Ciberseguridad – Piratas informáticos roban millones de dólares a usuarios en Twitter
Las cuentas de Twitter de los muy reconocidos multimillonarios Bill Gates, Elon Musk, fundador de Tesla y SpaceX, Jeff Bezos, fundador de Amazon, e incluso del rapero Kanye West, entre otras, fueron robadas por parte de piratas informáticos que las utilizaron para promover una estafa de la moneda virtual, Bitcoin. Entre los mensajes que estas cuentas difundieron en los perfiles de las importantes personalidades, resaltaban trinos prometiendo duplicar el dinero enviado por cualquier persona que les transfiriera dinero a través de Bitcoin en los próximos 30 minutos. La estafa se basaba en hacer creer a los usuarios de la red social que estos reconocidos personajes doblarían la cantidad de dinero que recibiera en una cuenta que supuestamente le pertenecía, señalando que quería ayudar a las personas en medio de la crisis. Joe Biden y Apple, entre otros usuarios importantes, también vieron comprometidas sus cuentas y publicaron tuits que parecían promover una estafa de criptomonedas. Las cuentas, junto con las cuentas de Wiz Khalifa, Warren Buffet y Mike Bloomberg, publicaron tuits similares solicitando donaciones a través de Bitcoin a sus perfiles verificados. Foto: Captura de Pantalla / EL TIEMPO Los usuarios de Twitter de Uber y Apple publicaron tweets similares con la estafa poco después. Algunos expertos en ciberseguridad hablan de cerca de 9 millones de dólares recaudados en los escasos minutos que los tuits estuvieron en línea. Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó Desde Twitter señalaron que están investigando el incidente de seguridad que impactó algunas cuentas de Twitter y que están trabajando para arreglarlos. «Puede que no pueda tuitear o cambiar su contraseña mientras revisamos el problema que se generó«. Estamos al tanto del incidente de seguridad que está afectando cuentas en Twitter. Lo estamos investigando y tomando las medidas necesarias para corregirlo. Actualizaremos esta información en breve. https://t.co/7FKKksJqxV — Twitter Comms (@TwitterComms) July 15, 2020 En el momento, las acciones de Twitter disminuyeron 2,75 % después del problema en ciberseguridad. REDACCIÓN TECNÓSFERA / EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/apps/piratas-informaticos-roban-millones-de-dolares-a-usuarios-en-twitter-en-hackeo-518484
Protección de Datos – Una empresa española desarrolla una tecnología capaz de verificar la identidad incluso con la mascarilla puesta
La compañía española FacePhi, especializada en soluciones biométricas para la verificación de identidad, ha desarrollado un algoritmo capaz de reconocer con más de un 99% de fiabilidad el rostro parcialmente tapado de una persona, es decir, identifica a alguien incluso con mascarilla. Este reconocimiento es posible gracias a un software especialmente entrenado para centrarse en la biometría periocular, es decir, en los rasgos diferenciales que presenta una cara en los ojos y su contorno. De esta forma, se evitan fallos en el reconocimiento y posibles suplantaciones de identidad, dando más garantías tanto a las empresas que utilizan este tipo de tecnología como a los propios usuarios. “El uso de esta tecnología va más allá de la convivencia actual con la COVID-19 y puede ser un gran aliado para hospitales, clínicas y laboratorios, entornos donde el uso de la mascarilla es constante y las soluciones de identificación contactless son las más recomendables para evitar contagios”, explican desde la compañía. El sistema se activa de forma voluntaria y previa autorización del usuario. “La autenticación o verificación de identidad con biometría facial sigue avanzando como la opción de acceso más segura para sectores en los que la protección de datos y la accesibilidad sencilla son claves, como ocurre en la banca o en la sanidad”, dicen desde la empresa FacePhi. La tecnología ya ha sido probada en el hospital Kangbuk Samsung de Corea del Sur: “Gracias a nuestros desarrollos, los pacientes de este hospital han cambiado sus tarjetas sanitarias y la introducción manual de registros por un sistema de reconocimiento facial con consentimiento previo. Con ello se está consiguiendo evitar fraudes en seguros médicos y se está ofreciendo una experiencia rápida y que limita mucho el contacto”, añaden. Fuente: https://www.20minutos.es/noticia/4323088/0/una-empresa-espanola-desarrolla-una-tecnologia-capaz-de-verificar-la-identidad-incluso-con-la-mascarilla-puesta/
Protección de Datos – Multa de 25.000 euros a Glovo por no haber designado un delegado de protección de datos como establece el RGPD
La Agencia Española de Protección de Datos ha multado a Glovo con 25.000 euros por no contar con un delegado de protección de datos tal y como establece el artículo 37 del Reglamento General de Protección de Datos. Glovo es la primera empresa en España sancionada por esta cuestión surgida tras dos reclamaciones interpuestas en mayo y noviembre del año pasado ante el organismo encargado de la protección de datos en nuestro país. Glovo alega que se encuentra exenta de la obligación de contar con un delegado de protección de datos y que, en todo caso, cuenta con un Comité de Protección de Datos que lleva a cabo funciones propias de un delgado Primera empresa sancionada por este asunto en España La AEPD señala como hechos probados en su resolución que la plataforma de envíos a domicilio no contaba en el momento de realizar las averiguaciones con un delegado de protección de datos y alega estar exenta de la obligación, aunque tiene un Comité de Protección de Datos que lleva a cabo funciones propias de un delgado. También se ha constatado que Glovo ha nombrado un delegado de protección de datos a principios de año, días después de iniciarse el proceso sancionador, según señala el documento hecho público. La sanción incluye como agravante que Glovo realice un tratamiento de datos personales «a gran escala», aunque este concepto no se encuentra claramente definido Teniendo en cuenta todo lo expuesta y la legislación vigente, la Agencia Española de Protección de Datos impone a Glovo una multa de 25.000 euros por una infracción del artículo 37 del Reglamento General de Protección de Datos, que recoge la obligación de designar un delegado de protección de datos bajo determinados supuestos, tipificada en el el artículo 83.4 del RGPD, que regula las condiciones generales para la imposición de multas administrativas. La sanción incluye como agravante que la plataforma realice un tratamiento de datos personales «a gran escala por el número de clientes que tiene», aunque la resolución no señala cuál es ese número ni el RGPD lo deja tampoco claro. La resolución de la AEPD no es firme y cabe tanto recurso de reposición como contencioso-administrativo ante la Audiencia Nacional. Glovo no está de acuerdo con los hechos probados ni con los fundamentos de derecho de la resolución y, según señala a Genbeta, va a agotar todas las instancias judiciales «para acreditar que actuó en todo momento de acuerdo con lo establecido en la normativa de protección de datos». La plataforma se defiende señalando que sus clientes «siempre han tenido plenas garantías de que sus derechos estaban protegidos, a través primero de un órgano colegiado que era el máximo garante de los derechos de los interesados y del cumplimiento de la normativa de protección de datos, y mediante el posterior nombramiento de un DPO, cuando el número de clientes lo requirió». Por todo ello, manifiestan, tienen la firme convicción de que han cumplido en todo momento con lo previsto en la normativa. Fuente: https://www.genbeta.com/actualidad/multa-25-000-euros-a-glovo-no-haber-designado-delegado-proteccion-datos-como-establece-rgpd
Ciberseguridad – ¿Has cambiado de número en el móvil? Cualquiera podría acceder a tu WhatsApp
Migrar a un nuevo número de teléfono y dar de alta la cuenta en WhatsApp no implica que la línea vieja se haya dado de baja en la aplicación de mensajería Suele ser más habitual de lo que cabe esperar: una promoción de un operador de telefonía puede resultar demasiado tentadora como para rechazarla. Para aprovecharla, en muchas ocasiones, nos invitan a jubilar el viejo número de teléfono y dar de alta uno. Nada fuera de lo habitual y estas transiciones, que, por fortuna, resultan ahora muy fluidas. Pero en muchas ocasiones hay un cabo que queda suelto y casi nadie recuerda atarlo: WhatsApp. Migrar a un nuevo número de teléfono y dar de alta la cuenta en WhatsApp no implica que la línea vieja se haya dado de baja en la aplicación de mensajería, y si nuestro número es reciclado, el nuevo usuario puede acceder a todas nuestras conversaciones y contactos. Y lo que es peor, comunicarse en nuestro nombre.Este susto se lo llevó el blogger Joseph Cox, que al dar de alta una nueva línea e instalar WhatsApp comenzó a recibir un bombardeo de mensajes que incluían fotos, vínculos y mucho texto. Este usuario únicamente había activado la aplicación WhatsApp en un número que, en teoría (y en la práctica), era de su titularidad. ¿Qué estaba fallando exactamente? En este caso, y como sucede en muchas ocasiones, el operador, ante la ausencia de nuevas numeraciones dado el elevado número de líneas operativas, reutiliza los viejos números que son empleados en nuevas altas. WhatsApp ante un limbo de seguridad En definitiva, si un usuario cambia a un nuevo número y no desactiva la cuenta de WhatsApp en el viejo, la puerta queda abierta de par en par para que el nuevo destinatario del viejo número acceda a todos sus whastapps. El drama de esta circunstancia reside en que esta situación se da por defecto: quien instala WhatsApp en una línea reciclada, no tiene que hacer nada más y el sistema le reconoce como el viejo propietario restableciendo las comunicaciones. Desde EL PAÍS hemos contactado con WhatsApp sin obtener respuesta. Una visita a su sección de Preguntas y Respuestas indica que el servicio de mensajería confirma esta circunstancia con absoluta normalidad.“Si el dueño anterior del número no borró su cuenta de WhatsApp, puede que tú y tus contactos puedan ver el número de teléfono en WhatsApp antes de que actives la cuenta nueva”, podemos leer, “puede que veas también la foto del perfil y la Info. (sic) que pertenecían a esa persona”. La plataforma de mensajería resta importancia a esta situación afirmando que “no hay nada de qué preocuparse. Esto solo significa que la cuenta antigua no fue borrada y por eso hay información antigua en el sistema”. Desde WhatsApp se desmiente en esta sección que el nuevo usuario pueda recibir mensajes de su antecesor, como asegura Cox: “No significa que el titular de la cuenta antigua tiene acceso a la cuenta de WhatsApp que actives en tu teléfono con tu número de teléfono nuevo”, afirma la compañía. Los 45 días de gracia Pero no está todo perdido. WhatsApp se reserva un as en la manga con el que mantiene, más o menos, la privacidad del usuario que cambia de número: “Después de 45 días de inactividad, si una cuenta se activa otra vez en un nuevo dispositivo”, explican en su sección de FAQ (preguntas frecuentes), “la tratamos como una cuenta nueva con un número reciclado. En este caso, eliminamos los datos de la cuenta antigua, como la foto del perfil y la Info. (sic)”. Esto es, si transcurridos 45 días sin que la cuenta en cuestión de WhatsApp se conecte y el servicio detecte que se activa en un número nuevo, se borran foto e información del perfil anterior.Ahora bien, ¿cuánto tarda un operador en reasignar un número antiguo a un nuevo usuario? Fuentes del sector informan a este diario que “los operadores tienen la obligación de mantener un periodo de guarda de 30 días. Después de este plazo de 30 días desde que un cliente da de baja su numeración, el operador puede asignarlo libremente a cualquier otro cliente”, esto es, que hay un limbo de 15 días en los que un usuario podría, teóricamente, dar de alta una nueva línea y acceder a la información de WhatsApp el usuario anterior. ¿Cómo protegerse? Los operadores esperan que la nueva Ley General de Telecomunicaciones permita que “las entidades OTT (software y plataformas que emplean el ancho de banda) puedan ser reguladas dentro del sector de telecomunicaciones y les puedan imponer obligaciones específicas para el uso de sus servicios”. Pero hasta que esto se lleve a efecto, la mejor medicina será el sentido común y recordar dar de baja los servicios que por uno u otro motivo vayamos a dejar de utilizar.“Este problema es una mala práctica en el uso de nuestra vida digital”, explica Francisco Arnau, Responsable de la firma de seguridad Akamai en España, “cuando cambiamos de casa, la dejamos vacía y eso nos parece más que lógico. Sin embargo, cuando hablamos de dispositivos digitales o nuestros perfiles en las aplicaciones que utilizamos, no le damos importancia”. En definitiva, si por algún motivo se va a abandonar una línea sobre la cual se utilizaba WhatsApp, resulta fundamental migrar el número o eliminar la cuenta (ambas opciones se pueden llevar a cabo desde los ajustes de la propia aplicación) antes de concluir el proceso de migración. fuente: https://retina.elpais.com/retina/2020/06/29/talento/1593422425_883743.html
La prueba electrónica no puede ser invalidada cuando reúne las características del CGP
El acceso a internet es un derecho humano y, por lo tanto, es fundamental, digno de protección para el acceso masivo. También como una herramienta esencial en un servicio público que debe servir para cerrar brechas y avanzar en todo el desarrollo humano, especialmente en educación, en acceso a la justicia y el progreso tecnológico. Así lo sentenció la Corte Suprema de Justicia luego de concluir que toda prueba electrónica o información relevante para el juicio en forma de mensaje de datos o ligada con el ciberespacio no puede ser vista como ineficaz o invalidada cuando reúne las características del Código General del Proceso (CGP). Es bueno informar que con la entrada en vigencia del CGP se estableció que en todas las actuaciones judiciales deberá procurarse el uso de las tecnologías de la información y las comunicaciones en la gestión y trámite de los procesos judiciales, con el fin de facilitar y agilizar el acceso a la justicia, así como ampliar su cobertura. De ahí que desde el punto de vista sustantivo, puntualiza el pronunciamiento, el mensaje de datos permite expresar la voluntad para los sujetos del proceso, así como para sus actuaciones, generando derechos, obligaciones, deberes para quienes intervienen en la relación virtual, sin que se pueda alegar vicio alguno por el solo hecho de proceder de un medio electrónico. “Motivo por el cual la fuerza jurídica cobija lo procesal, lo probatorio, los actos jurídicos y la propia firma, de conformidad con el conjunto normativo nacional e internacional, siempre y cuando cumplan los requisitos de fiabilidad, inalterabilidad y rastreabilidad que también gobiernan la base documental o el escrito tradicional”, agregó el alto tribunal. Resaltó que se trata del acceso del derecho contemporáneo a la esfera de los mensajes de datos y a las redes, como punto de partida para transformar una administración de justicia edificada en el consumo del papel que aniquila bosques y soportada en la tramitología. Finalmente, y respecto al caso concreto, la Sala amparó la vulneración del debido proceso de un tutelante, pues el despacho de instancia efectuó una indebida interpretación de las normas y los conceptos mencionados, al sostener que el mandamiento ejecutivo emitido en un caso hipotecario no podía notificarse mediante mensaje de datos (M. P. Luis Armando Tolosa). Opinan los especialistas ÁMBITO JURÍDICO consultó a dos miembros del Instituto Colombiano de Derecho Procesal para conocer su análisis respecto a este pronunciamiento judicial. Miguel Enrique Rojas Gómez (Miembro del ICDP y de la Comisión Redactora y de seguimiento del CGP): La reciente sentencia de la Sala de Casación Civil no hace otra cosa que asignar al precepto del artículo 291 del CGP el verdadero alcance que el legislador pretendió imprimirle al régimen de notificaciones personales. Allí, sin titubeos, la ley autoriza el recurso a la cuenta de correo electrónico de quien debe ser personalmente notificada, con el propósito de facilitar la convocatoria de cualquier inpiduo al proceso civil sin costos innecesarios en términos económicos y temporales. El correcto entendimiento del precepto legal, de acuerdo con su texto y con la época en la que fue expedido no puede dejar espacio a circunscribir el empleo de la cuenta de correo electrónico a las hipótesis en las que haya sido suministrada por la persona que debe ser notificada, pues es preciso tener en cuenta que la responsabilidad de indicar el destino de las notificaciones recae principalmente en la parte interesada en la notificación, la misma que soporta las consecuencias adversas de indicar una dirección incorrecta. Ello en tanto se expone a la anulación de la notificación y de toda la actuación que de ella dependa y, eventualmente, consecuencias punitivas. Oscar Iván Garzón (Miembro del ICDP y docente universitario): Es particular que en el fallo de la Corte Suprema de Justicia en ningún momento se mencionen aspectos sobre la pandemia, dejando de lado las circunstancias anormales en las que nos encontramos y, a pesar de eso, la decisión se profiera en el sentido de rescatar la eficacia de las TIC en las actuaciones procesales, otorgándole la preponderancia a la normativa vigente en el régimen de notificaciones que consagra nuestro CGP. Ahora bien, lo cierto es que durante este tiempo de crisis se han visibilizado disposiciones de poco uso o que se pasaban por alto en el marco de la “normalidad”, como el acto de comunicación, señalado en el artículo 291 del CGP, que siempre dispuso la facultad de notificarse personalmente por correo electrónico (numeral tercero, inciso 5), prescindiendo del servicio postal. Por último, en esta importante decisión de la Corte el correo electrónico de la parte demandada estaba presente en el título ejecutivo y, por lo tanto, acertadamente se dio lugar a validar la notificación, protegiendo el derecho al debido proceso; ahora solo falta que la tesis sea replicada y usada por las partes y los jueces. Corte Suprema de Justicia, Sentencia STC-35862020 (11001020300020200103000), Jun. 3/20. Fuente: https://www.ambitojuridico.com/noticias/tecnologia/civil-y-familia/la-prueba-electronica-no-puede-ser-invalidada-cuando-reune-las
Protección de Datos – Reporte de privacidad: Google y Apple les dan más control a sus usuarios
Las dos compañías anunciaron medidas para proteger la información de sus clientes a través de servicios y dispositivos. Esto es lo que debe saber para proteger mejor sus datos en línea. Esta ha sido una semana interesante para la privacidad de los usuarios de Google y Apple, o sea, básicamente cualquiera que tenga un teléfono inteligente. Y por interesante nos referimos no a violaciones a la privacidad o filtraciones de datos personales, que desde hace años se han convertido en una triste parte del paisaje digital, sino a herramientas y medidas que ambas compañías anunciaron para defender la información y la navegación anónima de millones de personas en internet. Google Google anunció esta semana que las cuentas nuevas en sus servicios (como YouTube, por ejemplo) tendrán activada por defecto la opción de borrar información de los usuarios cada 18 meses; no contenido de las personas, sino datos que la compañía rastrea para una larga lista de fines (desde mejoramiento del producto, hasta sugerencias de contenido). La funcionalidad ya existía, pero no estaba activada por defecto, sino debía ser encendida por el usuario, después de una navegada por menús y opciones que podría resultar complicada para algunos (o muchos). Con el anuncio de esta semana, la información de actividad y localización se borrará cada 18 meses y cada 36 meses para el caso de YouTube. “…a partir de hoy, la primera vez que actives el historial de ubicaciones (que está desactivado de manera predeterminada), tu opción de eliminación automática se establecerá en 18 meses de forma predeterminada. La eliminación automática de la actividad web y de aplicaciones también será de 18 meses de forma predeterminada para nuevas cuentas. Esto significa que los datos de tu actividad se eliminarán de manera automática y continuamente después de 18 meses, en lugar de conservarse hasta que elijas eliminarlos. Siempre puedes desactivar esta configuración por completo o cambiar tu opción de eliminación automática”, escribió Sundar Pichai, CEO de Google, en una entrada de blog corporativo. Pichai agregó: “Mientras integramos la retención predeterminada en más productos, nos mantendremos fieles al principio de que los productos deben conservar la información sólo durante el tiempo que sea útil para ti. Por ejemplo, en YouTube, la eliminación automática pronto se establecerá de forma predeterminada en 36 meses la primera vez que la actives. Esto mejora la práctica actual de la industria y asegura que YouTube pueda continuar haciendo recomendaciones de entretenimiento relevantes basadas en lo que has visto o escuchado en el pasado, como avisarte si tu serie favorita ha lanzado otra temporada o si tu artista favorito tiene un nuevo álbum”. Estos cambios no cobijan a servicios como Gmail, Drive, Calendar o Fotos, aclaró la compañía. Aunque estos cambios son bienvenidos, hay algunas críticas por el periodo mínimo de borrado de los datos. En otras palabras: ¿por qué no se puede erradicar información que tenga menos de tres meses? Apple Durante su conferencia de desarrolladores (WWDC), además de anunciar la migración hacia procesadores propios, Apple aseguró que en las próximas versiones de sus sistemas operativos para teléfonos y computadores (iOS 14 y macOS Big Sur, respectivamente) habrá mayor control de los usuarios para limitar y revisar qué información está siendo rastreada de su comportamiento en línea y para qué fines. Safari, el navegador de Apple, presentará un reporte de privacidad más extenso sobre el rastreo de información del usuario y, además, ofrecerá la posibilidad de controlar qué extensiones comparten información y en qué momentos: o sea, se podrá realizar habilitaciones por momentos, para casos específicos, lo que ofrece un potencial control más segmentado y adecuado. Así mismo, las aplicaciones que corran bajo iOS 14 deberán obtener permiso de los usuarios antes de rastrearlos, lo que representa un golpe potencialmente importante para los desarrolladores de apps que dependen de los anuncios para ganar dinero. La publicidad en la aplicación genera miles de millones de dólares cada año. Las tecnológicas publicitarias también utilizan los datos de seguimiento integrados en las aplicaciones para vincular a los usuarios de teléfonos con sus otros dispositivos, lo que permite mostrar anuncios a las mismas personas en varias pantallas, así como medir la efectividad de esos mensajes. Estos movimientos de Apple ciertamente mejoran la seguridad de sus usuarios aunque, como sucede regularmente en este campo, tampoco se trata de un Santo Grial. Como reportó la agencia Bloomberg, “Apple facilita el seguimiento en sus teléfonos al proporcionar a los desarrolladores de aplicaciones números únicos para cada usuario, algo que defensores de la seguridad han dicho durante mucho tiempo que contradice las frecuentes declaraciones de la compañía en apoyo a la privacidad. La actualización del sistema operativo del iPhone no elimina el sistema de seguimiento, pero lo hace mucho más evidente para los usuarios y les da más oportunidades para desactivarlo. Anteriormente, los controles estaban enterrados en el menú de configuración del teléfono”. Fuente: https://www.elespectador.com/noticias/tecnologia/nuevas-opciones-de-privacidad-de-google-y-apple/
Protección de Datos – ¡Nada les gusta!: privacidad y covid-19
Quienes defendemos la privacidad como un derecho humano que requiere ser protegido especialmente en contextos de emergencia nos convertimos de repente en los villanos de la película, en las personas a las que nada les gusta, que le ven un “pero” a todo: malo si se usa una app para salvar vidas, malo si se usa una página web para que empleadores registren síntomas de los empleados. ¡Qué difícil es tomar decisiones que dejen a todo el mundo contento!, nos dicen las autoridades públicas que procuran cada día hacer frente a la pandemia. Si bien es cierto que durante los contextos de emergencia, sin importar cuál sea su causa, las autoridades suelen asumir facultades que les permitan actuar rápidamente para desplegar acciones de contención y mitigación, también lo es que las medidas que se implementan deben poder ser sometidas a un escrutinio cuidadoso, y hacerlo no debe posicionar en el extremo de los opositores, los quejosos, los que no queremos salir de esta a quienes advertimos sobre el respeto de los derechos humanos cuando en lo que insistimos es que podemos salir adelante, pero no a cualquier costo. Someter a las medidas asumidas por las autoridades a un cuidadoso escrutinio es necesario porque la limitación a los derechos en contextos de normalidad suele ser puesta a debate en foros democráticos, requiriendo un nivel de discusión detallado sobre el cómo, el por qué y el para qué, y esto es así pues las implicaciones sobre la limitación de los derechos afecta a ciertos grupos de la población más profundamente que a otros, exacerban las relaciones de desigualdad preexistentes en nuestra sociedad y son difíciles de resistir cuando nos posicionamos en un plano de vulnerabilidad como en el que nos sitúa la pandemia. Desde luego, el escrutinio es importante cuando se trata particularmente del despliegue de una tecnología, pues ni esta ni los datos que recolecta son neutrales, y sus impactos no solo tienen el potencial de vulnerar nuestra privacidad sino el resto de los derechos que apreciamos como valiosos. ¿Por qué no usar la tecnología si esta puede ayudarnos a salir más rápido de la crisis?, o ¿por qué no pedirle datos personales a las personas que ya están acostumbradas a la entrega voluntaria de su información en otros ámbitos digitales como las redes sociales? Son dos preguntas con las que recientemente las autoridades públicas nos han cuestionado a quienes defendemos la importancia sobre el respeto de la privacidad como un derecho humano en este contexto de crisis y angustia social. La tecnología es una entre múltiples herramientas que, dependiendo el problema, puede o no contribuir a la respuesta. Saber si la tecnología es la herramienta ideal para paliar la pandemia pasa por preguntar mucho antes cuál es en definitiva su efectividad y cuáles sus limitaciones, y si hay alternativas disponibles que no dependan, como en nuestro caso, del uso de una app para efectuar el rastreo de síntomas y el rastreo del contagio por contacto, pues lo cierto es que el despliegue de la tecnología depende no solo de las características de la herramienta en sí, sino del ambiente en el que se la despliega. Un ambiente, en nuestro caso, de brecha digital en el que muchas personas no tienen un smartphone de última generación en el bolsillo, y que tiene al menos a 20 millones de colombianos viviendo en la total desconexión. ¿Y qué tiene que ver la preocupación sobre la efectividad en el uso de la tecnología con las preocupaciones en torno a la privacidad y el ejercicio de los derechos? En la medida en que las autoridades que anuncian el lanzamiento de una nueva app reconozcan con humildad las limitaciones de la tecnología, al tiempo que midan de manera objetiva su real efectividad y nos adviertan e informen al respecto, podrá ser posible valorar qué tan justificado, razonable y necesario resulta ceder en nuestra privacidad a cambio de resultados que pueden en últimas no sumar mucho a la balanza. Una actitud que peca por exceso de optimismo puede llegar a sacrificar la privacidad de las personas a cambio de nada, al tiempo que se sacrifican actitudes valiosas como la confianza de la ciudadanía en la capacidad de las autoridades para atender la crisis y la salud de cientos de personas que se abandonan a la falsa sensación de seguridad que les provee una app que se les prometió como milagrosa. Que vivamos en el mundo de la “economía de los datos” no justifica la adopción impositiva de soluciones tecnológicas que, además de ser desplegadas de manera acrítica, demandan de las personas la entrega de información tan detallada y sensible que facilita, por ejemplo, las actividades de vigilancia masiva de la población. Que se imponga una tecnología que para su uso prescinde de nuestra voluntad mina los procesos de confianza y genera sospecha, pues nunca como ahora se nos había dicho que el ejercicio de nuestros derechos dependería del uso de una aplicación, al tiempo que informamos de dónde venimos, a qué horas, para dónde vamos, a ver a quién y por qué razón. No es que nada nos guste a quienes llamamos la atención sobre el cuidado con que las autoridades públicas deben pensar en las medidas de protección de la salud pública y que deben garantizar también el resto de nuestros derechos. Lograr ambos objetivos al tiempo es una pretensión muy anterior a la crisis del covid-19, que tiene su respuesta en los estándares sobre derechos humanos que obligan a considerar factores de necesidad, legalidad, proporcionalidad y razonabilidad de las medidas. No hay que inventar la rueda entonces, hay que ponerla a andar. De lo contrario, bajo la premisa del “para qué la privacidad si lo que único que importa es la salud” terminaremos aceptando con el tiempo “para qué los derechos, si con la mera salud basta”. Lucía Camacho Abogada y asistente en Fundación Karisma Interesada en privacidad en línea y libertad de expresión en internet @LuCamachoG Fuente: https://www.ambitojuridico.com/noticias/tecnologia/laboral-y-seguridad-social/nada-les-gusta-privacidad-y-covid-19
Protección Datos – El TS de España se pronuncia sobre el carácter de la voz como dato personal y sobre el ámbito de las actividades personales o domésticas
La Sala Tercera, Sección Tercera, de lo Contencioso-administrativo del Tribunal Supremo de España, ha dictado una sentencia, de fecha 18 de junio de 2020 (sentencia núm. 815/2020, ponente Sr. Espín Templado), por la que fija doctrina de interés casacional en relación con tres importantes aspectos relacionados con la protección de datos personales: a) el alcance del tratamiento de datos en el ámbito personal y doméstico a los efectos de su exclusión de la aplicación de la Ley Orgánica de Protección de Datos de Carácter Personal de 1999; b) en qué circunstancias puede considerarse la voz un dato de carácter personal y, c) cómo ha de ponderarse el interés legítimo del responsable del tratamiento de datos con la protección de los datos del interesado, es decir, la relación entre el interés del titular de los datos y el interés comercial de la empresa que trata esos datos. Y a este respecto el TS Español establece como doctrina que: – la grabación de la voz asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece ha de considerarse un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos; – el tratamiento de datos efectuado por una empresa en el marco de su actividad mercantil no puede considerarse comprendido en el supuesto de exclusión de la protección de datos por tratarse de actividades exclusivamente personales o domésticas, aunque el servicio prestado por la empresa consista en facilitar una relación entre personas físicas; – los intereses comerciales de una empresa responsable de un fichero de datos han de ceder ante el interés legítimo del titular de los datos en la protección de los mismos. De esta manera, el TS ha confirmado una multa de 7.500 euros impuesta por la Agencia Española de Protección de Datos (AEPD) a la empresa titular de una app de bromas telefónicas por encargo (Juasapp), por diversas infracciones graves consistentes en tratamiento de datos personales sin consentimiento, en relación a cuatro bromas realizadas a través de dicha aplicación entre abril y mayo de 2016 (es decir, mientras era aplicable la LOPD de 1999 (LA LEY 4633/1999)). En su recurso, la empresa había alegado: a) que la actividad por la que se le ha sancionado era una actividad desarrollada en el ámbito personal o doméstico; b) que la voz no puede considerarse en el caso de autos un dato de carácter personal y, c) que en el supuesto de autos prevalece el interés legítimo de la empresa sobre la protección de los datos del afectado. Las empresas no realizan actividades de carácter particular o doméstico En primer lugar, la Sala descarta que la actividad que realizaba la empresa pueda considerarse excluida del ámbito de la protección de datos por tratarse de una actividad exclusivamente personal o doméstica. “La argumentación de la empresa sancionada se basa en considerar que se trata de una actividad particular de una persona que decide gastar una broma a otra, en la cual la empresa actúa como una mera intermediaria ajena a los hechos y que presta un servicio facilitando esa actividad”. Pero resulta obvio, advierte el TS “que la cuestión no reside en si se puede calificar como particular o doméstica la actividad de gastar una broma (la actividad del particular que contrata el servicio), sino si el tratamiento de datos (actividad única y exclusivamente de la empresa recurrente) se realiza en un ámbito particular o doméstico.” Y a este respecto indica que son dos los requisitos legales para que entre en juego esa cláusula de exclusión: que el tratamiento de datos lo haga un particular y que lo haga en el marco de una actividad exclusivamente particular o doméstica. Sin embargo considera que, en el caso, “es palmario” que no se da ninguno de los dos requisitos. Primero quien realiza el tratamiento de datos es la empresa, no la persona que encarga la broma y, en segundo lugar, por que el carácter de actividad particular o doméstica “se podría adscribir a la actuación del particular que gasta la broma, pero en ningún caso a la sociedad, que desarrolla su actividad prestadora de servicios facilitando los medios para que una persona embrome a otra como una actividad comercial que le reporta beneficios económicos”. La voz como dato de carácter personal Asimismo, la sentencia destaca que en este caso la grabación de la voz es un dato de carácter personal sujeto a la normativa de protección del tratamiento automatizado de los mismos, al estar asociada a otros datos como el número de teléfono o su puesta a disposición de otras personas que pueden identificar a quien pertenece. Frente al alegato de la empresa recurrente de que “en el caso de autos las grabaciones almacenadas no pueden considerarse datos personales, pues no permiten la identificación de la persona, no al menos sin plazos o esfuerzos desproporcionados”, el TS considera que la empresa “almacena y trata datos personales de los embromados que incluyen teléfono y voz, datos que conjuntamente sin duda hacen que la persona afectada sea perfectamente identificable”. Y tratándose de un dato de esa naturaleza, resultaba exigible el consentimiento del interesado. Y, en este sentido, añade que es “sólo al finalizar la grabación de la broma (con el texto pregrabado de la broma y las eventuales respuestas o intentos de interlocución por el embromado) cuando se interroga al receptor de la llamada si autoriza el almacenamiento en un fichero de datos». Para el Supremo, esa solicitud de autorización “tras escuchar una grabación que, sólo al final, el sujeto comprende que ha sido una broma y que le ha podido hacer gracia, pero también le ha podido originar dudas, sorpresa o alarma, difícilmente puede considerarse un consentimiento que cumpla con los requisitos estipulados en la Ley de Protección de Datos”. Ello es así porque la Ley vigente en el momento de los hechos define el consentimiento como «toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de
Protección de Datos – Así es como la policía puede vigilar digitalmente y acceder a un teléfono móvil durante una protesta
Tras la muerte a manos de la Policía del ciudadano afroamericano George Floyd, Estados Unidos -y también muchos otros territorios del mundo- vive sumido en una oleada de protestas contra el racismo y la brutalidad policial. Sin embargo, lo que muchos no sabían es que cuando acuden a una protesta puede que lleven encima ‘un espía’. Los teléfonos móviles actuales son tan inteligentes que puede que se pasen de listos, dando información que no queremos que den. Las alarmas saltaron a principios de semana cuando BuzzFeed publicó una noticia informando de que la DEA había recibido permiso para “realizar vigilancia encubierta y recopilar información de las personas que protestaban por la muerte de George Floyd”. “El Departamento de Justicia otorgó a la agencia el poder temporal para hacer cumplir cualquier delito federal cometido como resultado de las protestas por la muerte de George Floyd”, indicaba el medio. A raíz de estas informaciones, Wired ha recopilado una serie de consejos sobre “cómo protestar de forma segura en la Era de la Vigilancia”. Dicen desde el medio de comunicación que “hay dos aspectos principales de la vigilancia digital que deben preocuparte durante una protesta”. Por un lado, la información que la Policía podría obtener de tu teléfono si te detienen a ti o confiscan el dispositivo; y, por otro, la vigilancia digital que permite la ley, que puede incluir desde la intercepción inalámbrica de mensajes de texto hasta herramientas de seguimiento como escáneres de matrículas o reconocimiento facial. Herramientas de vigilancia de las fuerzas del orden En algunas partes de Estados Unidos, las fuerzas del orden público tienen herramientas que pueden interceptar las señales de los teléfonos móviles. Estas recopilan los detalles de identificación de los smartphones en un área determinada ‘haciéndose pasar’ por torres de telefonía, y se cree que los modelos más nuevos pueden interceptar llamadas y mensajes, dice TechCrunch. Es por esto que muchos estadounidenses se han pasado en los últimos días a Signal, una app de mensajería instantánea cifrada de extremo a extremo, para comunicarse -en EE. UU. el uso de la plataforma de mensajes de texto que viene por defecto en el teléfono, los SMS, está muy extendido, y estos nos son mensajes encriptados-. Según cuentan en The Markup, la fiabilidad de Signal está probada: en 2016, un Tribunal de Virginia entregó una citación a Open Whisper Systems, la compañía que fabrica la aplicación, buscando información sobre dos de sus usuarios para una investigación federal. La única información que tenía la empresa era la hora en que se crearon las cuentas de los usuarios y la fecha en que los usuarios se conectaron por última vez a los servidores de la app. Además de estas torres, dice este mismo medio que la Policía incluso puede requerir a las compañías telefónicas lo que en inglés llaman ‘cell tower dumps’, que se trata de entregar todos los números de teléfono registrados en una torre de telefonía particular durante un cierto período de tiempo. En su informe de transparencia de febrero de 2020, AT&T reveló que recibió 1.289 demandas de este tipo durante la segunda mitad de 2019.
