Protección de Datos – ‘Habeas data’, derecho al olvido y publicación de decisiones judiciales
Al momento de generar una relación de tipo laboral, profesional o, incluso, amistosa o sentimental con alguna persona, casi todos los habitantes del planeta tomamos la precaución de buscar su nombre en las plataformas de búsqueda existentes en la red global de información. Allí, encontraremos sus redes sociales, algo sobre sus publicaciones en estas o en los medios de comunicación y, en el evento en que haya tenido algún tipo de proceso judicial en Colombia, aparece la respectiva sentencia, con sus nombres completos, la descripción de todo lo sucedido y el sentido de las decisiones que se dieron a lo largo de la actuación. Esta realidad no solo aplica para procesos penales, sino también para todos los asuntos legales, de manera que, con una consulta, podremos saber los términos en los que se dio su divorcio, las razones por las que fue despedido, un proceso penal en su contra en el que resultó absuelto y, a partir de allí, las personas acceden a información que solamente tiene relevancia para la actuación judicial en curso o para quienes, en el futuro, encuentren útil la decisión de la corporación que se trate. Pero no solo carece de utilidad, sino que genera un inmenso riesgo cuando se divulga abiertamente y puede ser consultado por cualquier ciudadano. En la sociedad del riesgo, tomamos todo tipo de precauciones al punto de llegar al extremo esquizofrénico de avalar y convivir con el denominado riesgo reputacional, que significa, en términos cotidianos, que no es del todo aconsejable que nos relacionen con ciertas personas y que ello podría generarnos consecuencias no deseadas, como negarnos una oportunidad laboral, financiera o, incluso, emocional. Si a ello se suma el avance que ha tenido en nuestro medio el derecho fundamental al habeas data, encontramos que las personas también deben tener un derecho al olvido digital y debe prevenirse la exposición innecesaria de datos personales que en nada guardan un interés para la comunidad. Por lo anterior, considero trasgresor de los derechos fundamentales al habeas data, a la intimidad y al buen nombre la publicación de las decisiones judiciales en la red global de información sin tener la cautela de excluir los nombres completos de las partes. ¿A quién le interesa, le aporta o en qué medida resulta relevante el que una persona que haya considerado ser objeto de un despido injustificado haya acudido a la jurisdicción laboral, en la que no encontró eco a sus peticiones? Por supuesto, el contenido de la decisión podrá ser relevante para las partes del proceso y quienes consideren que lo resuelto podría ser aplicable a casos similares, pero la realidad es que al revelar el nombre del ciudadano accionante se está dando a conocer un dato sensible sin relevancia alguna y se le está causando un daño al exponer situaciones de su intimidad sin justificación alguna. De hecho, en otras latitudes, se dan a conocer solo los aspectos relevantes de las decisiones judiciales o, si se publican completas, siempre se eliminan los nombres de las personas involucradas, sin importar la naturaleza del asunto. No faltará quien diga que cuando se trata de asuntos penales, la comunidad tiene derecho a conocer el pasado de una persona. Al respecto, cuando estamos frente a esta naturaleza de decisiones, tenemos que señalar que dentro de las penas contenidas en nuestro Código Penal no se encuentra la de infamia (propia de otras épocas) y que todo ciudadano que ha purgado una pena tiene derecho al olvido, pues solamente así podrá materializarse su reintegro a la sociedad. La invitación es a que se eliminen de las decisiones judiciales los nombres de las partes, por ser información irrelevante para el conocimiento colectivo, cuya divulgación genera afectaciones a las partes involucradas en un proceso legal. Fuente: https://www.ambitojuridico.com/noticias/columnista-impreso/habeas-data-derecho-al-olvido-y-publicacion-de-decisiones-judiciales
Ciberseguridad – ¡Ojo! Estos son los ciberdelitos que más se cometen en Colombia
Cada vez los delincuentes encuentran nuevas y mejores formas de actuar. Por eso, los delitos y fraudes cibernéticos se han convertido en un dolor de cabeza para ciudadanos y autoridades, en especial con el incremento del uso de canales electrónicos para compra y venta de diferentes bienes o servicios. Por esa razón, las autoridades recordaron los riesgos que hay por la acción de los delincuentes que se valen de diferentes medios para cometer este tipo de delitos. Un informe del Centro Cibernético Policial Nacional y la Dijín sobre cibercrimen, señala que las ciudades que más presentan este tipo de delitos son: Bogotá, con 12.981 casos; Medellín, 3.442; Cali, 2.363; Barranquilla, 1.809 y Bucaramanga, 1.256. Las autoridades advirtieron que estos casos han crecido debido a que muchas personas, por cuenta de la pandemia, incrementaron el acceso a internet para adelantar diferentes diligencias que antes se hacían de forma presencial, como en el caso de los bancos. En estos casos las claves de las tarjetas débito y crédito tienen la posibilidad de quedar guardadas en los equipos que utilizan los usuarios, lo que abre la posibilidad a que los delincuentes aprovechen estas circunstancias. La Policía señaló que durante 2020 y en lo que va corrido de 2021, en medio de la pandemia, estos delitos crecieron tanto frente al acceso abusivo a sistema informático, como la violación de datos personales y el hurto por medios informáticos. El balance oficial señala que el robo por canales informáticos encabeza la lista de delitos desde 2020 con 13.000 casos; seguido de violación de datos personales, con 7.001 casos; suplantación de sitios web, con 4.353; transferencias no consentidas de activos, con 2.632 e interceptación de datos informáticos, con 1.231. “La lucha contra el ciberdelito ya registra 187 capturas en 2021, 39 de estas han sido por abuso sexual a través de internet. También hay un aumento en las denuncias del 17 %, 33.465 casos gracias a campañas de prevención”, indicó el coronel Julián Buitrago, del Centro Cibernético Policial. Indicó que así como han crecido los casos de ciberdelito, las autoridades avanzan en las acciones para enfrentar estas acciones delictivas. Aseguró que gracias a los operativos contra esos delitos ha sido posible bloquear 5.100 páginas por contenido de abuso sexual infantil y malicioso, en tanto que 482 portales han sido cerrados por spam, malware y phishing; así como 150 noticias falsas desvirtuadas con fuentes oficiales. Las autoridades indicaron que son varias modalidades las utilizadas para cometer esos delitos y las cifras de los últimos meses que se han conocido hasta el momento son: – Estafa por compra o venta de productos: 2.391 casos o incidentes reportados. – Phishing: 1.753 casos. – Suplantación de identidad: 1.776 casos. – Vishing: 1.087 casos. – Malware: 1.045 casos. – Amenaza a través de redes sociales: 972 casos. – Injuria o calumnia a través de redes sociales: 676 casos. De la misma manera, el Centro Cibernético Policial ha recibido información sobre la comisión de otros delitos cibernéticos que han quedado registrados en sus registros y que han sido denunciados través del CAI Virtual: – 11.950 incidentes y 7.862 correos gestionados durante el presente año. – 845 comunicaciones Internacionales Intercambiadas. – 640 muestras de malware analizadas. – 180 charlas preventivas dirigidas a NNA, padres de familia y profesores. Las autoridades hicieron un llamado a los ciudadanos para tener cuidado y utilizar solo canales seguros, así como denunciar posibles casos de cibertaque para intentar desactivar las organizaciones delincuenciales dedicadas a este olícito. Uno de los casos más recientes y que refleja la vulnerabilidad que hay en internet es el de la periodista y presentadora Jéssica de la Peña, quien a través de sus redes sociales puso en conocimiento que en la madrugada de este jueves le vaciaron la cuenta bancaria y además, quedó sobregirada. Me despierto a las 5:30 am y me encuentro con que se metieron a mi portal de @Davivienda y me desocuparon mis cuentas. Incluso hasta me dejaron sobregirada. Todo lo hicieron durante la noche y madrugada mientras dormía. Ayer casualmente leí tweet de alguien que le pasó lo mismo. — Jessica De La Peña (@Jessie_Dlp) October 7, 2021 “Me despierto a las 5:30 a. m. y me encuentro con que se metieron a mi portal de Davivienda y me desocuparon mis cuentas. Incluso hasta me dejaron sobregirada. Todo lo hicieron durante la noche y madrugada mientras dormía. Ayer casualmente leí un tweet de alguien que le pasó lo mismo”, denunció la periodista. Otro periodista, Carlos Sarria, también denunció que fue víctima de este delito: “Me desocuparon la cuenta de Davivienda a la 1 de la mañana. No contentos con eso, sacaron un crédito a mi nombre por más de 20 millones de pesos. Qué pasa Davivienda con la seguridad de su aplicación??? Es la segunda vez que me pasa”. Me desocuparon la cuenta de @Davivienda a la 1 de la mañana. No contentos con eso, sacaron un crédito a mi nombre por más de 20 millones de pesos. Qué pasa @Davivienda con la seguridad de su aplicación??? Es la segunda vez que me pasa. — Carlos Sarria (@sarriamo) October 6, 2021 Estos dos casos pusieron en evidencia nuevamente la vulnerabilidad de algunos sistemas que ponen en entredicho la seguridad en medios electrónicos a los que están expuestos los ciudadanos. Fuente: https://www.semana.com/tecnologia/articulo/ojo-estos-son-los-ciberdelitos-que-mas-se-cometen-en-colombia/202127/
Ciberseguridad – ¡Pilas!: una de las ‘apps’ más descargadas en Android roba datos bancarios
Bajo la falsa promesa de poder editar documentos en formato PDF, decenas de delincuentes informáticos han construido páginas de internet cuyo principal objetivo es robar información de las personas que las utilizan. En medio de la ‘estandarización’ de ese tipo de archivos, y a pesar de sus barreras de seguridad, las intenciones maliciosas detrás de esos softwares ‘milagrosos’ han migrado a las grandes tiendas de aplicaciones móviles. Precisamente, en las últimas horas, varios portales especializados han reportado con emergencia el componente malicioso de una de las apps más descargadas en Google Play: PDF+. El aplicativo en cuestión prometía en su descripción (que por lo visto era plagiada de otra app) poder editar y añadir texto e imágenes en los archivos PDF. Sin embargo, a pesar de las más de 10.000 descargas que tuvo, y las decenas de reseñas que la ‘respaldaban’, PDF+ era un preocupante anzuelo para estafas cibernéticas. Quien optaba por descargarla no avizoraba nada extraño en un principio. En realidad, las anomalías aparecían en el momento de abrir la app. Así funcionaba el ‘software’ malicioso De entrada, el aplicativo exigía que el usuario instalara una actualización y un archivo APK (Paquete de Aplicación Android) de Flash Player que, según registraron diarios como La Vanguardia, dejó de tener soporte oficial en 2012. La persona que llegaba hasta ese punto recibía después un mensaje de solicitud de acceso de la app a cierta información del dispositivo (el rutinario mensaje que muchos aceptan sin leer en otros softwares populares). En ese instante: el momento de no retorno. Quien aceptara ese requerimiento ‘autorizaba’ a que un troyano bancario invadiera su dispositivo y tuviera facilidad para extraer los datos necesarios para desocupar sus cuentas. Lo peor de todo es que, confirmada la solicitud, resultaba casi imposible eliminar la app porque el virus ‘tomaba’ el control del dispositivo. Por suerte, según se ha podido confirmar, PDF+ ya no está disponible en Google Play. La opción oficial ( y segura) de Adobe Acrobat Pro DC Aunque muchos colombianos están acostumbrados a entrar a algunas páginas web para modificar o convertir archivos PDF, Adobe Inc., la empresa detrás del popular formato tiene dispuesta la versión Pro del gratuito Adobe Acrobat Reader. Con ella, las personas que trabajan frecuentemente con PDF pueden garantizar la seguridad de sus documentos y datos pagando alrededor de 56.000 pesos por mes. Eso sí, si lo suyo es cuestión de días u horas, la aplicación ofrece 7 días de prueba gratis que puede hacer efectiva accediendo a la página web de Adobe. Fuente: https://www.eltiempo.com/tecnosfera/apps/editar-pdf-con-aplicacion-pdf-de-google-play-es-un-virus-para-android-631277
Ciberseguridad – La ciberextorsión es un problema mundial: 30 países revelan sus experiencias
Una “catástrofe” digital en Alemania, crecientes ataques en los Emiratos Árabes Unidos, o una ofensiva en curso en Israel: los países revelaron el miércoles sus luchas contra los ciberextorsionistas en una cumbre virtual contra el delito cibernético organizada por Washington. Estados Unidos ha invitado a unos 30 países —con la excepción notable de Rusia— para mejorar la cooperación ante estos ataques costosos y disruptivos que se multiplican en el mundo. Desde el inicio, Yigal Unna, jefe del Directorio Nacional Cibernético de Israel, informó sobre el más reciente incidente: “Puedo revelar ahora que Israel experimenta, mientras hablamos, un poderoso ciberataque con fines extorsivos contra uno de sus principales hospitales”. De acuerdo con las experiencias planteadas en el foro, la amenaza es dolorosa, generalizada y creciente. Alemania recordó que este verano, por primera vez, un gobierno local en el distrito de Anhalt-Bitterfeld en el este declaró un estado de “ciberdesastre” tras ser afectado por un ataque cibernético extorsivo. Estados Unidos también ha sido víctima, especialmente en la primera mitad de 2021, de numerosos ciberataques extorsivos contra negocios. Esos ataques implican la violación de las redes de una entidad para encriptar sus datos, y luego el pedido de un rescate, generalmente pagable en criptomonedas, a cambio de la llave para desencriptarlos. “Hablamos de (…) un incremento de alrededor de 70 % en un año en Corea del Sur, 200 % en los Emiratos Árabes Unidos”, dijo Anne Neuberger, asesora adjunta de Seguridad Nacional para el Ciberespacio de Estados Unidos. Los ataques a hospitales en Irlanda y la República Checa, así como severas interrupciones de la infraestructura marítima en Sudáfrica estuvieron entre las experiencias narradas. Rusia no fue invitada Gran Bretaña, Australia, India, Japón, Francia, Alemania, Corea del Sur, la Unión Europea, Israel, Kenia, México y otros se unieron a la cumbre que inició el miércoles y seguirá el jueves. “Ningún país, ni ningún grupo puede resolver ese problema por sí mismo”, advirtió Jake Sullivan, asesor de Seguridad Nacional de la Casa Blanca. “Nuestros gobiernos pueden tener diferentes acercamientos con respecto a las herramientas empleadas para combatir la ciberextorsión, pero reconocemos la urgencia de la amenaza”, declaró. Alabó particularmente la participación activa de Australia, Alemania, India y Gran Bretaña en la preparación del encuentro. Estos países han organizado talleres que se desarrollarán miércoles y jueves alrededor de cuatro temas: crear resiliencia ante los intentos de extorsión, el papel de las criptomonedas en lavar el dinero de los rescates, judicialización y diplomacia. Sobre la ausencia de Rusia, un importante oficial de la Casa Blanca dijo que “en esta primera ronda de discusiones no invitamos a los rusos a participar”. La fuente dijo que Washington y Moscú ya han establecido un “canal aparte” de comunicación sobre el tema. Aunque Moscú rechaza cualquier responsabilidad, la mayoría de los ataques extorsivos recientes contra Estados Unidos han sido achacados a grupos de hackers rusos o que operan en territorio ruso. El presidente de Estados Unidos, Joe Biden, habló con su homólogo ruso, Vladimir Putin, en julio, pidiéndole “tomar acciones” contra los grupos de ciberextorsionistas que operan en Rusia. “Hemos visto que el gobierno ruso ha dado algunos pasos y esperamos que le sigan acciones”, dijo el oficial de la Casa Blanca. Fuente: https://www.elespectador.com/tecnologia/la-ciberextorsion-es-un-problema-mundial-30-paises-revelan-sus-experiencias/
Protección de Datos – WhatsApp: nueva función permite esconder información personal de contactos específicos
En febrero de este año, WhatsApp celebró su décimo segundo aniversario desde su fundación en 2009, asegurando que desde entonces ya son más de 2 mil millones las personas que han decidido unirse a su plataforma en busca de una opción con la cual mantenerse comunicadas con su familia y amigos. Teniendo en cuenta esto, la aplicación propiedad de Meta (casa matriz de Facebook) sabe que para fidelizar a sus usuarios y conquistar a otros es necesario mantener actualizada su app, tanto en Android (sistema operativo móvil de Google) como en iOS (sistema operativo de Apple). Por esto, en 2021 la empresa ha sorprendido con varias herramientas con las cuales los internautas han podido mejorar su experiencia virtual. Algunas de estas son: ingresar a llamadas y videollamadas aun cuando estas ya iniciaron, el modo multidispositivo que permite tener abierta la sesión de WhatsApp en hasta cuatro dispositivos diferentes y la posibilidad de migrar información de celulares iOS a Android y viceversa, entre otras opciones. Sin embargo, una de las más atractivas para todos los usuarios que aman proteger al máximo su privacidad es aquella que permitirá restringir cuáles contactos pueden ver información relevante como última hora de conexión, foto de perfil o los detalles en “Acerca de”. “¿Qué está introduciendo WhatsApp? WhatsApp planea agregar una nueva opción “Mi contacto excepto…” para Última vez, Imagen de perfil y Acerca de, para que finalmente pueda excluir un contacto para ver datos específicos sin configurarlo en ‘Nadie’”, explicó el portal especializado en actualizaciones de WhatsApp, WABetaInfo. Aunque esta noticia ya se había anunciado hace algunas semanas, lo cierto es que la opción se encontraba aún en etapa de desarrollo, por lo que ninguna persona podía gozar de la misma. En las últimas horas se informó que esta función ya se encuentra disponible para que los probadores beta de iOS puedan experimentar con la misma. De acuerdo con la información de WABetaInfo, la función llegará en la versión beta de WhatsApp para iOS 2.21.230.15 y solo estará disponible, al menos por ahora, para algunos probadores beta específicos; esto quiere decir que no todas las personas tendrán la opción de experimentar con esta herramienta en este primer acercamiento que ofrece WhatsApp. Aun así, el hecho de que algunos probadores ya tengan la oportunidad de usarla hace que los demás usuarios tengan la esperanza de tener la opción “Mis contactos excepto…”, en las próximas semanas. Cabe recordar que, en el caso de Android, las personas cuyo celular cuenten con este sistema operativo deberán esperar para al menos tener esta función en estado beta. “A mis contactos excepto…”#WhatsApp te dejará ocultar tu última conexión a contactos específicos es decir sobre quién puede ver o no nuestro estado 'en línea'. pic.twitter.com/boH2wvUyPK — RevoluTegPlus (@revoluteg) September 7, 2021 ¿Qué cambia con esta herramienta? Las personas que han experimentado a fondo con las opciones de privacidad de WhatsApp habrán notado que la aplicación permitía en el pasado restringir la vista de la hora de última vez, la foto de perfil y la información personal bajo tres categorías: “Todos”, “Mis contactos” y “Nadie”. Sin embargo, la empresa se dio cuenta que estas tres opciones se mostraban extremistas, teniendo en cuenta que en caso de restringir la visibilidad de la información con “Mis contactos”, el usuario tampoco podría ver los detalles de todas las personas que tenía registradas en su lista de ‘amigos’ en WhatsApp. Por esto, la incorporación de una cuarta categoría (“Mis contactos excepto…”) era una tarea necesaria. Con esta, los usuarios ya pueden escoger cuáles son los contactos a los cuales quieren restringir la visibilidad de su información, de manera específica y sin necesidad de que paguen “justos por pecadores”. “Cuando excluye un contacto, el contacto no necesita usar una versión actualizada de la aplicación, porque el servidor administra automáticamente esta configuración por usted. Por lo tanto, cuando esta función esté habilitada (…) puede comenzar a excluir contactos de inmediato”, concluye la información de WABetaInfo. Fuente: https://www.semana.com/tecnologia/articulo/whatsapp-nueva-funcion-permite-esconder-informacion-personal-de-contactos-especificos/202116/
Protección de Datos – Superindustria multa a Claro por usar base de datos de portabilidad numérica para fines de marketing no autorizados
Bogotá, D.C., 21 de octubre de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a la empresa CLARO (COMUNICACIÓN CELULAR S.A. – COMCEL S.A.) con una multa de NOVECIENTOS CINCUENTA MILLONES DE PESOS ($950,000,000) por haber utilizado la base de datos de portabilidad numérica donde se encuentran registrados la totalidad de los números de telefonía celular en el país para realizar campañas masivas de marketing para la captación de nuevos clientes. En la decisión se destacó que en Colombia existe una base de datos de portabilidad numérica creada por la Ley 1245 de 2008 y reglamentada por la resolución 5050 de 2016 de la Comisión de Regulación de Comunicaciones, cuya finalidad específica es la de lograr, con la interacción de la totalidad de los operadores de telefonía celular, la consecución de la portabilidad numérica de acuerdo con el plan nacional de portabilidad bajo criterios técnicos estandarizados. No obstante lo anterior, CLARO aprovechó el acceso a dicha base de datos y obtuvo información de millones de personas para realizar una captación masiva de clientes de otros operadores sin contar con la autorización previa, expresa e informada de los titulares y con una finalidad absolutamente distinta la establecida en la Ley 1245 de 2008. Se logró establecer que, entre enero de 2020 y abril de 2021, CLARO efectuó alrededor 7.425.820 llamadas no autorizadas a usuarios de otros operadores realizando un tratamiento indebido a la información contenida en la base de datos de portabilidad numérica y generando ganancias que ascienden aproximadamente a $13,416,000,000 como ganancia total presuntiva generada por el uso indebido de la base de datos de portabilidad numérica. En la decisión, que se tomó a través de la Resolución 67646 de octubre de 2021, también se le ordenó a CLARO abstenerse de continuar utilizando los números telefónicos contenidos en la Base de Portabilidad Numérica para realizar campañas de marketing o telemercadeo para la captación masiva de clientes de otros operadores de telefonía celular, y que elimine de sus bases de datos la información obtenida de la base de datos por portabilidad numérica para fines de marketing. Para el efecto, cuenta con un plazo noventa (90) días siguientes a la ejecutoria de la citada resolución. Además, se ordenó remitir copia de la actuación administrativa para lo de su competencia a: Ministerio de Tecnologías de la Información y las Comunicaciones; la Dirección de Investigaciones de Protección de Usuarios de Servicios de Comunicaciones de la Delegatura de Protección al Consumidor de la Superintendencia de Industria y Comercio; y, la Comisión de Regulación de Comunicaciones. Contra la decisión proceden los recursos de reposición y apelación. Documentos : Resolución 67645 del 2021 Fuente: https://www.sic.gov.co/slider/superindustria-multa-claro-por-usar-base-de-datos-de-portabilidad-num%C3%A9rica-para-fines-de-marketing-no-autorizados
Ciberseguridad – Ten cuidado con los correos que recibes: Gmail se convierte en una plataforma para realizar ‘ataques de cebo’
Desafortunadamente, desde 20Bits seguimos informando sobre los ataques de cebo que se producen en Internet, especialmente de los correos electrónicos que van incluidos con la técnica de phishing para realizar los ciberataques a través de cuentas de Gmail. Por si no lo sabías, un ataque de cebo es una subclase de phishing donde los ciberdelincuentes tienen la intención de recopilar información personal o bancaria para llevar a cabo más estafas en el futuro. Para reconocer este tipo de correos, los mensajes vienen incluidos con preguntas básicas a pesar de que otros vienen sin ningún texto incorporado. En el caso de que recibas un correo vacío debes saber que los ciberdelincuentes usan esta táctica para que los usuarios confirmen que la dirección del destinatario sea válida, asegurar que la cuenta se usa de manera activa, comprobar la eficacia de las soluciones automatizadas de detección de spam y certificar la susceptibilidad a los mensajes no solicitados. Asimismo, se debe tener en cuenta que estos correos no incluyen ningún tipo de enlace que dirija a webs de phishing o archivos adjuntos, por lo tanto, pasan sin ningún tipo de problema el sistema de defensa porque no están etiquetados como maliciosos. Las estadísticas de Barrucada afirman que el 91% de los mensajes se envían desde cuentas que se han creado recientemente en Gmail. ¿Quién iba a dudar de esta plataforma siendo que ofrece confianza a los usuarios? Dicho servicio de Google posee una gran reputación a pesar de que permite la creación de cuentas anónimas. ¿Qué pasa si caigo en la trampa? Barrucada quiso responder a un correo electrónico para comprobar el hecho de qué pasaría. En un periodo de 48 horas, el empleado de la empresa de seguridad recibió un ataque de phishing que se empleó como un reclamo de compra falsa de Norton LifeLock. Los usuarios no deben responder a los mensajes para evitar estas situaciones, así pues, lo más recomendable es que se eliminen antes de abrirlos. Fuente: https://www.20minutos.es/tecnologia/ciberseguridad/ten-cuidado-con-los-correos-que-recibes-gmail-se-convierte-en-una-plataforma-para-realizar-ataques-de-cebo-4892659/
Protección de Datos – La fuga de datos en bufetes abre la caja de Pandora
Los Papeles de Pandora, filtración de 12 millones de documentos secretos de 14 bufetes de abogados, no solo han destapado los secretos financieros de 35 jefes y ex jefes de Estado y más de 330 altos cargos y políticos en 91 países, sino que también ha servido para recordar las obligaciones sobre protección de datos. El despacho Alcogal, con sede en Panamá, manejó 253 sociedades ligadas a españoles en paraísos fiscales, actividades legales si se declaran a las autoridades donde el beneficiario tiene su domicilio fiscal. Esta filtración se sustenta en el acceso a informes que los bufetes deben remitir a las autoridades cuando detectan alguna ilegalidad. El bufete que aparece con más frecuencia en los Papeles de Pandora es Trident Trust, que abrió sus oficinas en las islas del canal de la Mancha en 1978. En Iberoamérica, estas actividades puestas al descubierto son del despacho OMC Group, constituido en 1955, con sede en Panamá. También afecta a la reputación de Baker McKenzie, el bufete más grande de EE UU y con oficinas en España, que aparece en la investigación por su asesoramiento en más de 440 empresas registradas en paraísos fiscales, aunque no hay registros internos del despacho entre los archivos filtrados. Escándalos públicos como los Papeles de Panamá o Football Leaks tienen su origen en una fuga de información en despachos de abogados que evidencian la necesidad de establecer mecanismos de protección de datos en los bufetes. En España, más del 75% de los 150.000 letrados ejercen en solitario o asociados con otros compañeros en pequeños despachos. La gestión diaria del bufete, la atención personal a clientes y la dedicación a preparar los juicios provocan que los pequeños despachos apenas presten atención a sus obligaciones sobre protección de datos. Estas carencias en protección de datos “también afectan a despachos medianos”, asegura el abogado Alfonso Pacheco; una insuficiencia no exclusiva de los letrados, “se da en los procuradores, en toda profesión liberal, el mundo empresarial y, casi en mayor medida, en el sector público”. Muchos letrados olvidan la obligación de cumplir con la Ley Orgánica de Protección de Datos Personales y Garantías de los Derechos Digitales. Es una normativa desconocida. Aunque sea de obligado cumplimiento para el abogado y para el procurador, no se incluye en los planes de estudio del grado de Derecho. Normativa obligatoria Para Pacheco, es necesario que el abogado sea “consciente de que el cumplimiento de esta normativa es obligatorio y que su incumplimiento puede acarrear no solo sanciones de carácter económico, sino incluso un daño reputacional”. Los Papeles de Panamá costaron al bufete Mossack Fonseca –con 44 filiales repartidas por muchos países, sobre todo en China– el cierre total de sus operaciones en 2018, dos años después de revelarse el escándalo financiero. Aunque haya desaparecido la obligación de la inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD), los letrados están obligados a cumplir la normativa porque acceden a datos de carácter personal de sus clientes en el ejercicio de sus atribuciones y competencias; además, someten estos datos a tratamiento automatizado por medios informáticos o de forma manual mediante la agenda de clientes. Los abogados son los responsables del cumplimiento de tratar los datos de manera lícita, que sean exactos, recogidos con fines determinados, adecuados, pertinentes y limitados a lo necesario y además deben ser capaces de demostrarlo, lo que se denomina “responsabilidad proactiva”. Ricard Martínez, profesor de Derecho Constitucional de la Universitat de València y director de La Ley Privacidad, hace una primera recomendación “casi emocional, no se trata de aplicar una normativa más, no es burocracia, protegemos la integridad y las libertades de las personas que confiaron en nuestro despacho. Y ello implica una serie de decisiones sustanciales”. Entre estas recomendaciones cabe destacar diseñar el cumplimiento con rigor y siguiendo las metodologías del Reglamento General de Protección de Datos; utilizar las soluciones en la nube solo de proveedores confiables; en relación con los proveedores, disponer de un contrato adecuado de encargado del tratamiento… pero, sobre todo, garantizar adecuadamente los derechos de las personas. Confidencialidad Uno de los principios fundamentales de la abogacía es garantizar la confidencialidad de los datos de sus clientes, que viene reforzado con la obligación del secreto profesional. Los bufetes tienen que tener una especial atención para evitar el acceso ilegítimo a la información y para ello deben tratar los datos de acuerdo con los principios recogidos en la normativa europea. Para autorizar la recogida de datos, lo más adecuado es la hoja de encargo profesional. Entre las brechas más habituales en las medidas de seguridad sobre confidencialidad están remitir a un compañero un modelo de demanda sin anonimizar los datos, recibir a clientes con varios expedientes sobre la mesa del despacho, tras un juicio tomar un café con documentación sobre la barra del bar… En relación al uso de las nuevas tecnologías, los olvidos más comunes son el envío de documentos a través de WhatsApp, utilizar los ordenadores de las dependencias judiciales o colegiales sin eliminar documentos dejados en el escritorio digital, no cerrar debidamente las sesiones de Drive o Dropbox, compartir ordenador con familiares o compañeros o dejar a los hijos que hagan uso del teléfono móvil profesional. Si ha habido una fuga de datos en el bufete con riesgo probable para los derechos y libertades de sus clientes, los letrados europeos están obligados a notificar esta situación a la autoridad de control competente en un plazo de 72 horas. Pero si el riesgo no solo es probable, sino que se considera alto (como ocurre en los Papeles de Pandora), los profesionales de la abogacía están obligados a notificar esta brecha de seguridad también a los propios interesados sin dilación, con el innegable daño reputacional. Ante una inspección de la AEPD, Ricard Martínez recomienda actuar con responsabilidad proactiva, “porque no solo estará cumpliendo la norma, sino que podrá presentar evidencias” y aprovechar todas las posibilidades que la ley y la propia agencia ofrecen. Si se produjo infracción, la mejor opción consiste en centrar
Ciberseguridad – Compañías listadas en el ojo de la ciberseguridad
El aumento en el número e impacto de ciberataques a nivel global ha puesto bajo la lupa de las autoridades los controles de las compañías en temas de ciberseguridad. Estados Unidos (EE.UU.) experimentó un incremento de regulación en la materia y Colombia puede seguir la tendencia. ¿Qué está sucediendo? Incidentes como el de SolarWinds, Colonial Pipeline y JBS reportados en 2021, que comprometieron la información de más de 30.000 entidades, así como la estabilidad y operación de la infraestructura energética y del sistema alimenticio de EE.UU., impulsaron al gobierno de ese país a tomar cartas en el asunto. Debido a la gravedad de los ciberataques, la Securities and Exchange Commission, responsable de regular la seguridad en el mercado de capitales y proteger inversores, tomó cartas frente a las compañías listadas, requiriéndoles información, imponiendo órdenes y sanciones. ¿Qué medidas ha tomado Colombia? En Colombia, la Superintendencia Financiera de Colombia (SFC), en ejercicio de sus facultades, hizo un esfuerzo por regular la materia. El Decreto 151 de 2021 modificó el régimen de revelación de información para emisores de valores e introdujo un criterio de materialidad de la información para revelarla al mercado. Bajo este criterio, el emisor debe considerar como información material aquella que sería tenida en cuenta por un inversionista prudente y diligente al momento de comprar, vender y/o conservar los valores del emisor, o al momento de ejercer los derechos políticos inherentes a tales valores. Dicho criterio podría implicar, entre otras cosas, que los emisores de valores deban reportar al mercado incidentes de ciberseguridad que afecten o puedan impactar sus operaciones. Si bien en Colombia existe un marco regulatorio mediante el cual se obliga a las compañías a implementar requerimientos mínimos para la gestión de la seguridad de la información y reportar incidentes, los recientes acontecimientos y el movimiento regulatorio en EE.UU. pueden despertar un especial interés de la SFC en reforzar las obligaciones o implementar sanciones para las compañías que no tomen las medidas ni cumplan con un estándar adecuado. Adicionalmente, cabe mencionar que las compañías listadas en la Bolsa de Valores de Colombia podrían enfrentar una mayor responsabilidad debido a la sensibilidad de los recursos que administran y la información que manejan. Finalmente, las medidas a implementar para prevenir ciberataques están vinculadas con la seguridad en las políticas de tratamiento de datos personales, en la medida en que se pueden prevenir incidentes que excedan el ámbito de la anterior Circular y puedan abarcar incluso infracciones al régimen de protección de datos (Ley 1581 de 2012). ¿Qué medidas se deben adoptar para prevenir incidentes? Las compañías deben prepararse para gestionar y cumplir con medidas más estrictas. Es importante que auditen y robustezcan sus medidas técnicas, organizacionales y jurídicas para prevenir incidentes de ciberseguridad y sanciones que tengan en cuenta obligaciones de reporte de incidentes. Asimismo, revisar su cadena de seguridad de la información, y asegurarse de que en todos los eslabones de la cadena se cumpla con los estándares y protocolos exigidos. Fuente: https://www.asuntoslegales.com.co/consultorio/companias-listadas-en-el-ojo-de-la-ciberseguridad-3251418
