Protección de Datos – Superindustria sanciona a Sodimac Colombia y le ordena eliminar información por infringir ley de datos personales
Bogotá D.C., 25 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, sancionó a SODIMAC COLOMBIA S.A. (propietaria HOMECENTER) con una multa de $200.004.519, luego de concluir que SODIMAC a través de sus almacenes HOMECENTER recolecta datos de sus clientes sin obtener la autorización previa, expresa e informada de los mismos. La decisión, que se tomó mediante la Resolución 59001 del 24 de septiembre de 2020, surgió con ocasión de una denuncia ciudadana mediante la cual desde la dirección info@homecenter.co le remitieron un mensaje solicitando su autorización con la siguiente frase: “Cuando no hago clic en la opción ‘ACEPTO’, autorizo a Sodimac Colombia S.A. como consta en el AVISO DE PRIVACIDAD expuesto en cada una de las tiendas HOMECENTER y CONSTRUCTOR (…).«. La SIC precisó que los “avisos de privacidad” no equivalen a la autorización previa, expresa e informada que exige la ley para poder recolectar y usar los datos de los ciudadanos. La SIC recordó que la regulación colombiana expresamente prohíbe utilizar “medios engañosos o fraudulentos para recolectar y realizar Tratamiento de datos personales” Adicionalmente, la SIC le ordenó a SODIMAC lo siguiente: – Dejar de utilizar “avisos de privacidad” como mecanismo para obtener la autorización – Suprimir todos los datos personales que haya obtenido con el sólo uso de “avisos de privacidad” como mecanismo para obtener el consentimiento de las personas. De conformidad con la información reportada al Registro Nacional de Bases de Datos, SODIMAC recolecta y trata datos de más de 16 millones de clientes. Contra la decisión procede recurso de reposición y de apelación. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-sodimac-colombia-y-le-ordena-eliminar-informaci%C3%B3n-por-infringir-ley-de-datos-personales
Protección de Datos – ¿Qué debe hacer una persona a la que le ha sido suplantada su identidad?
La propagación del coronavirus (covid-19) y las medidas de confinamiento emitidas por los gobiernos nacional y regionales han incrementado el uso de tecnologías y el surgimiento de distintos emprendimientos. Pero el lado oscuro es el rastreo de información y la multiplicación de casos de suplantación de identidad. Esta conducta, que consiste básicamente en hacerse pasar por alguien, ya sea en el ámbito físico o digital, mediante la disposición real o falsa de documentos de identidad o el alcance a datos personales o imágenes caracterizadoras, se ha facilitado precisamente por el avance de las nuevas tecnologías. Uno de los casos de suplantación de identidad más comunes termina en contratos de prestación de servicios con operadores de telecomunicaciones, que del 1 de enero al 31 de julio de este año dio lugar a la presentación de 1.904 quejas ante la Superintendencia de Industria y Comercio (SIC), frente a 1.705 presentadas en el año 2019 y 767 en el 2018 durante el mismo periodo. Teniendo en cuenta este alarmante aumento presentado el año pasado frente al 2018 (122 %), la SIC envió una comunicación a las empresas de telecomunicaciones con algunas peticiones concretas encaminadas a evitar la vulneración al derecho fundamental de protección de datos personales, sobre las cuales valdría la pena evaluar su cumplimiento, así: Contactar a las personas respecto de las cuales posean prueba de autorización previa, expresa e informada, según lo exige la Ley 1581 del 2012. Respectar y garantizar el derecho de supresión de los datos personales de contacto cuando son utilizados para fines comerciales. Suspender el uso del número telefónico y demás datos de contacto para fines publicitarios y comerciales, cuando así lo requiere o solicite el titular de dichos datos. Impartir instrucciones para que las actividades de publicidad u ofrecimiento de servicios y productos se realicen en días y horarios que no afecten la intimidad familiar o el horario de descanso. Pasos a seguir Una persona que es víctima de suplantación de identidad debe tener en cuenta que es muy importante cerrar sus sesiones de cuenta en todos los dispositivos (celular y computador, entre otros), cambiar las claves de sus correos en bancos, modificar las configuraciones de privacidad de sus equipos e informar a las entidades financieras y comerciales con las que tiene negocios acerca del hecho, para evitar un nuevo evento relacionado. Debe acudir a la estación de policía más cercana o a la Fiscalía General de la Nación para denunciar el delito de falsedad personal del que ha sido víctima, radicar una alerta de suplantación de identidad ante los operadores de información financiera y, así mismo, verificar ante estos quién ha consultado su historial crediticio, lo cual le permitirá saber si han tratado de suplantar su identidad para realizar negocios a su nombre. Adicionalmente, debe presentar un reclamo a la empresa ante la cual ocurrió la suplantación, es decir, ante el operador de telecomunicaciones, si es el caso, y, finalmente, acudir a la SIC y radicar una queja ante la Delegatura de Protección de Datos Personales o, en tiempos de pandemia, acudir a los servicios de SIC Facilita, a través de la página web www.sic.gov.co. De acuerdo con la información que maneja la SIC, a pesar de que los operadores de telecomunicaciones han adoptado medidas, los casos de suplantación de identidad se siguen presentando. Se han radicado 906 quejas ante la Delegatura de Protección de Datos Personales y 998 a través de la plataforma SIC Facilita. Estas últimas han sido particularmente contra las empresas Claro, Movistar, Tigo, Direct TV, ETB y Avantel, las cuales tienen el reto de mejorar las condiciones de seguridad y protocolos para evitar daños a sus clientes y generar más confianza. Dichos protocolos deben estar en constante evaluación y monitoreo, pues los suplantadores están innovando y perfeccionando su actuar delictivo de manera permanente. Conductas del ciudadano Frente a este panorama es también responsabilidad de los ciudadanos cooperar en la mitigación de estas situaciones, con conductas como no suministrar información a cualquier persona ni publicar datos personales, como el número o la fotocopia de la cédula de ciudadanía en redes sociales digitales, y ser más cautos y reservados con su información personal, de manera que los suplantadores no la tengan fácil. Otra sugerencia es que las personas estén revisando de manera periódica ante las centrales de información financiera su historial crediticio, porque allí queda huella de quiénes están mirando su comportamiento de pago. Si una persona se da cuenta de que alguien que no conoce y ni siquiera vive en la misma ciudad realizó alguna consulta en su historial crediticio, debe tomar esta conducta como sospechosa e informar de manera inmediata a la empresa que consultó si nunca ha estado allí, ni ha solicitado un crédito o servicio. Denuncia penal La persona que es víctima de suplantación de identidad debe informar a las autoridades sobre la ocurrencia del hecho. Puede hacerlo a través de la plataforma Adenunciar con el ítem falsedad en documento, que está previsto en las páginas www.fiscalia.gov.co y www.policia.gov.co. Adicionalmente, la Fiscalía General de la Nación cuenta con la línea 122 y las líneas gratuitas 0180000919748 o local para Bogotá y Cundinamarca 5702000, opción 7. También se puede escribir a los correos electrónicos denunciaanonima@fiscalia.gov.co y hechoscorrupcion@fiscalía.gov.co. Entre el 20 de marzo y el 19 de agosto del 2020 se encuentran activas en la Fiscalía en fase de indagación 2.962 denuncias por falsedad personal, en los términos del artículo 296 del Código Penal. Dependiendo del marco de suplantación, se pueden presentar delitos más graves como acceso abusivo a sistema informático, falsedad en documento público y falsedad en documento privado, entre otros. Si se trata solo de suplantación de identidad, en el Código Penal y para efectos de la denuncia en cuestión se regula como falsedad personal. Sara Milena Cruz Abril Redactora Fuente: https://www.ambitojuridico.com/noticias/penal/mercantil-propiedad-intelectual-y-arbitraje/que-debe-hacer-una-persona-la-que-le-ha
Protección de Datos – ¿Quién responde por la afectación de los derechos de imagen y buen nombre en redes sociales?
Sin que sea el derecho comparado el asunto de este artículo, un dato importante pondrá en evidencia el rezago de nuestra legislación en un tema que parece novedoso, pero que no lo es en absoluto. La responsabilidad de los llamados “intermediarios tecnológicos” está definida -por lo menos normativamente- desde el año 2000, en la Directiva Europea y, desde el 2002, en la normativa española denominada Ley de Servicios de la Sociedad de la Información (LSSI). Colombia, por su parte, no tiene una disposición similar y es la jurisprudencia la que ha dado algunas pautas al respecto. El asunto es menos técnico de lo que suena: determinar la responsabilidad de las redes sociales o del administrador de un blog cuando a través suyo se vulneran derechos constitucionales, como a la propia imagen y al buen nombre, es un tema cotidiano. De hecho, podría afirmarse que, actualmente, la difamación solo logra su cometido si se “viraliza” a través de intermediarios tecnológicos. El 2019 fue, en Colombia, desde el punto de vista jurídico, un año bastante “activo” en este tema. Veámoslo detalladamente a continuación. (i) Fallo de unificación En la Sentencia SU-420 del 2019, la Corte Constitucional, además de definir los intermediarios de internet, indicó que las plataformas digitales tienen un papel dual, uno de ellos el “pasivo”, de acuerdo con el cual facilitan el proceso de transmisión y difusión de un contenido, mas no toman decisiones sobre la difusión, es decir, “dan acceso, alojamiento, transmisión e indexación a contenidos, productos y servicios, que se originan en terceros”. Hecha la aclaración sobre el rol anterior, determinó que “en materia de protección del derecho a la honra y buen nombre ante afirmaciones publicadas en sitios web identificables mediante buscadores de internet, la Corte Constitucional ha distinguido la condición del responsable de la vulneración, es decir, el autor material de las aseveraciones en cuestión, frente a la situación de la plataforma que sirve de medio para su difusión”. Así, frente a la responsabilidad de intermediarios, ese tribunal ratificó que dichos actores de internet no son responsables por el contenido que publican sus usuarios. Son responsables quienes directamente usan las expresiones ofensivas o calumniadoras. Sin perjuicio de lo expuesto, indicó que el juez, ante la imposibilidad de remoción del contenido directamente por el autor, puede ordenarla a los intermediarios de internet, vinculándolos solo en calidad de terceros. Queda sobre la mesa, entonces, el análisis realizado por la Corte Constitucional a partir del rol meramente “pasivo” o “neutral” de los intermediarios, el cual cada vez es más discutible, pues, actualmente, estos actores muestran una tendencia a la “convergencia de control (…), esto quiere decir, convergencia de control sobre el acceso, el control de los contenidos y el control sobre los usuarios…”[1]. Ejemplos de este control los cita con suficiencia el autor Salvador Hernández Millaleo. (ii) Sala de Casación Civil de la Corte Suprema Al resolver un recurso de casación en el cual, entre otros asuntos, se debatió la responsabilidad por los comentarios públicos de un blog, la Sentencia SC-52382019 del 10 de diciembre del 2019 de la Sala de Casación Civil de la Corte Suprema indicó: “En principio, no podrá existir responsabilidad por los comentarios dejados en un blog. Pero cuando resultan ofensivos, inmoderados, injuriosos o calumniosos, o salpicados de críticas que afectan el honor o la reputación de una persona, han de serlo, inevitablemente…”. “… es incuestionable, los blogs además de facilitar el ingreso inmediato a contenidos, permiten en tiempo real interactuar opiniones con sus usuarios, propiciando que éstos emitan comentarios falsos o difamatorios sobre ciertas personas. La problemática obliga a los administradores de esos sitios web a restringir o evitar publicar tales opiniones cuando sean manifiestamente ofensivos, o en su defecto, a eliminarlos en caso de no tener conocimiento efectivo de los mismos; y si ya fueron difundidos, actuar con suma diligencia para retirarlos prontamente o imposibilitar su acceso. No hacerlo, edificaría una responsabilidad civil por culpa probada…”. En los extractos citados se deja en evidencia la posición clara de la Corte Suprema: sí existe responsabilidad civil por parte de aquellos intermediarios que permitan o no actúen diligentemente ante comentarios de terceros cuando sean “manifiestamente ofensivos”. Incluso, señala que la problemática que se está viviendo en torno a los medios tecnológicos y la vulneración de derechos obliga a los administradores a restringir o evitar determinadas publicaciones. Con tan solo meses de diferencia, el análisis de la Corte Suprema de Justicia dista de la posición de la Corte Constitucional y, prácticamente, impone un rol activo a algunos intermediarios tecnológicos. (iii) El proyecto de ley En el Congreso de la República, se radicó el Proyecto de Ley 176 de 2019, “por medio del cual se regulan las políticas de uso y apropiación de las redes sociales y se dictan otras disposiciones generales”. De acuerdo con la iniciativa, esta busca “… establecer parámetros y procedimientos generales del uso de las redes sociales en internet que permitan proteger a los usuarios frente a conductas lesivas o potencialmente peligrosas resultado de la extralimitación o uso inadecuado de las redes sociales virtuales”. De aprobarse, sería la primera norma que regula el tema de las redes sociales en Colombia, no desde aspectos técnicos, sino de cara a la protección de los derechos constitucionales de los usuarios. Esta propuesta plantea como relevante la autorregulación entre usuarios y la educación obligatoria en asuntos relativos al uso de las redes sociales, con la finalidad de que se haga un uso responsable y se disminuya la violencia y la vulneración de derechos constitucionales. Por otra parte, involucra a los intermediarios, como las redes sociales, para que, a través de acuerdos con el Gobierno, implementen mecanismos ágiles que permitan suspender determinado tipo de publicaciones o contenidos con el fin de proteger a las víctimas de ellos. El artículo 13 del proyecto señala: “El Gobierno Nacional por intermedio del Ministerio de las Tecnologías y la Información y la Superintendencia de Industria y Comercio deberán suscribir acuerdos o códigos de conducta con Facebook, Twitter, YouTube, Google y demás redes sociales
Protección de Datos – Superindustria ratifica orden a Uber para garantizar seguridad de los datos personales de los colombianos
Bogotá D.C., 29 de septiembre de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, ratificó las órdenes de seguridad emitidas en junio de 2019 a las sociedades UBER TECHNOLOGIES, INC., UBER COLOMBIA SAS y UBER B.V. La decisión se tomó mediante la Resolución 59876 del 28 de septiembre de 2020 y luego de resolver los recursos de reposición y apelación presentados por UBER. La SIC reiteró que las fallas que presentó Uber en sus protocolos de seguridad durante el año 2016 afectaron las cuentas de 57 millones de usuarios en el mundo, de los cuales 267.000 eran residentes colombianos. Por lo anterior la Entidad recalcó que es necesario que UBER cumpla la orden para evitar que sucedan otros incidentes de seguridad como el ocurrido y que afecten la seguridad de los datos de los colombianos. La SIC fue enfática en señalar que la seguridad es un tema que no solo afecta a los Titulares de los Datos, sino a los intereses de las empresas porque de ella depende la protección de sus activos, su reputación, su buen nombre y la confianza que genera en el mercado, el ciberespacio y en los diferentes países en donde efectúa actividades de recolección y uso de datos personales. La seguridad es un asunto estratégico para el tratamiento de datos personales razón por la cual es necesario que las empresas no ahorren esfuerzos en garantizarla en todo momento y en actuar de oficio -no por orden de las autoridades- para generar confianza en sus clientes y en la sociedad. Es necesario que los procesos de seguridad no se queden pactados en los documentos sino que sea implementados en la práctica. UBER debe cumplir lo ordenado dentro de un plazo de cuatro (4) meses. Para demostrar que mejoró sus medidas de seguridad tendrá que presentar una certificación emitida por una entidad, nacional o extranjera, independiente, imparcial, profesional y especializada en temas de seguridad de la información. Ver Resolución Fuente: https://www.sic.gov.co/slider/superindustria-ratifica-orden-uber-para-garantizar-seguridad-de-los-datos-personales-de-los-colombianos
Ciberseguridad – ACTIVIDAD DEL GRUPO CIBERCRIMINAL APT41
Recientemente el Departamento de Justicia de Estados Unidos (EE.UU., por sus siglas en inglés). Anunció que cinco ciudadanos de origen chino están detrás de ataques a más de 100 empresas, algunos de las cuales se atribuyen al grupo de cibercriminales APT41. SERVICIOS AFECTADOS: • Citrix Application Delivery Controller, Citrix Gateway, Pulse Secure VPN, multiples productos D-Link y Zoho ManageEngine Desktop Central. DETALLES TÉCNICOS: APT41 es uno de los grupos de cibercriminales más antiguos, conocidos principalmente por operaciones de ciberespionaje contra empresas desarrolladoras de software, empresas de juego, fabricantes de hardware, empresas de telecomunicaciones, redes sociales, universidades o gobiernos. Se tiene registrado actividad de este grupo desde el año 2012, en ese año se le conocía como Winnti, actualmente se le conoce como APT41, Barium, Wicked Panda o Spider. Dos miembros de los presuntos miembros de APT41, fueron acusados en agosto del año 2019, los cuales se relacionaban con otros tres miembros de este mismo grupo que fueron acusado en julio de 2019. Tres de los 5 cibercriminales han trabajado juntos al menos desde el 2013. Para realizar sus ataques usaron una empresa llamada Chengdu 404 Network Technology como fachada. Se ha observado que estos atacantes han robado código fuente, certificados de firma de código de software, datos de cuentas personales de víctimas y ejecutados ataques sofisticados. La empresa usada por los atacantes se promocionaba como una empresa de seguridad de red, los cuales tenían clientes en el sector militar y seguridad pública. Según el Departamento de Justicia los empleados de Chengdu 404, han realizado actividad delictiva en contra de más de 100 empresas en todo el mundo. En lo que va del 2020 tres de los cinco ciberdelincuentes han realizado ataques de ransomware contra una organización no gubernamental global, una empresa inmobiliaria en los EE. UU. y una empresa de energía en Taiwán. Los ataques de ransomware, junto con los de criptojacking, se realizan con la intención de obtener beneficios económicos. APT41 utiliza herramientas personalizadas y de código abierto para comprometer a sus víctimas y moverse lateralmente a través de la red. También se aprovechan de vulnerabilidades graves para el compromiso inicial. Las vulnerabilidades son: CVE-2020-10189, CVE-2019-11510, CVE-2019-16278, CVE-2019-1652, CVE-2019-1653, CVE-2019-16920 y CVE-2019-19781. La mayoría de estas vulnerabilidades permiten ejecución de código de manera remota. Para el personal de seguridad de información: • Utilizar una política de uso de contraseñas seguras considerando la complejidad, el cambio de credenciales por defecto y la no reutilización de las mismas. • Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad. • Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. • Concientizar constantemente a los usuarios en temas relacionados a seguridad informática. • Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización. ** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada. Fuente: http://securitysummitperu.com/articulos/actividad-del-grupo-cibercriminal-apt41/?s=09
Ciberseguridad – Electrodomésticos inteligentes: ¿riesgos en la seguridad?
Un sensor que apague la luz que quedó prendida en casa antes de salir, una nevera que avise si se debe comprar más leche o huevos antes de llegar a casa, un portero inteligente que notifique quién tocó el timbre cuando no se estaba, cámaras de seguridad que se prendan por sensores de movimiento o persianas que se bajen cuando ya empiece a caer la tarde son algunos de los dispositivos que cada vez se están incorporando con más fuerza en los hogares. Una tecnología que hace parte del Internet de las Cosas y en este caso puntual es conocido como domótica, que incluye una oferta grande de electrodomésticos inteligentes que brindan opciones cada vez más amplias. “Es una gran oportunidad para los hogares y lo que hace es agregarle algún tipo de valor en ciertos aspectos de la vida cotidiana, facilitando muchos procesos y dando alternativas tecnológicas a cosas del día a día”, asegura Marcelo Adrian Lorenzati Sanz, ‘tech manager’ en Globant, empresa dedica al desarrollo de ‘software’ y TI. El acceso que se le da a estos equipos y la cotidianidad con la que ya son usados ha hecho que se olvide un aspecto muy importante: la gran cantidad de información que es recopilada en ellos y que en la mayoría de los casos hace parte de la privacidad de cada uno. Así lo asegura, Mauricio Gómez, cofundador de Fluid Attacks, empresa experta en temas de ciberseguridad, quien indica que en este tipo de tecnología uno de los aspectos que más se olvida es el número amplio de datos que son parte de nuestra intimidad que pueden ser expuestos. “Nosotros estamos llenos de información, llenos de hábitos, qué comes, a qué horas te levantas, a en qué momento del día te encuentras en casa, y si todo eso va a ser monitoreado por dispositivos conectados a internet, el consumidor debe estar tranquilo que su información va a ser usada para lo que la entregó”, agrega Gómez. El tema de seguridad en muchos momentos pasa a un segundo plano y el usuario se centra principalmente en el funcionamiento de esta tecnología. (Le puede interesar: La seguridad en las videollamadas: ¿qué se puede hacer?) “Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad de los productos”, precisa Lorenzati. Generalmente cuando se adquiere uno de estos electrodomésticos ni siquiera termina de leer cuáles son las condiciones de licenciamiento y mucho menos se lee cuáles son las condiciones de seguridad Este aspecto no debe subestimarse, según la firma especializada CEB, el 20 por ciento de las organizaciones que hacen uso del Internet de las Cosas ha sido víctima de algún tipo de ciberataque. Este escenario se ha ido presentando con cada vez más frecuencia e impacto, por ejemplo, el mes pasado, la firma de ciberseguridad Check Point Research indicó que una vulnerabilidad del asistente virtual de Amazon, Alexa, que cuenta con más de 200 millones de unidades vendidas en todo el mundo, habría permitido a ciberdelincuentes acceder a datos personales de los usuarios y hacer manejo de las aplicaciones. Entender los riesgos Por esta razón, los usuarios deben tener en cuenta varios aspectos y analizar el rol que desempeñan en mantener la seguridad de estos dispositivos, ya que como lo señala Lorenzati, en este aspecto hay una cadena de responsabilidades en donde el usuario es el eslabón final. “Muchas veces se desconoce que las marcas cuentan con páginas web en donde se hacen reportes de las vulnerabilidades de los productos. Es muy importante estar al tanto de ellos para poderlos mitigar”, detalla el experto de Globant. Así también lo señala Gómez, quien precisa que “vulnerabilidades siempre van a existir, porque el ‘software’ cambia, la tecnología varía al igual que las técnicas. Lo importante es reaccionar y cerrar esos espacios”. “Tenemos es que aprender a vivir en un mundo de tecnología, hiperconectado, y aprender a proteger nuestra información frente a accesos abusivos de terceros”, detalla. En este sentido, los expertos señalan tres asuntos para tener en cuenta y garantizar una mayor protección de la información. El primero de esto es el uso de contraseñas adecuadas, uno de los errores más comunes es no cambiarlas cuando sea hace la instalación del producto o utilizar información básica o personal para generarla. “Es esencial contar con sistemas de autenticación fuertes, no utilices contraseñas que estén relacionada a tus fecha o año de nacimiento. El atacante comienza a recopilar información que saca de las redes sociales, de bases de datos públicas, entre otros, los toma, las pone en un software que tiene la capacidad de aprovechar la capacidad computacional para romper contraseñas”, asegura el cofundador de Fluid Attacks. El siguiente aspecto es el de realizar las actualizaciones que ofrezca el dispositivo el sistema operativo, ya que estas pueden incluir reparaciones en problemas de seguridad identificados. “Aunque sea molesto, es una cuestión de seguridad; por lo general, los sistemas tienen componentes que se han quedado fuera de uso y que por supuesto hace que sean más vulnerables”, precisa Lorenzati. Por último, verificar el tipo de manejo que le da la marca del dispositivo a los datos. “Es fundamental revisar como transporta los datos, si es seguro también su almacenamiento, si los guarda encriptados se tiene una mayor seguridad”, puntualiza el experto. TECNÓSFERA En Twitter: @TecnósferaET Fuente: https://www.eltiempo.com/tecnosfera/dispositivos/electrodomesticos-inteligentes-riesgos-en-la-seguridad-537620
Protección de Datos – Un panorama retrospectivo y futuro de la protección de datos en América Latina y España
Nos enorgullece anunciar una nueva versión actualizada en ocho países de América Latina y España. Durante más de un año, la EFF ha trabajado con organizaciones asociadas para desarrollar preguntas y respuestas detalladas (FAQs) sobre las leyes de privacidad de las comunicaciones. Nuestro trabajo se basa en la investigación previa y en curso de tales desarrollos en Argentina, Brasil, Chile, Colombia, México, Paraguay, Panamá, Perú y España. Nuestro objetivo es comprender los desafíos jurídicos de cada país, a fin de ayudarnos a detectar las tendencias, identificar las mejores y peores normas y ofrecer recomendaciones para el futuro. Este artículo, sobre la evolución de la protección de datos en la región, forma parte de una serie de artículos sobre el estado actual de las leyes de privacidad de las comunicaciones en América Latina y España. Si miramos atrás, alrededor de los últimos diez años en la protección de datos, hemos visto un progreso legal considerable en la concesión del control de los usuarios sobre sus vidas personales. Desde 2010, sesenta y dos nuevos países han promulgado leyes de protección de datos, lo que da un total de 142 países con leyes de protección de datos en todo el mundo. En América Latina, Chile fue el primer país que adoptó una ley de este tipo en 1999, seguido de Argentina en 2000. Varios países han seguido ahora el ejemplo: Uruguay (2008), México (2010), Perú (2011), Colombia (2012), Brasil (2018), Barbados (2019) y Panamá (2019). Aunque todavía existen diferentes enfoques de la privacidad, las leyes de protección de datos ya no son un fenómeno puramente europeo. Sin embargo, la evolución contemporánea de la legislación europea sobre protección de datos sigue teniendo una enorme influencia en la región, en particular, el Reglamento General de Protección de Datos de la UE de 2018 (GDPR). Desde 2018, varios países, entre ellos Barbados y Panamá, han encabezado la adopción de leyes inspiradas en la GDPR en la región, lo que promete el comienzo de una nueva generación de legislación sobre protección de datos. De hecho, la protección de la privacidad de la nueva ley inspirada en la GDPR de Brasil entró en vigor la semana pasada, el 18 de septiembre, después de que el Senado rechazara una orden de aplazamiento del presidente Jair Bolsonaro. Pero cuando se trata de la protección de datos en el contexto de la aplicación de la ley, pocos países han adoptado las últimas medidas de la Unión Europea. La Directiva de la UE sobre la policía, una ley sobre el tratamiento de datos personales para las fuerzas de policía, todavía no se ha convertido en un fenómeno latinoamericano. México es el único país que cuenta con una reglamentación específica de protección de datos para el sector público. Con ello, los países de América están perdiendo una oportunidad crucial de fortalecer sus salvaguardias de la privacidad de las comunicaciones con derechos y principios comunes al conjunto de instrumentos de protección de datos a nivel mundial. Nuevas leyes de protección de datos inspiradas en el PIBR Brasil, Barbados y Panamá han sido los primeros países de la región en adoptar leyes de protección de datos inspiradas en la RDPI. La ley de Panamá, aprobada en 2019, entrará en vigor en marzo de 2021. La ley de Brasil ha enfrentado una batalla difícil. Las disposiciones que crean la autoridad de supervisión entraron en vigor en diciembre de 2018, pero el gobierno tardó un año y medio en introducir un decreto para implementar su estructura. Sin embargo, el decreto sólo tendrá fuerza legal cuando el presidente de la Junta sea nombrado oficialmente y aprobado por el Senado. No se ha hecho ningún nombramiento a partir de la publicación de este puesto. Para el resto de la ley, febrero de 2020 fue la fecha límite original para entrar en vigor. Esto se cambió más tarde a agosto de 2020. La ley se retrasó aún más hasta mayo de 2021 a través de una ley ejecutiva emitida por el presidente Bolsonaro. Sin embargo, en un sorprendente giro positivo, el Senado de Brasil detuvo el aplazamiento del presidente Bolsonaro en agosto. Eso significa que la ley está ahora en vigor, excepto por la sección de penalizaciones que han sido aplazadas de nuevo, hasta agosto de 2021. Definición de datos personales Al igual que el PIB, las leyes del Brasil y Panamá incluyen una definición exhaustiva de los datos personales. Incluye cualquier información relativa a una persona identificada o identificable. La definición de datos personales en la ley de Barbados tiene ciertas limitaciones. Sólo protege los datos que se refieren a una persona que puede ser identificada «a partir de esos datos; o a partir de esos datos junto con otra información que está en posesión o que es probable que esté en posesión del proveedor». Los datos anónimos en el Brasil, Panamá y Barbados quedan fuera del alcance de la ley. También hay variaciones en la forma en que estos países definen los datos anonimizados. Panamá lo define como datos que no pueden ser re-identificados por medios razonables. Sin embargo, la ley no establece parámetros explícitos para guiar esta evaluación. La ley del Brasil deja claro que los datos anonimizados se considerarán datos personales si el proceso de anonimización se invierte utilizando exclusivamente los medios propios del proveedor, o si se puede invertir con esfuerzos razonables. La ley brasileña define factores objetivos para determinar lo que es razonable, como el costo y el tiempo necesarios para invertir el proceso de anonimización, de acuerdo con las tecnologías disponibles, y el uso exclusivo de los medios propios del proveedor. Estos parámetros afectan a las grandes empresas de tecnología con una gran potencia de cálculo y grandes colecciones de datos, que tendrán que determinar si sus propios recursos podrían utilizarse para volver a identificar los datos anonimizados. Esta disposición no debe interpretarse de manera que se ignoren los casos en que el hecho de compartir o vincular datos anónimos con otros conjuntos de datos, o con información de dominio público, conduzca a la reidentificación de los datos. Derecho a la portabilidad Los tres países conceden a los usuarios el derecho a la portabilidad, es decir, el derecho a tomar sus datos de un proveedor de servicios y transferirlos a otro lugar. La portabilidad se suma a
Protección de Datos – Por qué los grupos de Whatsapp con padres del colegio no son recomendables
Ante la crisis sanitaria, los expertos recomiendan reforzar la comunicación con el centro y hacerlo mediante canales unidireccionales, donde se excluyan opiniones o emociones. Mascarilla, temperatura y distancia de seguridad. Esas tres premisas se repiten cada día a las puertas de los centros educativos de todo el país. Además, al inicio de cada clase, en la que se añade una nueva: lavado repetido de manos. Estamos ante el inicio de curso más complicado para alumnos y profesores, marcado por la pandemia del coronavirus. Toca aprender, pero también toca evitar contagios. Más allá de los resultados académicos, los padres están más pendientes que nunca de lo que pasa en el colegio. Dos días después de que arrancase el curso escolar, solo en Catalunya se han registrado 17 aulas confinadas, 70 casos positivos confirmados en profesionales y 45 en alumnos. Estos contagios han supuesto el aislamiento de 275 profesionales y 338 alumnos. Las autoridades destacan que son cifras menores, aunque advierten que esta será la tónica general del curso. Evitar canales de debate Ante esta situación, la comunicación con el centro educativo es vital. “Es imprescindible reforzarla, no solo en tiempos de pandemia. Sería recomendable crear una figura encargada de esta tarea. Un responsable de comunicación que se encargue de gestionar las relaciones con padres, docentes y administraciones educativas. Ha tenido que llegar una pandemia para evidenciar que lo necesitamos, ahora más que nunca”, explica el director del curso Experto Universitario en Marketing Educativo y Comunicación de UNIR, Pedro Javier Millán. La premisa es clara: desterrar los grupos de Whatsapp como vía de comunicación. “No puede ser un entorno oficial por el que se comunique el centro. Ahí se ponen de manifiesto opiniones, celos y otro tipo de emociones que conviene dejar aún lado. Da pie al debate y eso difumina nuestro mensaje. Además, no es recomendable dar nuestros números de teléfono por la Ley de Protección de Datos y tampoco el centro puede obligarnos a hacerlo”, argumenta Millán. “Si se termina utilizando, porque creemos que Whatsapp es un canal ágil y rápido, cuanto menos diálogo haya mejor. Así no contribuimos a generar ruido. Es recomendable que sean grupos unidireccionales, en el que no haya posibilidad de respuestas. En este sentido, la aplicación Telegram tiene estas dos ventajas: unidireccional y no precisa de nuestro número de teléfono, basta registrarse como usuario”, sigue este experto. Claves para una buena comunicación ¿Cómo mejorar entonces la comunicación entre centros educativos y padres? Millán deja algunas recomendaciones que se pueden poner en práctica. La primera, a falta de un responsable de comunicación, el colegio puede plantearse que esa tarea lo asuma otro profesional de su plantilla, como pudiera ser el secretario del centro. “Es importante que la comunicación de informaciones relevantes, como la notificación de un positivo por coronavirus, sea clara y se haga a través de canales oficiales y siempre unidireccionales. Nunca por redes sociales. No es el momento para establecer debates. En este sentido, el mejor sitio sería la página web. Si no, también podemos hacerlo a través de una lista de correo electrónico, siempre siendo cuidadosos con la privacidad. Las aplicaciones móviles tampoco son mala opción”, aconseja Millán. Una vez escogido el canal de comunicación, cabe preguntarse cada cuánto tiempo es recomendable que se produzca ese intercambio de información: “Esto lo tendrá que determinar cada centro educativo, según sus necesidades u objetivos. No solo tenemos que informar de un contagio, también podemos dar parte de las novedades semanales: limpieza de las aulas, comprobación de la temperatura, nivel de cumplimiento de las reglas por parte de los alumnos… Así mantenemos el canal abierto”. Fuente: https://www.lavanguardia.com/vida/formacion/20200916/483512893574/vuelta-al-cole-coronavirus-comunicacion-padres-colegios-canales-oficiales-whatsapp-sitio-web.html
Ciberseguridad – Colombia, blanco predilecto de los ciberdelincuentes
Durante los meses de pandemia los ciberataques crecieron más de un 50 por ciento. ¿Cuáles son los sectores más afectados? La pandemia trajo consigo una mayor conectividad, hoy 35 millones de personas en nuestro país están conectadas a internet, esto representa un 69 por ciento de penetración y estas mismas cifras aplican para usuarios de redes sociales; dos de cada 10 colombianos mayores de 15 años con acceso a internet, realizan compras y pagos en línea; eso representa a cerca de 19 por ciento de la población. Aunque las transacciones virtuales han tenido un crecimiento estable durante los últimos 4 años, durante los ocho meses de aislamiento tuvieron un ascenso de 174,7 por ciento, con más de 110 millones de operaciones, lo que nos hace más vulnerables, los ciberataques que crecieron en Colombia en un 59 por ciento con respecto al 2019. Al tiempo que aumentaron estos casos, el accionar de los ciberdelincuentes también cambió, ahora operan mediante “phishing”, aprovechando que la gente busca todo el tiempo información sobre el virus, entran a las redes, así, hemos sufrido más 4,4 billones de intentos de ciberataques» dijo Miguel Ángel Díaz, presidente de la Confederación Nacional de Empresas de Vigilancia Privada, CONFEVIP. El dirigente gremial dijo que en Latinoamérica, Colombia es uno de los países predilectos de los cibercriminales en el sector empresarial, ya que al haber entrado en el modelo de teletrabajo, las empresas se han vuelto más vulnerables porque muchos no han tomado medidas tecnológicas propias para blindar a sus empleados. «Hoy el fraude BEC (Business Email Compromise ) se ha convertido en uno de los preferidos de los ciberdelincuentes, porque con este “phishing” -que es más sofisticado que los tradicionales- engañan a la gente para que les entreguen información empresarial y/o personal de carácter confidencial», explicó. Agregó que “previo a esto, los ciberdelincuentes estudian las páginas de las empresas, al mismo tiempo, analizan las redes sociales de los empleados, así, el ataque es convincente y se hacen a información vital de las empresas que generalmente tienen repercusiones económicas y reputacionales de la empresa, comprometiendo inclusive, la situación laboral y jurídica de los implicados”. Por último, Miguel Ángel Díaz dijo que “afortunadamente en Colombia existen empresas especializadas en proteger los sistemas corporativos e implementan estrategias de seguridad integrales que mantienen seguras las redes empresariales, la información que se sube a la nube y los correos electrónicos”. “Estas compañías además capacitan a los empleados permanentemente en informática y también, cómo prevenir amenazas cibernéticas, les enseñan a ser más observadores, cuidadosos y desconfiado frente a correos en los que se solicitan cambios inesperados y urgentes de pagos de facturas, pero también, hay que habilitar la autenticación de factor múltiple y hacer cambios periódicos de contraseñas”, puntualizó. Fuente: https://www.semana.com/tecnologia/articulo/colombia-blanco-predilecto-de-los-ciberdelincuentes/202026/
