Ciberseguridad – Ciberataque a Electronic Arts (EA): filtraron 780 GB de información
La empresa detrás de juegos como FIFA 21 y Battlefield confirmó el robo de datos. Asegura que esto no pone en peligro la privacidad de los jugadores. El gigante de los videojuegos Electronic Arts (EA) dijo que unos hackers le robaron el código fuente y otras herramientas de programas. Aclaró que es improbable que el ataque tenga impacto en los jugadores o en sus operaciones comerciales. EA admitió la incursión luego que Vice informó que delincuentes habían obtenido el código utilizado para juegos como FIFA 21, además del código fuente y herramientas del motor Frostbite, utilizado en juegos como Battlefield. “Estamos investigando un reciente incidente de intrusión en nuestra red, en donde una limitada cantidad de fuentes de juegos y herramientas relacionadas fueron robadas”, dijo un portavoz de EA. “No se accedió a los datos de ningún jugador y no hay razón para creer que haya riesgos para la privacidad de los jugadores”, añadió. Los hackers han publicitado en varios foros de Internet 780 gigabytes (GB) de información sustraída, que también incluye marcos de trabajo patentados por EA y paquetes de desarrollo de software (SDK), unos paquetes de código utilizados en el desarrollo de videojuegos, según ha podido conocer Vice de mano de una fuente con acceso a los foros. EA dijo estar trabajando “activamente” con autoridades y expertos “como parte de una investigación penal”. Además, afirma que ya han realizado mejoras de seguridad y que no esperan que sus videojuegos ni su negocio sufra ninguna consecuencia. Los voceros también descartaron que la filtración se hubiera dado por un ataque de ransomware. Vice informó que los hackers se jactaron del ataque en foros subterráneos de internet y una de sus publicaciones supuestamente decía: “tienes total capacidad para explotar todos los servicios de EA”. Los atacantes promovían la venta de estos datos en foros de la deep web (o web profunda), según el informe. Los atacantes solo van a vender los datos de EA a “miembros serios y con reputación”, indicaron ellos mismos en la publicación. Por el momento, no han compartido ningún dato robado de manera pública. Fuente: https://www.elespectador.com/tecnologia/ciberataque-a-electronic-arts-ea-filtraron-780-gb-de-informacion/
Protección de Datos – Monetización de los datos: la importancia de los datos para las empresas
En su libro “Competing on Analytics, The New Science of Winning”, Tom Davenport identifica el uso de las soluciones de explotación de datos como una fuente sostenible de ventajas competitivas. Este hecho, que afecta a todas las organizaciones independientemente de su tamaño y de la naturaleza de su negocio, provoca que los procesos de uso y de explotación de los datos ganen en importancia pasando de estar en un segundo plano a ser otro activo estratégico más que se ha de gestionar adecuadamente. Ciertamente, la era digital genera nuevas oportunidades para la generación de nuevos productos y servicios, pero existen riesgos inherentes al tsunami de los datos. Difícilmente conocemos y entendemos todos los datos a los que tenemos acceso, y menos aún las maneras en que podemos utilizarlos. Organizaciones de todo tipo y tamaño recolectan, almacenan, procesan e intercambian información Organizaciones de todo tipo y tamaño recolectan, almacenan, procesan e intercambian grandes volúmenes de información con el deseo de crear nuevos productos y servicios a partir de los datos que generen mayores beneficios, reduzcan los costes, consoliden y refuercen la fidelidad de los clientes, y ofrezcan auténticas ventajas competitivas. Pero al mismo tiempo, se enfrentan a importantes retos tales como gestionar adecuadamente los datos, garantizar su privacidad, o cumplir con regulaciones y estándares internos y externos. Es evidente que algo interesante está pasando. Por ejemplo, Uber, la mayor compañía de transporte privado del mundo no posee ningún vehículo, o Airbnb el mayor proveedor de alojamientos del mundo no posee bienes inmuebles. ¿Qué tienen en común estas compañías?… monetizan los datos. ¿Deberían los datos aparecer en el balance general como un activo empresarial? Gartner predice que en 2022, las compañías serán valoradas en base a sus portafolios de información. Según la firma: “Los inversores, incluidos los analistas de renta variable, deberán tener en cuenta la riqueza de información de las compañías para poder valorarlas adecuadamente”. Para las compañías nacidas bajo el paradigma digital, los datos son su activo más preciado pero, con independencia de nuestro sector de actividad económica, en un futuro no muy lejano es más que posible que las regulaciones contables cambien para exigir que los datos sean registrados y gestionados como un activo más en el balance general, utilizando métodos de valoración incluyendo, entre otras, métricas financieras. Con el fin de influir positivamente en el proceso de valoración, necesitaremos herramientas que nos permitan conectar múltiples tipos de datos procedentes de diferentes sistemas y aplicaciones para integrar los resultados en un data lake. Gracias a una arquitectura de integración inteligente que unifique los múltiples puntos de diversos sistemas y aplicaciones, se abre ante nosotros un universo de datos accesibles instantáneamente para su análisis y valoración. Monetización de los datos e Infonomía … los datos son un activo valioso Consideremos, por ejemplo, los datos disponibles para las firmas de servicios financieros sobre el comportamiento de sus clientes, las prácticas de sus proveedores, sus costes y beneficios, y sus propias operaciones. Estos tipos de datos son tan abundantes, su crecimiento es tan exponencial, y los retos que nos presentan desde el punto de vista operacional son tan formidables que las compañías no están preparadas. En los próximos cinco años, se generarán y se perderán fortunas en función de la comprensión de este hecho por parte de los líderes corporativos, su capacidad de reorientar su estrategia, iniciar transformaciones dirigidas por los datos en toda la empresa y monetizar de forma efectiva este tipo de activos. La monetización de los datos se refiere al uso de los datos para obtener un beneficio económico cuantificable. Esto incluye métodos tales como el intercambio y la venta de información a terceros o la creación de nuevos productos y servicios basados en los datos. La cuestión que surge es, ¿cómo podemos monetizar los datos, valorarlos y gestionarlos como un activo empresarial?. La respuesta aparece con la idea de Infonomía, término acuñado por Doug Laney, para describir la teoría, el estudio y la disciplina de asignar relevancia económica a la información como a cualquier otro activo, creando procesos de “logística de los datos, de la información y del conocimiento”. Los continuos avances tecnológicos en los que estamos inmersos, los desarrollos normativos, y los hábitos de los consumidores convergen para establecer el escenario para esta oportunidad. En el frente tecnológico, la movilidad y la conectividad permiten a las compañías saber dónde están los clientes en cualquier momento y realizar acciones de promoción a los individuos más fácilmente, proporcionando servicios personalizados que alcancen “segmentos de uno”. Mientras tanto, cloud computing, Hadoop, machine learning, inteligencia artificial, y otras tecnologías permiten a las organizaciones procesar cantidades ingentes de datos en tiempo real (o casi en tiempo real) e integrar datos externos con sus datos internos. En el ámbito regulatorio es obvio que la era digital requiere de nuevas reglas de juego. Reglamento General de Protección de Datos En este contexto, en enero de 2012 la Comisión Europea presentó una reforma integral de las normas de protección de datos con el objetivo principal de incrementar el control de los ciudadanos sobre sus datos. Esta reforma se materializó en el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés). GDPR establece las reglas de actuación para cualquier empresa privada y entidad púbica que gestione, almacene o procese datos personales de ciudadanos de la Unión Europea. El Reglamento nos lleva a la necesidad de revisar nuestra organización, procesos y tecnologías con las que gestionamos datos personales, y por tanto de algunos de nuestros modelos de negocio. La transparencia y la ética en el uso de los datos personales son un requerimiento legal, pero por otra parte constituyen la oportunidad perfecta para la creación de confianza con nuestros clientes, y por tanto de valor añadido. Finalmente, los hábitos y las expectativas de los consumidores están cambiando rápidamente. Redes sociales como Facebook, Twitter, o Pinterest han estimulado el apetito de las personas por disponer de información cada vez más completa. Retailers como Amazon y eBay están influenciando en la experiencia de los clientes y, por ende, en sus expectativas. Google está entrando en el mercado financiero, demostrando cómo competidores no
Protección de Datos – Bélgica puede ejercitar acciones judiciales contra Facebook por un tratamiento transfronterizo de datos
El Tribunal de Justicia de la Unión Europea, en su sentencia de 15 de junio de 2021, asunto C-645/19 (Facebook vs DPA Belga), confirma el poder de las autoridades nacionales de protección de datos frente a Facebook y establece las condiciones para que las autoridades nacionales de control de datos de un Estado miembro puedan iniciar acciones judiciales por el tratamiento transfronterizo de protección de datos. En el caso, que enfrentaba a la autoridad de datos belga y la multinacional tecnológica de Mark Zuckerberg desde hace más de cinco años, la filial belga de la red social afirmaba en su recurso de apelación que, en virtud de la normativa europea, la única autoridad de protección de datos facultada para incoar un procedimiento en relación con el tratamiento transfronterizo de datos era la Comisión de Protección de Datos de Irlanda (DPC), ya que la sede europea de la empresa está en Dublín. Sin embargo, el TJUE acepta que la autoridad belga sea competente en estos casos. Si bien es cierto que con carácter general la competencia para interponer acciones la tiene la autoridad de protección de datos del Estado miembro en el que el responsable tiene su establecimiento principal, en su pronunciamiento el TJUE considera que si la legislación nacional de un Estado miembro faculta a su autoridad de control de datos para iniciar o ejercitar acciones judiciales por cualquier supuesta infracción del Reglamento Europeo de Protección de Datos (RGPD), esta también podrá ejercer esa facultad en lo que respecta a un tratamiento de datos transfronterizos aunque no sea la “autoridad de control principal”, en el sentido del artículo 56, apartado 1, del mismo Reglamento. La máxima instancia judicial europea responde así a la pregunta planteada por el Tribunal de Apelación de Bruselas sobre si el RGPD impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, cuya sede europea se encuentra en Irlanda. El origen del conflicto En septiembre de 2015, la autoridad de protección de datos belga inició un procedimiento contra varias empresas del grupo Facebook: Facebook INC, Facebook Ireland Ltd -que es la sede principal del grupo en la UE- y Facebook Belgium BVBA. En su demanda, la autoridad de protección de datos solicitó que se requiriera a Facebook para que dejase de insertar, sin el consentimiento de los usuarios de Internet establecidos en Bélgica, determinadas cookies en los dispositivos utilizados por estos cuando navegan por una página web en el dominio Facebook.com o cuando acaban en el sitio web de un tercero. También pedía que la tecnológica dejase de recopilar datos de forma excesiva mediante social plug-ins (por ejemplo, los botones “Me gusta” o “Compartir”) y píxeles en sitios web de terceros. Estos elementos permitían a la red social obtener determinados datos, como la dirección de esa página, la “dirección IP” del visitante de dicha página y la fecha y la hora de la consulta en cuestión. Thank you for watching El Tribunal de Primera Instancia Neerlandófono de Bruselas declaró que la red social en cuestión no informaba suficientemente a los internautas belgas del uso de la información, por lo que requirió a Facebook que cesara en dicha conducta y destruyese todos los datos personales obtenidos mediante cookies y complementos sociales relativos a cada usuario de Internet establecido en el territorio belga. Así las cosas, el Tribunal de Apelación de Bruselas planteó cuestión prejudicial para dilucidar si el RGPD, tras la implantación del principio de ventanilla única, impide realmente que la autoridad nacional de protección de datos belga entable un procedimiento judicial en su Estado miembro por un tratamiento transfronterizo de datos realizado por Facebook, con delegación en Bélgica pero cuyo responsable del tratamiento de los datos en cuestión se encuentra en Irlanda. Limitación a la «ventanilla única» como autoridad de control principal La sentencia recuerda que el RGPD prevé el mecanismo de «ventanilla única», cuya finalidad es “garantizar una protección coherente y homogénea de las normas de protección de datos personales, y preservar así su eficacia”. Este procedimiento implica que los responsables o encargados de tratamiento establecidos en varios Estados miembros o que, estando en un solo Estado miembro, realicen tratamientos que sea probable que afecten sustancialmente a ciudadanos en varios Estados de la UE, puedan tener una única autoridad de protección de datos como interlocutora. “Esta autoridad interlocutora actuará como autoridad de control principal y será, por lo general, la autoridad del establecimiento principal del Responsable o Encargado de Tratamiento”, apunta Tamara Vizcaíno, abogada experta en protección de datos en Grupo Adaptalia. En el caso de la sentencia indicada, Facebook alegaba la prevalencia de este sistema, a los efectos de que la Autoridad de Control Irlandesa fuera considerada como Autoridad Principal. Sin embargo, el TJUE ha declarado que, en determinadas condiciones, la normativa «autoriza a una autoridad de control de un Estado miembro a ejercer su facultad de poner en conocimiento de los órganos jurisdiccionales de un Estado miembro cualquier supuesta infracción del RGPD y de iniciar o ejercitar acciones judiciales con respecto a un tratamiento de datos transfronterizo aunque no sea la autoridad de control principal en lo referente a ese tratamiento». Así, en opinión de Vizcaníno, “el sistema de ventanilla única se ha visto comprometido y limitado, al reconocer el Alto Tribunal la existencia de excepciones con relación a su aplicación directa, no pudiendo aplicarse en todos los supuestos”. El Tribunal de Justicia recuerda que el ejercicio de una acción judicial por una autoridad de control de un Estado miembro debe estar comprendido en el ámbito de aplicación territorial del RGPD y reconoce el efecto directo de la disposición del RGPD según la cual cada Estado puede establecer por ley que su autoridad de control esté facultada para poner en conocimiento de las autoridades judiciales las infracciones de dicho Reglamento y, en su caso, poder iniciar o participar de otro modo en un procedimiento judicial. Repercusiones para las grandes empresas tecnológicas Con este pronunciamiento en perjuicio de Facebook las grandes empresas tecnológicas (como Amazon o Google) podrían resultar gravemente perjudicadas.
Protección de Datos – La GDPR y el futuro de las cookies en Internet
En estos días, los ciudadanos sentimos que los anunciantes y otras empresas que usan cookies de terceros nos están rastreando cuando navegamos por Internet. Muchos pensamos que los riesgos de la recopilación de datos por parte de estas empresas sobre nosotros superan a las recompensas recibidas. En este contexto, Google comunicó recientemente que iba a prohibir las cookies de terceros en su nagador Chrome. Estvee anuncio ha provocado cierto pánico en la industria de la tecnología publicitaria, mientras que algunos creen que es un buen paso hacia un Internet más seguro. Para entender qué son las cookies de terceros, primero debemos conocer la diferencia entre las cookies propias y las de terceros. Las cookies propias generalmente son generadas y colocadas en el dispositivo del usuario por el sitio web que el usuario está visitando. Estas cookies se utilizan a menudo para facilitar la experiencia del usuario y algunas funcionalidades básicas del sitio. Por ejemplo Las cookies propias pueden identificar a un visitante que regresa para que no tenga que usar el nombre de usuario y la contraseña para iniciar sesión en visitas sucesivas. Suelen ser inofensivas ya que no “espían” a los usuarios. Algunas herramientas de análisis utilizan cookies propias para recopilar datos de análisis. Estos, sin embargo, a veces pueden requerir permiso. Por el contrario, las cookies de terceros son generadas y colocadas en el dispositivo del usuario por un sitio web diferente al que está visitando el usuario. La mayoría de las cookies de terceros se utilizan con fines analíticos o de marketing. Por ejemplo, las cookies colocadas por un sitio de comercio electrónico mostrarán anuncios en otro sitio web sobre un producto que buscó hace unos momentos. Estas cookies rastrean la actividad en línea del usuario y el historial de búsqueda en el sitio web y los siguen en otros sitios web para obtener anuncios personalizados. Otro ejemplo de cookies de terceros son las que colocan los complementos de redes sociales en otros sitios web para iniciar sesión o compartir contenido. Las cookies de terceros a menudo se consideran intrusos en la privacidad. La ausencia de cookies de terceros no suele afectar la funcionalidad principal del sitio web. Y por esta razón, están sujetas a regulaciones de privacidad. La legislación de privacidad de datos, como el Reglamento general de protección de datos (GDPR) y la Directiva de privacidad electrónica, asó como la Ley de protección del consumidor de California (CCPA) tienen regulaciones que afectan el uso de cookies de terceros. Si bien las leyes como GDPR y CCPA no mencionan específicamente las cookies de terceros, tienen ciertos estándares que se aplicarán a los sitios web que las utilizan. Si un sitio web necesita recopilar y usar datos personales, como información que se puede usar para identificar a una persona, debe informar a los usuarios al respecto y obtener su consentimiento. Un sitio web puede recopilar datos del usuario a través de identificadores de cookies. Por lo tanto, las cookies, especialmente las de la categoría de terceros, están sujetas a regulaciones de privacidad de datos. La Directiva de privacidad electrónica (o el Reglamento de privacidad electrónica anunciado recientemente) tiene directrices y estándares específicos para las cookies. Por eso también se conoce como la Ley de cookies de la UE. La Directiva de privacidad electrónica obliga a un sitio web a obtener el consentimiento informado de los usuarios para el uso de cookies de seguimiento o de terceros. Sin consentimiento, el sitio web no puede colocar cookies en el dispositivo del usuario. Algunas otras leyes de privacidad de datos hacen que el consentimiento sea obligatorio para el uso de cookies de seguimiento. En enero de 2020, Google anunció que eliminará gradualmente el soporte para cookies de terceros en Chrome para 2022. Afirmaron: “Los usuarios exigen una mayor privacidad, incluida la transparencia, la elección y el control sobre cómo se utilizan sus datos, y está claro que el ecosistema web debe evolucionar para satisfacer estas crecientes demandas «. Google Chrome no es el primer navegador de Internet que hace esto. Anteriormente, Safari de Apple y Mozilla Firefox también eliminaron gradualmente el soporte para cookies de terceros. La prohibición de cookies de terceros es parte del esquema más amplio de Google para mejorar la privacidad, como se hizo después del lanzamiento de su nueva iniciativa conocida como Privacy Sandbox el 22 de agosto de 2019. Privacy Sandbox establece nuevos estándares de privacidad en la web e introduce cinco API de navegador. para proteger la privacidad del usuario y hacer que el contenido sea abierto y accesible al mismo tiempo, sin el uso de cookies de terceros. Estas API ayudarán a los sitios web para la selección de anuncios (sin seguimiento entre sitios), la medición de conversiones y la prevención del fraude, al tiempo que mantienen el anonimato de los usuarios. Privacy Sandbox propone rastrear a un grupo de personas en lugar de a un individuo. El anuncio de Google es sin duda el resultado de la aplicación del Reglamento General de Protección de Datos (GDPR) de la UE. La decisión de Google de eliminar las cookies de terceros recibió una reacción mixta. Si bien este fue un paso bienvenido para proteger la privacidad del usuario, afectará negativamente a las empresas de tecnología publicitaria, especialmente a las más pequeñas. El futuro del banner de consentimiento de cookies permanecerá intacto incluso si las cookies de terceros están fuera de escena. Es fundamental tener en cuenta que Google no está eliminando todas las cookies. Chrome admitirá cookies que no pertenezcan a la categoría de terceros. Solo va a eliminar las cookies que son generadas por un dominio diferente al que está visitando el usuario. Eso significa que si su sitio web genera cookies que recopilarán datos personales, aún debe obtener el consentimiento informado del usuario. Como se mencionó anteriormente, algunos sitios web pueden usar su propio sistema de análisis que utiliza cookies propias para recopilar datos del usuario. A menos que se trate de datos estadísticos agregados, necesitará el consentimiento de los usuarios para colocarlas en su dispositivo. A menos que la cookie sea «estrictamente necesaria», es posible que aún necesite su consentimiento para usarla. El hecho es que, independientemente de las cookies que genere o utilice su sitio web, debe informar a los usuarios al respecto. Un banner
Ciberseguridad – ¿Cómo saber si hay un virus en su teléfono?
Hoy en día, existen una gran cantidad de amenazas para el celular. Si su equipo está presentando comportamientos anómalos podría ser que tenga un virus o un malware. Por ello, deberá tener precaución pues su información podría estar en peligro. Según el antivirus AVG, hay varios comportamientos o señales que podrían indicar que tiene un virus en su teléfono. 1. Mayor uso de datos: Debe revisar si de repente hay un aumento en el uso de datos. Ello podría significar que un virus está ejecutando tareas en un segundo plano. 2. Bloqueo excesivo de las aplicaciones Algunas de las aplicaciones se pueden bloquear de vez en cuando; sin embargo, cuando es un comportamiento muy repetitivo podría significar que tiene un virus en su celular. 3. Ventanas emergentes de adware Que le aparezcan anuncios emergentes no significa en sí que tenga un virus instalado. Estos los puede bloquear. Sin embargo, a veces pueden ser maliciosos. Por ejemplo, cuando le aparecen cuando el navegador está cerrado. (Le puede interesar: ¿Cómo ingresar a WhatsApp sin descargarlo?) 4. Aumento inexplicable de la factura telefónica Según AVS, algunas amenazas de malware atacan mediante el envío de mensajes SMS de tarifa prémium desde el teléfono, lo cual hace que la factura telefónica se vea afectada. 5. Aplicaciones desconocidas Si se encuentra con una aplicación en su teléfono que no recuerda haber descargado, puede que tenga un virus. Es mejor que no la utilice y que la desinstale de inmediato. 6. Se le acaba la batería más rápido Todos estos comportamientos maliciosos pueden hacer que su batería se agote más rápido. Si se ha dado cuenta que de repente le dura mucho menos, podría ser que tenga un virus. 7. Sobrecalentamiento Una de las señales que podría indicar que tiene un virus en su celular es que se sobrecaliente de repente. Fuente: https://www.eltiempo.com/tecnosfera/tutoriales-tecnologia/como-puede-limpiar-un-virus-de-su-celular-595857
Protección de Datos – Apps de COVID-19 en Colombia pasaron del rastreo al control social
Informe de la Fundación Karisma analizó el uso que se le dio a Coronapp, Medellín Me Cuida, Valle Corona y Bogotá Cuidadora. Encontraron que estaban desconectadas de las autoridades de salud, por lo que no fueron efectivas, y que algunas terminaron vigilando la vida de las personas. La crisis del coronavirus tiene una característica que otras pandemias, como la de la gripe española o la asiática, estaban lejos de conocer: surgió en un mundo digital. No fue sorpresa, entonces, que una gran mayoría de gobiernos, nacionales y locales, apostaran a crear aplicaciones o páginas web para rastrear los contagios por COVID-19 y mitigar el impacto del virus. Pero el coronavirus también se dio en un mundo donde importa más que antes el derecho a la privacidad y a un buen manejo de nuestros datos, lo que hizo que el uso de estas aplicaciones generara muchas preguntas de hasta dónde se estaban respetando nuestras libertades. “Fácilmente podríamos terminar en una situación en la que, al empoderar al gobierno local, estatal o federal para que tome medidas en respuesta a esta pandemia, cambie fundamentalmente el alcance de los derechos civiles estadounidenses”, advirtió Albert Fox Cahn, director del Surveillance Technology Oversight Project (Proyecto de Supervisión de Tecnología de Vigilancia), en abril de 2020. Aunque las palabras de Fox hablaban del contexto de Estados Unidos, bien se podrían aplicar a Colombia. Durante 2020, el presidente Duque emitió dos declaraciones de estado de emergencia sanitaria buscando superar la crisis del COVID-19. Además, en un período de cuatro meses en el país no solo surgió Coronapp, una aplicación que tenía el fin de ayudar a detectar zonas y personas afectas por el COVID-19, sino otras plataformas locales como Medellín Me Cuida, Valle Corona y Bogotá Cuidadora. Y a pesar de que aún es muy pronto para conocer si cumplieron alguna función para reducir los casos, un informe realizado por la Fundación Karisma apunta a que más que un sistema de rastreo epidemiológico, se convirtieron en una herramienta de control social. El documento, titulado “Useless and dangerous: a critical exploration of covid apps and their human rights impacts in Colombia” (“Inútiles y peligrosas: una exploración crítica de las aplicaciones de covid y sus impactos en los derechos humanos en Colombia”), examinó guías de las autoridades de salud, regulaciones locales y nacionales emitidas durante la pandemia, requerimientos legales, noticias en medios de comunicación, análisis técnicos sobre la seguridad digital de las aplicaciones e información que les pidieron a las autoridades para arrojar sus conclusiones. Una de estas, por ejemplo, es que las aplicaciones fallaron en ser efectivas en su misión principal, que era hacer un rastreo epidemiológico. Según explica Juan Diego Castañeda, abogado y coordinador de investigación de Karisma y uno de los tres autores del reporte, “nunca existió una conexión entre las autoridades de salud, las aplicaciones tecnológicas y los gobiernos locales”. De hecho, mucha de la información que recolectó Coronapp nunca llegó a los municipios. Pero lo que quizá más preocupa a los autores es que las plataformas cumplieron un rol a la hora de restringir derechos fundamentales y se centraron en el control del comportamiento de las personas. En el caso de Medellín Me Cuida, que se trata de una página web, el reporte explica que la versión para familias no solo pedía datos personales, reporte de síntomas y enfermedades base, sino información de miembros que viven con uno y el número de contrato con Empresas Públicas de Medellín, “lo que permite georreferenciar la ubicación del hogar”. En su versión empresarial, montar la información a la plataforma se convirtió en un requisito para que las personas que tenían que romper la cuarentena, por ciertas excepciones laborales, recibieran la autorización del gobierno local. Y también se les exigió a las tiendas que revisaran a través de la plataforma si las personas que entraban al local estaban autorizadas. “Con esto la administración amplió las funcionalidades de la aplicación y la convirtió en un pasaporte de movilidad, verificador de identidad, registro de clientes comerciales y asignador de permisos de funcionamiento para empresas”. Sumado a esto, dice el documento, el “gobierno local conectó Medellín Me Cuida a otra aplicación utilizada por la Policía para verificar los antecedentes penales de los ciudadanos”. “En este punto ya estamos hablando de una plataforma que controla a la gente, lo que, además, resultó en violencia”, cuenta Castañeda. En la investigación, por ejemplo, hablan de casos en que a las personas se les bloqueó la tarjeta para subirse al metro de Medellín cuando reportaban contagios o no eran parte de las excepciones para movilizarse. La Alcaldía de Medellín, sin embargo, explicó a El Espectador que se garantizaron todos los derechos a la privacidad y seguridad. “Cuando se realiza el registro tanto de empresas como de ciudadanos, se exponen las políticas de uso de cada una de las plataformas y además solicita la aprobación del tratamiento de datos, según el Decreto 1096 del 2018, el cual se expone igualmente para conocimiento del público”. Afirman, además, que “los términos y condiciones para cada uno de los módulos de Medellín me Cuida son bastante claros en cuanto al tratamiento de los datos, el consumo de la información y seguridad de esta, y en este sentido la Alcaldía de Medellín no ha obrado de manera diferente según esos acuerdos”. La información que han recolectado de los 2’315.231 de personas registradas en la plataforma, las 163.674 empresas, el 1’704.646 de empleados y 731 establecimientos educativos, les ha servido para generar alertas a las secretarías de Salud y EPS, así como crear cercos epidemiológicos para definir estrategias de mitigación y contención. Ninguna tecnología es peligrosa por sí sola, sus riesgos vienen de cómo se usen y quiénes las regulen. En Colombia, cuenta Castañeda, hubo dos reglas del juego que cambiaron durante la pandemia, lo que debilitó la seguridad de nuestros datos. La primera fue la Circular 001 de la Superintendencia de Industria y Comercio, que autorizó a las empresas privadas, sobre todo a los operadores celulares, a compartir los datos de
Protección de Datos – Facebook: así puede evitar que la red social rastree su información en la web
Facebook, compañía liderada por Mark Zuckerberg, ha enfrentado en los últimos años varios cuestionamientos sobre el manejo de la privacidad de sus usuarios, especialmente por el uso de los datos privados de los cibernautas. Si se tiene en cuenta que Facebook es la tercera aplicación más descargada en el mundo, según el más reciente reporte del portal especializado Appfigures, el uso de la información de los usuarios representa un problema para miles de millones de personas. El mes pasado, por ejemplo, Facebook reportó 46.8 millones de nuevas descargas teniendo en cuenta las cifras de las tiendas de aplicaciones de iOS y Android, es decir, App Store y Google Play respectivamente. En total la aplicación cuenta con más de 2.700 millones de usuarios activos a nivel global. A raíz de las críticas que los usuarios han manifestado sobre la política de tratamiento de datos, Facebook habilitó hace unos meses una opción denominada “Actividad fuera de Facebook”, que permite que los usuarios puedan conocer los detalles sobre su navegación en internet, como también los datos que otras aplicaciones comparten con esta red social. Esa misma función permite que la persona pueda solicitar a Facebook que deje de registrar su vida fuera de la plataforma o que no siga compartiendo información sobre el comportamiento de un usuario en el ecosistema digital. La persona también puede decidir qué empresas pueden o no compartir sus datos con Facebook. Cualquier persona puede hacer uso de esa opción de la siguiente manera: Ir a la opción ‘Configuración y privacidad’ y luego dar clic en ‘Configuración’. Buscar la opción ‘Tu información de Facebook’ y seleccionar la opción ‘Actividad fuera de Facebook’. En esa sección el usuario podrá controlar toda acción que realice fuera de Facebook, por ejemplo, revisar lo compartido con la empresa, borrar dicha información y hasta desactivar que Facebook recopile nueva información. ¿Sabe cuáles son los datos que rastrea Facebook? Clario, un portal especializado en seguridad cibernética, publicó en enero de este año un informe denominado Big Brother Brands: ¿qué empresas rastrean más nuestros datos personales?, en el que analizó cuáles eran los datos personales que rastrean las principales aplicaciones a nivel global. “Al recopilar algunas de las aplicaciones más utilizadas en el mundo y los datos que obtienen de usted, hemos caracterizado a las empresas que más utilizan su identidad”, señalaron desde el sitio web. Los expertos resaltaron que el tipo de datos que estas empresas generalmente recopilan sobre los internautas puede incluir información relativamente básica, como el nombre del usuario, su fecha de nacimiento y dirección de correo electrónico. Sin embargo, el informe detalla que algunas llegan a saber hasta qué mascota tiene, cuáles son sus pasatiempos, altura, peso y actividades que le gusta llevar a cabo. Clario reveló una lista de más de 45 aplicaciones usadas en el mundo que recopilan datos sobre sus usuarios. A continuación se exponen las 5 primeras con su respectivo porcentaje de recolección de datos personales. Facebook (70.59 %). Instagram (58.82 %). Tinder (55.88 %). Grindr (52.94 %). Uber (52.94 %). “También pueden almacenar su información bancaria, así como enlaces a sus cuentas de redes sociales y los datos que comparte en ellas”, agregaron. Además, el informe explica que el uso que hacen las empresas con este tipo de información también puede variar, aunque generalmente la usan “en publicidad dirigida y administración de sitios web”. “Uno de los primeros en la lista de recopiladores de datos es, como era de esperar, Facebook. […] Los anuncios son la forma en que Facebook aprovecha al máximo su dinero, alrededor de US$ 16.600 millones para ser precisos, según sus informes de 2018, por lo que cuanto más saben sobre usted, más pueden vender”, complementa el informe. Fuente: https://www.semana.com/tecnologia/articulo/facebook-asi-puede-evitar-que-la-red-social-rastree-su-informacion-en-la-web/202150/
Protección de Datos – La AEPD publica una guía sobre protección de datos y relaciones laborales
La Agencia Española de Protección de Datos (AEPD) ha publicado hoy la guía ‘Protección de datos y relaciones laborales’ con el objetivo de ofrecer una herramienta práctica de ayuda a las organizaciones públicas y privadas para un adecuado cumplimiento de la legislación. Esta guía ha sido elaborada por la Agencia con la participación tanto del Ministerio del Trabajo y Economía Social como de la patronal y organizaciones sindicales. La aplicación del Reglamento General de Protección y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) ha supuesto una serie de cambios tanto en lo relativo a los derechos de las personas trabajadoras como en la recogida y el uso de sus datos por parte de los empresarios. Asimismo, la guía también aborda temas que se plantean cada vez con mayor frecuencia, como la consulta por parte del empleador de las redes sociales de la persona trabajadora, los sistemas internos de denuncias (whistleblowing), el registro de la jornada laboral, la protección de los datos de las víctimas de acoso en el trabajo o de las mujeres supervivientes a la violencia de género o el uso de la tecnología wearable como elemento de control. El documento comienza recogiendo las bases que legitiman el tratamiento de datos personales, la información que es necesario facilitar y los derechos de protección de datos aplicados al entorno laboral. Aborda también el principio de minimización, ya que la ejecución del contrato de trabajo no implica que el empleador pueda conocer cualquier tipo de dato personal de las personas trabajadoras. Además de los deberes de secreto y seguridad (que los datos personales sólo sean conocidos por el afectado y por aquellos usuarios de la organización con competencias para usar, consultar o modificar esos datos), el documento también recoge los límites al tratamiento de datos en los procesos de selección y contratación de personal. En el apartado de selección de personal y redes sociales, la Agencia detalla que las personas no están obligadas a permitir que el empleador indague en sus perfiles de redes sociales, ni durante el proceso de selección ni durante la ejecución del contrato. Aunque el perfil en las redes sociales de una persona candidata a un empleo sea de acceso público, el empleador no puede efectuar un tratamiento de los datos obtenidos por esa vía si no cuenta para ello con una base jurídica válida y para ello será necesario informar de ello a la persona trabajadora y demostrar que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Por otro lado, la Agencia aclara que la empresa no está legitimada para solicitar ‘amistad’ a las personas candidatas para que éstas proporcionen acceso a los contenidos de sus perfiles. En cuanto a los sistemas internos de denuncias o whistleblowing, la Agencia considera que la información tanto a los denunciantes como a los potenciales denunciados reviste un carácter primordial. La LOPDGDD admite sistemas de denuncias anónimas y, en caso de que la denuncia no sea anónima, la confidencialidad de la información del denunciante debe quedar a salvo y no debe facilitarse su identificación al denunciado. Además, el personal con funciones de gestión y control de recursos humanos sólo podrá acceder a dichos datos en caso de procedimientos disciplinarios, sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo. En lo referente al registro de jornada obligatorio, la Agencia recomienda que se adopte el sistema menos invasivo posible y este no puede ser de acceso público ni estar situado en un lugar visible. Asimismo, los datos de ese registro no pueden utilizarse para finalidades distintas al control de la jornada de trabajo, como comprobar la ubicación. Es el ejemplo de una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad ese registro es comprobar cuándo comienza y finaliza su tiempo de trabajo pero no verificar dónde se encuentra en cada momento, ya que el tratamiento de datos de geolocalización requiere de una base jurídica específica. La guía también incorpora una novedad relevante sobre el derecho del comité de empresa a ser informado por la empresa de los parámetros en los que se basan los algoritmos o sistemas de inteligencia artificial, incluida la elaboración de perfiles, que pueden incidir en las condiciones, el acceso y mantenimiento del empleo. Esta novedad, aprobada en el reciente RD-ley 9/2021, que modifica el Estatuto de los Trabajadores, constituye un precedente de transparencia adicional a las garantías de la normativa de protección de datos. Otro de los aspectos que aborda el documento es la difusión de las ayudas concedidas por acción social, especificando que las empresas no pueden publicar el listado de ayudas adjudicadas y denegadas en una página web de libre acceso, o en un tablón de anuncios situado en una zona abierta al público. En el caso de que las ayudas se vinculen con categorías especiales de datos (por ejemplo, ayudas por hijos con discapacidad) la publicidad de la concesión de la ayuda no ha de permitir la identificación del afectado. La guía ‘Protección de datos y relaciones laborales’ también aborda la protección de la privacidad de las víctimas de acoso en el trabajo y de las mujeres supervivientes a la violencia de género y determina que sus datos personales y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada. Así, recoge que deberá asignarse un código identificativo tanto a la persona supuestamente acosada como a la acosadora, con objeto de preservar la identidad de estas. Además, el empleador podrá conocer y tratar los datos de una trabajadora vinculados a la condición de mujer superviviente a la violencia de género cuando resulte necesario para el cumplimiento de las obligaciones legales pero, en todo caso, la documentación de la empresa debe incluir un código que no permita que terceros puedan asociar esa información con la trabajadora. La Agencia también aborda en la guía la tecnología wearable. La AEPD indica que monitorización de datos de salud a través de dispositivos inteligentes, como pulseras
Protección de Datos – Superindustria ordena a WhatsApp cumplir con el estándar nacional de protección de datos de sus 39 millones de usuarios en el país
Bogotá D.C., 26 de mayo de 2021. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, emitió una orden de obligatorio cumplimiento a la empresa WhatsApp LLC para que implemente medidas acordes con el estándar colombiano en materia de Habeas Data y debido tratamiento de datos personales. La decisión se tomó a través de la Resolución 29826 de mayo de 2021, luego de determinar que la Política de Tratamiento de la Información (PTI) de WhatsApp LLC incumple en un 57,89% los requisitos que exige la regulación colombiana. Adicionalmente, se estableció que dicha empresa tampoco cumple con el 75% de los requerimientos establecidos en el artículo 12 de la Ley Estatutaria 1581 de 2012. La Superintendencia de Industria y Comercio pudo establecer que esta empresa recolecta y trata datos personales de por lo menos treinta y nueve (39) millones de usuarios activos mensualmente en Colombia y que ésta utiliza “cookies” para recolectar o tratar Datos personales en territorio nacional, por lo que la Ley 1581 de 2012 es aplicable a WhatsApp LLC, pues esta compañía acopia o captura datos personales a través de una herramienta que se instalan en dispositivos móviles y computadores ubicados en Colombia. La SIC ordenó lo siguiente a WhatsApp LLC: • Crear una Política de Tratamiento de Información (PTI) que cumpla todos los requisitos que exige la regulación colombiana. Dicha PTI debe ser puesta en conocimiento de los Titulares de los Datos domiciliados o residentes en el territorio colombiano. • Implementar un mecanismo o procedimiento apropiado, efectivo y demostrable para que, al momento de solicitar la Autorización de las personas les informen en idioma castellano, de manera clara, sencilla y expresa todo lo que ordena el artículo 12 de la Ley Estatutaria 1581 de 2012. WhatsApp LLC deberá conservar prueba del cumplimiento de lo previsto en dicho artículo y, cuando el Titular de dato lo solicite, entregarle copia de ésta. • Registrar sus Bases de Datos en el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio, respecto de los Datos que recolectan o tratan en el territorio de la República de Colombia sobre personas residentes o domiciliadas en este país. Adicionalmente, se EXHORTÓ a WhatsApp LLC para que informe a la Superindustria una dirección de correo electrónico para recibir comunicaciones o notificaciones de actos administrativos. Lo anterior es muy importante para contar con un canal de comunicación expedito con miras a atender de forma inmediata aquellos requerimientos o decisiones que involucran la protección de los derechos humanos de millones de personas usuarias de los servicios de WhatsApp LLC. El incumplimiento de estas órdenes acarrea investigaciones administrativas sancionatorias que pueden generar multas de hasta 2.000 salarios mínimos legales vigentes o la eventual suspensión de actividades de WhatsApp LLC en Colombia. Contra la decisión proceden recursos de reposición y apelación. ver resolución Fuente: https://www.sic.gov.co/slider/superindustria-ordena-whatsapp-cumplir-con-el-est%C3%A1ndar-nacional-de-protecci%C3%B3n-de-datos-de-sus-39-millones-de-usuarios-en-el-pa%C3%ADs
