosas y estafas». El CAC, que celebró la reacción de YouTube, había señalado previamente que se podía acceder a los videos sin ningún registro previo ni verificación de la mayoría de edad. «Estos contenidos son muy perjudiciales para los adolescentes, ya que pueden suponer una manifestación más de violencia machista y comprometen los modelos de relación igualitarios entre mujeres y hombres», aseguró Roger Loppacher, el director del CAC, en la carta que mandó a Google Spain para exigir la eliminación de los videos. Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/los-polemicos-tutoriales-para-espiar-a-la-pareja-que-youtube-retiro-360932
Protección de Datos: Twitter compartió la ubicación de sus usuarios con empresa anunciante
Una falla de seguridad en el software de Twitter hizo que la red social recolectara y compartiera datos de ubicación de los usuarios que tenían la ‘app’ para iOS, con uno de sus socios anunciantes. «Como usuario confías en que seamos cuidadosos con tus datos y por esa razón queremos ser abiertos contigo cuando cometamos un error», reza el comunicado oficial que emitió Twitter para explicar lo sucedido. Según la red social, la recolección «inadvertida» de la información se dio principalmente en usuarios que tenían más de una cuenta activa en Twitter para el sistema operativo iOS y que optaron por activar la función de ubicación en una de las cuentas. El comunicado explica, además, que la información guardada fue enviada a anunciantes para un proceso llamado «subasta en tiempo real», en el que las empresas pagan por el espacio publicitario basados en la ubicación de los usuarios. Twitter, que ya ha sido investigada por incumplimiento de reglas de privacidad en otros países, dijo que su intención era borrar los datos de ubicación que estaban enviando a sus socios, pero la falla en el sistema impidió que este proceso se completara correctamente. Hasta el momento, la red social no se ha pronunciado respecto al tiempo exacto que «su socio de confianza» tuvo acceso a dicha información. Según medios especializados, esta es la cuarta falla de seguridad que la red social ha reportado en el último año. Por su parte, Twitter aseguró haber eliminado completamente toda la información recolectada y verificó que los anunciantes no la retuvieran. Además, se comunicaron directamente con algunos de los usuarios que se vieron afectados en la fuga de su privacidad y afirmaron «estar trabajando arduamente» para que este tipo de fallas no se vuelvan a presentar. REDACCIÓN TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/twitter-compartio-la-ubicacion-de-sus-usuarios-con-empresa-anunciante-361356
Protección de Datos: Rappi y Banco Falabella sancionados por incumplir Ley de Protección de Datos
Al BANCO FALABELLA se le impuso una multa por 496 millones de pesos y deberá cumplir con órdenes respecto del tratamiento de datos personales. A la empresa RAPPI se le impuso una multa por 298 millones de pesos y deberá adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su información. Bogotá D.C., 22 de mayo de 2019. La Superintendencia de Industria y Comercio como autoridad nacional para la protección de datos personales, impuso una multa de $496,899,600 al BANCO FALABELLA S.A. y le ordenó adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho de supresión de sus datos y la atención debida y oportuna de sus solicitudes. La anterior decisión, contenida en la Resolución 9766 de 2019, se tomó con ocasión de la queja de un ciudadano quien informó que le presentó al BANCO FALABELLA ocho (8) peticiones para que dicha entidad eliminara su número telefónico de su base de datos y dejara de enviarle mensajes para fines de prospección comercial, solicitud desatendida por esa compañía La SIC concluyó que el BANCO FALABELLA: No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por dicho banco para fines de publicidad. No respondió debida y oportunamente la petición ciudadana ya que se demoró un (1) año y cinco (5) meses hacerlo, cuando el plazo máximo es de 15 días. Dado lo anterior, en adición a la multa, la SIC le ordenó al BANCO FALABELLA adoptar medidas efectivas, apropiadas y verificables en un plazo de dos (2) mesas para: Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten cuando esa información es utilizada por EL BANCO FALABELLA para fines comerciales o de marketing. Responder de manera oportuna y de fondo las consultas o reclamos que presenten las personas, eliminando cualquier barrera innecesaria para garantizar los derechos de los titulares. Poner a disposición del titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Éstos deben implementarse a través de los mismos medios o canales mediante los cuales el BANCO FALABELLA se contacta o comunica con los titulares de los datos. Adicionalmente, la entidad bancaria deberá, no sólo implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes, sino realizar una auditoria externa enfocada en la verificación de la aplicación de las medidas efectivas y apropiadas para cumplir todo lo ordenado. EL CASO RAPPI Mediante la Resolución 9800 de 2019 la Superintendencia de Industria y Comercio impuso una multa de $298,121,760 a RAPPI S.A.S. y le ordenó adoptar medidas para proteger los derechos de las personas respecto del tratamiento de su información como lo son, entre otros, el derecho de supresión de sus datos y la exigencia de que exista autorización previa para el tratamiento de los mismos. La anterior decisión se tomó con ocasión de la queja de un ciudadano mediante la cual puso de presente que le solicitó a RAPPI que dejara de usar su información y que no le enviará correos electrónicos o mensajes de datos para fines comerciales o de marketing, pero dicha empresa no atendió debidamente las solicitudes. La SIC concluyó que RAPPI: No respetó el derecho de la persona de suprimir sus datos cuando son utilizados por RAPPI para fines de publicidad. No demostró la existencia de la autorización para poder recolectar y usar los datos. No probó que informó a la persona lo que ordena el artículo 12 de la ley 1581 de 2012. No respondió debida y oportunamente la petición ciudadana ya que se demoró 4 meses y 25 días en hacerlo, cuando el plazo máximo es de 15 días. No probó que cuenta con un mecanismo apropiado para establecer la identidad de las personas que visitan las plataformas de RAPPI. En atención a lo anterior, en adición a la multa, la SIC le ordenó a RAPPI adoptar medidas efectivas, apropiadas y verificables en un plazo de tres (3) meses para: Abstenerse de enviar mensajes de texto, correos electrónicos, realizar llamadas telefónicas o comunicarse por cualquier medio con los titulares de los datos respecto de los cuales no tenga plena prueba de la autorización, previa, expresa e informada para dicho efecto. Establecer la identidad plena de los visitantes de su página web o usuarios de sus plataformas cuyos datos son recolectados, usados o tratados por RAPPI S.A.S. Suprimir de manera definitiva y oportuna los datos personales de los titulares que se lo soliciten cuando esa información es utilizada por RAPPI S.A.S. para fines comerciales o de marketing. Conservar prueba de la autorización previa, expresa e informada otorgada por cada uno de los titulares de los datos. Poner a disposición del Titular mecanismos gratuitos y de fácil acceso para presentar la solicitud de supresión de datos o la revocatoria de la autorización otorgada. Éstos deben implementarse a través de los mismos medios o canales mediante los cuales RAPPI S.A.S. se contacta o comunica con los titulares de los datos. Adicionalmente, RAPPI S.A.S. deberá no sólo implementar un mecanismo de monitoreo permanente respecto de la efectividad de las medidas adoptadas para dar cumplimiento a las anteriores órdenes, sino realizar una auditoria externa enfocada en la verificación de la aplicación de las medidas efectivas y apropiadas para cumplir todo lo ordenado por esta entidad. ¡Superintendencia de Industria y Comercio, confianza que construye progreso! Fuente: http://www.sic.gov.co/Rappi-y-Banco-Falabella-sancionados-por-incumplir-Ley-de-Proteccion-de-Datos
Protección de Datos: «DATOS Y PRIVACIDAD: LOS RIESGOS QUE NO CONOCEMOS»
Internet te conoce mejor que tu propia familia o amigos. Casi sin darnos cuenta, cada día generamos miles de datos personales que se suben a Internet: dónde hemos estado, a quien le hemos enviado un mensaje, qué música hemos escuchado o qué búsquedas hemos hecho. Quedan registradas incluso aquellas que quisiéramos que permanecieran en la privacidad de nuestro historial. Toda esta información es procesada y agregada en los servidores de las compañías cuyos productos digitales usas. Son utilizadas, por si no lo sabías, para generar un modelo virtual de quién eres. Al conocer tu perfil, las compañías pueden ofrecerte servicios personalizados y más valiosos para ti, como mostrarte anuncios relacionados con tus intereses, adelantarse a tus pasos o segmentar aún más tus decisiones de compra. Gracias al volumen masivo de datos y los avances como la inteligencia artificial, estos procesos se han vuelto extremadamente eficaces, pero ¿realmente sabemos qué datos tienen las empresas y los gobiernos sobre nosotros y cómo los están usando? En el caso de América Latina y el Caribe, los gobiernos están experimentando una transformación digital a un ritmo acelerado. Un claro ejemplo es la ciudad de Río de Janeiro, que en 2010 creó un centro de operaciones, único en su momento, donde integraba datos de 30 agencias que operan a lo largo de toda la ciudad. ¿El objetivo? Tener más y mejor información para ser más efectivos en la toma de decisiones. Otro ejemplo es el de Colombia, donde el Ministerio de Educación y las instituciones de educación superior implementaron un proceso para determinar las causas del abandono escolar de los estudiantes universitarios. Sin embargo, los gobiernos que todavía no han implementado estas innovaciones no deben caer en la tentación de adoptarlas rápidamente, sin haber considerado los riesgos que conllevan. “Los ciudadanos realmente no saben las implicaciones de dar sus datos”, dice Cristina Pombo, asesora del sector social del Banco Interamericano de Desarrollo (BID). “Está bien que queramos personalizar los servicios, pero hagámoslo de manera responsable, y no recolectemos datos solo por hacerlo”. https://www.facebook.com/BancoInteramericano/videos/10156365936562664/ ¿CUÁLES SON LOS PRINCIPALES RIESGOS ÉTICOS? 1. Privacidad El derecho a la privacidad es reconocido por muchas constituciones de la región. No solo se trata de garantizar la seguridad y la legalidad de los datos, sino que los encargados de recolectarlos y procesarlos deben solicitar el consentimiento de los usuarios, y en caso de que se vayan a compartir, garantizar el anonimato para evitar el mal uso por parte de terceros. Por ejemplo, la mala gestión de un partido político mexicano en 2016 provocó que los datos personales de 93.4 millones de personas mayores de 18 años —como nombre, apellido, dirección y otros— estuvieran expuestos sin protección en Internet durante meses. 2. Inequidad La capacidad predictiva de la inteligencia artificial se basa en aprender de datos históricos. Estos datos suelen ser imperfectos y, en ocasiones, reflejan los sesgos de las propias personas que los recolectaron. Si no queremos que los modelos sean discriminatorios, es necesario identificar y corregir estos sesgos. En Estados Unidos, por ejemplo, una herramienta que usaban los jueces para estimar el riesgo de reincidencia estaba asignando casi el doble de probabilidades a individuos de raza negra . Esto ocurría porque el modelo estaba basado en datos históricos de encarcelamientos que tenían en cuenta, entre otros factores, el color de piel. 3. Opacidad Se debe informar a los ciudadanos sobre qué datos se recogen, cómo se almacenan, analizan o qué decisiones se toman y en base a qué factores, y si fuera necesario, permitir auditar los algoritmos. Un caso que está generando mucha discusión es el tema del reconocimiento facial. La tecnología está lejos de ser perfecta y, en ocasiones, identifica a personas incorrectamente. En ciudades como San Francisco, en Estados Unidos, han decidido prohibir el uso de esta tecnología por parte de la policía. En Chile, la Policía de Investigaciones ha puesto en práctica un sistema de reconocimiento facial para prevenir la delincuencia a través de cámaras instaladas en lugares públicos, pero no indica qué pasará cuando se identifica como autor de un delito a una persona que no lo cometió. UN NUEVO CONTRATO SOCIAL Los gobiernos pueden tratar y manejar algunos de los datos personales de la población como la información tributaria o las propiedades. Sin embargo, cuando se trata de modelos predictivos o de políticas de gran impacto, es necesario que exista un contrato social que genere confianza entre quienes proporcionan los datos y quienes los manejan. “Nuestro objetivo es abrir un debate para reflexionar sobre el uso ético de los datos, con el objetivo de tener modelos aplicados en beneficio de los ciudadanos”, comenta César Buenadicha, especialista líder de BID Lab, el laboratorio de innovación del Banco Interamericano de Desarrollo. “Debemos velar de que todo esto se haga para un bien social y siempre teniendo en cuenta a los más desprotegidos”. Un buen ejemplo a seguir es el de la Unión Europea. En 2018 entró en vigor el Reglamento General de Protección de Datos —o GDPR por sus siglas en inglés— que establece seis principios básicos sobre el manejo de datos personales. Hoy, este reglamento se ha convertido en un estándar mundial. ¿Qué es el GDPR de la Unión Europea? A diferencia de Europa, en la actualidad no existen estrategias nacionales o regionales en América Latina y el Caribe para el uso responsable de datos en el sector público y de cómo generar una relación de confianza con la ciudadanía. El Sector Social del BID ha analizado marcos de referencia ya existentes alrededor del mundo sobre la gestión responsable de los datos. De esta investigación se ha creado un manual que no solo sintetiza las mejores prácticas, sino que ofrece una hoja de ruta para una gestión responsable de datos por parte del sector público. Video: ¿cómo podemos proteger mejor nuestros datos? Además, el BID está preparando una iniciativa regional conocida como fAIr LAC, cuyo objetivo es acelerar la adopción responsable de la Inteligencia Artificial por parte de los gobiernos de América Latina y el Caribe. La iniciativa tendrá un programa piloto —en colaboración con el Gobierno de Jalisco, el Instituto Tecnológico de Monterrey y C Minds, entre otros socios— que desarrollará experiencias prácticas del uso de la inteligencia
Ciberseguridad: La Estrategia Nacional de Ciberseguridad pide formar ‘ciberabogados’
El pasado 12 de abril fue aprobada la Estrategia Nacional de Ciberseguridad (ENC) de 2019, que pretende garantizar el uso seguro y fiable del ciberespacio. Una de sus grandes novedades es que el texto reclama la creación de la figura del ciberabogado. Aunque no usa literalmente ese término, la ENC describe, en el bloque de medidas para implementar el Objetivo II de la Estrategia, la importancia de formar a los profesionales del derecho para que se conviertan en expertos en ciberseguridad y puedan, así, proteger los derechos y libertades de ciudadanos, Estados y empresas. Precisamente, son estas últimas las que más interés muestran en este asunto: los problemas de ciberseguridad se sitúan a la cabeza del ranking de preocupaciones globales para las empresas, según el Barómetro de Riesgos de Allianz 2019. En este sentido, Álvaro Écija, socio director de Ecix Group, destaca el papel que desempeña el ciberabogado, que será el encargado de estudiar las vulnerabilidades de sus clientes y trazar un mapa de riesgos y responsabilidad a la hora de afrontar un ciberataque. No obstante, sus habilidades deben ir más allá. La delincuencia a través de la red dibuja un complejo escenario legal donde el carácter extraterritorial del delito o la dificultad para rastrear al infractor plantean una serie de desafíos legales que obligan al ciberabogado a “transformar sus capacidades y mantener la mente en el espacio donde se produce el delito: internet”, asevera Écija. Asesor legal En el ámbito de la ciberseguridad en las empresas, “el rol principal que desempeña el ciberabogado es el de asesor legal”, indica Helena Pons-Charlet, directora del área jurídica de Microsoft Digital Crimes Unit. Así, por ejemplo, en ataques con ramsonware (virus que impide a los usuarios acceder a su sistema o archivos personales y exige a cambio el pago de un rescate), el abogado se encargará de aconsejar a la empresa sobre las forma de actuar legalmente frente a las demandas del atacante. Además, deberá notificar al regulador competente en cada caso, “y valorar si, además de eso, debe interponer una denuncia ante la policía”, subraya Pons-Charlet. De decantarse por esta segunda opción, entra en juego un nuevo reto: recopilar pruebas que acrediten el ciberataque. Esto no solo se debe a la habilidad del hacker para borrar su rastro, sino que, en ocasiones, al verse atacadas, son las propias empresas las que toman medidas drásticas que implican la pérdida de las evidencias. Para afrontar este reto, Écija destaca el valor de las habilidades digitales del abogado: “no tiene por qué ser programador, pero ha de entender la tecnología”. Por su parte, Pons-Charlet recomienda “mantener una estrecha relación con el departamento tecnológico de la empresa”. De esa forma, resulta más sencillo conservar pruebas digitales que puedan ser posteriormente presentadas a juicio, como un registro de entradas y salidas a los emails o dúplicas de las máquinas infectadas para llevarlas posteriormente ante un “forense digital” . Otro de los desafíos de los ciberataques es su carácter extraterritorial: mientras la víctima se encuentra en España, el delincuente puede actuar desde Estados Unidos y el usuario que vende los datos robados en la dark web lo hace desde la India. “Este complejo escenario dificulta a las empresas el depurar responsabilidades y encontrar a los culpables”, resume Pons-Charlet. Para esquivar estas complicaciones, Microsoft suscribe partenariados público-privados para luchar contra la cibercriminalidad. No obstante, las empresas más pequeñas que no cuenten con estos recursos “se ven ante un reto mayor para encontrar al responsable”, concluye Pons-Charlet. Prevención Por su parte, Moisés Barrio, letrado del Consejo de Estado, hace hincapié en la prevención como método para combatir el cibercrimen. En esta línea, destaca que la estrategia del abogado “debe tener una clara dimensión técnica, no solo jurídica”. Esto es, implantar medidas de protección a través de herramientas tecnológicas como antivirus y sistemas de ciberseguridad y de detección de intrusos. Para ello, el jurista aboga por equipos interdisciplinares donde los abogados y los expertos en ciberseguridad “trabajen codo con codo”. OTRAS FUNCIONES DEL ‘CIBERABOGADO’ Protección de datos. Hoy en día, los datos son uno de los activos más importantes de las compañías, lo que los convierte en un blanco para los ciberataques. Para garantizar la seguridad de este bien intangible, el ciberabogado deberá, por un lado, elegir un buen proveedor de seguridad, elaborar un programa de compliance y supervisar que los empleados están concienciados en ciberseguridad (por ejemplo, mediante penetration test). Ciberseguro. Por otro lado, el abogado debe asegurarse de que la empresa está cubierta por un buen ciberseguro. Estas pólizas están destinadas a brindar cobertura, principalmente financiera, en caso de que se produzca una ciberintrusión. Generalmente, también cubren otros aspectos, como pérdidas de información, servicio de recomendación y defensa ante multas derivadas de infracciones en materia de pérdida de datos. Plan de acción. El ciberabogado también deberá elaborar un plan de acción (o response plan, por su nombre en inglés), que son guías orientativas sobre cómo actuar en caso de ciberataque. En su redacción, suele participar los departamentos de informática y comunicación, aunque también pueden colaborar otros sectores como el financiero (en caso de que el hacker pida un rescate) o el de recursos humanos (si el ataque viene de la propia empresa). Fuente: https://cincodias.elpais.com/cincodias/2019/05/24/legal/1558686603_717611.html
