Protección de Datos – Los datos personales de 3,6M de alumnos y padres de Madrid, expuestos en la red
Los 1,2 millones de alumnos de toda la Comunidad de Madrid y sus respectivos padres o tutores legales (en total, 3,6 millones de personas) tienen un problema: sus datos personales han estado expuestos en internet al alcance de cualquiera debido a una brecha de datos. Así lo aseguran fuentes conocedoras de dicha brecha a este diario, que ha podido comprobar la existencia de varios documentos correspondientes a la matrícula de alumnos de 3 a 18 años que contienen tanto su información como la de los tutores que firman la matrícula. La brecha de datos fue descubierta entre finales de mayo y principios de junio de este año. Fue precisamente un padre el que, cuando accedió a la matrícula de su hijo en la web de la Consejería de Educación de la Comunidad de Madrid, observó que también podía acceder a las matrículas y datos personales de otros alumnos. Este diario ha comprobado que, efectivamente, los expedientes son reales y corresponden a los alumnos y padres, cuyos datos aparecen visibles. DNI, domicilio, móvil, renta mínima… El fallo informático era tan sencillo como crítico. Cuando unos padres acceden a la web de la secretaría virtual de los centros docentes de Madrid, para consultar la matrícula de sus hijos deben introducir un usuario y una contraseña y, a continuación, acceden a la documentación en una web cuya url tiene la siguiente forma: https://raices.madrid.org/secretariavirtual/descarga/solicitud/28563/ (Número inventado). (El número final de identificación ha sido pixelado por este diario.) Lo que descubrió este padre es que, si cambiaba aleatoriamente el número del final de la url, podía acceder a las matrículas de otros alumnos. Cada una de ellas estaba registrada en un documento PDF en el que aparecían los siguientes datos personales: Alumnos: Nombre y apellidos completos, DNI (si tienen), NIA (número de identificación de alumno), sexo, ciudad, municipio, dirección completa del domicilio, fecha de nacimiento, centro escolar, curso en el que se matricula y existencia o no de hermanos. Padres o tutores legales: Nombre y apellidos completos, DNI, correo electrónico, teléfono móvil, información económico (por ejemplo, si reciben la Renta Mínima Vital), sexo, ciudad, municipio, dirección completa del domicilio y fecha de nacimiento. Los afectados fueron los más de 1,2 millones de alumnos de la Comunidad de Madrid de Educación Infantil (3 años) hasta Bachillerato (18 años), así como sus padres o tutores legales. La cifra de personas que han visto sus datos personales expuestos, por tanto, podría ser de hasta 3,6 millones de afectados en toda la región. Este diario ha podido corroborar la posibilidad de acceder a dichos documentos, que presentan la siguiente estructura (los datos personales han sido pixelados): Extracto de solicitud de matrícula en un colegio de Madrid. Educación: «No se expuso datos personales» Este diario ha contactado con la Consejería de Educación para evaluar su conocimiento sobre dicha brecha, el tiempo que estuvo habilitada, cómo se solucionó y, sobre todo, si se notificó a los afectados. La Consejería admite un incidente, pero poco más: «El 20 de mayo por la mañana se detectó un fallo informático y se cerró el servicio de secretaría virtual de forma inmediata. A primera hora de la tarde se solucionó el fallo y el servicio de la secretaría virtual de Educación quedó restablecido. Madrid Digital avisó a la Consejería de Educación en cuanto conoció el problema». Además, la Consejería asegura que «Madrid Digital no tiene constancia de brecha de seguridad en relación a exposición de datos personales de los alumnos». La Consejería admite un «fallo informático», pero niega que se haya expuesto datos personales de alumnos y padres La versión de las fuentes cercanas al padre que descubrió la brecha, eso sí, es bien distinta. El incidente, aseguran, fue reportado a la Consejería de Educación de la Comunidad de Madrid a través de la Asociación de Madres y Padres de Alumnos (AMPA) del centro escolar. Acto seguido, la secretaría virtual de los centros docentes ‘apagó’ su web, mostrando un mensaje mediante el que indicaba estar en obras. La web de la secretaría virtual se vio interrumpida, mostrando el siguiente mensaje. Además, aseguran, desde la Consejería de Educación se dio las gracias a los informantes y se les instó a que, si descubrían nuevas brechas de datos o vulnerabilidades de seguridad informática, avisasen inmediatamente al organismo. Tras esta comunicación no hubo más conversaciones y, según las fuentes consultadas, ni los centros escolares ni la comunidad educativa de la Comunidad de Madrid fueron informados de la brecha de datos existente. «No informaron a la AEPD» El incidente, según las fuentes consultadas, «se ocultó a la Agencia Española de Protección de Datos (AEPD)», cuando en realidad se tendría que haber comunicado tras el conocimiento de la brecha. En este sentido, el artículo 33 del Reglamento General de Protección de Datos (RGPD) establece que «en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente (…) 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas». Si dicha notificación no se produce en 72 horas, «deberá ir acompañada de indicación de los motivos de la dilación». Además, el artículo 32 del RGPD recuerda que, en cualquier entidad que gestione datos personales de terceros, «el responsable y el encargado del tratamiento [de esos datos] aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo». La Ley Orgánica de Protección de Datos (LOPD), por otro lado, también habilita la posibilidad de imponer sanciones económicas a quien no haga una buena custodia de los datos que maneja. Este diario ha contactado con el organismo para saber si la Consejería de Educación reportó el incidente: la AEPD asegura no tener conocimiento de ninguna brecha similar. Educación afirma que, efectivamente, «no se ha realizado ninguna notificación a la Agencia Española de Protección de Datos», pero argumenta que no se ha hecho porque no tiene conocimiento de que ningún dato de padres o alumnos haya quedado expuesto. «Estoy indignado, pienso denunciar» Este diario ha podido hablar con dos padres cuya información personal y
Protección de Datos – Manual sobre Protección de Datos en la Acción Humanitaria
El presente manual se publicó en el marco del proyecto «Protección de datos en la acción humanitaria», conducido por el CICR y el Brussels Privacy Hub. Está dirigido al personal de las organizaciones humanitarias que participan en las tareas de tratamiento de datos personales en las actividades humanitarias, en particular, los encargados de asesorar sobre las normas relativas a la protección de datos y su aplicación. El manual se basa en lineamientos, procedimientos de trabajo y prácticas existentes y establecidas en actividades humanitarias que se llevan a cabo en los contextos más volátiles y para beneficio de las víctimas más vulnerables de las emergencias humanitarias. Procura ayudar a las organizaciones humanitarias a respetar las normas relativas a la protección de datos personales, generando sensibilización y proporcionándoles orientación específica sobre la interpretación de los principios relativos a la protección de datos en el contexto de la acción humanitaria, en particular cuando se emplean nuevas tecnologías. Esta segunda edición actualiza el texto de la primera edición y brinda orientación adicional sobre los siguientes temas: – cadenas de bloques; – inteligencia artificial y aprendizaje automático; – redes sociales; – conectividad; – evaluaciones de impacto relativas a la protección de datos (EIPD) OBTENER LA PUBLICACIÓN Fuente: Manual sobre Protección de Datos en la Acción Humanitaria | Comité Internacional de la Cruz Roja (icrc.org)
Protección de Datos – Superindustria sanciona al Banco de Bogotá y almacenes Éxito por vulnerar los datos personales
Bogotá D.C., 3 de noviembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó al BANCO DE BOGOTÁ, ALMACENES ÉXITO S.A. y ÉXITO INDUSTRIAS S.A.S. por vulnerar los datos personales, las multas suman QUINIENTOS SESENTA Y NUEVE MILLONES OCHOCIENTOS NOVENTA MIL TREINTA Y CINCO PESOS ($569.890.035). En el caso del Banco de Bogotá, la multa es de TRESCIENTOS CINCUENTA Y UN MILLONES CIENTO VEINTE MIL SEISCIENTOS VEINTISIETE PESOS ($351.120.627) por usar datos de una ciudadana sin contar con su autorización. El caso surgió con ocasión de la queja de una persona que manifestó que, a pesar de no tener ninguna relación con dicho banco, fue objeto de “una serie de cobros amenazantes e intimidatorios” mediante llamadas telefónicas y mensajes de texto por parte de dicha entidad. Durante la investigación se verificó que la ciudadana fue incluida como “referencia” en una solicitud de crédito, y que ella no autorizó al banco para que usaran su información para adelantar la gestión de cobro de cartera de un tercero. De otra parte, se multó a ALMACENES ÉXITO S.A. y ÉXITO INDUSTRIAS S.A.S. por las sumas de CIENTO CUARENTA Y CINCO MILLONES OCHOCIENTOS CUARENTA Y SEIS MIL DOSCIENTOS SETENTA Y DOS PESOS ($145.846.272) y SETENTA Y DOS MILLONES NOVECIENTOS VEINTITRÉS MIL CIENTO TREINTA Y SEIS PESOS ($72.923.136) respectivamente. En este caso, una ciudadana intentó más de cuatro veces que eliminaran su información de una de la lista de envíos de correo electrónico por medio del link que aparece en la parte inferior de cada mensaje, que señalaba: “si no quieres recibir más correos ingresa a este enlace”. Sin embargo, ese mecanismo fue inútil pues le siguieron enviando mensajes publicitarios sin su consentimiento. Durante la investigación ALMACENES ÉXITO S.A. no demostró que tenía autorización de la ciudadana para el envío de publicidad. Adicionalmente, esa sociedad suministró datos de la ciudadana a ÉXITO INDUSTRIAS S.A.S., quien obró como Encargada del Tratamiento de Datos e incumplió el deber de atender debidamente la solicitud de eliminación de los datos de la ciudadana de la lista de envío de correo electrónico masivo para fines de marketing. Contra las dos decisiones proceden los recursos de reposición y de apelación. Documentación Radicación 18-283845 Radicación 19-233246 Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-al-banco-de-bogot%C3%A1-y-almacenes-%C3%A9xito-por-vulnerar-los-datos-personales
Protección de Datos – Superindustria ordena a la plataforma Zoom reforzar medidas de seguridad para proteger los datos personales de los colombianos
Bogotá D.C., 26 de noviembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ordenó a ZOOM VIDEO COMMUNICATIONS INC. mejorar sus medidas de seguridad para proteger los datos personales y la información de los colombianos. La decisión, adoptada mediante la Resolución 74519 de noviembre de 2020, se emitió luego de que la Superindustria realizara una investigación administrativa de manera oficiosa desde el 14 de abril de 2020, con miras a establecer si ZOOM cumplía con la regulación colombiana en materia de seguridad de la información, y si dicha compañía implementa el principio de responsabilidad demostrada en esa materia. Durante la investigación se estableció que ZOOM administra Datos Personales de los usuarios que usaron sus servicios para participar en mas de 17 millones de reuniones, entre el 1° y el 28 de abril de 2020. Aunque ZOOM ha adoptado medidas para mejorar sus niveles de seguridad de la información, según un reciente pronunciamiento de la Federal Trade Commission de los Estados Unidos (FTC) – homóloga estadounidense de la SIC -, aún subsisten algunas falencias. Por lo anterior, la Superintendencia de Industria y Comercio considera necesario emitir órdenes administrativas de carácter preventivo para garantizar el principio y el deber de seguridad. ZOOM deberá cumplir con lo ordenado por esta Autoridad en un plazo de cuatro (4) meses, para lo cual deberá presentar una certificación emitida por una entidad – nacional o extranjera -, independiente, imparcial, profesional y especializada en temas de seguridad de la información. Como consecuencia de la pandemia del COVID-19, la gran mayoría de ciudadanos han aumentado el uso de aplicaciones tecnológicas como medio de comunicación con fines académicos, profesionales y personales. ZOOOM provee un servicio de videoconferencia que incluye servicios de conferencia remota, reuniones en línea, chat y colaboración móvil. Contra la decisión proceden los recursos de reposición y apelación. VER RESOLUCIÓN Fuente: Superindustria ordena a la plataforma Zoom reforzar medidas de seguridad para proteger los datos personales de los colombianos | Superintendencia de Industria y Comercio (sic.gov.co)
Protección de Datos – Mal manejo de datos personales genera sanciones millonarias a importantes empresas
La Superintendencia de Industria y Comercio (SIC) impuso sanciones pecuniarias a almacenes Éxito S. A. y a Industrias Éxito SAS por $ 145.846.272 y $ 72.923.136, respectivamente, por la vulneración de datos personales. De acuerdo con la información aportada al proceso, una ciudadana intentó más de cuatro veces que eliminaran su información de una de las listas de envíos de correo electrónico, por medio de un link que aparece en la parte inferior de cada mensaje que señalaba “si no quieres recibir más correos ingresa a este enlace”, pero ese mecanismo fue inútil, pues le siguieron enviando mensajes publicitarios sin su consentimiento. Durante la investigación, el almacén no demostró tener autorización de la ciudadana para el envío de publicidad. Adicionalmente, incumplió el deber de atender debidamente la solicitud de eliminación de la lista de envío de correo electrónico masivo para fines de marketing. Almacenes Éxito deberá cesar la utilización de “pop ups de registro condicionados a la aplicación del check box” como mecanismo para obtener autorización de tratamiento de datos personales de los titulares y, en el mismo sentido, proceder con la supresión de todos los datos personales de los titulares cuyo consentimiento haya obtenido mediante este mecanismo. (Lea: Esto recuerda Superindustria ante consultas de historial crediticio para fines de marketing) Banco de Bogotá también recibió sanción A través de la Resolución 68380, la SIC sancionó al Banco de Bogotá con $ 351.120.627, por usar datos de una ciudadana sin contar con su autorización. La decisión obedece a la queja de una persona que manifestó que a pesar de no tener ninguna relación con dicho establecimiento financiero fue objeto de una serie de cobros “amenazantes e intimidatorios”, mediante llamadas telefónicas y mensajes de texto. Durante la investigación se verificó que la ciudadana fue incluida como “referencia” en una solicitud de crédito y que ella no autorizó al banco para que usara su información en el adelanto de la gestión de cobro de cartera de un tercero. La superintendencia señaló que el banco cuestionado, en su calidad de responsable del tratamiento de datos personales, infringió los deberes que le asisten al usar datos personales de la ciudadana para contactarla y realizar gestiones de cobro de una obligación de un tercero, sin contar con su autorización previa, expresa e informada, con lo que trasgredió el deber contemplado en el literal b) del artículo 17 de la Ley 1581 del 2012, en concordancia con el literal c) de los artículos 4 y 9 de la misma ley y el artículo 2.2.2.25.2.2. del Decreto 1074 del 2015. (Lea: Avisos de privacidad no equivalen a autorización para recolectar datos personales) Así mismo, le ordenó abstenerse de hacer tratamiento de los datos suministrados como referencia para fines distintos a verificar la identidad de sus contratantes y su comportamiento con las obligaciones adquiridas, en su defecto deberá contar con el consentimiento previo, expreso e informado del respectivo titular del dato. Superindustria y Comercio, resoluciones 68380 y 68369, Oct. 28/20. Fuente: https://www.ambitojuridico.com/noticias/tecnologia/mercantil-propiedad-intelectual-y-arbitraje/mal-manejo-de-datos-personales
Ciberseguridad – Aumentan 605% ciberamenazas relacionadas con la covid-19
Las ciberamenazas relacionadas con la pandemia de coronavirus aumentaron un 605% durante el segundo trimestre de este año, un periodo en el que las nuevas muestras de malware han crecido un 11,5% en todo el mundo, según datos de McAfee. La compañía de ciberseguridad ha publicado su último informe trimestral de amenazas, que examina la actividad cibercriminal relacionada con el ‘malware‘ y la evolución de las ciberamenazas en el segundo trimestre de 2020. La covid-19 ha sido una de las protagonistas del panorama de ciberseguridad mundial entre los meses de abril y junio. Los cibercriminales adaptaron sus campañas de ataque a la pandemia, lo que se tradujo en un crecimiento del 605% en los ciberataques relacionados con el nuevo coronavirus respecto al primer trimestre. La compañía de ciberseguridad observó una media de 419 nuevas amenazas por minuto en el segundo trimestre de 2020, un aumento del 11,5 por ciento con respecto al primer trimestre, aunque por ejemplo el crecimiento de ‘ransomware‘ se mantuvo constante comparado con los datos anteriores. Las cuentas de usuarios en la nube han sido el foco de los cibercriminales, y McAfee observó casi 7,5 millones de ataques externos a estas cuentas. Este dato se basa en la agregación y anonimización de los datos de uso de la nube de más de 30 millones de usuarios de McAfee MVISION en todo el mundo durante el segundo trimestre de 2020. Los servicios afectados por estas amenazas incluyen empresas de todos los sectores principales, desde servicios financieros hasta atención sanitaria, sector público, educación, retail, tecnología, fabricación, energía, servicios, sector jurídico, sector inmobiliario, transporte y servicios empresariales. Criptomineros, iot y ‘malware‘ móvil El informe de McAfee ha analizado también otros vectores de ataques habituales. El ‘malware‘ fue el más utilizado y representó el 35% de los incidentes reportados en el segundo trimestre de 2020. El secuestro de cuentas y los ataques dirigidos representaron el 17% y el 9% respectivamente. Otro ejemplo es el ‘malware‘ de minería de criptomonedas. Tras crecer un 26% en el primer trimestre, el nuevo ‘malware‘ aumentó un 25% con respecto al trimestre anterior por la popularidad de las nuevas aplicaciones de minería. Sucede lo contrario en las amenazas para móviles. Tras un aumento del 71% en nuevas muestras de ‘malware‘ para móviles en el primer trimestre, en el segundo la categoría se redujo en un 15%, a pesar del aumento de amenazas concretas como Android Mobby Adware. En el caso del Internet de las Cosas (IoT), el nuevo ‘malware‘ aumentó un 7% en el segundo trimestre, con una actividad significativa de las amenazas de Gafgyt y Mirai, que impulsaron el crecimiento de nuevo ‘malware‘ para Linux en un 22% durante este mismo periodo. Sectores más afectados En total, McAfee contabilizó 561 incidentes de seguridad reportados públicamente en el segundo trimestre de 2020, un aumento del 22% desde el trimestre anterior Si se dividen por sectores, los incidentes reportados dirigidos a la ciencia y la tecnología aumentaron un 91% con respecto al trimestre anterior. Los ataques a la industria manufacturera aumentaron un 10%, pero los dirigidos al sector público disminuyeron un 14%. En cuanto a los ciberataques concretos, PowerShell -un tipo de ataques que aprovecha el ‘shell‘ de comandos de Windows para descargar y ejecutar archivos maliciosos- creció en un 117% y ayudó a impulsar un aumento del 103% de nuevo ‘malware‘ de Microsoft Office. Europa Press Fuente: https://www.dinero.com/tecnologia/articulo/cuanto-subieron-las-ciberamenazas-en-el-segundo-trimestre/305962
Protección de Datos – Top cinco de las apps que más datos personales recolectan
Según el estudio, Facebook rastrea datos tales como el correo electrónico, el nombre, la edad, el sexo, la orientación sexual, el estado civil, la carrera, las creencias religiosas, la ubicación de la vivienda, el empleo actual y anteriores, las mascotas, el número del celular y del teléfono fijo, los intereses, los pasatiempos, los parientes y el perfil social. Esto corresponde al 70,59% de la información personal que se puede recoger sobre una persona, haciendo falta datos como estatura y peso, detalles de la cuenta bancaria, salario, alergias y estilos de vida. La segunda aplicación que más datos recolecta es Instagram, app para publicar fotografías, con el 58,82% de la información disponible; le sigue Tinder, plataforma para encontrar pareja, con el 55,88%; Grindr, aplicación para que hombres homosexuales encuentren pareja, con el 52,94%, y Uber cierra el top cinco, con el 52,94%. Sigue Strava, con el 41,18%; Tesco, con el 38,24%; Spotify, MyFitnessPal y jet2, con el 35,29% cada uno; Credit Karma y Lidl Plus, con el 32,35% también. Con el 26,47% se encuentran plataformas como Netflix, Nike, Asos, Depop, Ryanair, Ocado, Airbnb y American Airlines. El estudio explica que los minoristas como Amazon utilizan la menor cantidad de datos recolectados. “A pesar de ser el minorista en línea más grande del mundo (y gastar alrededor de US$11.00 millones en publicidad en 2019), Amazon solo recopila una fracción de los datos en comparación con otras empresas, el 23,53%”. “Lo que hace es rastrear cómo usa su sitio. Supervisa los productos que miras, las cosas que compras y las reseñas que dejas, y te ayuda a promocionar nuevos productos que coincidan con tus intereses”, explica. El informe también concluye que el 93% de las empresas almacenará la dirección de correo electrónico de sus usuarios, la cual será utilizada para mantenerse en contacto o para marketing futuro. “Una dirección de correo electrónico es la información básica que una empresa le solicitará: cualquier marca a la que se haya registrado, cualquier red social a la que esté conectado o cualquier tienda en la que haya comprado la tendrá archivada”, afirma. Aclara que, posiblemente, nunca lo utilicen para enviar correos electrónicos semanales que los usuarios encuentren como “realmente interesantes o que los enviará directamente a su correo basura”. Fuente: https://www.dinero.com/empresas/articulo/cuales-son-las-apps-que-recolectan-mas-datos-personales-de-sus-usuarios/305431
Protección de Datos – «El valor real de muchos negocios tecnológicos son los datos personales de los consumidores»
El superintendente de Industria y Comercio, Andrés Barreto, dijo que en la pandemia aumentaron las quejas por manejo de datos personales Una de las protagonistas de la pandemia ha sido la Superintendencia de Industria y Comercio, que a través de sus actuaciones ha tomado sonadas decisiones para garantizar el cumplimiento de los derechos de los consumidores. El jefe de la entidad, Andrés Barreto, habló sobre su gestión frente a los días sin IVA, las reclamaciones de comercio electrónico y la protección de datos personales frente a los gigantes de la tecnología. Se viene el tercer día sin IVA. ¿Cuál es el balance de los dos primeros? Para la segunda jornada montamos un cuarto de crisis donde estuvimos haciendo patrullaje virtual. Es decir, visitas administrativas a las páginas de los comercios electrónicos con el fin de verificar en tiempo real qué información se estaba dando al consumidor. No es un incumplimiento que yo me demore tres horas en comprar, pero sí es que no le anuncien a los consumidores que deben esperar ese tiempo. Tuvimos un tablero de control y ahí realizamos diligencias para analizar esa información para imponer las órdenes en el día sin IVA. Algo importante es que hasta que no se cumpla el tercer día no podremos verificar el cumplimiento de las órdenes. ¿Qué tanto crecieron las quejas en la pandemia? El volumen que se ha venido desarrollando es más o menos el que se admite en un año normal. Es muy alto, por citar un ejemplo, protección al consumidor puede recibir cerca de 30.000 quejas al año. Hubo un detonante en protección de datos, por dos razones: trabajando en virtualidad la gente se ha volcado a nuevas tecnologías, y se presentan también más inconformidades en el uso de datos, como recepción de correos masivos. Hubo un incremento de 37% en el año en estos asuntos. Por lo demás se mantuvieron las cifras, lo que nos permite garantizar que normalmente podremos responder a las solicitudes de los ciudadanos. La pandemia disparó el comercio electrónico. ¿Crecieron a la par las quejas? Estamos en el promedio anual aproximado, pero sí, principalmente porque al entrar a páginas de comercio electrónico las personas empezaron a determinar tres tipos de conductas: que el producto ofertado no estaba disponible, que la fecha de entrega no se cumplió, o que no dieron información clara, veraz y objetiva respecto a cambios u otros temas de resarcimiento. El mayor volumen de quejas está sectorizado contra Éxito, Falabella y Homecenter. Esto no quiere decir que realmente se estén dando incumplimiento, se están haciendo los análisis para determinar las eventuales responsabilidades. Multaron a Rappi con la máxima sanción por incumplir normas de protección al usuario. Unos celebran y otros afirman que este tipo de decisiones son un palo en la rueda para el emprendimiento, ¿qué decir? Es como decir que iniciar un emprendimiento exitoso en violación de normas o competencia desleal es una obstrucción, el régimen legal hay que cumplirlo. Uno no puede tener una empresa que le incumpla a 1,7 millones de consumidores, no entiendo en qué modelo de negocio cabe no satisfacer al cliente. A esta empresa ya se le había requerido hace más de un año con una orden, y haber cumplido habría derivado en que no se les sancionara. Recientemente, ordenaron a TikTok cumplir con las normas de tratamiento de datos de Colombia. ¿Qué consecuencias puede tener un incumplimiento? El hecho de que la consume un público joven, mayoritariamente menor de edad, hizo que fuera menester auditar su régimen de protección de datos, especialmente porque ahí hablamos de fotos y videos. Hecha esa auditoría determinamos que, para el estándar colombiano, incumplían más de 50%, entonces lo que se hace es emitirles una orden con el fin de que hagan unas adecuaciones y cumplida esa orden se suspende la situación. Incumplida la orden se inicia un proceso administrativo que puede derivar en una multa. Creo que de unos años para acá la gente es más consciente de sus datos personales, ¿es así? Sí, las discusiones grandes en el mundo, por ejemplo de plataformas tecnológicas, todas son transversales al tema de datos personales. De una vía, porque para los temas de protección de la competencia y el consumidor digital los datos personales son el activo digital, o lo que transversalmente afecta esos dos mundos. En segundo lugar, porque en el ámbito internacional la discusión actual es la protección de datos personales. Países como Colombia tienen una población mayoritariamente joven, que consume más productos digitales y plataformas, y eso los hace no solo más activos e inquietos en la protección de datos, sino que las plataformas tienen interés en captar ese consumidor digital porque el valor real de muchos de esos negocios son los datos personales. Pero evidentemente hay un crecimiento, tenemos más de $11.000 millones en este último año impuesto en multas, y en los dos últimos años de la SIC se impuso lo que se había impuesto en los 10 años anteriores, y eso es un indicador de que hay más actividad de la autoridad, pero también más consciencia de la reclamación de los ciudadanos por violaciones a la protección de datos. ¿Las plataformas van a autorregularse o será siempre un tema de decisiones de las autoridades que las encausen? Quiero pensar que la política de cumplimiento es buena porque le sirve al negocio y le debe servir al ciudadano, pero también hay que hacerse un golpe de realidad en que esta es la discusión más actual y está llegando a países como los nuestros. Recientemente un abogado colombiano presentó una denuncia ante la CAN en contra de las plataformas tecnológicas. ¿Entonces no? Si me permite una opinión más académica, creo que las grandes plataformas y los grandes jugadores en el mundo de las tecnologías digitales no han podido responder a las pretensiones de los consumidores en cuanto a protección de datos, a los requerimientos de las autoridades en cuanto a protección de la libre competencia, y tampoco a los requerimientos en la protección del consumidor
Ciberseguridad – Tenga cuidado: así es como algunos estafadores usan Google Drive para robar a usuarios
Cada vez son más los casos que se conocen de nuevas modalidades de robo de datos por Internet, algo a lo que todas las personas están expuestas, pues solo se necesita un clic para que los maleantes informativos logren su cometido. Google Drive es una plataforma bastante utilizada en todo el mundo, pero no está exenta de estos contenidos maliciosos o los llamados ‘phishings’. Ahora, una nueva estafa se está aprovechando de esta plataforma para evadir las medidas antispam que tiene Gmail, y llenar nuestra bandeja de entrada con notificaciones a documentos compartidos que pueden contener enlaces maliciosos. La parte más inteligente de la estafa, por la que debería prestarse una mayor atención e importancia, es que los correos electrónicos y las notificaciones que genera provienen directamente de Google. En dispositivos móviles, la estafa utiliza la función de colaboración en Google Drive para generar una notificación de inserción que invita a las personas a colaborar en un documento. Ahora bien, si la persona da clic, la notificación lo lleva directamente a un documento que contiene un vínculo muy grande y tentador. Una notificación por correo electrónico creada por la estafa, que también proviene de Google, contiene un enlace potencialmente malicioso. A diferencia del spam regular, que Gmail hace un buen trabajo filtrando, este mensaje no solo llega a su bandeja de entrada, sino que obtiene una capa adicional de legitimidad al provenir del propio Google. No obstante, estos mensajes mal intencionados normalmente vienen en inglés o ruso y contienen enlaces bastante prominentes. Tal vez esto baste para levantar sospechas en muchos usuarios, pero para otros no, pues fácilmente este tipo de estafas pueden evolucionar para ser más convincentes mañana y hablar en cualquier idioma. Estos documentos siempre contienen un enlace a un sitio web fraudulento. Uno de los sitios web utilizados para la estafa, que solo se registró el 26 de octubre, bombardea a las personas con notificaciones y solicitudes para hacer clic en enlaces a ofertas y sorteos de premios. Otras versiones de la estafa intentan atraer a las personas a hacer clic en los enlaces para verificar su cuenta bancaria o recibir un pago. Por su parte, según el reconocido medio Wired, un portavoz de Google dice que la compañía tiene medidas para detectar nuevos ataques de spam y detenerlos, pero que ninguna medida de seguridad es 100 por ciento efectiva. El portavoz agrega que Google está trabajando en nuevas medidas para dificultar que el spam de Google Drive eluda sus sistemas. Cualquiera que sea víctima de la estafa puede denunciarlo a Google a través de la página de soporte de la empresa. Fuente: https://www.semana.com/tecnologia/articulo/tenga-cuidado-asi-es-como-algunos-estafadores-usan-google-drive-para-robar-usuarios/202028/
