Protección de Datos: ¡Ojo! Plataforma se hace pasar por Netflix para robar sus datos
Este lunes, la firma de seguridad informática Eset Latinoaméricainformó sobre un nuevo caso de ‘phishing’ en el que ciberdelincuentes se hacen pasar por la plataforma de streaming Netflix para robar datos de las tarjetas de crédito de usuarios. El ‘phishing’ es una modalidad en la cual se engaña a una persona en internet suplantando la identidad de una organización, compañía o individuo para obtener información sensible. Justamente, Eset reportó el caso de un correo electrónico que supuestamente había sido enviado por Netflix solicitando verificar la información de inicio de sesión del usuario argumentando que se había registrado una «actividad sospechosa» en su cuenta. Al dar clic en el botón “actualizar”, la plataforma redirecciona a una URL bajo el sospechoso nombre de “equipodenetflix4.aba.ae”, indicando que es un servidor de Emiratos Árabes. Posteriormente, de acuerdo con la compañía de seguridad, se despliega una interfaz muy similar a la de Netflix que le pedirá los datos de su tarjeta de crédito, para luego redireccionarlo a la página verdadera. Según Eset, hasta el momento no se ha identificado que la maniobra descargue algún tipo de malware, por lo que establece que “se trata de una campaña que busca únicamente el robo de información personal, presumiblemente para vender en el mercado negro”, indicó. Una técnica de phishing similar también ha sido utilizada recientemente para robar perfiles de Instagram. La compañía de seguridad informática Kaspersky encontró una red de cibercriminales que se hacían pasar por la plataforma Instagram y a través de correos electrónicos informaban a usuarios de la red social que sus cuentas quedarían permanentemente eliminadas por violación de derechos de autor a menos que verificaran sus datos mediante un link. Con esta estrategia, usuarios incautos terminan por suministrar no solo los datos de su cuenta sino también su correo electrónico, que luego será utilizado para difundir ‘spam’ o virus dentro de la comunidad. Ante estos casos, Eset recomienda evitar acceder a enlaces que llegan inesperadamente por correo electrónico u otros medios, verificar que la dirección del remitente coincida con el servicio que supuestamente presta y contar con protección en su dispositivo. “En caso de sospechar que pueda ser cierto el mensaje, ya sea porque es un usuario muy activo en esta u otra plataforma, se recomienda acceder a la misma de manera tradicional y verificar ahí si todo está correcto o eventualmente realizar un cambio de credenciales”, concluyen. Fuente: https://www.elespectador.com/tecnologia/ojo-plataforma-se-hace-pasar-por-netflix-para-robar-sus-datos-articulo-849490
VENTURA TERREROS CENTRO COMERCIAL
Ciberseguridad: Colombianos ya podrán asegurarse contra delitos informáticos
Los delitos informáticos han tomado fuerza en el país. Según datos de la Dirección de Investigación Criminal e Interpol, desde el 2015 hasta este año, en Colombia se han recibido 31.498 denuncias por delitos informáticos que abarcan desde el robo de data hasta la suplantación de una persona. Y no es para menos, en el país el internet se ha democratizado hasta tal punto que el 64% de los hogares y el 68% de las empresas tienen acceso a la red, y en los últimos ocho años se ha presentado un incremento del 70%, según información del Portal Oficial de Estadísticas del Sector TIC. Esto, además de traer un fortalecimiento de la red en el país, también ha traído que la confianza de los usuarios sea tan alta que olvidan tomar precauciones básicas como las configuraciones de su privacidad, contraseñas seguras y no conectarse a redes públicas para realizar transacciones, acciones que los hacen cada vez más vulnerables a caer en manos de cibercriminales. A raíz de esto, la compañía aseguradora Sura Colombia lanzó en el país el primer seguro de Protección Digital para personas que además de ofrecer indemnizaciones económicas busca brindar soluciones a los clientes digitales que se han visto afectados por los cibercriminales. “En Suramericana nos pusimos como meta salvaguardar la seguridad de las personas que tienen una vida o un entorno digital por lo que lanzamos esta solución”, aseguró Natalia Palacio González, gerente de negocios patrimoniales de Seguros Sura Colombia. De acuerdo con Palacio, el seguro tiene varias coberturas de protección según el caso de afectación. El primero de ellos es para la reputación digital, al cual los clientes podrán acceder en caso de que exista una afectación de su integridad en la web. “Cuando se afecte la reputación de una persona con fotografías o contenidos relacionados con ella, nosotros nos encargaremos de hacer un rastreo especializado para retirar de la red todos esos contenidos que dañen su reputación”, explicó la directiva. De igual manera, quienes por esta situación estén expuestos a ciberbullying y sientan la necesidad de cambiar su entorno, Sura entregará una indemnización de dos salarios mínimos para que la persona pueda hacer dichos cambios y prestará asistencia psicológica a través de una línea telefónica o brindará recursos al cliente para que reciba atención particular. Por otra parte, los usuarios que hayan sufrido un fraude electrónico financiero y de suplantación de identidad también serán cubiertos por el seguro. “Si alguien hizo compras por internet utilizando tus medios de pago, nosotros te reembolsamos hasta dos salarios mínimos para que puedas pagar la compra de inmediato mientras el banco te reembolsa. Dicho dinero no tendrá que devolverse”, explicó Palacio. Adicional, en caso de ser suplantado, perder cuentas como el correo electrónico, redes sociales, entre otros, o perder información digital almacenada en sus dispositivos, los expertos de la aseguradora trabajarán para recuperar dichos datos. “Nosotros queremos pasar del concepto de indemnización monetaria, que es lo que normalmente tiene un seguro, a entregarle a nuestros usuarios soluciones, es decir, no solo indemnizaremos sino que también buscamos empoderar a nuestros usuarios para que sepan cómo protegerse y tomen todas las medidas necesarias para que no se vean afectados por ataques cibernéticos”, aseveró Palacio. Este seguro podrá adquirirse a través de dos planes: el plan plus que tiene un valor de 478.000 pesos anuales y el plan básico que tiene un precio de 390.779 pesos anuales. Los dos pueden diferirse a 12 cuotas. LANZARÁN CENTROS DE ATENCIÓN DIGITAL Palacio también anunció la apertura en Medellín y Bogotá de los Centros de Atención Digital, un espacio de la aseguradora para que los usuarios puedan educarse sobre los riesgos a los que están expuestos en la web. “Allí los clientes encontrarán un espacio para recibir asesorías y capacitaciones sobre cómo protegerse en la web. De igual manera, contarán con expertos que les ayudarán a realizar análisis de vulnerabilidad, privacidad y si tiene mecanismos de protección aptos para navegar en internet”, afirmó Palacio. Los centros estarán habilitados desde mayo y junio de este año. Fuente: https://www.portafolio.co/economia/finanzas/colombianos-ya-podran-asegurarse-contra-delitos-informaticos-528293
Protección de Datos: GDPR, un año después: lo bueno, lo feo y el malo
El 25 de mayo de 2018 empezaba a ser de obligado cumplimiento (después de dos años de adaptación) el nuevo Reglamento General de Protección de Datos (RGPD/GRPD). Después de muchos mails para confirmar nuestro consentimiento para que las empresas usaran nuestros datos, y sin todavía una gran multa (del 4% de la facturación o 20 millones de euros, lo que resulte mayor), pero con varias investigaciones abiertas, ¿cómo ha cambiado realmente nuestra vida en Internet? Si tuviéramos que resumirlo en lo bueno, lo feo y el malo, sería sencillo. Lo positivo de esta regulación es que los usuarios somos más conscientes de los derechos que nos asisten en relación a nuestros datos personales y la privacidad se ha convertido en la nueva normalidad. Lo feo sería que, teniendo en cuenta la complejidad legal, las empresas aún siguen peleándose por cumplir con los requisitos legales. Y el malo (o al menos la compañía más señalada por los usuarios como infractora de protección de datos) tiene un nombre propio. Yo reclamo, tú reclamas… todos reclamamos Todas las fuentes con las que hemos hablado coinciden en un punto: la protección de datos y el respeto, por ley, a la privacidad de los usuarios es algo bien conocido por los usuarios, que cada vez demandamos más este tipo de derechos. No solo eso: los ejercemos. Según los datos que nos ha ofrecido el Supervisor Europeo de Protección de Datos, las agencias de protección de datos de toda la Unión Europea han recibido alrededor de 94.000 quejas desde el 25 de mayo de 2018. En España, y teniendo en cuenta solo las que están registradas hasta el 31 de diciembre de 2018, las reclamaciones planteadas ante la Agencia Española de Protección de Datos (AEPD) han aumentado casi un 33% (32,8%), pasando de 10.651 a 14.146. En nuestro país, Google y sus servicios aglutinan el 65% de las reclamaciones interpuestas (125 de 191). Sin embargo, Google (quien, hasta la fecha, también ha recibido la mayor sanción por GDPR, en Francia), ha declinado hacernos cualquier tipo de valoración ni comentario sobre este primer año del reglamento. En periodo de adaptación tres años después Los medios de comunicación (9%), otros buscadores de Internet (7%), y Administraciones Públicas y boletines (6%) son el resto de entidades más demandadas España desde que entrara en vigor la normativa europea. Los usuarios somos más conscientes de nuestros derechos y las empresas aún se están adaptando a GDPR A tenor de estos datos, puede parecer que las empresas de la llamada economía digital no son las más demandadas por los usuarios ante la autoridad competente en materia de protección de datos. Y, sin embargo, a estos negocios GDPR les sigue resultando, al menos en España, un quebradero de cabeza. Así al menos lo expresa José Luis Zimmermann, director general de adigital, la Asociación Española de la Economía Digital. “Las llamadas de consulta son constantes. Y sigue habiendo muchas dudas sobre temas que incluso pensábamos que ya estaban superados”, nos cuenta. Pese a que el reglamento se aprobó hace 3 años (se dieron dos de adaptación antes de ser de obligado cumplimiento) y pese a que en España estaba vigente la LOPD (una de las regulaciones más estrictas en materia de protección de datos a nivel europeo), Zimmermann asegura que las empresas españolas siguen en ese periodo de adaptación a GDPR. Es más, dado que recientemente se ha aprobado en España una nueva Ley de Protección de Datos que amplía y complementa la normativa europea, esta adaptación sigue vigente. “Sigue habiendo mucho desconocimiento, ha habido mucha confusión sobre todo con el tema del consentimiento, y la ley que adapta GDPR se ha prolongado durante muchos meses. Las empresas siguen con dudas sobre todo a la hora de conseguir el consentimiento”, asegura Zimmermann. La paranoia del consentimiento Seguro que todos recordamos un bombardeo incesante de correos electrónicos en los que las empresas pedían a los usuarios que confirmaran su consentimiento para poder tener y tratar sus datos. “Las empresas se lanzaron a recabar consentimientos cuando no era necesario, pero eso también sirvió para darnos cuenta de a qué servicios estábamos suscritos que ni nos acordábamos”, reflexiona Zimmerman, quien considera que en aquellas semanas “había mucha paranoia” con GDPR. Quizá no sea tan comparable como la que hubo por el cambio del año 2000, pero con sí con mucho ruido, también mediático. El director general de adigital considera que este estado de nerviosismo “era comprensible porque las multas a las que se puede hacer frente son enormes”. Dos de cada tres reclamaciones se resuelven a favor del usuario Es más, vaticina que, en el momento en que haya una multa y sea de un importante valor económico por infracción grave “volveremos a la paranoia colectiva”. Zimmermann considera que, pese a que la protección de datos sea, probablemente, de los marcos normativos más conocidos, el desconocimiento sobre la normativa “es enorme y las empresas, incluso las grandes, tienen dudas”. Un cambio en las reglas del juego El objetivo de GDPR era tener un conjunto de reglas de privacidad que se interpreten de manera uniforme en todo el continente europeo. ¿Ha funcionado? “Basándonos en los comentarios que recibimos de las agencias, podemos decir que GDPR funciona bien y que los procedimientos de cooperación y coherencia implementados son sólidos y efectivos”, nos asegura Sarah Hanselaer, del Supervisor Europeo de Protección de Datos. La llegada de GDPR no estuvo exenta de polémica, sobre todo entre las empresas. Hanselaer asegura sin embargo que se han recibido muchas primeras respuestas positivas de la comunidad empresarial. “También hay un marcado aumento en la conciencia entre el público en general sobre la necesidad de protección de datos. La gente ahora sabe a qué tienen derecho y no tienen miedo de pedirlo”, añade Hanselaer. En esta visión coinciden tanto adigital como Facebook. Fuentes de esta compañía reconocen a Xataka que GDPR les ha cambiado fundamentalmente como empresa y que saben que tienen mucho trabajo que hacer para recuperar la confianza de las personas. La pregunta, un año después, sigue siendo si GDPR dificulta o facilita los negocios digitales. Las fuentes de Facebook consultadas por Xataka
Facturación Electrónica: ¿En qué consiste el nuevo modelo?
La Ley de Financiamiento, así como recientes resoluciones emitidas por la DIAN, han introducido varios cambios a la Facturación Electrónica. Uno de ellos, el paso a un nuevo modelo que implica cambios sustanciales tecnológicos a implementar por grandes y medianas empresas. Desde finales de 2018, el Ministerio de Hacienda y la Dirección de Impuestos y Aduanas Nacionales DIAN, ha emitido normas que determinan novedades para la Facturación Electrónica en el país. Esto impacta a las empresas que ya la tienen implementada y a las nuevas requeridas para hacerlo, quienes están sujetas al nuevo calendario publicado por la Entidad, mediante Resolución 000020 del 26 de marzo de 2019. Con las reglamentaciones existentes se establecen diferentes escenarios para los contribuyentes de la DIAN. La Resolución 000002 de 2019 indica que los grandes contribuyentes de la Resolución 010 de 2018 y aquellos contribuyentes que se encontraran facturando electrónicamente con el Decreto 1919 de 2007 deben facturar con el modelo vigente del Decreto 2242 de 2015. Y el reciente calendario publicado establece las fechas conforme a las cuales estos contribuyentes deberán migrar a facturar bajo el nuevo Modelo de Validación Previa. En el caso de las demás empresas que son voluntarias (medianos contribuyentes), la DIAN habilitó hasta el 18 de enero de 2019, a quienes hubieran asociado en el Servicio Informático de Factura Electrónica de la citada entidad, el software de facturación electrónica y contaran con la autorización de su proveedor tecnológico. Así pues, éstas empresas deben facturar antes del 30 de junio de 2019 con el modelo establecido en el Decreto 2242 de 2015, según lo establece la Ley de Financiamiento. No obstante, con el calendario publicado se establecen las fechas en que deberán migrar al nuevo modelo de Validación Previa. Adicionalmente, las empresas voluntarias que no recibieron habilitación por la DIAN, pero que ya habían elegido a su proveedor tecnológico de facturación electrónica, deberán también acogerse al calendario publicado para iniciar la implementación con el nuevo Modelo de Validación Previa, de acuerdo a la principal actividad económica inscrita en el RUT. Pero, ¿en qué consiste el nuevo modelo de facturación electrónica? El punto de partida es la Ley de Financiamiento que modificó el modelo con el que iniciaron los grandes contribuyentes. Actualmente estos envían directamente la factura a su proveedor tecnológico, quien la remite a la DIAN y al adquirente en el mismo momento. En el nuevo modelo, la factura antes de ser entregada al adquirente deberá contar con una validación previa por parte de la DIAN, quien le dará su visto bueno. Según Certicámara S.A., para alcanzar los resultados esperados frente al nuevo modelo, los proveedores tecnológicos son el aliado de miles de empresas, pues además de que interconectarán los sistemas contables a la nueva plataforma de facturación electrónica con validación previa de la DIAN, deberán también cumplir con unas obligaciones establecidas en la Ley de Financiamiento. Finalmente, en los escenarios descritos, las micro y pequeñas empresas siempre han estado amparadas por el Gobierno, pues la DIAN dispondrá de una plataforma gratuita con el nuevo modelo para alcanzar la masificación de la facturación electrónica, que con la normativa expedida, deberá consolidarse antes de finalizar el 2020. Fuente: https://comunicados.co/2019/04/facturacion-electronica-en-que-consiste-el-nuevo-modelo/
Protección de Datos: San Francisco desarrolla una ley histórica para prohibir el reconocimiento facial
La ley y la tecnología suelen ir mal acompasadas, pero en esta ocasión una ciudad parece querer poner freno a las malas prácticas tecnológicas basadas en el reconocimiento facial. Aunque, claro, no se trata de cualquier ciudad. Se trata de San Francisco, cercana a Silicon Valley y uno de los centros neurálgicos en los que nacen las ideas de la tecnología a nivel mundial. En España no existe una legislación específica sobre reconocimiento facial, aunque evidentemente si existe una legislación sobre protección de datos. Sin embargo, en las calles del país ya hay cajeros que utilizan el reconocimiento facial y en algunos establecimientos hosteleros se ha comenzado a experimentar con el pago mediante reconocimiento del rostro. La UE ha aprobado crear una base de datos con reconocimiento facial para las personas que accedan al espacio Schengen Además, la Unión Europa ha aprobado crear una base de datos con huellas dactilares y reconocimiento facial de las personas que entran en el espacio Schengen. Algo que parece muy práctico para evitar amenazas terroristas o de otra clase organizaciones criminales, pero que como dice la ley aprobada en San Francisco los riesgos de esta tecnología es posible que superen a los beneficios. La Junta de Supervisores de San Francisco, una figura legal similar a la del Ayuntamiento, ha votado esta semana la denominado ordenanza para detener la vigilancia secreta. Esta ordenanza pretende limitar el uso indiscriminado de datos biométricos en la ciudad. Entre ellos los sistemas de reconocimiento facial. Un hito legislativo a nivel casi mundial, pues escasean legislaciones tan precisas en materia de tecnología y privacidad. La ciudad prácticamente prohíbe por completo con esta ordenanza el uso de la tecnología de reconocimiento facial por parte del gobierno local. La ordenanza deja bastante claro en su texto los riesgos de las tecnologías de vigilancia: “Si bien la tecnología de vigilancia puede amenazar la privacidad de todos nosotros, los esfuerzos en vigilancia se han utilizado históricamente para intimidar y oprimir a ciertas comunidades y grupos más que a otros, incluidos aquellos que están definidos por una raza común, etnia, religión, origen nacional, nivel de ingresos, orientación sexual, o perspectiva política (…) La propensión a que la tecnología de reconocimiento facial ponga en peligro los derechos civiles y las libertades civiles supera sustancialmente a sus supuestos beneficios”. Este texto quizá algún día se convierta en histórico por la precisión con la que define la amenaza que suponen los sistemas de vigilancia unidos a tecnologías como la del reconocimiento facial. No debemos olvidar que en China se está usando la tecnología de reconocimiento facial en algunas regiones para vigilar a supuestos disidentes del régimen. O que se está usando en algunas superficies comerciales para analizar el comportamiento de los consumidores. Pero en realidad todo esto es la punta de un icerberg inmenso. Un estudio realizado de 2016 realizado por la Universidad de Georgetown encontró que la mayoría de los adultos estadounidenses aparecen en las bases de datos de fotos de la policía. ¿Cómo ha podido suceder esto? Sencillamente porque la legislación a nivel mundial sobre privacidad tecnológica tiene enormes lagunas. Aunque no debemos olvidar que a los intereses políticos en el uso de estas tecnologías de vigilancia, digamos excesiva, se unen los intereses empresariales. Amazon ha vendido su tecnología de reconocimiento facial a un gran número de empresas, pero también a los cuerpos policiales en Estados Unidos. Algo que, por cierto, no le hace demasiada gracia muchos de sus empleados e inversores. Un estudio realizado de 2016 realizado por la Universidad de Georgetown encontró que la mayoría de los adultos estadounidenses aparecen en las bases de datos de fotos de la policía Fuente: https://www.lavanguardia.com/tecnologia/20190426/461874270642/reconocimiento-facial-prohibido-estados-unidos-san-francisco-espana-union-europea.html
Ciberseguridad: Con este ataque pueden robar su información cuando compra en línea
La forma en que usted entrega gustosamente la información de sus tarjetas para comprar esa camiseta estampada con los personajes de la película de moda o los aretes de los que se enamoró por un anuncio en internet puede exponerlo al formjacking, una técnica con la que cibercriminales ‘inyectan código’ en una página y mediante formularios fraudulentos buscan robar su información financiera, vender sus datos en el mercado negro o clonar sus tarjetas. El formjacking, según un reciente estudio de la firma de ciberseguridad Symantec, se está perfilando para ser el ciberataque más popular del 2019, por encima incluso del popular ransomware, con el que atacantes secuestran los datos de sus víctimas para exigir un rescate. En términos generales, esta forma de ataque en alza es una manera altamente rentable de explotar las vulnerabilidades de un sitio web de compras en línea para enviar una copia de la información de los cibernautas a un servidor diferente. Lo más grave, según los expertos, es que los usuarios pueden hacer sus compras, recibir sus productos y no darse cuenta jamás de que fueron víctimas. «Es una forma de ataque que ha tomado mucha fuerza este año. Nadie lo vio venir» ¿Cómo funciona? Según Axel Díaz Ortega, abogado sénior de Adalid y experto en seguridad de la información, al contrario de lo que se podría creer, el formjacking no es una técnica nueva. “Es una forma de aprovechar las vulnerabilidades de los navegadores que se ha utilizado desde los comienzos de los pagos electrónicos”. De acuerdo con los expertos, el atacante inyecta código (como un JavaScript que se adecua fácilmente al frontend de una página) para generar accesos ocultos y robarse la información de los cibernautas. “Es una forma de ataque que ha tomado mucha fuerza este año. Nadie lo vio venir, el sector no esperaba un crecimiento tan repentino porque, en su mayoría, los navegadores han adoptado protocolos más seguros para las páginas de pagos en línea”. Para el estratega de seguridad para América Latina y el Caribe de Symantec Sebastián Brenner, el surgimiento de estos ataques se debe a la búsqueda de rentabilidad. “Los ciberatacantes se inclinan por lo más lucrativo, buscan generar un rédito económico rápido”. Para Symantec, en parte, el ransomware habría dejado de ser tan rentable con víctimas individuales. En ese sentido, el formjacking no requiere interlocución alguna con la víctima y puede tener un alcance más masivo. En un solo sitio, miles de usuarios pueden realizar sus transacciones exitosamente y no ser conscientes de su vulnerabilidad durante meses. Según cifras de Symantec, durante el 2018 se encontraron, en promedio, unos 4.800 sitios web infectados por mes. Según Brenner, estos ataques tienen dos fases: la primera es aquella en la cual se compromete el servidor y la segunda, esperar a que lleguen las víctimas. El ciberatacante busca primero entrar al servidor para modificar o agregar código que capta la información del usuario. Según el ejecutivo, “hablamos de ataques a cadenas de abastecimiento, proveedores que sirvan servicios y aplicaciones”. Los delincuentes buscan afectar pequeños proveedores que suplan servicios a varios sitios de e-commerce. Sin embargo, sitios como la aerolínea British Airways o Ticket Master también han resultado afectados. Según Brenner, Symantec ha detenido desde 2018 unos 4 millones de ataques de formjacking a nivel global. En el segundo paso, los atacantes ‘esperan la presa’, el usuario hace una compra común y corriente, pasa al formulario de pago y hace clic en ‘pagar’. “Todo parece transparente; se realiza la compra, pero el código insertado hace una copia de la información y la envía a escondidas a las direcciones estipuladas por el atacante”. Es sabido que los sitios de compras en línea, al menos los más confiables, tienen protocolos de seguridad para que terceros no puedan ver legiblemente la información de pago de los usuarios. El éxito del formjacking es que no requiere acceder a esos datos cifrados, sino que funciona más como un ‘espejo’. El servidor real recibe la petición de compra y la almacena en forma cifrada, pero antes envía una copia a otra dirección, escogida por el delincuente. ¿Cómo comprar tranquilo? La solución está en mantener actualizado el navegador y desconfiar de las ofertas. En el caso de las empresas, lo mejor es la consultoría profesional. Una firma de e-commerce, por ejemplo, debería, al menos una vez al año, hacer una revisión a cargo de un especialista en ethical hacking para identificar sus puntos débiles. Los expertos coinciden en que no hay soluciones mágicas, pero tener los sistemas operativos de los dispositivos y las versiones más actualizadas tanto de los programas como de los navegadores es una medida fundamental. Otras recomendaciones son utilizar portales de confianza, revisar las URL, no descargar ejecutables extraños, tener un antivirus reciente y revisar la validez del sitio y del origen de ofertas que lucen demasiado buenas para ser verdad. LINDA PATIÑO REDACCIÓN TECNÓSFERA@LinndaPC Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/que-es-formjacking-y-como-proteger-sus-datos-en-compras-online-344582
Protección de Datos: Las pymes y la protección de nuestros datos
Guía para las empresas que dudan en la aplicación del RGPD Los datos se han convertido en un gran activo para los negocios. Tanto es así que llegó un momento en que era tal el número de compañías que disponían de nuestro teléfono, nombre, dirección o conocían nuestros gustos, preferencias o nivel adquisitivo que la UE decidió tomar cartas en el asunto. En los últimos años se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento quién tiene acceso a ellos, para qué puede usarlos y cómo los ha conseguido. La medida más importante fue el Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 y que desde el 25 de mayo del año pasado es de obligado cumplimiento en España. Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos. La cuestión es importante y preocupa a los empresarios. «Las recientes multas impuestas y el daño continuo a la reputación como resultado del incumplimiento regulatorio respaldan la seriedad con la que se afrontan estos riesgos», indican los responsables de la consultora multinacional Willis Towers Watson en su 6ª Encuesta de Responsabilidad de Directores. Dos años de margen tuvieron entidades públicas, organizaciones y empresas para adaptarse a la nueva forma de gestión de la información, sin embargo aún hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente. Resumamos lo que tiene que hacer y cómo hacerlo. 1. Cumplir con el deber de información Debe informarse a los titulares de los datos de quién es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación, cancelación y oposición. Todas las empresas están obligadas a informar por cualquier canal a sus clientes de estos cambios. 2. Lograr el consentimiento explícito El consentimiento para el tratamiento de datos deja de ser tácito. Ya no vale que se dé por hecho, debe de haber una clara acción afirmativa. De hecho, el responsable de los datos debe tener pruebas de ese consentimiento. Si tienes dudas, consulta esta guía de la Agencia Española de Protección de Datos (AEPD). UN CASO HABITUAL ¿Qué ocurre si tienes un pequeño negocio y quieres de forma esporádica contactar con sus clientes? Supongamos, por ejemplo, el caso de un pequeño local, podría ser una tienda de muebles o un restaurante, que desea mantener un contacto con sus clientes, para informarles de sus novedades mediante una newsletter mensual. Hacen acopio de sus direcciones de correo, sus nombres, y sus teléfonos en un listado. Mar López Almagro, Socia de LOPD Preconlab, consultora de protección de datos, explica que este negocio “debería adaptar sus procesos de recogida de datos mediante un consentimiento expreso y para la finalidad de enviar comunicaciones comerciales”. Sí, tendría que haber constancia de ese consentimiento. Ya no vale con el hecho de que hayan sido los clientes en la tienda los que hayan aportado esa información. Tienen que rellenar y firmar un formulario. “En todos los formularios de la empresa donde se recogen datos hay que mencionar que los clientes permiten expresamente enviarles publicidad”. De hecho, algo tan sencillo como compartir una tarjeta de visita o un número de teléfono “podría transformarse en un problema legal si se hace de forma masiva y se considera que se está cediendo una base de datos a un tercero”, advierte Mar López Almagro. 3. Registro de actividades de tratamiento El RGDP obliga a informar, tanto a los propios usuarios como a la AEPD, sobre la recopilación de los datos y el objetivo de la misma. La antigua inscripción de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por el registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra información, los fines, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos, las transferencias de datos personales a un tercer país, etc. 4. Realizar un análisis de riesgos y adoptar medidas de seguridad No es posible asegurar el derecho fundamental a la protección de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales, así que lo primero es estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que haces de la información que manejas. Puedes hacerlo mediante la herramienta FACILITA-RGPD. En los primeros pasos de este procedimiento vía web encontrarás unas preguntas que te ayudarán a determinar el grado de riesgo. 5. Comunicar incidentes de seguridad Con los ciberataques a la orden del día y las herramientas informáticas en constante evolución, ninguna empresa está a salvo de sufrir un incidente. Si eso ocurriera, el RGPD introduce la obligación de notificar a la autoridad competente, en este caso la AEPD, si se detecta una brecha de seguridad que afecte a datos personales. En determinados casos también hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violación. Aquí lo importante es tener establecidos de manera clara los mecanismos y procedimiento de notificación de quiebras de seguridad. El pasado mes de marzo hubo 113 notificaciones, tres de ellas se están investigando por si supusiera la existencia de riesgo alto para los derechos y libertades de los ciudadanos. 6. Valorar si los encargados de los datos ofrecen garantías El RGPD define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los mismos. En él se deben especificar la relación y las obligaciones de ambas partes ante la prestación del servicio acordado. Si existiera un contrato vigente previo a mayo de 2018, cuando entró en vigor el reglamento, es imprescindible incluir una cláusula al respecto que sea firmada por las partes. Quizás sea este el momento de valorar si el organismo o empresa encargada del tratamiento de los datos de mi compañía es
Protección de Datos: Android estaría monitoreando a sus usuarios sin su consentimiento
Una investigación del Instituto IMDEA Networks y la Universidad Carlos III de Madrid halló que los móviles del sistema operativo Android, el más usado en el mundo, acceden a datos personales de sus usuarios «de forma masiva» mediante de aplicaciones que vienen instaladas por defecto en los dispositivos. El estudio, que fue difundido por la Agencia Española de Protección de Datos, incluyó más de 82.000 aplicaciones preinstaladas en más de 1.700 dispositivos Android fabricados por 214 marcas. Luego de un riguroso seguimiento, se identificó que la mayoría presenta comportamientos «potencialmente maliciosos» o no deseados, incluyendo muestras de malware, troyanos genéricos o software preinstalado que, afirman los autores, facilitaría prácticas fraudulentas. Los investigadores advierten que prácticamente en todos los fabricantes se ha detectado algún tipo de software preinstalado que utiliza acceso privilegiado sin conocimiento del usuario al sistema para la obtención de datos personales. “La conclusión es que existe un complejo sistema de desarrolladores y acuerdos comerciales con aplicaciones preinstaladas que disponen de permisos que no se corresponden con los originarios de Android para dar acceso a sus servicios sin posibilidad de que un usuario medio pueda desinstalarlas” afirmó Narseo Vallina-Rodríguez, de IMDEA Networks. Una cuestión comercial Los beneficiados del acceso a los datos de los usuarios de Android, según los expertos, son multitud de compañías que van desde fabricantes, hasta operadores, redes sociales, empresas multimedia, de videojuegos, de antivirus, y un sinfín más, para actividades comerciales propias o vender la información. «(…) existe un complejo sistema con aplicaciones preinstaladas que disponen de permisos para dar acceso a sus servicios sin posibilidad de que un usuario pueda desinstalarlas» De hecho, el informe pretendía revelar acuerdos comerciales entre vendedores de dispositivos Android y terceros, incluyendo organizaciones especializadas en el rastreo de usuarios y en proporcionar publicidad en internet. De este tipo, el estudio identificó 1.200 compañías y más de 11.000 librerías (software incluido en las apps para proporcionar servicios añadidos) de las cuales muchas están relacionadas con actividades de publicidad y monitorización «on line» con fines comerciales. Android es un sistema operativo móvil desarrollado por Google, basado en el Kernel de Linux y otros software de código abierto. Se estima que lo usan entre un 37 y un 40 por ciento de los equipos móviles que acceden a la web. REDACCIÓN TECNÓSFERA* *Con Efe @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/android-filtra-la-informacion-de-los-usuarios-con-fines-comerciales-339034
