Protección de Datos – Bélgica puede ejercitar acciones judiciales contra Facebook por un tratamiento transfronterizo de datos
El Tribunal de Justicia de la Unión Europea, en su sentencia de 15 de junio de 2021, asunto C-645/19 (Facebook vs DPA Belga), confirma el poder de las autoridades nacionales de protección de datos frente a Facebook y establece las condiciones para que las autoridades nacionales de control de datos de un Estado miembro puedan iniciar acciones judiciales por el tratamiento transfronterizo de protección de datos. En el caso, que enfrentaba a la autoridad de datos belga y la multinacional tecnológica de Mark Zuckerberg desde hace más de cinco años, la filial belga de la red social afirmaba en su recurso de apelación que, en virtud de la normativa europea, la única autoridad de protección de datos facultada para incoar un procedimiento en relación con el tratamiento transfronterizo de datos era la Comisión de Protección de Datos de Irlanda (DPC), ya que la sede europea de la empresa está en Dublín. Sin embargo, el TJUE acepta que la autoridad belga sea competente en estos casos. Si bien es cierto que con carácter general la competencia para interponer acciones la tiene la autoridad de protección de datos del Estado miembro en el que el responsable tiene su establecimiento principal, en su pronunciamiento el TJUE considera que si la legislación nacional de un Estado miembro faculta a su autoridad de control de datos para iniciar o ejercitar acciones judiciales por cualquier supuesta infracción del Reglamento Europeo de Protección de Datos (RGPD), esta también podrá ejercer esa facultad en lo que respecta a un tratamiento de datos transfronterizos aunque no sea la “autoridad de control principal”, en el sentido del artículo 56, apartado 1, del mismo Reglamento. La máxima instancia judicial europea responde así a la pregunta planteada por el Tribunal de Apelación de Bruselas sobre si el RGPD impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, cuya sede europea se encuentra en Irlanda. El origen del conflicto En septiembre de 2015, la autoridad de protección de datos belga inició un procedimiento contra varias empresas del grupo Facebook: Facebook INC, Facebook Ireland Ltd -que es la sede principal del grupo en la UE- y Facebook Belgium BVBA. En su demanda, la autoridad de protección de datos solicitó que se requiriera a Facebook para que dejase de insertar, sin el consentimiento de los usuarios de Internet establecidos en Bélgica, determinadas cookies en los dispositivos utilizados por estos cuando navegan por una página web en el dominio Facebook.com o cuando acaban en el sitio web de un tercero. También pedía que la tecnológica dejase de recopilar datos de forma excesiva mediante social plug-ins (por ejemplo, los botones “Me gusta” o “Compartir”) y píxeles en sitios web de terceros. Estos elementos permitían a la red social obtener determinados datos, como la dirección de esa página, la “dirección IP” del visitante de dicha página y la fecha y la hora de la consulta en cuestión. Thank you for watching El Tribunal de Primera Instancia Neerlandófono de Bruselas declaró que la red social en cuestión no informaba suficientemente a los internautas belgas del uso de la información, por lo que requirió a Facebook que cesara en dicha conducta y destruyese todos los datos personales obtenidos mediante cookies y complementos sociales relativos a cada usuario de Internet establecido en el territorio belga. Así las cosas, el Tribunal de Apelación de Bruselas planteó cuestión prejudicial para dilucidar si el RGPD, tras la implantación del principio de ventanilla única, impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, con delegación en Bélgica pero cuyo responsable del tratamiento de los datos en cuestión se encuentra en Irlanda. Limitación a la «ventanilla única» como autoridad de control principal La sentencia recuerda que el RGPD prevé el mecanismo de «ventanilla única», cuya finalidad es “garantizar una protección coherente y homogénea de las normas de protección de datos personales, y preservar así su eficacia”. Este procedimiento implica que los responsables o encargados de tratamiento establecidos en varios Estados miembros o que, estando en un solo Estado miembro, realicen tratamientos que sea probable que afecten sustancialmente a ciudadanos en varios Estados de la UE, puedan tener una única autoridad de protección de datos como interlocutora. “Esta autoridad interlocutora actuará como autoridad de control principal y será, por lo general, la autoridad del establecimiento principal del Responsable o Encargado de Tratamiento”, apunta Tamara Vizcaíno, abogada experta en protección de datos en Grupo Adaptalia. En el caso de la sentencia indicada, Facebook alegaba la prevalencia de este sistema, a los efectos de que la Autoridad de Control Irlandesa fuera considerada como Autoridad Principal. Sin embargo, el TJUE ha declarado que, en determinadas condiciones, la normativa «autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal en lo referente a ese tratamiento». Así, en opinión de Vizcaníno, “el sistema de ventanilla única se ha visto comprometido y limitado, al reconocer el Alto Tribunal la existencia de excepciones con relación a su aplicación directa, no pudiendo aplicarse en todos los supuestos”. El Tribunal de Justicia recuerda que el ejercicio de una acción judicial por una autoridad de control de un Estado miembro debe estar comprendido en el ámbito de aplicación territorial del RGPD y reconoce el efecto directo de la disposición del RGPD según la cual cada Estado puede establecer por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, en su caso, poder iniciar o participar de otro modo en un procedimiento judicial. Repercusiones para las grandes empresas tecnológicas Con este pronunciamiento en perjuicio de Facebook las grandes empresas tecnológicas (como Amazon o Google) podrían resultar gravemente perjudicadas.
Protección de Datos – La GDPR y el futuro de las cookies en Internet
En estos días, los ciudadanos sentimos que los anunciantes y otras empresas que usan cookies de terceros nos están rastreando cuando navegamos por Internet. Muchos pensamos que los riesgos de la recopilación de datos por parte de estas empresas sobre nosotros superan a las recompensas recibidas. En este contexto, Google comunicó recientemente que iba a prohibir las cookies de terceros en su nagador Chrome. Estvee anuncio ha provocado cierto pánico en la industria de la tecnología publicitaria, mientras que algunos creen que es un buen paso hacia un Internet más seguro. Para entender qué son las cookies de terceros, primero debemos conocer la diferencia entre las cookies propias y las de terceros. Las cookies propias generalmente son generadas y colocadas en el dispositivo del usuario por el sitio web que el usuario está visitando. Estas cookies se utilizan a menudo para facilitar la experiencia del usuario y algunas funcionalidades básicas del sitio. Por ejemplo Las cookies propias pueden identificar a un visitante que regresa para que no tenga que usar el nombre de usuario y la contraseña para iniciar sesión en visitas sucesivas. Suelen ser inofensivas ya que no “espían” a los usuarios. Algunas herramientas de análisis utilizan cookies propias para recopilar datos de análisis. Estos, sin embargo, a veces pueden requerir permiso. Por el contrario, las cookies de terceros son generadas y colocadas en el dispositivo del usuario por un sitio web diferente al que está visitando el usuario. La mayoría de las cookies de terceros se utilizan con fines analíticos o de marketing. Por ejemplo, las cookies colocadas por un sitio de comercio electrónico mostrarán anuncios en otro sitio web sobre un producto que buscó hace unos momentos. Estas cookies rastrean la actividad en línea del usuario y el historial de búsqueda en el sitio web y los siguen en otros sitios web para obtener anuncios personalizados. Otro ejemplo de cookies de terceros son las que colocan los complementos de redes sociales en otros sitios web para iniciar sesión o compartir contenido. Las cookies de terceros a menudo se consideran intrusos en la privacidad. La ausencia de cookies de terceros no suele afectar la funcionalidad principal del sitio web. Y por esta razón, están sujetas a regulaciones de privacidad. La legislación de privacidad de datos, como el Reglamento general de protección de datos (GDPR) y la Directiva de privacidad electrónica, asó como la Ley de protección del consumidor de California (CCPA) tienen regulaciones que afectan el uso de cookies de terceros. Si bien las leyes como GDPR y CCPA no mencionan específicamente las cookies de terceros, tienen ciertos estándares que se aplicarán a los sitios web que las utilizan. Si un sitio web necesita recopilar y usar datos personales, como información que se puede usar para identificar a una persona, debe informar a los usuarios al respecto y obtener su consentimiento. Un sitio web puede recopilar datos del usuario a través de identificadores de cookies. Por lo tanto, las cookies, especialmente las de la categoría de terceros, están sujetas a regulaciones de privacidad de datos. La Directiva de privacidad electrónica (o el Reglamento de privacidad electrónica anunciado recientemente) tiene directrices y estándares específicos para las cookies. Por eso también se conoce como la Ley de cookies de la UE. La Directiva de privacidad electrónica obliga a un sitio web a obtener el consentimiento informado de los usuarios para el uso de cookies de seguimiento o de terceros. Sin consentimiento, el sitio web no puede colocar cookies en el dispositivo del usuario. Algunas otras leyes de privacidad de datos hacen que el consentimiento sea obligatorio para el uso de cookies de seguimiento. En enero de 2020, Google anunció que eliminará gradualmente el soporte para cookies de terceros en Chrome para 2022. Afirmaron: “Los usuarios exigen una mayor privacidad, incluida la transparencia, la elección y el control sobre cómo se utilizan sus datos, y está claro que el ecosistema web debe evolucionar para satisfacer estas crecientes demandas «. Google Chrome no es el primer navegador de Internet que hace esto. Anteriormente, Safari de Apple y Mozilla Firefox también eliminaron gradualmente el soporte para cookies de terceros. La prohibición de cookies de terceros es parte del esquema más amplio de Google para mejorar la privacidad, como se hizo después del lanzamiento de su nueva iniciativa conocida como Privacy Sandbox el 22 de agosto de 2019. Privacy Sandbox establece nuevos estándares de privacidad en la web e introduce cinco API de navegador. para proteger la privacidad del usuario y hacer que el contenido sea abierto y accesible al mismo tiempo, sin el uso de cookies de terceros. Estas API ayudarán a los sitios web para la selección de anuncios (sin seguimiento entre sitios), la medición de conversiones y la prevención del fraude, al tiempo que mantienen el anonimato de los usuarios. Privacy Sandbox propone rastrear a un grupo de personas en lugar de a un individuo. El anuncio de Google es sin duda el resultado de la aplicación del Reglamento General de Protección de Datos (GDPR) de la UE. La decisión de Google de eliminar las cookies de terceros recibió una reacción mixta. Si bien este fue un paso bienvenido para proteger la privacidad del usuario, afectará negativamente a las empresas de tecnología publicitaria, especialmente a las más pequeñas. El futuro del banner de consentimiento de cookies permanecerá intacto incluso si las cookies de terceros están fuera de escena. Es fundamental tener en cuenta que Google no está eliminando todas las cookies. Chrome admitirá cookies que no pertenezcan a la categoría de terceros. Solo va a eliminar las cookies que son generadas por un dominio diferente al que está visitando el usuario. Eso significa que si su sitio web genera cookies que recopilarán datos personales, aún debe obtener el consentimiento informado del usuario. Como se mencionó anteriormente, algunos sitios web pueden usar su propio sistema de análisis que utiliza cookies propias para recopilar datos del usuario. A menos que se trate de datos estadísticos agregados, necesitará el consentimiento de los usuarios para colocarlas en su dispositivo. A menos que la cookie sea «estrictamente necesaria», es posible que aún necesite su consentimiento para usarla. El hecho es que, independientemente de las cookies que genere o utilice su sitio web, debe informar a los usuarios al respecto. Un banner
Ciberseguridad – ¿Cómo saber si hay un virus en su teléfono?
Hoy en día, existen una gran cantidad de amenazas para el celular. Si su equipo está presentando comportamientos anómalos podría ser que tenga un virus o un malware. Por ello, deberá tener precaución pues su información podría estar en peligro. Según el antivirus AVG, hay varios comportamientos o señales que podrían indicar que tiene un virus en su teléfono. 1. Mayor uso de datos: Debe revisar si de repente hay un aumento en el uso de datos. Ello podría significar que un virus está ejecutando tareas en un segundo plano. 2. Bloqueo excesivo de las aplicaciones Algunas de las aplicaciones se pueden bloquear de vez en cuando; sin embargo, cuando es un comportamiento muy repetitivo podría significar que tiene un virus en su celular. 3. Ventanas emergentes de adware Que le aparezcan anuncios emergentes no significa en sí que tenga un virus instalado. Estos los puede bloquear. Sin embargo, a veces pueden ser maliciosos. Por ejemplo, cuando le aparecen cuando el navegador está cerrado. (Le puede interesar: ¿Cómo ingresar a WhatsApp sin descargarlo?) 4. Aumento inexplicable de la factura telefónica Según AVS, algunas amenazas de malware atacan mediante el envío de mensajes SMS de tarifa prémium desde el teléfono, lo cual hace que la factura telefónica se vea afectada. 5. Aplicaciones desconocidas Si se encuentra con una aplicación en su teléfono que no recuerda haber descargado, puede que tenga un virus. Es mejor que no la utilice y que la desinstale de inmediato. 6. Se le acaba la batería más rápido Todos estos comportamientos maliciosos pueden hacer que su batería se agote más rápido. Si se ha dado cuenta que de repente le dura mucho menos, podría ser que tenga un virus. 7. Sobrecalentamiento Una de las señales que podría indicar que tiene un virus en su celular es que se sobrecaliente de repente. Fuente: https://www.eltiempo.com/tecnosfera/tutoriales-tecnologia/como-puede-limpiar-un-virus-de-su-celular-595857
Protección de Datos – Apps de COVID-19 en Colombia pasaron del rastreo al control social
Informe de la Fundación Karisma analizó el uso que se le dio a Coronapp, Medellín Me Cuida, Valle Corona y Bogotá Cuidadora. Encontraron que estaban desconectadas de las autoridades de salud, por lo que no fueron efectivas, y que algunas terminaron vigilando la vida de las personas. La crisis del coronavirus tiene una característica que otras pandemias, como la de la gripe española o la asiática, estaban lejos de conocer: surgió en un mundo digital. No fue sorpresa, entonces, que una gran mayoría de gobiernos, nacionales y locales, apostaran a crear aplicaciones o páginas web para rastrear los contagios por COVID-19 y mitigar el impacto del virus. Pero el coronavirus también se dio en un mundo donde importa más que antes el derecho a la privacidad y a un buen manejo de nuestros datos, lo que hizo que el uso de estas aplicaciones generara muchas preguntas de hasta dónde se estaban respetando nuestras libertades. “Fácilmente podríamos terminar en una situación en la que, al empoderar al gobierno local, estatal o federal para que tome medidas en respuesta a esta pandemia, cambie fundamentalmente el alcance de los derechos civiles estadounidenses”, advirtió Albert Fox Cahn, director del Surveillance Technology Oversight Project (Proyecto de Supervisión de Tecnología de Vigilancia), en abril de 2020. Aunque las palabras de Fox hablaban del contexto de Estados Unidos, bien se podrían aplicar a Colombia. Durante 2020, el presidente Duque emitió dos declaraciones de estado de emergencia sanitaria buscando superar la crisis del COVID-19. Además, en un período de cuatro meses en el país no solo surgió Coronapp, una aplicación que tenía el fin de ayudar a detectar zonas y personas afectas por el COVID-19, sino otras plataformas locales como Medellín Me Cuida, Valle Corona y Bogotá Cuidadora. Y a pesar de que aún es muy pronto para conocer si cumplieron alguna función para reducir los casos, un informe realizado por la Fundación Karisma apunta a que más que un sistema de rastreo epidemiológico, se convirtieron en una herramienta de control social. El documento, titulado “Useless and dangerous: a critical exploration of covid apps and their human rights impacts in Colombia” (“Inútiles y peligrosas: una exploración crítica de las aplicaciones de covid y sus impactos en los derechos humanos en Colombia”), examinó guías de las autoridades de salud, regulaciones locales y nacionales emitidas durante la pandemia, requerimientos legales, noticias en medios de comunicación, análisis técnicos sobre la seguridad digital de las aplicaciones e información que les pidieron a las autoridades para arrojar sus conclusiones. Una de estas, por ejemplo, es que las aplicaciones fallaron en ser efectivas en su misión principal, que era hacer un rastreo epidemiológico. Según explica Juan Diego Castañeda, abogado y coordinador de investigación de Karisma y uno de los tres autores del reporte, “nunca existió una conexión entre las autoridades de salud, las aplicaciones tecnológicas y los gobiernos locales”. De hecho, mucha de la información que recolectó Coronapp nunca llegó a los municipios. Pero lo que quizá más preocupa a los autores es que las plataformas cumplieron un rol a la hora de restringir derechos fundamentales y se centraron en el control del comportamiento de las personas. En el caso de Medellín Me Cuida, que se trata de una página web, el reporte explica que la versión para familias no solo pedía datos personales, reporte de síntomas y enfermedades base, sino información de miembros que viven con uno y el número de contrato con Empresas Públicas de Medellín, “lo que permite georreferenciar la ubicación del hogar”. En su versión empresarial, montar la información a la plataforma se convirtió en un requisito para que las personas que tenían que romper la cuarentena, por ciertas excepciones laborales, recibieran la autorización del gobierno local. Y también se les exigió a las tiendas que revisaran a través de la plataforma si las personas que entraban al local estaban autorizadas. “Con esto la administración amplió las funcionalidades de la aplicación y la convirtió en un pasaporte de movilidad, verificador de identidad, registro de clientes comerciales y asignador de permisos de funcionamiento para empresas”. Sumado a esto, dice el documento, el “gobierno local conectó Medellín Me Cuida a otra aplicación utilizada por la Policía para verificar los antecedentes penales de los ciudadanos”. “En este punto ya estamos hablando de una plataforma que controla a la gente, lo que, además, resultó en violencia”, cuenta Castañeda. En la investigación, por ejemplo, hablan de casos en que a las personas se les bloqueó la tarjeta para subirse al metro de Medellín cuando reportaban contagios o no eran parte de las excepciones para movilizarse. La Alcaldía de Medellín, sin embargo, explicó a El Espectador que se garantizaron todos los derechos a la privacidad y seguridad. “Cuando se realiza el registro tanto de empresas como de ciudadanos, se exponen las políticas de uso de cada una de las plataformas y además solicita la aprobación del tratamiento de datos, según el Decreto 1096 del 2018, el cual se expone igualmente para conocimiento del público”. Afirman, además, que “los términos y condiciones para cada uno de los módulos de Medellín me Cuida son bastante claros en cuanto al tratamiento de los datos, el consumo de la información y seguridad de esta, y en este sentido la Alcaldía de Medellín no ha obrado de manera diferente según esos acuerdos”. La información que han recolectado de los 2’315.231 de personas registradas en la plataforma, las 163.674 empresas, el 1’704.646 de empleados y 731 establecimientos educativos, les ha servido para generar alertas a las secretarías de Salud y EPS, así como crear cercos epidemiológicos para definir estrategias de mitigación y contención. Ninguna tecnología es peligrosa por sí sola, sus riesgos vienen de cómo se usen y quiénes las regulen. En Colombia, cuenta Castañeda, hubo dos reglas del juego que cambiaron durante la pandemia, lo que debilitó la seguridad de nuestros datos. La primera fue la Circular 001 de la Superintendencia de Industria y Comercio, que autorizó a las empresas privadas, sobre todo a los operadores celulares, a compartir los datos de
Protección de Datos – Facebook: así puede evitar que la red social rastree su información en la web
Facebook, compañía liderada por Mark Zuckerberg, ha enfrentado en los últimos años varios cuestionamientos sobre el manejo de la privacidad de sus usuarios, especialmente por el uso de los datos privados de los cibernautas. Si se tiene en cuenta que Facebook es la tercera aplicación más descargada en el mundo, según el más reciente reporte del portal especializado Appfigures, el uso de la información de los usuarios representa un problema para miles de millones de personas. El mes pasado, por ejemplo, Facebook reportó 46.8 millones de nuevas descargas teniendo en cuenta las cifras de las tiendas de aplicaciones de iOS y Android, es decir, App Store y Google Play respectivamente. En total la aplicación cuenta con más de 2.700 millones de usuarios activos a nivel global. A raíz de las críticas que los usuarios han manifestado sobre la política de tratamiento de datos, Facebook habilitó hace unos meses una opción denominada “Actividad fuera de Facebook”, que permite que los usuarios puedan conocer los detalles sobre su navegación en internet, como también los datos que otras aplicaciones comparten con esta red social. Esa misma función permite que la persona pueda solicitar a Facebook que deje de registrar su vida fuera de la plataforma o que no siga compartiendo información sobre el comportamiento de un usuario en el ecosistema digital. La persona también puede decidir qué empresas pueden o no compartir sus datos con Facebook. Cualquier persona puede hacer uso de esa opción de la siguiente manera: Ir a la opción ‘Configuración y privacidad’ y luego dar clic en ‘Configuración’. Buscar la opción ‘Tu información de Facebook’ y seleccionar la opción ‘Actividad fuera de Facebook’. En esa sección el usuario podrá controlar toda acción que realice fuera de Facebook, por ejemplo, revisar lo compartido con la empresa, borrar dicha información y hasta desactivar que Facebook recopile nueva información. ¿Sabe cuáles son los datos que rastrea Facebook? Clario, un portal especializado en seguridad cibernética, publicó en enero de este año un informe denominado Big Brother Brands: ¿qué empresas rastrean más nuestros datos personales?, en el que analizó cuáles eran los datos personales que rastrean las principales aplicaciones a nivel global. “Al recopilar algunas de las aplicaciones más utilizadas en el mundo y los datos que obtienen de usted, hemos caracterizado a las empresas que más utilizan su identidad”, señalaron desde el sitio web. Los expertos resaltaron que el tipo de datos que estas empresas generalmente recopilan sobre los internautas puede incluir información relativamente básica, como el nombre del usuario, su fecha de nacimiento y dirección de correo electrónico. Sin embargo, el informe detalla que algunas llegan a saber hasta qué mascota tiene, cuáles son sus pasatiempos, altura, peso y actividades que le gusta llevar a cabo. Clario reveló una lista de más de 45 aplicaciones usadas en el mundo que recopilan datos sobre sus usuarios. A continuación se exponen las 5 primeras con su respectivo porcentaje de recolección de datos personales. Facebook (70.59 %). Instagram (58.82 %). Tinder (55.88 %). Grindr (52.94 %). Uber (52.94 %). “También pueden almacenar su información bancaria, así como enlaces a sus cuentas de redes sociales y los datos que comparte en ellas”, agregaron. Además, el informe explica que el uso que hacen las empresas con este tipo de información también puede variar, aunque generalmente la usan “en publicidad dirigida y administración de sitios web”. “Uno de los primeros en la lista de recopiladores de datos es, como era de esperar, Facebook. […] Los anuncios son la forma en que Facebook aprovecha al máximo su dinero, alrededor de US$ 16.600 millones para ser precisos, según sus informes de 2018, por lo que cuanto más saben sobre usted, más pueden vender”, complementa el informe. Fuente: https://www.semana.com/tecnologia/articulo/facebook-asi-puede-evitar-que-la-red-social-rastree-su-informacion-en-la-web/202150/
Ciberseguridad – Universidad El Bosque sufre ataque informático
La Universidad El Bosque sufrió un ataque informático en la madrugada de este lunes, según informó la institución en un comunicado, en el que también se evidencia que la información de la comunidad educativa podría estar comprometida. “La universidad ha sido víctima de un ciberataque de seguridad, por el cual algunos de nuestros sistemas internos han sido comprometidos», señaló la institución. Los responsables del ciberataque se hicieron con el control del perfil de Twitter de la universidad, en el que publicaron el siguiente anuncio: «El equipo de seguridad de la universidad me puede contactar para hablar por el regreso (de los sistemas informáticos)». De acuerdo con la universidad, no solo se hackeó la cuenta de Twitter, sino también otros sistemas informáticos, entre ellos los correos electrónicos institucionales. «Les pedimos que se abstengan de utilizar su correo electrónico institucional, cerrar las sesiones abiertas de correo en los navegadores, desvincularlo de sus dispositivos y comunicarse por otros medios”, señala el comunicado. Además, también se encuentra sin funcionar la página web de la Universidad El Bosque. «El hecho fue reportado a la Fiscalía General de la Nación, entidad que adelantará la investigación necesaria para que los autores respondan ante la justicia por este delito», señaló la institución. Finalmente, El Bosque aseguró que «actualmente, el personal especializado y las directivas de la universidad están trabajando activamente en la atención de la situación y, al mismo tiempo, se está implementando el plan de acción para solucionar el evento en el menor tiempo posible y garantizar la continuidad de la operación». Fuente: https://www.eltiempo.com/vida/educacion/universidad-el-bosque-sufre-ataque-informatico-599303?utm_source=whatsapp&utm_medium=enlace&utm_campaign=CompartirWhatsapp
Protección de Datos – Superindustria sanciona a las cámaras de comercio de Villavicencio, Cúcuta y montería por incumplir la ley de datos personales
Bogotá D.C., 30 de junio de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a las Cámaras de Comercio de Cúcuta, Villavicencio y Montería por infringir varias disposiciones de las normas sobre protección de datos personales (Ley 1581 de 2012 y Decreto 1074 de 2015), las sanciones de los tres entes camerales ascienden a $225.109.600 (DOSCIENTOS VEINTICINCO MILLONES CIENTO NUEVE MIL SEISCIENTOS PESOS). Las sanciones impuestas fueron: • Cámara de Comercio de Villavicencio: Resolución 39514 y una sanción de: $83.508.400. Esta Cámara reconoció expresamente la comisión de la infracción, razón por la cual la multa inicial se redujo. • Cámara de Comercio de Cúcuta: Resolución 39504 y una sanción de: $90.770.000. • Cámara de Comercio de Montería: Resolución 39508 y una sanción de: $50.831.200. La SIC encontró que mediante diversos formularios que utilizan en sus páginas web se recolectan datos personales, pero, en algunos casos, las citadas Cámaras de Comercio: • No solicitan la autorización de las personas para recolectar y usar sus datos personales. • No informan al titular del dato todo lo que exige el Artículo 12 de la Ley Estatutaria 1581 de 2012. • No informan a las personas la finalidad de la recolección y tratamiento de sus datos personales. • La Política de Tratamiento de Información (PTI) no cumple los mínimos requisitos que exige la regulación colombiana. Adicionalmente, en los casos de las Cámara de Comercio de Villavicencio y de Cúcuta la SIC impartió órdenes administrativas para que cumplan los mandatos legales sobre tratamiento de datos personales y ajusten su Política de Tratamiento de Información. Contra las decisiones proceden los recursos de reposición y apelación. Documento 20-221040 VU 20-221206 VU 20-210753 VU Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-las-camaras-de-comercio-de-villavicencio-cucuta-y-monteria-por-incumplir-la-ley-de-datos-personales
Protección de Datos – Tu información personal, en riesgo: solo en 2021 se han gestionado en España más de 700 brechas de datos notificadas
En el tercer aniversario del comienzo de la aplicación del Reglamento General de Protección de Datos (RGPD), la Agencia Española de Protección de Datos (AEPD) ha hecho público un comunicado en el que informa de que solo en lo que llevamos de 2021 ha gestionado más de 700 brechas de datos notificadas. A pesar de que hace ya tres años, en 2018, que comenzó a aplicarse el RGPD, los usuarios siguen sufriendo importantes riesgos. Según la AEPD, la mayoría de estas brechas se producen “por un ataque externo e intencionado”, siendo los ataques con virus informáticos tipo ransomware -aquellos que restringen la entrada a parte del sistema y piden un rescate por liberar los archivos- la amenaza más frecuente. ¿Es el RGPD eficiente? 36 meses después la puesta en marcha real de una de las legislaciones más estricta del mundo en materia de privacidad y seguridad algunos expertos opinan que no ha mostrado la efectividad esperada. Casi la mitad de las empresas europeas -un 43%- cree que puede ser objetivo de un ciberataque y, sin embargo, muchas de ellas ignoran sus obligaciones para informar de ellos: se supone que las empresas tienen que informar de brechas en sus bases de datos a la autoridad pertinente en 72 horas desde que el ataque es descubierto, pero un estudio de CrowdStrike revela que tres de cada diez empresas que ha sido víctima de un ciberataque no informa a tiempo. En cuanto a la prevención, según dicho estudio poco más de la mitad -un 55%- de esas empresas se consideran preparadas ante un evento de seguridad, pero solo un 34% cuenta con protocolos específicos en caso de ser atacada. La AEPD ha dado a conocer este martes los datos de los cinco primeros meses de 2021 con motivo de la publicación de una actualización de su ‘Guía para la notificación de brechas de datos personales’, un documento que tiene como objetivo guiar a los responsables de los tratamientos de datos personales en su obligación de notificarlas a las autoridades de protección de datos y comunicárselo a las personas cuyos datos se hayan visto afectados. “El principal propósito de esta actualización es facilitar el cumplimiento de forma eficaz y eficiente de los objetivos últimos de la notificación de brechas de datos personales: la protección efectiva de los derechos y libertades de las personas, la creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización y la garantía de una seguridad jurídica al disponer los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones”, ha detallado la AEPD. Asimismo, ha recordado que “cualquier organización se encuentra expuesta a sufrir una brecha de datos personales que pueda repercutir en los derechos y libertades de las personas, y está obligada a gestionarla de forma adecuada”. “Este incidente puede tener un origen accidental o intencionado y, generalmente, ocasiona la destrucción, pérdida, alteración, comunicación o el acceso no autorizado a datos personales”, ha subrayado. Comunicación a los afectados Como complemento a la presente guía, la agencia ha recordado que dispone de una herramienta llamada ‘Comunica-Brecha RGPD’, que ofrece ayuda a las organizaciones para decidir si deben comunicar o no una brecha de datos a las personas afectadas, una obligación independiente a la de notificar dicha brecha a la autoridad de control. Este recurso se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos indicativos del riesgo asociado a la brecha. Al completar el formulario, y en función de la información que haya sido facilitada, la herramienta aconsejará tres posibles escenarios: que se debe notificar la brecha de seguridad a las personas afectadas al apreciarse un riesgo alto; que no es necesaria dicha comunicación, o que no se puede determinar el nivel de riesgo. El RGPD, un reglamento exhaustivo Según el estudio de CrowdStrike antes mencionado, la entrada en vigor del reglamento europeo supuso verdaderos ‘quebraderos de cabeza’ para una de cada cinco empresas, pero la misma cifra de organizaciones cree que era una norma necesaria. Un tercio cree que, gracias al nuevo reglamento, los datos de los europeos están más protegidos y una importante proporción -un 58%- afirma que ahora están más preparadas ante una ciberintrusión. De hecho hasta un 28% de organizaciones confirma que gracias a la aplicación del reglamento pudo minimizar los efectos de ataques sufridos. Lo que sigue llamando la atención, sin embargo, es que un 8% de las empresas cree que ese reglamento no les afecta y dos de cada diez ni siquiera saben si tienen que cumplirlo. ¿Qué datos persiguen los cibercriminales? Según señala Chema Cuadrado, especialista en ciberseguridad en Hiberus, normalmente los ciberdelincuentes intentan hacerse con datos introducidos por los usuarios, cuentas de correo electrónico, números de teléfono, tarjetas de crédito, ubicaciones de por dónde nos movemos, gustos y aficiones… «Algunos de estos diferentes apartados son muy valorados en la Dark Web», apunta. «Para intentar vivir con un poco más de tranquilidad, mi recomendación es tener sentido común, usar aplicaciones oficiales con un programa de seguridad y mantener el sistema o dispositivos actualizados. Esta medida básica es eficaz y pones alguna barrera más de dificultad para los ciberdelincuentes», subraya. Fuentes: https://www.20minutos.es/tecnologia/ciberseguridad/tu-informacion-personal-en-riego-solo-en-2021-se-han-gestionado-en-espana-mas-de-700-brechas-de-datos-notificadas-4707767/
Ciberseguridad – Más de 11.700 vulnerabilidades críticas de ciberseguridad se han evidenciado en 2021
En lo que va corrido del presente año, entre actualizaciones y nuevos descubrimientos de vulnerabilidades, se han evidenciado aproximadamente 11.700 con severidad crítica en materia de ciberseguridad, según reveló un reciente informe de la multinacional A3Sec, especializada en seguridad cibernética. Los sectores más afectados a nivel global por los ciberataques son el de operaciones, Oil & Gas y de producción de alimentos, mientras las técnicas más frecuentes son los dominios maliciosos, malware, phishing y fake news. Según el National Institute of Standards and Technology (NIST), una vulnerabilidad es una debilidad lógica computacional que se encuentra en los componentes de software y hardware que, cuando se explotan, tiene como resultado un impacto negativo en la confidencialidad, integridad o disponibilidad de la información. “Las principales causas de estas vulnerabilidades se pueden agrupar en dos categorías. La primera tiene que ver con un manejo inapropiado de la lectura o escritura en los límites establecidos en interfaces de usuario, llevándonos a la identificación de debilidades en el desarrollo. La segunda categoría corresponde a fallas en la configuración, como son las deficiencias en la asignación de privilegios, los errores de autorización, la exposición de datos sensibles, entre otros”, concluyó Anthony Rojas, líder del Centro de Seguridad y Vigilancia Digital de A3Sec. Fuente: https://www.semana.com/tecnologia/articulo/mas-de-11700-vulnerabilidades-criticas-de-ciberseguridad-se-han-evidenciado-en-2021/202121/
