¿Qué es el Reglamento DORA? así ha cambiado la gestión del riesgo tecnológico en las entidades financieras
En un contexto en el que se percibe un aumento notorio de ataques cibernéticos a nivel global, el sector financiero, especialmente en Europa, sufre una oleada de delitos cibernéticos que precisan de una solución urgente. Así es como se ha puesto en circulación la nueva Ley de Resiliencia Operativa Digital (DORA), un reglamento que crea un marco vinculante y exhaustivo para la gestión de riesgos de las TIC en el sector financiero europeo. El objetivo es que el Reglamento DORA proteja a las entidades financieras y sus terceros proveedores de servicios tecnológicos críticos, debiendo implantarse una serie de normativas regulatorias antes del 17 de enero de 2025. El periodo de adaptación de los sistemas informáticos será de un máximo de dos años. Unificación de la ciberseguridad financiera DORA se marca como objetivos abordar la gestión del riesgo de las TIC en el sector de los servicios financieros y armonizar las normativas sobre gestión del riesgo de las TIC, unificando los Estados miembros de la UE. Se consolidarían una serie de prácticas efectivas para mitigar el impacto de las amenazas cibernéticas. DORA estaba enfocada inicialmente en garantizar que las empresas dispusiesen de capital suficiente para cubrir riesgos operativos. No obstante, las directrices no se aplicaban a todas las entidades financieras por igual y se basaban en principios generales más que en normas técnicas específicas. A partir de ahora se implanta una mayor claridad jurídica en relación a las obligaciones de ciberseguridad y ciberresiliencia, en un marco transfronterizo. No obstante, las pequeñas empresas no estarán sometidas a las mismas obligaciones que las de mayor calado. Dicho esto, todas las entidades financieras de la UE, incluidos los proveedores de servicios de criptoactivos, se someterán a DORA, pese a que fuesen entidades inicialmente excluidas de las regulaciones financieras. Algo que afectará de lleno a los proveedores de servicios en la nueve y los centros de datos, así como los servicios de calificación crediticia. Los objetivos de DORA Además de fijar un marco operativo de riesgos, el Reglamento DORA tiene la obligación de realizar pruebas periódicas a los sistemas y protocolos de las entidades mediante test que desvelasen sus vulnerabilidades. También será necesario garantizar la transparencia, informando a las partes implicadas de cualquier tipo de incidente, así como monitorear la cadena de valor. Las entidades financieras deberán controlar, de manera exhaustiva, cualquier función tecnológica subcontratada o delegada en terceros. DORA exigirá a las entidades que apliquen medidas adecuadas de protección de ciberseguridad. Aquí se incluyen políticas de gestión de identidades y accesos y gestión de parches, software de gestión de eventos e información de seguridad (SIEM) y herramientas de orquestación, automatización y respuesta en materia de seguridad (SOAR). Evolución histórica de DORA La gestión del riesgo tecnológico en las entidades financieras ha ido evolucionando de manera paulatina. Así es como DORA fue propuesto por primera vez, de manos de la Comisión Europea, en septiembre de 2020. Forma parte de un paquete financiero digital más amplio, el cual incluye iniciativas para regular los criptoactivos y mejorar la estrategia general de financiación digital de la UE. Tanto el Consejo de la UE como el Parlamento Europeo adoptaron DORA de manera formal en noviembre de 2022. Las Autoridades Europeas de Supervisión (AES) siguen afinando detalles para su implantación. Se espera que todas las normas técnicas de regulación (NTR) y las normas técnicas de ejecución (NTE) se finalicen en este 2024. Medidas restrictivas de DORA A posteriori, su aplicación será responsabilidad de los reguladores asignados por cada Estado miembro de la UE; ‘autoridades competentes’. Éstas pueden solicitar que las entidades financieras adopten medidas de seguridad específica y corrijan vulnerabilidades, así como imponer sanciones administrativas. DORA autoriza a los supervisores a multar a los proveedores de TIC con un importe equivalente al 1% de la facturación media diaria mundial del proveedor en el ejercicio anterior. Los proveedores pueden ser multados diariamente en un máximo de seis meses. Pruebas de resiliencia operativa digital Las entidades tienen la obligación de probar periódicamente sus sistemas TIC para evaluar la solidez de sus protecciones e identificar vulnerabilidades. Los resultados y los planes para subsanar las deficiencias serán comunicados a las autoridades competentes. Para ello, se realizarán evaluaciones de vulnerabilidad, al menos, una vez al año. Las entidades financieras clave deberán someterse a pruebas de penetración basadas en amenazas (TLPT) cada tres años. Todas estas normas técnicas aún no se han consolidado, aunque probablemente se alinearán con el maco TIBER-UE para el red teaming ético basado en la inteligencia de amenazas. Intercambio de información De igual modo, DORA fija que las entidades financieras deben establecer procesos para aprender de los incidentes relacionados con las TIC, tanto internos como externos. Cualquier información que se comparta deberá seguir estando protegida en base a las directrices pertinentes. Así pues, la información de identificación personal seguirá estando sujeta a las consideraciones del Reglamento General de Protección de Datos (RGPD). FUENTE: Martorell Delgado, Sergio. »¿Qué es el Reglamento DORA? así ha cambiado la gestión del riesgo tecnológico en las entidades financieras» Bitlifemedia.com. 04/03/2024. (https://bitlifemedia.com/2024/03/reglamento-dora-gestion-riesgo-tecnologico-entidades-financieras/).
Así es el modus operandi con el que roban tu información enviándote facturas electrónicas falsas
Detectan campaña digital de robo de información dirigida a México a través del envío de correos electrónicos con supuestas facturas electrónicas. Una nueva forma de estafa electrónica está comenzando a popularizarse mediante el envío de facturas electrónicas falsas que están haciendo llegar a las bandejas de correó electrónico o mediante mensajes de texto a usuarios mexicanos. De acuerdo con la empresa de ciberseguridad, Cisco Talos, esta modalidad está comprendida por un malware identificado como TimbreStealer que utiliza el envío de información a través de correos phising cargados de supuesta información de facturas o comprobantes fiscales digitales. Lea también: Colombia sigue siendo el país con más ataques de ciberseguridad en Latinoamérica, según IBM Cisco Talos identificó que en los correos recibidos por las víctimas se utilizan facturas electrónicas digitales de México, tales como los Comprobantes Discales Digitales por Internet (CFDI); una ve recibidos, la víctima es redireccionada a una página web donde el malware entra en acción y teniendo acceso a información personal. Los correos electrónicos suelen tener la misma estructura en su mensaje y un enlace al que acceder se inicia la descarga de un archivo Zip con un archivo url. y el malware: el archivo ZIP puede llevar el nombre CFDI_930290.Zip o FACTURA_560208.Zip. Información en riesgo Según la empresa de ciberseguridad, se trata de una campaña de robo de información dirigida especialmente a México y descubierta por usuarios y autoridades nacionales desde noviembre del año pasado. Respecto a la información que pudiera estar comprometida se encuentran: acceso a navegadores de Google Chrome o OneDrive, archivos de AdwCleanes, Avast Scanner y carpetas en cuarentena de 360 Antivirus, información del sistema operativo y acceso a historiales y contraseñas de páginas como Google, Amazon, Linkdin, Twitter (X) y Facebook, entre otras. Otros países como Argentina y España ya han sido víctimas de esta campaña de robo de datos personales a través del uso de facturas electrónicas falsas, donde los principales sectores suelen ser los servicios de transporte, manufactura, servicios de alojamiento, finanzas, seguros, gestión de empresas, construcción y asistencia sanitaria y social. La manera más fácil de no caer en esta nueva estafa es utilizando servicios de bloqueos de web maliciosos como Endpoint, así como sistemas de autentificación multifactor que impiden a las personas no autorizadas a acceder a ciertos sitios, además de acceder a servicios de correos seguros y verificar los remitentes de los mensajes. SAT alerta a contribuyentes por fraude Desde octubre pasado el Servicio de Administración Tributaria (SAT) alertó a los contribuyentes a estar alerta ante el surgimiento de una campaña de defraudadores que se hacen pasar por la institución para obtener datos sensibles de los usuarios. Desde sitios web construidos con las características del SAT, hasta envío de correos electrónicos falsos o mensajes de texto a través de la aplicación WhatsApp están siendo utilizadas para obtener datos fiscales, cuentas bancarias o números de seguridad social. Entre los mensajes recibidos por los contribuyentes se encuentran presuntas subastas, venta de bienes, productos, materiales y vehículos a nombre del SAT, de la cual la institución dejó en claro que no están dentro de sus facultades. Para no caer en este tipo de fraudes, el SAT reiteró que sólo a través de sus canales oficiales es que lanza campañas a los contribuyentes; y que ni sus redes sociales, ni su página oficial tienen terminación “.org”, lo cual señalaron puede ser el primer indicador de que se trata de un fraude. FUENTE: Jiménez, Ernesto. »Así es el modus operandi con el que roban tu información enviándote facturas electrónicas falsas» Infobae.com. 01/04/2024. (https://www.infobae.com/mexico/2024/03/02/asi-es-el-modus-operandi-con-el-que-roban-tu-informacion-enviandote-facturas-electronicas-falsas/).
Así será el primer Simposio Internacional de Ciberseguridad en Medellín y Bogotá
Con destacados expertos en temas de ciberseguridad, la unidad de tecnología de ScotiaGBS del grupo Scotiabank, junto con la Universidad Eafit, en Medellín, y la Pontificia Universidad Javeriana, en Bogotá, desarrollarán el primer Simposio Internacional de Ciberseguridad del 2024. El evento tendrá lugar de manera presencial en las dos instituciones mencionadas, en las que se ofrecerán espacios de intercambio de conocimientos y experiencias entre líderes de la industria, académicos y profesionales. Podría interesarle: IBM lanza curso gratuito sobre onceptos básicos de Ciberseguridad El objetivo de las conferencias será discutir sobre los desafíos actuales y futuros en el ámbito de la seguridad digital. “En ScotiaTech, estamos comprometidos para brindar un servicio eficiente y confiable a nuestros clientes. Nuestro objetivo es garantizar que cada interacción con nosotros sea una experiencia positiva, y la ciberseguridad es un elemento fundamental al momento de ser innovadores en el mundo de la tecnología. Estos Simposios brindan la oportunidad a todos los estudiantes y profesionales que quieran ir al siguiente nivel y potenciar su conocimiento frente a los nuevos desafíos que traen todos los avances tecnológicos”, afirmó Danilo González, Senior Vice President and Managing Director, ScotiaTech and Senior Vice President & Head, Technology & Operations, Scotiabank Colpatria. ¿Cuándo y dónde será el Simposio? El simposio será en La Universidad Eafit de Medellín, los días 4 y 5 de marzo, y en la Pontificia Universidad Javeriana de Bogotá, los días 6 y 7 de marzo. Para los interesados, la entrada será gratuita y los participantes tendrán la oportunidad de explorar temas como Tendencias en ingeniería de seguridad, Seguridad y transformación digital, Campos de acción en Ciberseguridad, Riesgos en seguridad, Cómo desglosar un ciberataque, El papel de las políticas y normas en seguridad, Criptomonedas en el mundo real y Perspectivas de la seguridad en los próximos años. Si usted quiere participar, debe saber que los cupos son limitados. Para asistir, la inscripción la puede hacer en los siguientes links: • Inscripciones Pontificia Universidad Javeriana • Inscripciones Universidad Eafit FUENTE: Vázquez Bajonero, Geraldine. »Así será el primer Simposio Internacional de Ciberseguridad en Medellín y Bogotá» Eltiempo.com. 02/03/2024. (https://www.eltiempo.com/tecnosfera/novedades-tecnologia/primer-simposio-internacional-de-ciberseguridad-del-2024-donde-y-cuando-860448).
El Parlamento Europeo aprueba el nuevo monedero digital para hacer trámites en línea en toda la UE
El Parlamento Europeo (PE) dio este jueves su visto bueno a un nuevo «monedero digital» que permitirá en toda la Unión Europea (UE) identificarse de manera electrónica en servicios públicos y privados, así como almacenar y compartir documentos firmados digitalmente. Los eurodiputados aprobaron con 335 votos a favor, 190 en contra y 31 abstenciones el acuerdo alcanzado con los Estados miembros sobre la propuesta de la Comisión Europea para crear un «monedero de identidad digital» cuyo uso será, en todo caso, voluntario. Lea también: La AEPD participa en una acción europea para analizar la aplicación del derecho de acceso El reglamento prevé que este sistema permita a los ciudadanos acceder a los servicios en línea con su identificación digital nacional, que será reconocida en toda Europa. Esto evitará que tengan que depender de proveedores comerciales, ya que a juicio de los legisladores esto «genera preocupaciones de confianza, seguridad y privacidad». Además de los servicios públicos, las grandes plataformas de internet designadas con arreglo a la Ley de Servicios Digitales (como Amazon, Booking.com o Facebook) y los servicios privados que estén legalmente obligados a autenticar a sus usuarios, tendrán que aceptar el nuevo sistema para iniciar sesión en sus servicios en línea. Firmas Electrónicas Cualificadas, incluidas dentro del nuevo monedero digital aprobado por la Unión Europea Los usuarios de estas carteras de identidad digital tendrán además de forma gratuita «firmas electrónicas cualificadas», que tienen el mismo valor legal que las firmas manuscritas, y podrán interactuar con otras carteras «mejorando la fluidez de los intercambios digitales». A petición de los eurodiputados, habrá una cartera de código abierto «para animar a la transparencia e innovación y mejorar la seguridad», y se han introducido además reglas para el registro y supervisión de las empresas implicadas con el fin de asegurar la rendición de cuentas y trazabilidad. Los usuarios contarán además con un panel de privacidad que les dará «total control de sus datos» y podrán pedir borrarlos, tal como prevé el Reglamento General de Protección de Datos (GDPR, en inglés) de la UE. Las carteras digitales permiten a los usuarios almacenar y vincular sus datos en un único espacio digital en el teléfono móvil, pero según la Comisión, los servicios existentes propician la pérdida de control sobre los datos personales y, al estar desconectados de una identidad física verificada, hacen más difícil luchar contra el riesgo de fraude y ciberseguridad, recordó el Parlamento Europeo. Una vez que los Estados miembros también den su visto bueno al acuerdo político, la normativa podrá entrar en vigor. FUENTE: Municio, Sandra. »El Parlamento Europeo aprueba el nuevo «monedero digital» para hacer trámites en línea en toda la UE» Euroefe.euractiv.es. 29/02/2024. (https://euroefe.euractiv.es/section/economia-y-empleo/news/el-parlamento-europeo-aprueba-el-nuevo-monedero-digital-para-hacer-tramites-en-linea-en-toda-la-ue/).
La AEPD participa en una acción europea para analizar la aplicación del derecho de acceso
La Agencia Española de Protección de Datos, AEPD, participa en una acción europea coordinada para conocer cómo aplican las organizaciones en la práctica el derecho de acceso que ejercitan los ciudadanos, dentro del marco de actuaciones del Comité Europeo de Protección de Datos (CEPD) de 2024. El CEPD ha seleccionado esta temática ya que el derecho de acceso permite a las personas conocer qué datos tiene sobre ellas una organización y, en muchas ocasiones, se convierte en la puerta de entrada para ejercitar otros derechos de protección de datos como el de rectificación o supresión. Las autoridades de control del Espacio Económico Europeo participarán en esta acción a lo largo del año. La AEPD, por su parte, analizará las prácticas de una muestra variada de responsables del tratamiento, tanto del sector público como privado, para conocer tanto las buenas prácticas como si existe alguna problemática relacionada con la atención al ejercicio del derecho de acceso. En 2023, el CEPD adoptó las Directrices sobre los derechos de los interesados – Derecho de acceso para ayudar a las organizaciones a responder a las solicitudes en consonancia con los requisitos establecidos en el Reglamento General de Protección de Datos. Podría interesarle: Así es la situación de los Delegados de Protección de Datos en la Unión Europea Los resultados de esta acción se analizarán de manera coordinada y las Autoridades podrán decidir sobre posibles acciones adicionales de supervisión y aplicación en sus respectivos países. Además, los resultados serán agregados, generando una visión amplia y permitiendo un seguimiento específico en el ámbito del Espacio Económico Europeo. Finalmente, el Comité publicará un informe sobre el resultado de este análisis una vez concluidas las acciones. Esta acción es la tercera iniciativa en el marco del Marco de Aplicación Coordinada (MCE), entre cuyos objetivos se encuentra la cooperación entre las autoridades de protección de datos. Las acciones coordinadas anteriores analizaron el uso de servicios en la nube por parte del sector público y la designación y situación de los Delegados de Protección de Datos en las organizaciones. FUENTE: Noticia. »La AEPD participa en una acción europea para analizar la aplicación del derecho de acceso» Elderecho.com. 29/02/2024. (https://elderecho.com/aepd-participa-en-accion-europea-para-analizar-aplicacion-derecho-de-acceso).
Colombia sigue siendo el país con más ataques de ciberseguridad en Latinoamérica, según IBM
De acuerdo con ese informe, por segundo año consecutivo, Colombia se ha convertido en el país más atacado por ataques cibernéticos, con el 17% de los incidentes en la región. Un reciente reporte del Índice de Inteligencia de Amenazas X-Force de IBM para 2024 ha informado sobre una creciente crisis de identidad global a medida que los cibercriminales explotan cada vez más las identidades de los usuarios para comprometer empresas en todo el mundo. El Índice de Inteligencia de Amenazas X-Force, compilado mediante el monitoreo de más de 150.000 millones de eventos de seguridad diarios en 130 países, ha destacado que el 71% de los ciberataques globales ahora se atribuyen a la explotación de identidad. Esta táctica se ha convertido en el método preferido de los ciberdelincuentes en América Latina, según Juan Carlos Zevallos, líder de software de seguridad de IBM para la región. “Los cibercriminales han reevaluado las credenciales como un vector de acceso inicial de confianza. Con el cambio hacia los ‘inicios de sesión’, están destacando la relativa facilidad de adquirir credenciales de usuario en comparación con explotar vulnerabilidades o ejecutar campañas de phishing”, dijo Zevallos. “Con ataques impulsados por IA, las empresas están siendo empujadas a un nuevo panorama donde la seguridad impulsada por IA puede elevar las defensas y la productividad a nivel humano, programático y tecnológico”. Colombia, el segundo país más ciberatacado de Latinoamérica Colombia aseguró la desafortunada posición como el segundo país más atacado en Latinoamérica, reflejando su posición de 2022. Compañías especializadas como Eset, Kaspersky, Lumu Technologies, Norton, Fortinet y McAfee son algunas de las que contribuyen a la seguridad informática en el país para atender estos riesgos. Brasil ocupó el primer puesto con un 68%, mientras que Chile aseguró la tercera posición con un 8%. Los ataques no se limitaron a una industria en particular, y el comercio minorista, las finanzas y los seguros compartieron el primer puesto con un 25% cada uno. Cabe destacar que ha habido un aumento en las campañas que explotan extensiones maliciosas de Chrome, dirigidas principalmente a instituciones financieras. Al examinar las rutas de ataque, el informe revela que en 2023, el vector de acceso inicial preferido en América Latina fue la explotación de aplicaciones públicas, constituyendo el 45% de los casos observados por X-Force. El phishing y las cuentas válidas ocuparon el segundo lugar con un 22%. Contrariamente a la tendencia mundial de disminución de los ataques de ransomware a empresas, América Latina experimentó un aumento, y el ransomware representó el 31% de los ciberataques. Otras acciones comunes incluyeron el acceso a servidores y el uso de herramientas para fines maliciosos, ambas con un 23%. Los impactos fueron severos, con un 33% de los incidentes relacionados con filtraciones de datos y un 22% resultando en extorsión o daños a la reputación de la marca. A medida que las amenazas cibernéticas continúan evolucionando, la necesidad de medidas sólidas de seguridad cibernética, particularmente en la protección de identidad, se vuelve cada vez más crucial para las empresas en Colombia y en toda América Latina. Otros riesgos en Latinoamérica Crisis de identidad en ascenso: Latinoamérica no es ajena a la creciente crisis global de identidad. X-Force detectó un aumento del 266% en malware para robo de información en 2023, facilitando el acceso de los atacantes a las empresas. Esta “entrada fácil” genera altos costos en la respuesta a incidentes, por lo que la protección de la identidad se vuelve crucial. Seguridad básica: ¿mito o realidad?: Aunque parezca simple, la “seguridad básica” puede ser un desafío. X-Force descubrió que casi el 85% de los ataques a sectores críticos podrían haberse evitado con parches de seguridad, autenticación multifactor y privilegios mínimos para usuarios. La inversión en pruebas de resistencia y planes de respuesta a incidentes es fundamental para fortalecer la seguridad. IA Generativa: ¿un nuevo campo de batalla?: Los ataques a la IA Generativa (IAG) aún no alcanzan su máximo potencial, pero el panorama está cambiando. X-Force predice que, cuando una tecnología de IAG domine el mercado o se consolide en pocas opciones, los ataques podrían aumentar significativamente. Las empresas deben proteger su infraestructura y sus modelos de IA con un enfoque holístico, como el Framework de IBM para asegurar la IAG. Podría interesarle: La ciberseguridad se disputa con la IA el protagonismo en la inversión Vulnerabilidades omnipresentes: Red Hat Insights reveló que el 92% de los clientes en Latinoamérica tienen al menos una vulnerabilidad conocida sin resolver en su entorno. Además, el 80% de las diez principales vulnerabilidades detectadas en 2023 fueron clasificadas como “alta” o “crítica”. La gestión de vulnerabilidades debe ser una prioridad para las organizaciones. Configuraciones incorrectas: una puerta de entrada: Los tests de penetración de X-Force Red mostraron que las configuraciones incorrectas de seguridad representaron el 30% de las exposiciones identificadas. Los atacantes pueden aprovechar más de 140 formas de explotar estas configuraciones erróneas. La revisión y el ajuste regular de las configuraciones de seguridad son esenciales para minimizar el riesgo. FUENTE: Forbes Staff. »Colombia sigue siendo el país con más ataques de ciberseguridad en Latinoamérica, según IBM» 28/02/2024. (https://forbes.co/2024/02/28/tecnologia/colombia-es-el-pais-con-mas-ataques-de-ciberseguridad-en-latinoamerica).
Superintendencia Financiera impone plazo para la protección de datos personales
La Superintendencia Financiera impuso un límite de 15 días hábiles para resolver peticiones, quejas o reclamos relacionados con el derecho de habeas data por parte de las entidades vigiladas. Este anuncio se dio luego de que esta entidad detectara un aumento de quejas y tutelas vinculadas al fraude y al ejercicio de este derecho fundamental durante el 2023. Esta disposición responde a la necesidad de reforzar la protección al consumidor financiero y garantizar la adecuada gestión de sus datos personales. Para tal fin, la Superintendencia Financiera esbozó un conjunto de medidas específicas que incluyen la obligación de las entidades de obtener el consentimiento expreso de los titulares de los datos, mantener esta autorización documentada y actualizar de manera regular la información financiera reportada para evitar desactualizaciones o errores. Además, se contempla que ante cualquier inconformidad presentada por los usuarios, las entidades deben no solo atender y resolver estas directamente, sino también notificar al operador de información en un plazo de dos días hábiles, aplicando la leyenda “reclamo en trámite” al registro individual del consumidor afectado. Esta serie de acciones busca ofrecer una respuesta más ágil y eficiente a las inquietudes y problemas que puedan surgir en el manejo de datos personales dentro del sector financiero. En el documento, la Superintendencia dejó estipulado que para mitigar todo tipo acciones fraudulentas, las entidades que se encuentran bajo su vigilancia deberán: Lea también: SIC pública guía oficial de protección de datos personales Así mismo, dejó claro que el tiempo para responder las peticiones, quejas o reclamos que se encuentren directamente relacionados con el derecho fundamental del habeas data es de 15 días hábiles después de la radicación de las mismas. Del mismo modo, este tiempo se podrá prorrogar por un periodo adicional de máximo ocho días hábiles. ¿Qué es el habeas data y cuál es la importancia en el sector financiero? El derecho de habeas data es fundamental para garantizar la protección de datos personales en archivos y bancos de datos tanto públicos como privados en Colombia. Según indica la Superintendencia de Industria y Comercio (SIC), este derecho permite a cualquier ciudadano conocer, actualizar y rectificar la información recopilada sobre sí mismo. Además, la Corte Constitucional específica que incluye el acceso, inclusión, exclusión, corrección, actualización entre otros aspectos para manejar la divulgación de datos personales. Esta legislación se aplica a todas las entidades, sean estas públicas o privadas, que manejen datos personales dentro del territorio colombiano. Tal como menciona el abogado Francisco Bernate, es obligatorio para estas entidades respetar y actualizar la información personal, estableciendo políticas claras para el manejo de estos datos. La relevancia de la Ley de habeas data radica en su enfoque en salvaguardar la privacidad e integridad de los ciudadanos, asegurando así una gestión adecuada de su información personal. Lea también: ¡Prepárese para reportar ante la SIC, las peticiones que han presentado los titulares de los datos de su empresa! Los datos personales de niños y adolescentes cuentan con un nivel adicional de protección bajo esta ley, prohibiendo su tratamiento salvo en circunstancias específicas que respeten y respondan al interés superior de este grupo de edad. Este énfasis en proteger a los más vulnerables pone de manifiesto el compromiso de la ley con los derechos fundamentales. Entre tanto, los datos sensibles, que incluyen información que podría ser utilizada para la discriminación del titular, como el origen racial, las convicciones religiosas o la orientación política, tienen restricciones específicas de manejo y tratamiento para evitar abusos. La Ley 1581 de 2012 es una pieza clave en la estructura de protección de derechos en Colombia, y su adecuada aplicación e interpretación son esenciales para garantizar la dignidad y la privacidad de todos los ciudadanos. Este conjunto de reglas y principios subraya la importancia de una gestión responsable de los datos personales en la era digital, marcando un precedente en la legislación colombiana en cuanto a la protección de datos. FUENTE: Saavedra, Frank. »Superintendencia Financiera impone plazo para la protección de datos personales» Infobae.com. 27/02/2024. (https://www.infobae.com/colombia/2024/02/27/superintendencia-financiera-dio-15-dias-para-contestar-quejas-y-reclamos-por-habeas-data-por-aumento-de-casos/).
La AEPD publica su Plan de Responsabilidad Social, alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible
La Agencia Española de Protección de Datos (AEPD) ha presentado su Marco de Actuación de Responsabilidad Social 2019-2024 en un acto en el que han participado la Alta Comisionada para la Agenda 2030, Cristina Gallach; la directora general del Trabajo Autónomo, de la Economía Social y de la Responsabilidad Social de las Empresas, Mª Antonia Pérez León, y la directora de la AEPD, Mar España. El Marco de Actuación de Responsabilidad Social de la AEPD, elaborado con la colaboración de Pacto Mundial de Naciones Unidas, está alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible, y estructura el compromiso de este organismo en cuatro grandes ejes, tanto internos como externos: Sociedad; Buen Gobierno, Transparencia y rendición de cuentas; Medioambiente y Empleados. Para llevar a cabo las responsabilidades asumidas, se han identificado 100 acciones: un 70% responde a compromisos con la sociedad, especialmente en temas de prevención para una protección más eficaz de las personas, de igualdad de género y de innovación y emprendimiento; un 13% son compromisos internos con los empleados, un 10% con el respeto al medioambiente y un 7% están relacionadas con el buen gobierno, la transparencia y la rendición de cuentas. Dentro del apartado de Compromiso con la Sociedad, la Agencia ha establecido a su vez tres grandes áreas de trabajo: el fomento de la prevención; la igualdad de género y la innovación y el emprendimiento. Algunas de las medidas más significativas en el área de prevención son las siguientes: En cuanto a la igualdad de género, dentro de las acciones para combatir la violencia de género en internet, destacan las siguientes: Podría interesarle: Las 35 medidas y las 10 actuaciones de la AEPD para limitar el acceso de los menores al porno Para potenciar la innovación y el emprendimiento a la hora de crear productos y servicios compatibles con los derechos de las personas y, en consecuencia, sostenibles, la Agencia va a contribuir a la realización de encuentros y seminarios donde se reúnan emprendedores. Por otro lado, además de alinear con la Agenda 2030 los premios que anualmente concede la Agencia, la AEPD va lanzar una nueva categoría en la que se van a reconocer proyectos y actuaciones innovadoras y respetuosas con la privacidad en el marco de las iniciativas empresariales noveles y las startups. El premio tendrá la denominación “Ángela Ruiz Robles”, precursora española del libro electrónico. De otra parte, el Marco de Actuación recoge una apuesta firme por una política de cumplimiento (compliance) basada en los valores de la transparencia, el buen gobierno, la integridad, la rendición de cuentas, la participación, la profesionalidad y el servicio público. Ello se va a traducir en la aprobación de un Código Ético y de Conducta para los empleados y directivos de la Agencia, y la implantación de un canal de denuncias anónimo, siempre con las debidas garantías en su aplicación. En cuanto al compromiso con los empleados, cabe mencionar: Por último, en el apartado de medioambiente, la Agencia se compromete a seguir profundizando en las medidas internas orientadas a la promoción de políticas de reciclado, el impulso de acciones de movilidad sostenible para empleados, el uso responsable del papel y una evaluación sobre el uso eficiente de los recursos energéticos de la Agencia. FUENTE: »La AEPD publica su Plan de Responsabilidad Social, alineado con la Agenda 2030 y los Objetivos de Desarrollo Sostenible» AEPD.es. 15/05/2019. (https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-su-plan-de-responsabilidad-social-alineado).
Italia dice que el chatbot de OpenAI incumple las normas de protección de datos
Una investigación de la Autoridad de Protección de Datos de Italia (DPA) descubrió violaciones de la privacidad de los datos, que estarían relacionadas con la recopilación de datos personales y la protección de menores. Italia ha adoptado una postura firme en materia de protección de datos en lo que respecta a ChatGPT. Fue el primer país occidental en bloquear el producto en marzo del 2023, alegando problemas de privacidad. ChatGPT fue restablecido unas cuatro semanas después, tras declarar que había “abordado o aclarado” con éxito las cuestiones planteadas por la DPA. La DPA italiana inició entonces una “actividad de investigación” que, según afirma, ha detectado violaciones de la privacidad de los datos. En un comunicado, la DPA afirma que “ha llegado a la conclusión de que las pruebas disponibles apuntan a la existencia de infracciones de las disposiciones contenidas en el GDPR (Reglamento General de Protección de Datos) de la UE”. Están relacionadas con la recopilación masiva de datos de los usuarios que luego se utilizan para entrenar el algoritmo. Al regulador también le preocupa que los usuarios más jóvenes puedan estar expuestos a contenidos inapropiados generados por el chatbot. Las multas a las empresas que incurran en fallas a la protección de datos en Europa Según la ley GDPR de la UE, las empresas que incumplan las normas pueden ser multadas con hasta el 4% de la facturación global de la empresa. La DPA de Italia trabaja junto con el Consejo Europeo de Protección de Datos de la Unión Europea, que creó un grupo de trabajo especial para supervisar ChatGPT en abril del 2023. OpenAI mantiene estrechos vínculos con el gigante tecnológico Microsoft, que ha invertido miles de millones de dólares en la empresa. Microsoft ha integrado la IA en su motor de búsqueda Bing, así como en sus aplicaciones de Office 365 como Word, Teams y Outlook. FUENTE: Díaz, Rodrigo. »Italia dice que el chatbot de OpenAI incumple las normas de protección de datos» Elcentronews.net. 03/02/2024. (https://elcentronews.net/italia-dice-que-el-chatbot-de-openai-incumple-las-normas-de-proteccion-de-datos/).
