Protección de Datos: Ética, anonimización y Big Data
El principal conflicto que se plantea es entre el beneficio social de los resultados de la investigación y el riesgo individual sobre la privacidad del individuo Las tecnologías Big Data permiten aumentar el conocimiento científico para una mejor prevención de las enfermedades y un mayor rendimiento diagnóstico. Y como en toda investigación, dicho Big Datadebe respetar los principios éticos que se establecieron en la Declaración de Helsinki de la Asociación Médica Mundial: respeto al individuo; protección de su salud y sus derechos individuales; respeto al derecho a tomar decisiones informadas incluyendo la participación en la investigación, y la garantía de confidencialidad de la información del sujeto. Junto a ello, el consentimiento informado del sujeto es uno de los conceptos más importantes para asegurar la integridad ética de la investigación y supone la manifestación por excelencia del principio de autonomía. En relación con la autonomía del sujeto de investigación se establece que se debe obtener siempre su consentimiento explícito, pero dicho principio quiebra o al menos debe ser modulado cuando se trata de estudios Big Data que utiliza datos que previamente han de haber sido anonimizados. El RGPD plantea la anomización de datos como la solución alternativa a la obtención del consentimiento informado, que debe ser la regla en los ensayos cínicos y en los estudios observacionales prospectivos. La anomización es el proceso por el que deja de ser posible por medios razonables establecer el nexo entre un dato y el sujeto al que se refiere, dejando de ser personales y quedando fuera de la de la regulación de la legislación que los protege Existen otros dilemas éticos entorno a la investigación Big Data:¿Cómo se garantiza la confidencialidad de los datos para proteger el derecho a la intimidad del sujeto?, ¿Son suficientemente seguras las técnicas de anonimización? ¿Es necesario el consentimiento explícito? ¿Cuáles deben ser las condiciones de la cesión y tratamiento de los datos? ¿Cuáles han de ser los mecanismos de control y rendición de cuentas? ¿Cabe la posibilidad de rentabilizar económicamente los datos y comerciar con ellos? De todos ellos el principal conflicto ético que se plantea, considero que es entre el beneficio social de los resultados de la investigación y el riesgo individual sobre la privacidad del individuo, que no deja de ser un caso específico entre las tensiones que pueden generarse entre las políticas dirigidas a alcanzar el bien común y los derechos individuales. No deja de ser curiosa la insistencia en que algunos cuestionan la investigación con Big Data,argumentando la inseguridad de los procesos de anonimización y la posibilidad técnica de reidentificación de los sujetos de investigación. Curiosamente lo hacen en un momento en que todos, consciente o inconscientemente, exponemos digitalmente nuestros hábitos nuestros hábitos de consumo, aficiones, cuentas bancarias, etc… Es evidente que se debe anonimizar de la forma más segura posible que la técnica permita en cada momento; pero debemos relativizar la objeción de que no se garantiza de forma absoluta la privacidad de los sujetos mediante la anonimización de sus datos. Otro elemento que debe tenerse en cuenta desde la perspectiva ética es el de la integridad de los investigadores que van a reutilizar los datos, que a veces parece ponerse en entredicho. Dicha integridad a priori debe presumirse y a la vez ha de ser una exigencia que su actuación se desarrolle con honestidad, independencia y cumpliendo con su deber de secreto, de acuerdo con las buenas prácticas de la investigación. Los investigadores deberían adquirir algunos compromisos previos a la reutilización de los datos: no usarlos para fines distintos, no cederlos a terceros y no intentar reidentificar a los sujetos. El Comité de Bioética de Cataluña, con motivo de la polémica política, social, académica y mediática que suscitó el programa que impulsó el Gobierno Catalán denominado “Más Valor a la Información de Salud de Catalunya (VISC+), elaboró un documento en 2015 donde dejaba claro que “la protección a la intimidad es un derecho básico” y que se debía «preservar la confidencialidad de las historias clínicas”, a la vez que ponía de manifiesto que el proyecto facilitaba y promovía la participación solidaria de los usuarios del sistema público de salud catalán que “con sus datos previamente anonimizados, contribuyen a impulsar la investigación biomédica en pro del bien común.” En la idea del bien común, que es un derecho y un deber ciudadano, se encuentra el fundamento ético de la investigación Big Data puesto que los beneficios sociales de la investigación se pueden incluir en dicho concepto ya que aportan conocimiento para mejorar la prevención de las enfermedades y mejorar los tratamientos. Como conclusión añadiría que la obtención de un adecuado equilibrio entre la obligación de preservar el derecho a la intimidad de los sujetos de investigación estableciendo el máximo nivel de protección de sus datos y la protección y promoción de los beneficios de la investigación es el objetivo que debe alcanzarse desde una perspectiva ética cuando hablamos de investigación con Big Data. Fuente: https://cincodias.elpais.com/cincodias/2019/02/27/legal/1551257290_537953.html
Protección de Datos: Google y Facebook dicen que no son responsables de los contenidos de los usuarios
En el alto tribunal se adelanta una audiencia sobre los límites de la libertad de expresión en redes sociales. ¿Qué se puede denunciar en Facebook? ¿Existe un derecho a insultar? Estas son solo algunas de las preguntas a resolver. En manos de la Corte Constitucional se encuentra un debate crucial para el uso del internet: los límites de la libertad de expresión y de opinión en redes sociales. Ante el incremento de las disputas entre particulares por comentarios que se hacen en plataformas como Facebook, el alto tribunal citó a una audiencia pública este jueves. ¿Es válido denunciar delitos a través de redes sociales? ¿Cuál es el límite para manifestar ideas u opiniones? ¿Cómo se ejerce el control sobre una plataforma digital? Estas son algunas de las preguntas que se plantearon para esta diligencia. El caso llegó por una serie de tutelas que presentaron personas que se sintieron difamadas por publicaciones de terceros en Facebook. En la audiencia, el representante por Google LLC, el abogado Lorenzo Villegas Carrasquilla señaló qué que el rol que se asigne a los administradores de plataformas digitales será crucial para garantizar la libertad de expresión. «Google no ejerce ningún control», dijo al indicar que los responsables de estas plataformas no son responsables por la información que crean los usuarios. «Google no crea ni edita el contenido ni ejerce ningún control previo sobre el mismo, Google se limita a proveer plataformas y herramientas tecnológicas para que los usuarios creen su contenido, lo compartan o puedan acceder al contenido de otros usuarios. Los administradores no deben ser responsables de los contenidos que hacen terceros, dijo Villegas. «Cambiar la regla de no responsabilidad de los proveedores de internet por los contenidos creados por terceros podría tener efectos negativos sobre la libertad de expresión», agregó. Para Google no es factible determinar si todo contenido público es difamatorio o veraz, señaló el jurista al indicar que el control sobre cada caso le corresponde a un juez de la República. Además, enfatizó que dejar en sus manos este control iría en contravía a la neutralidad en la red. Villegas indicó que para Google no es posible tampoco hacer un control en tiempo real de los contenidos en plataformas. Y señaló que los contenidos anónimos tienen una protección constitucional que no debe cambiar, ya que a las plataformas digitales no son responsables de los mismos. «Google no hace ni puede hacer una verificación previa de los datos de quien crea una cuenta», dijo. Villegas defendió la posibilidad de que haya cuentas anónimas, ya que de esta manera se han podido denunciar hechos graves en contextos políticos complicados como la Primavera Árabe. «Le pedimos a la Corte que abogue por un internet libre», dijo. Luis Alfredo Barragán en representación de Facebook, Inc, dijo que es importante que esa red sea un lugar confiable para la ciudadanía y que por eso está claro y definido qué se puede publicar y qué no en sus políticas. Además, dijo que no es responsable de lo que cada quién publique y aseguró que «un intermediario como Facebook no debe ser quien determine la verdad». «Una orden de remover todo contenido que ofende a una persona puede afectar la libertad de expresión», dijo Barragán al indicar que este tipo de órdenes deben ir dirigidas a los usuarios y no a las plataformas. «Se debe identificar de manera precisa el contenido que debe ser removido (…) la orden no debe extenderse más allá del contenido específico pues se caería en monitoreo proactivo, el cual puede desconocer la libertad de expresión«, agregó. El procurador General, Fernando Carrillo, señaló que lo está en juego es la ampliación de la democracia y delimitar las afectaciones que se pueden producir. “Hay cosas impensables como que el mayor medio de comunicación del mundo Facebook no produce contenidos. Es el juez por lo pronto en sede tutela el que debe determinar si hay una transgresión a los derechos de terceros”, dijo. Para Carrillo, «otro de los desafíos en cómo el poder de la tecnología ha aumentado sobre todo en recopilación de datos”, agregó. El fiscal general, Néstor Humberto Martínez, señaló que la libertad de expresión tiene un límite en derechos a la honra y al buen nombre, según la jurisprudencia de la Corte Constitucional. “Las redes no pueden servir como apología al delito ni para delinquir”, dijo. No obstante, para Martínez no debe haber una criminalización de los excesos. “La respuesta penal debería ser penal”, agregó. Martínez indicó que en redes sociales se han presentado casos en los que se altera la voz de una persona, lo cual sería injuria. O bien, casos de calumnia en los cuales se señala a una persona de cometer un delito. El fiscal indicó que puede haber un delito cuando se crean cuentas Twitterque suplantan a una persona y que buscan dañar, o cuando se usa las redes para instigar a delinquir. “Tenemos abiertas investigaciones penales por este concepto”, dijo. Por otro lado, el fiscal Martínez denunció la existencia de organizaciones o empresas que se dedican a difundir noticias falsas para atacar a un oponente político o comercial, a través de cuentas falsas. «Hay que decirlo, desde la perspectiva de la Fiscalía estos net-centers son (ilegales)», señaló. Martínez agregó que los excesos en redes sociales pueden ser objeto de tratamiento penal, en algunos casos, y que para ello es necesario contar con el apoyo de las plataformas tecnológicas. Y aseguró que la Fiscalía no está preparada para resolver estas controversias por lo que se expedirá una directiva al respecto. El delegado de la protección de datos de la Superintendencia de Industria y Comercio, Nelson Remolina Angarita, señaló que este asunto de redes sociales tiene un impacto en la recopilación de datos personales. “Los datos son la moneda de oro del Siglo XXI y en internet hay millones de datos con los cuales se crean perfiles virtuales que afectan a las personas reales”, dijo. “El dato es un activo, es una columna vertebral de modelos de otras empresas, pero también como parte de la identidad de todos nosotros”, señaló. Para Remolina, también se debe pensar “en la calidad de la información”, ante la posibilidad que se engañe a una persona. Y planteó la posibilidad de que se advierta que un contenido está cuestionado, como vía para resolver controversias, mientras
Seguridad y Salud en el Trabajo: Acopi destaca el nuevo Sistema de Gestión de Seguridad y Salud en el Trabajo
Rosmery Quintero, presidente de Acopi, señala que es un paso hacia la simplificación normativa y fiscal, una propuesta del gremio desde hace un par de años. La Asociación Colombiana de Micro, Pequeñas y Medianas Empresas (Acopi) destacó ayer los requisitos del nuevo Sistema de Gestión de Seguridad y Salud en el Trabajo que aprobó el Gobierno nacional a través de la resolución 01312 del 13 de febrero de 2019. Rosmery Quintero, presidente de Acopi, destacó que el sistema es un paso en la flexibilización y para el aligeramiento de las cargas laborales y fiscales, lo que además es una propuesta del gremio desde hace un par de años. “Este es el resultado de una labor de hace dos años desde que la ley 1072 de 2015 sobre salud ocupacional fue aprobada y no tuvo en cuenta la diferenciación del tamaño de las empresas y la exigencia de que todas respondieran a 62 estándares”, dijo Rosmery Quintero. Explicó que con la Resolución 01312 del 13 de febrero de 2019, las mipymes ya no tendrán que cumplir los 62 estándares mínimos que se exigían. “Ahora estarán establecidos de acuerdo al número de empleados”, publicó en la red social Twitter la ministra de Trabajo, Alicia Arango. En la reducción de los estándares mínimos del Sistema de Gestión de Seguridad y Salud en el Trabajo se definieron que empresas de menos de 10 trabajadores solamente deben cumplir con siete estándares. De acuerdo con cifras de Fasecolda, y citadas por el Ministerio de Trabajo, en Colombia existen 575.235 empresas con de uno a 10 empleados. La resolución también señala que empresas con mínimo 11 empleados y máximo 50 trabajadores tendrán que cumplir 21 requerimientos en seguridad y salud. Y las unidades agropecuarias tendrán tres requerimientos. Para sociedades con más de 50 empleados la exigencia será 62 requerimientos. Rosmery Quintero agregó que este cambio obligará a las mipymes a que lo vean como una inversión, debe mejorar la productividad y la simplificación empieza a impactar en la cultura empresarial. “Con el ministerio de Trabajo y su división de riesgo hemos llegado a 14 ciudades y el impacto es unas 5 mil empresas. La resolución es más específica en que la ARL tiene que acompañar en la implementación. Es un gran cambio”. Fuente: https://www.elheraldo.co/economia/acopi-destaca-el-nuevo-sistema-de-gestion-de-seguridad-y-salud-en-el-trabajo-599112
Protección de Datos: Juristas e internautas piden que se recurra la ley que permite crear perfiles ideológicos
La proximidad de las elecciones generales del 28 de abril ha reabierto el debate sobre la ley que permite a los partidos políticos recopilar en páginas web y redes sociales opiniones políticas de los ciudadanos para confeccionar perfiles electorales. Varios juristas expertos en protección de datos y cuatro organizaciones especializadas en la defensa de los derechos digitales han presentado este lunes al Defensor del Pueblo una solicitud para que interponga recurso de inconstitucionalidad contra la reforma de la Ley Orgánica del Régimen Electoral General (LOREG). El artículo que ha desatado una fuerte contestación entre asociaciones de usuarios de Internet está recogido en la nueva Ley Orgánica de Protección de Datos (LOPD), aprobada a finales del año pasado. La disposición final tercera de esta norma incorpora el artículo 58 bis en la LOREG, que hace referencia a la utilización de medios tecnológicos y datos personales en actividades electorales, en general, y en la propaganda política, en particular. Este artículo prevé que los partidos políticos, coaliciones y agrupaciones electorales podrán recopilar, en páginas web y redes sociales, datos personales vinculados a las opiniones políticas de los ciudadanos para la realización de todo tipo de actividades políticas durante el periodo electoral. Según las organizaciones que se han dirigido al Defensor del Pueblo, esta medida posibilita realizar perfiles ideológicos y personalizar la propaganda electoral (microtargeting) con tecnologías de big data y de inteligencia artificial. Y no solo para enviar spam por correos electrónicos personalizados, sino también para contratar en las redes sociales mensajes personalizados para cada usuario en función de sus tendencias ideológicas. Este fue el origen el escándalo protagonizado por la empresa Cambridge Analytica, que utilizó la información obtenida de Facebook y de otras fuentes para enviar mensajes a los usuarios, fomentando la difusión de noticias falsas durante la campaña presidencial de EE UU de 2016 que dieron la victoria a Donald Trump. Entre los impulsores de esta solicitud figuran Borja Adsuara Varela, abogado y profesor de Derecho Digital; José Luis Piñar, abogado y catedrático de Derecho Administrativo, y Lorenzo Cotino, catedrático de Derecho Constitucional. Además, suscriben la petición representantes de la Asociación de Internautas, la Asociación de Usuarios de Internet, la Plataforma en Defensa de la Libertad de Información (PDLI) y la Asociación de Expertos Nacionales de la Abogacía Digital (ENATIC). Según estos expertos y organizaciones el artículo introducido en la legislación española vulnera el Reglamento General de Protección de Datos (RGPD) y podría conculcar derechos fundamentales. Este mismo planteamiento fue defendido por Unidos-Podemos en el Senado, el único grupo que se opuso a esta reforma. El mismo día de la votación anunció que presentaría recurso de inconstitucionalidad. Para los juristas que ahora solicitan al Defensor del Pueblo que siga esos pasos, los derechos constitucionales afectados afectarían a la protección de datos personales, la libertad ideológica, la libertad de expresión e información y el derecho a la participación política. Quienes defienden la ley insisten en que tal y como está redactado el artículo 58 bis no se pueden crear bases de batos ideológicas para enviar propaganda electoral personalizada ni se ampara el spam masivo, ya que en todo caso, el rastreo de datos solo se podrá llevar a cabo si existen las garantías adecuadas y en aras del interés general. Si los partidos husmean ilegalmente en las opiniones de los electores pueden sancionados con multas de hasta 20 millones de euros. La Agencia Española de Protección de Datos ya ha advertido que estará especialmente vigilante. Este organismo ha iniciado el trámite de audiencia de una circular, en la que realiza una interpretación restrictiva de este precepto y establece distintas garantías, “dada la tipología de los datos que se tratarían y que existe un alto riesgo para los derechos y libertades de las personas”. Algunos de los firmantes de la petición han lanzado la campaña #NoConMisDatos, en protesta por la utilización de su rastro digital para elaborar perfiles. Fuente: https://elpais.com/sociedad/2019/02/25/actualidad/1551108229_857392.html?fbclid=IwAR35ISvnUZCOgbVfDOFFUXa0ucRlVIg53zkqSNdcicbbZXEzCspiCCgenpE
Protección de Datos: WhatsApp evitará que te añadan a un grupo sin tu permiso
Hoy en día hay grupos de WhatsApp prácticamente para todo: para comunicarse con la familia, organizar cumpleaños o hablar con los compañeros del trabajo. En ocasiones abandonarlos resulta muy incómodo. Hay veces que incluso se desea nunca haber entrado. WhatsApp es consciente de ello y ha desarrollado una función que permite a los usuarios evitar que les añadan a un grupo sin su permiso, según informa WABetaInfo —un portal conocido por sus filtraciones sobre las novedades de WhatsApp—. De momento, esta nueva posibilidad solo está disponible para aquellos usuarios con el programa beta de iOS. Pero, según el mismo portal, se habilitará en el futuro para todos los dispositivos iOS y Android. La compañía ya añadió en 2018 una función similar en WhatsApp Business —la aplicación con funciones enfocadas a la gestión empresarial— para evitar que las compañías pudieran ser añadidas a grupos sin su consentimiento. En los últimos años esta configuración de privacidad se ha convertido en una demanda popular también entre gran parte de los usuarios de WhatsApp. La nueva versión permite al usuario escoger quién puede añadirle a un grupo. Dentro del apartado “grupos” en los ajustes de la aplicación, puede elegir entre “todos”, “mis contactos” o “nadie”. En el caso de que elija la primera opción, podrá ser añadido a cualquier grupo sin recibir ninguna invitación, tal y como ocurre en la actualidad. Si escoge la segunda, podrá ser añadido solo por sus contactos y recibirá una invitación para unirse a un grupo determinado cuando le invite una persona que no esté en su agenda. La tercera opción es útil cuando el usuario prefiera dar siempre su consentimiento antes de ser añadido a una conversación colectiva. En este caso, nunca podrá recibir dos invitaciones del mismo grupo al mismo tiempo. La invitación puede ser aceptada dentro de las primeras 72 horas después de recibirla. Si no, caducará y el usuario ya no podrá entrar al grupo hasta que reciba una nueva solicitud. Independientemente de cuál de las tres opciones se haya seleccionado, también será posible unirse a una conversación colectiva mediante un enlace, que no caducará. Cómo evitar que te añadan a un grupo WhatsApp es consciente de que algunos usuarios no quieren formar parte de determinadas conversaciones. “Comprendemos que no siempre quieras que te añadan a un grupo”, afirma la compañía en su página de preguntas y respuestas frecuentes. Por el momento, no es posible bloquear grupos. Pero sí se puede bloquear a administradores para evitar que te puedan añadir a los mismos. En el caso de que no se tenga al administrador guardado en la agenda del teléfono, hay que abrir el grupo de WhatsApp y pulsar en el asunto del grupo —en la parte superior de la pantalla— y en el número de teléfono del administrador. Cuando aparezca una ventana emergente con diferentes opciones, hay que seleccionar “enviar mensaje”. Entonces se abrirá un chat nuevo con el administrador. Después, hay que tocar en el número de teléfono que aparece en la parte superior de la pantalla, hacer scroll y pulsar en “bloquear”. A partir de ese momento, ese contacto no le podrá añadir más a ningún grupo, llamarle a través de la app ni enviarle mensajes. Fuente: https://elpais.com/tecnologia/2019/02/15/actualidad/1550219771_792492.html?fbclid=IwAR0Oq0LotO4YaPuzFvKBV0mOx51QxOdTAQB1ZJl5vk7QPR1W_YfUf8Yeqao
Protección de Datos: Novedades de protección de datos en marketing online
1. El nuevo marco regulatorio para Europa. El 25 de mayo de 2018 entró en plena aplicación la regulación europea en protección de datos. Se encuentra contenida en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos; RGPD). Publicado en el DOUE el 4 de mayo de 2016, desde entonces, 25 de mayo de 2016, está en vigor. Esta norma es de directa aplicación en toda Europa. Al ser un reglamento, a diferencia de las directivas comunitarias, su aplicación es directa sin necesidad de incorporación por los Estados miembros mediante trasposición a su Ordenamiento interno. Sin embargo, debido a la trascendencia de las nuevas normas y derechos regulados, será aplicable a partir del 25 de mayo de 2018 tras un plazo suficiente de adaptación. Así, desde entonces, cada Estado y todas las empresas y Administraciones públicas deberán realizar las modificaciones y ajustes necesarios para garantizar su cumplimiento. Asimismo, el pasado 6 de diciembre de 2018 se publicó la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD). Como reconoce su Exposición de Motivos, los reglamentos, pese a su característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión Europea. Como compendio de la relevancia de esta Ley Orgánica, su artículo 1 destaca que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. Por ello, esta regulación no solamente que tendrá por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 y completar sus disposiciones, sino que además pretende garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución. Así, en España, ha quedado ya derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Esta norma se ha caracterizado por una perspectiva estática: se ha articulado mediante la consideración de los ficheros como algo poco variable y notificados para su inscripción a la Agencia Española de Protección de Datos (AEPD). El Reglamento general de protección de datos, a escala europea, modifica sustancialmente la articulación de la protección de datos. En adelante, la perspectiva ya no será estática, sino principalmente dinámica, al atender más que a la estructura de los ficheros, sobre todo a los flujos de los datos personales que merecen protección. 2. Principales novedades de la protección de datos en el marketing online. El marketing online también se verá afectado por esta nueva regulación europea y nacional. Quienes trabajan en estos sectores ya prestan atención a los importantes cambios que se plantean, pues algunos suponen importantes medidas no siempre fáciles de cumplir, como por ejemplo la supresión del consentimiento tácito (prestado por la simple omisión del interesado) para ciertos tratamientos de datos personales. Así, sin ánimo exhaustivo, pueden destacarse algunas de las principales novedades de la regulación, tomando ya como definitivas las que incorpora la normativa española en proyecto tras su plena aprobación. Entre las medidas de necesaria implementación, se prevé el establecimiento en cada empresa o entidad del denominado “registro de las actividades de tratamiento”. Hasta el momento no es habitual que las entidades dispongan de ese “mapa de datos” y del ahora indispensable “mapa de flujos de datos”. Este registro ha de ser cíclicamente revisado y actualizado en función del habitual desarrollo de las actividades de la persona física o jurídica que procese los datos personales. Además, debe incluir la información establecida en el RGPD (art. 30), desde el nombre y datos de contacto del responsable o encargados de tratamiento y del delegado de protección de datos, hasta los fines del tratamiento o la descripción de las categorías de interesados y de las categorías de datos personales, incluida la descripción general de las medidas técnicas y organizativas de seguridad. Como hemos adelantado, la nueva regulación excluye el denominado “consentimiento tácito”, derivado de la manifestación de la negativa del afectado al tratamiento de sus datos, normalmente obtenido por la vía de no responder a una comunicación previa de la empresa o entidad responsable del tratamiento. Se prevé también la obligación de que el consentimiento del afectado para una pluralidad de finalidades de procesamiento de datos conste que se otorga de manera específica e inequívoca para cada una de ellas. Entendemos que ya no es posible obtener ni prestar un consentimiento genérico o difuso para múltiples finalidades. En relación con la capacidad de obrar y de prestar el consentimiento explícito, aparece una novedad respecto de los menores: se fija en 14 años la edad en que los menores ya pueden prestar su consentimiento personal para el tratamiento de sus datos, en consonancia con la normativa de otros países de nuestro entorno. Sin embargo, conviene tenerlo en cuenta en relación para el marketing online, pues algunas redes sociales como Facebook o Instagram no siempre confirman fehacientemente que los usuarios tengan una edad mínima de 14 años para crear una cuenta y pueden surgir situaciones ilegales si no se respetan dichas normas. Otras de las novedades destacadas en la nueva regulación es el tratamiento de datos de fallecidos, más si continúan siendo destinatarios de las acciones de marketing. La importancia de esta cuestión obedece a la natural proliferación de perfiles de personas difuntas, por ejemplo, en redes sociales, bases de datos digitales, etc., a medida que Internet y la tecnología han ido adquiriendo longevidad. Se colma así un vacío legal de creciente importancia social y que tiene consecuencias prácticas para las entidades que realizan acciones de marketing respecto de posibles fallecidos. En estos supuestos es oportuno saber que los herederos pueden solicitar el acceso a los datos del finado, así como su oportuna rectificación o supresión, con sujeción, en su
Ciberseguridad: Guía de ciberseguridad para el 2019
A pesar de las lecciones que ha dejado el mundo corporativo en los últimos años en cuanto a las vulnerabilidades que implica estar conectados, un reporte de la consultora EY que consultó a 1.400 líderes de riesgo y seguridad cibernética de algunas de las organizaciones más grandes del planeta, reflejó que el 80% de las juntas directivas no hacen de la ciberseguridad un tema estratégico para sus compañías. El 87% de las organizaciones todavía operan con niveles limitados de ciberseguridad y resiliencia, mientras que el 77% trabaja con medidas de protección básicas en materia de ciberseguridad y buscan avanzar hacia capacidades más alineadas con la realidad. Entre tanto, la mayoría de las organizaciones (el 77%) están dispuestas a buscar este año más allá de las técnicas básicas de seguridad cibernética para perfecciones sus capacidades, haciendo uso de tecnologías avanzadas como inteligencia artificial, automatización robótica de procesos y analítica de datos, entre otras. De acuerdo con Juan Mario Posada, líder de Asesoría en Ciberseguridad de EY Colombia, las organizaciones están invirtiendo cada vez más en tecnologías emergentes como parte de sus programas de transformación digital, y si bien han creado nuevas posibilidades de negocio, también se generan nuevas vulnerabilidades y amenazas. “Las compañías deben ser conscientes de que desarrollar un nivel de confianza con los clientes es fundamental para el éxito de sus programas de transformación. Para construir esta confianza, la seguridad cibernética debe estar integrada en el ADN de la organización, comenzando por convertirla en una parte integral de la estrategia empresarial y, como no, de la agenda de la alta gerencia», asegura Posada. Entre las principales preocupaciones de las organizaciones están que los empleados inconscientes se clasifican como la mayor debilidad (34%), sumado a que la mayoría de las organizaciones podrían no identificar todas las violaciones e incidentes de las que son víctimas (82%). Luisa Esguerra, directora regional de Symantec, le dijo a Dinero que a pesar de que han pasado más de dos décadas desde que el ‘pishing’ acaparó las instituciones, este método de engaño para conseguir información o datos como contraseñas, todavía sigue siendo una de las principales amenazas. Según análisis de Symantec, en 2019 los ciberterroristas explotarán los sistemas de inteligencia artificial (IA) y la utilizarán como herramienta estratégica para sus ataques. En este sentido, los defensores dependerán cada vez más de la inteligencia artificial para contrarrestar los ataques e identificar las vulnerabilidades. Así mismo, el aumento en la implementación y adopción de conexiones en la red 5G comenzará a expandir el área de superficie de ataque, mientras que los eventos basados en internet de las cosas (IoT, por sus siglas en inglés) irán más allá de los asaltos masivos a nuevas formas de ataque más peligrosas. Los grupos de ataque capturarán cada vez más datos en tránsitos, los ataques que explotan la cadena de suministro crecerán en frecuencia e impacto y las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad legislativa y reglamentaria. “El 2018 dejó consigo una actividad acelerada de amenazas en diferentes tipos de víctimas. Los ataques cibernéticos de los principales sistemas corporativos y sitios web continuarán a buen ritmo y formarán parte de la escena de ciberseguridad durante el 2019. Adelántese, pero sobre todo esté preparado para los retos y desafíos que se presentarán este nuevo año”, sugiere Symantec. Ojo con la protección de datos Si algo dejó el 2018 fue la preocupación por la privacidad. Esta se volvió la principal preocupación de muchas empresas en el marco de escándalos de filtración masivas de datos que pusieron en el ojo del huracán a compañías como Facebook, Google y Amazon. Entre tanto, entró en vigencia en la Unión Europea el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que deben cumplir no solo las compañías basadas en el antiguo continente, sino todas las que tengan alguna relación con organizaciones o clientes en ese territorio. Maximiliano Cantis, gerente regional de Eset dijo a Dinero que efectivamente la privacidad y la protección de los datos seguirá como una de las principales tendencias de seguridad durante el 2018. Esa compañía elaboró un informe en el que resaltó importancia y responsabilidad que recae en las compañías a la hora de proteger los grandes volúmenes de datos que han recopilado a lo largo de los años. De acuerdo con Eset, siguiendo la regulación de la Unión Europea, otras partes del mundo tomarán ese camino y analizan también la posibilidad de la existencia de una ley global. En cuanto a ‘malware’, el informe destaca para 2019 aquel utilizado para la minería de criptomonedas de manera ilegal. Si bien no fue el tema principal de 2018, la minería ilegal de criptomonedas tuvo un crecimiento en cuanto a la propagación (dentro de las que se destaca la práctica conocida como criptojacking) por lo cual seguramente ocupará un lugar destacado en el escenario de las amenazas para el próximo año. Por otro lado, se destaca el rol de los hogares inteligentes a partir del uso de los asistentes de voz. Las posibilidades existentes de que los criminales pueden aprovecharse de los dispositivos de internet de las cosas interconectados en el hogar y de esta manera invadir la privacidad, además se resalta el rol de los usuarios vinculado a la cantidad y el tipo de datos que se comparte con estos artefactos. Sector financiero Este es uno de los sectores más sensibles a la ciberseguridad. Este año la Superintendencia Financiera de Colombia empezará a hacer mayores exigencias a las instituciones que regula en esta materia. David López, vicepresidente para Latinoamérica de Cyxtera expresó a Dinero que “seguro” no siempre equivale a tener seguridad; por lo tanto, los criminales y los adversarios van a comenzar a jugar con lo que se considera como seguro. “Un canal de comunicación que hoy podemos decir que es seguro como una VPN no necesariamente genera una sensación de seguridad completa. Puede haber ataques que hoy estén abusando de VPNs, de usuarios que tienen VPNs con un sistema de autenticación inseguro, o aparentemente seguro, entonces lo que van a hacer los adversarios es comenzar a utilizar esto que parece seguro”, dijo
Sector financiero: principal objetivo de ciberdelincuentes, según estudio de IBM
La industria fue el foco del 19 por ciento de todos los incidentes monitoreados el año pasado por IBM X-Force, la división de monitoreo de amenazas cibernéticas de International Business Machines (IBM). Los bancos, las compañías de seguros y otras firmas financieras siguen siendo el principal objetivo de los delincuentes cibernéticos en todo el mundo, y reciben casi una quinta parte de todos estos ataques. La industria fue el foco del 19 por ciento de todos los incidentes monitoreados el año pasado por IBM X-Force, la división de monitoreo de amenazas cibernéticas de International Business Machines (IBM). El informe del Índice de inteligencia sobre amenazas de IBM X-Force de 2019 analizó los intentos de ataques, incidentes de seguridad y violaciones de datos, mientras que los estudios anteriores no incluyeron la última categoría. En 2017, el sector financiero se ubicó en el número 1 en incidentes, cuando los intentos de ataques se consideran lo suficientemente importantes como para ser investigados. Los delincuentes cibernéticos por motivos financieros representan los mayores riesgos para la industria, mientras que las amenazas de los estados nacionales con otros motivos han aumentado en los últimos tres años, consignó IBM X-Force en su informe. Muchas firmas financieras son conscientes de su vulnerabilidad y han incrementado sus defensas, indicó la firma. Los bancos más grandes de Estados Unidos invirtieron alrededor de US$1.000 millones cada uno en seguridad cibernética el año pasado y la mayoría de las empresas financieras de Estados Unidos dijeron que esperan gastar más este año, de acuerdo con una encuesta publicada en diciembre. Los bancos y las aseguradoras han mejorado en frenar los ataques cibernéticos incluso mientras aumentan los intentos de violar sus sistemas, según otro informe publicado en septiembre. Fuente: https://www.elespectador.com/tecnologia/sector-financiero-principal-objetivo-de-ciberdelincuentes-segun-estudio-de-ibm-articulo-842098
Protección de Datos: Google se muda hoy a Irlanda para gestionar desde Europa los datos de los usuarios de la UE
La nueva Política de Privacidad y de Condiciones de Servicio de Google ha entrado en vigor este martes 22 de enero, tras el paso de la prestación de servicios de Google LLC a Google Ireland Limited, lo que provoca cambios en la gestión de datos y la resolución de posibles conflictos. Google lleva un tiempo anunciando los cambios que ha introducido en su Política de Privacidad y de Condiciones de Servicio. Esos cambios se han hecho efectivos este martes y afectan a todos los usuarios residentes en la Unión Europea, Islandia, Liechtenstein, Noruega y Suiza, como explica la compañía en la página informativa. Google Ireland Limited, una compañía regida bajo las leyes de Irlanda, es ahora quien la que presta servicio en estos territorios en lugar de Google LLC, lo que supone ciertos cambios en el tratamiento de los datos y las políticas de privacidad, ya que pasarán a ser gestionados por la compañía irlandesa. «Google Ireland Limited es la entidad asociada de Google responsable del tratamiento de tus datos y del cumplimiento de las leyes sobre privacidad aplicables», señalan. Fuentes de Google consultadas por EL MUNDO explican que este cambio de sede facilitaría cualquier litigio judicial europeo, que hasta la fecha derivaba a la sede en California. En cuanto a las condiciones de servicio, el cambio más notable se refiere a la resolución de problemas con el usuario, que ahora estará sujeta a la legislación del país del usuario afectado, como bien explica la compañía. «Si eres un consumidor con residencia habitual en el Espacio Económico Europeo o Suiza, cualquier disputa derivada de estas condiciones o relacionada con ellas estará sometida a la legislación de tu país de residencia». Y en este sentido, «Google no está obligado ni se compromete a solucionar disputas ante una entidad de resolución de conflictos alternativa.» Por el contrario, las empresas «se rigen por la legislación inglesa» y tanto Google como la empresa aceptan someterse a la jurisdicción de los tribunales ingleses en caso de disputa, en el momento que la empresa acepte estas condiciones. Si bien Google podrá solicitar medidas cautelares en cualquier jurisdicción. Estas modificaciones entrarán en vigor en un plazo no inferior a 14 días a partir de la fecha de su publicación. Sin embargo, aquellas que afecten a nuevas funciones de un Servicio o los cambios que se hagan por cuestiones legales entrarán en vigor de forma inmediata. Fuente: https://www.elmundo.es/economia/empresas/2019/01/22/5c47118bfc6c83384a8b45e9.html
