Protección de Datos – Superindustria sanciona a Scotiabank Colpatria por incumplir ley de protección de datos
– La Autoridad solicitó revisar si en este caso hay mérito para abrir investigación administrativa de carácter sancionatorio a la ETB. Bogotá D.C., 20 de abril de 2020. La Superintendencia de Industria y Comercio, en su rol de autoridad nacional de protección de datos personales, impuso una multa a SCOTIABANK COLPATRIA de $356.070.000 (trescientos cincuenta y seis millones setenta mil pesos) y le ordenó adoptar medidas para respetar los derechos de las personas respecto del tratamiento de su información, así como adoptar e implementar procedimientos para verificar si los datos personales compartidos por terceros han sido autorizados por sus respectivos titulares de manera previa, expresa e informada. La anterior decisión, contenida en la Resolución 10720 de 2020, se tomó con ocasión de la queja de un ciudadano quien informó que había presentado al banco SCOTIABANK COLPATRIA varias peticiones para eliminara su número telefónico de su base de datos, y además había exigido que le fuera mostrada una copia de la autorización para el tratamiento de sus datos personales. Sin embargo, y después de haber sido notificado de que sus datos ya se habían eliminado de la base de datos, la persona siguió recibiendo mensajes desde la entidad bancaria. En la investigación, la Superindustria conoció que SCOTIABANK COLPATRIA tenía en su poder los datos del usuario porque tenía un convenio con la Empresa de Telecomunicaciones de Bogotá (ETB). En el marco de este convenio, la autoridad ordenó que se realice una auditoría externa para conocer si la ETB cuenta con autorización previa, expresa e informada de los Titulares y cuya información fue entregada a SCOTIABANK COLPATRIA. En la resolución, también se ordena el traslado de esta decisión para determinar si hay mérito para iniciar una investigación administativa de carácter sancionatorio en contra de la ETB. Contra esta decisión proceden los recursos de reposición y apelación. Ver Resolución ¡Superintendencia de Industria y Comercio, confianza que construye progreso! Fuente: https://www.sic.gov.co/slider/superindustria-sanciona-scotiabank-colpatria-por-incumplir-ley-de-protecci%C3%B3n-de-datos
Ciberseguridad – Los crímenes cibernéticos que se propagan con el coronavirus
Son varios los correos que circulan en internet que pretenden alertar a la comunidad sobre riesgos de la enfermedad, bajo el nombre de alguna entidad gubernamental. Sin embargo, esta información puede ser una herramienta utilizada por cibercriminales para robar la información de quienes acceden a los archivos adjuntos enviados. En los correos se usa como fachada la enfermedad, que hasta ahora se ha cobrado la vida de más de 3.000 personas e infectado a cerca de 90.000 individuos en todo el mundo, para enviar archivos maliciosos camuflados en PDF, MP4 y dock y que usan para acceder a la información personal de quienes caen en la trampa. Una vez los cibercriminales acceden a la información personal de los usuarios pueden suplantar su identidad y entrar a sus cuentas bancarias para robar el dinero. Según Kaspersky, una firma especializada en el área de ciberseguridad, su sistema de detección encontró archivos que contenían una variedad de amenazas, desde troyanos hasta gusanos que son capaces de destruir, bloquear, modificar o copiar datos, así como interferir con el funcionamiento de las computadoras o redes de cómputo. Los casos más sonados giran en torno a la Organización Mundial de la Salud (OMS). Los criminales usan el nombre de la entidad con reconocimiento internacional para engañar a la mayor cantidad de víctimas posibles. Por medio de correos electrónicos, enviados supuestamente por la institución, se les advierte a las personas de la gravedad e impacto de la nueva enfermedad y se les pide abrir una serie de archivos adjuntos que contienen más información acerca del virus. “Acceda al documento adjunto para conocer las medidas de seguridad contra la propagación del coronavirus. Dé clic en el botón debajo para descargar los síntomas comunes que incluyen fiebre, tos y problemas al respirar”, reza en uno de los correos difundidos en línea. En el mensaje se adjunta un enlace que no cuenta con los protocolos de seguridad adecuados ya que el hipervínculo tiene la dirección http en vez de https, además de la detección de errores de ortografía y redacción que indican una conducta sospechosa. Cuando los usuarios interesados en la información de prevención del coronavirus ingresan, la página les pide escribir un usuario y una contraseña, al hacerlo le dejan su información expuesta a lo criminales cibernéticos. Según Roberto Martínez, analista sénior de seguridad de Kaspersky, los medios más usados por estos delincuentes son las páginas web y el correo electrónico; sin embargo, también lo hacen a través de las redes sociales. “Por medio de la autenticidad de las páginas y las notas sensacionalistas, los criminales buscan clics de los usuarios y de esa manera direccionarlos a un sitio donde pueden infectar sus equipos y cometer el delito”. Los casos más sonados giran en torno a la OMS. Los criminales usan el nombre de la entidad con reconocimiento internacional para engañar a la mayor cantidad de víctimas posibles Otro caso de delincuencia que se vale del nombre de la OMS es el de un esquema de supuestos representantes de la entidad que piden donaciones para ayudar a los afectados por el coronavirus. Aunque los criminales no roban información ni insertan malware en los dispositivos, sí se aprovechan de la empatía de la gente con los afectados para lograr transacciones de dinero. Maximiliano Cantis, especialistas en seguridad informática de la firma Safetica, asegura que “los criminales cibernéticos no solo usan la enfermedad para causar daños individualmente, sino también lo hacen de forma colectiva”, por ejemplo, en Ucrania, la semana pasada se divulgó un correo que afirmaba que en el país había cinco personas contagiadas por coronavirus, lo que provocó fuertes protestas que llevaron al cierre de carreteras y destrucción de buses en los que se desplazarían personas evacuadas de Wuhan, epicentro del virus. ¿Cómo no caer? Roberto Martínez recomienda a quienes reciban este tipo de correos o decidan buscar información en la web sobre temáticas relacionadas con el nuevo coronavirus u otras coyunturas evitar acceder a enlaces sospechosos que prometen contenido exclusivo. Cuando la información en internet o los e-mails tengan información “demasiado buena para ser cierta o parezca ser demasiado sensacionalista, mejor consultar las fuentes oficiales para obtener información confiable y legítima”. Es importante asumir que siempre se está expuesto a caer en este tipo de engaños, por lo que es necesario revisar las extensiones de los archivos que se quieren descargar (documentos y archivos de video no corresponden al formato .exe o .lnk). Además de utilizar una solución de seguridad confiable como un antivirus que monitoreé los dispositivos para identificar cualquier amenaza. “Acceda al documento adjunto para conocer las medidas de seguridad contra la propagación del coronavirus. Da clic en el botón debajo para descargar. Los síntomas comunes incluyen fiebre, tos, y problemas al respirar”, reza en el correo. REDACCIÓN TECNÓSFERA EL TIEMPO Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/coronavirus-ojo-con-los-correos-fraudulentos-que-buscan-robar-sus-datos-467262
Tratamiento de datos personales en caso de urgencia médica o sanitaria (COVID-19)
Estimado cliente, La Superintendencia de Industria y Comercio a través de la Circular 001 del 23 de marzo de 2020, dirigida a los Operadores de telefonía móvil y Asociación de la Industria Móvil de Colombia (ASOMOVIL), informa que dada la situación de urgencia médica o sanitaria que se pronostica en el país, los datos personales podrán ser tratados sin autorización de su Titular según lo señala el Literal c) del Artículo 10 de la Ley 1581 de 2012, con la única finalidad de que puedan adoptarse o implementarse las medidas necesarias para prevenir, tratar o controlar la propagación del COVID- 19 y mitigar sus efectos. Esta facultad del tratamiento de los datos es exclusiva de las entidades públicas receptoras adoptando las medidas de seguridad, circulación restringida y confidencialidad de la información que les sea suministrada a fin de garantizar los derechos fundamentales de los Titulares de esta. Lo anterior implica que todas las compañías del sector privado traten o usen los datos personales de los Titulares bajo las condiciones de seguridad, confidencialidad y circulación restringida que impone el marco legal en materia de protección de datos, y solo sea divulgada o suministrada a terceros bajo las excepciones que señala el artículo 10 antes citado y exclusivamente a entidades públicas o administrativas que en ejercicio de sus funciones legales o por orden judicial la requieran, así mismo, podrá ser suministrada bajo las condiciones que señala el artículo 13 de la Ley 1581 de 2012, veamos: «ARTÍCULO 13. PERSONAS A QUIENES SE LES PUEDE SUMINISTRAR LA INFORMACIÓN. La información que reúna las condiciones establecidas en la presente ley podrá suministrarse a las siguientes personas: a) A los Titulares, sus causahabientes o sus representantes legales; b) A las entidades públicas o administrativas en ejercicio de sus funciones legales o por orden judicial; c) A los terceros autorizados por el Titular o por la ley.» Así las cosas, es gran importancia tener en cuenta que salvo las excepciones planteadas en la Ley 1581 de 2012 podrán ser divulgados los datos de las personas afectadas por el COVID- 19 o cuya información personal se requiera en las condiciones de la Circular 001 del 23 de marzo de 2020, la cual podrán encontrar adjunta a esta comunicación. Circular Externa 001
Protección de Datos – Cuando la batalla tecnológica contra el coronavirus amenaza el derecho a la privacidad
Las apps para seguir los casos de coronavirus en Corea del Sur son un éxito en Google Play, la tienda principal de aplicaciones en Android. En la clasificación de apps gratis nuevas, entre las 50 primeras hay tres dedicadas a rastrear por dónde han pasado casos de coronavirus en el país. Corea del Sur es el segundo foco de la enfermedad tras China, con más de 6.500 casos este viernes. La app Corona 100m, por ejemplo, advierte a su usuario cuando se encuentra a menos de 100 metros de un lugar donde ha habido un paciente confirmado de coronavirus. Los datos públicos ofrecen también detalles demográficos de cada uno de los casos. Los desarrolladores de Corona 100m declararon a CNN a finales de febrero que su app había sido descargada más de 1 millón de veces en los primeros días. Corona 100m no es sin embargo la app de más éxito sobre coronavirus en Corea del Sur. Según la clasificación de AppAnnie, en los puestos 21 y 22 entre apps recientes están CoronaNow y CoronaAlert. Corona 100m está en el puesto 49, aunque es la que crece más rápido. Estas apps están creadas por desarrolladores privados –uno de los modos de financiación es publicidad de mascarillas– y hay también versiones web con detalles similares. Pantallazo de la app coreana CoronaNow, que alerta de los lugares por donde han pasado casos confirmados de coronavirus. En Hong Kong la web que da toda esta información es directamente del gobierno regional. Singapur tiene también un mapa similar, aunque no es oficial. El único reparo de “privacidad” del gobierno chino en Hong Kong es que no dan la dirección completa: “Por consideraciones de privacidad, las direcciones mostradas no son la dirección completa, y solo localizaciones aproximadas se muestran en el mapa. Seguimos actualizando esta información”, advierten en la web. A pesar de este supuesto cuidado, vecinos de los afectados pueden confirmar exactamente quién es el paciente. China, además de ser el origen del coronavirus, es el país que más decisivamente ha empleado la tecnología para rastrear y evitar contagios. Una compañía de ciberseguridad, Qihoo 360, tiene una app que permite comprobar si alguien ha estado en un tren o avión con un paciente confirmado de coronavirus. “Están manejando cantidades masivas de datos”, dice Bruce Aylward, líder del equipo de la Organización Mundial de la Salud que pasó dos semanas en China para observar su reacción al coronavirus, en una entrevista con el New York Times, “porque están intentando trazar cada contacto de sus 70.000 casos”. Desde hace unos días ha trascendido el uso de una app en China que es obligatoria para moverse por algunas ciudades y que otorga uno de esos tres colores a cada ciudadano: verde, amarillo y rojo. Este último color supone la cuarentena obligatoria. El cambio de un nivel a otro puede deberse a que esa persona ha estado sin saberlo cerca de otra con coronavirus. Este es un tipo de vigilancia difícil de imaginar para un occidental, incluso si el enemigo es un virus letal. La cuestión es si, cuando todo haya amainado, el grado de supervisión de los ciudadanos volverá a bajar (a niveles que ya eran muy altos) o habrá un grado mínimo de vigilancia masiva que el gobierno mantenga, alegando prevención. “La proporcionalidad entre el bien común y la libertad personal es uno de los grandes dilemas en una democracia”, dice Manuela Battaglini, directora de Transparent Internet. “Aquí sería el caso entre el bien común y la captación de ingentes cantidades de datos. Además puede llevarnos a Estados que practiquen una vigilancia constante con la excusa de proteger a la población, cuando el fin último es el control”, añade. ¿Y en Europa? Italia es el tercer país más afectado del mundo y en seguida vienen Alemania, Francia y España. Este tipo de vigilancia total se hace, de momento, difícil de imaginar en Europa. Pero sería legal. El Reglamento General de Protección de Datos de la Unión Europea prevé una excepción para la prohibición de tratamiento de datos. La descripción que hace la norma parece pensada para un caso como el coronavirus: podrá hacerse una excepción si “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”. EL PAÍS ha consultado con un grupo de abogados sobre qué permite exactamente esa concesión del Reglamento. “El reglamento es muy garantista y cuando nos metemos en cosas así, necesitas además una norma europea o nacional que regule esa posibilidad y establezca medidas adecuadas y específicas”, dice Jorge García Herrero, abogado especializado en privacidad. Es decir, la norma europea debería desarrollarse en una ley nacional que dé esas medidas concretas para estos casos. “No basta con decir un interés público y dudo que se haya desarrollado ya esa norma”, añade García Herrero. “En España se ha publicado una para investigación científica, pero no creo que pueda servir para este caso”, añade. Es posible que haya abogados ahora en la administración pública buscando algún hueco en una ley general de sanidad para colar que algo así ya estaba previsto. En el fondo la tradición de cada país es importante. “Tiene mucho que ver la cultura de cada país. Sembraría pánico sin necesidad», dice Samuel Parra, abogado de ePrivacidad. «No sería una buena idea hacer públicos estos mapas tan concretos“, añade. La publicación de los casos haría que fuera relativamente sencillo conocer la identidad de algunos pacientes: “Si se publicitara de manera individual no creo que fuera anónimo”, dice Sergio Carrasco. “Se estaría traspasando la justificación para ese tratamiento. Aunque una cosa distinta es el uso para las administraciones sanitarias”, explica. Fuente: https://elpais.com/tecnologia/2020-03-07/cuando-la-batalla-tecnologica-contra-el-coronavirus-amenaza-el-derecho-a-la-privacidad.html
Protección de Datos – Mi robot de cocina me pide que acepte una Política de Privacidad y mi tele una de cookies
Las televisiones de tubo, esas que tiene culo y necesitan muchísimo espacio, están por extinguirse. Si todavía tienes una, a la hora de cambiarla es más que probable que en la tienda quieran convencerte para que te compres una novísima Smart TV porque se puede controlar por la voz, recuerda tus programas favoritos, te hace recomendaciones personalizadas, puedes jugar en ella online, instalar apps… Suena todo genial, hasta que llegas a casa y al configurarla te pide aceptar una extensísima política de privacidad y otra de cookies. ¿Y esto? Sencillamente es porque está conectada a Internet e igual que aceptamos ciertos requisitos cuando navegamos por una página web, una televisión inteligente también está obligada a avisarte de que lo que veas (y a veces lo que que digas cerca de ella) se puede grabar y almacenar. Una Smart TV pide aceptar la Política de Cookies y Privacidad. Y no sólo la tele: lavadoras, impresoras, webcams, frigoríficos, equipos de música, coches… Se conectan a la red y entre sí, por lo que adquieren nuevos usos que no habíamos experimentado antes y que, por tanto, no sabemos controlar al principio. La idea del hogar inteligente se vende con promesas de comodidad, eficiencia y experiencias nuevas y son numerosas estimaciones las que sitúan entre 20.000 y 50.000 millones los dispositivos conectados a una red de aquí al año 2025. Las mil y una páginas de condiciones para usar mi robot de cocina Resulta que el robot de cocina no es solo robot porque pica y guisa sin ayuda o porque guarda las recetas que yo quiera, sino porque se conecta a la misma red que se conecta el ordenador y transfiere datos. Un maldito nos ha mostrado lo que le pide que acepte su Monsieur Cuisine antes de empezar a usarla: Política de protección de datos de la Monsieur Cuisine Connect. Muchos de esos requisitos son necesarios para que el sistema del robot funcione y que los fabricantes obtengan información para mejorar el dispositivo o arreglarlo en caso de que sufra un fallo generalizado. Ahora bien, hay otras para las que no. Como en el caso de la tele (que guarda cuánto tiempo la tenemos encendida, si cambiamos de canal cuando hay anuncios, si tenemos Netflix, etc.), la Monsieur quiere saber cuánto tiempo la utilizamos, en qué función, qué ingredientes ponemos, a qué hora la enchufamos… Información que luego puede anonimizarse y venderse a terceros, como reflejan algunos estudios. «Hay que ser conscientes pero que la privacidad viene a un coste, las otras potencias mundiales están avanzando en inteligencia artificial mucho más cuando son capaces de acceder a datos masivos de usuarios, eso inevitablemente redundará en ventajas estratégicas de todo tipo«, explica a Maldita Tecnología Sergi Udina, que es un maldito que nos ha prestado sus superpoderes y es doctor en microelectrónica y profesor de Machine Learning en la Universidad de Barcelona. Mi aspiradora inteligente puede hacerse con un plano de mi casa y eso debe importarme Todo lo que recoge en casa un aparato inteligente se guarda en la nube (que definimos aquí). Pero no se queda ahí para los restos sin que nadie la use. Las aspiradoras inteligentes, por ejemplo, saben moverse por una casa porque tienen sensores que van registrando cómo esquivar el sofá o la mesa del comedor. Para ello, guarda un plano en su sistema de lo que va recolectando. Imagina que ese plano se vendiese a otra empresa. Quizás no vaya acompañado de tu nombre, edad y tu dirección exacta (porque los datos se suelen anonimizar cuando se ceden a terceros), pero a una empresa de muebles sí que le puede interesar que en un barrio concreto las casas son de determinada manera y que el rango de edad de la gente que vive allí es de 24 a 30 años. Así pueden dirigir su publicidad de forma segmentada y masiva y decidir si abre una tienda en la zona, qué tamaño de sofás debería vender en ella y qué precios decide poner. Las empresas toman esta clase decisiones en base a datos agrupados que nosotros, los ciudadanos, a veces damos sin saberlo. «Puede parecer difícil imaginar por qué información básica como qué comemos o cuándo encendemos las luces es tan valiosa, pero es el tipo de información que cuenta cuándo estás en casa y quién eres», dicen los autores de un estudio sobre el hogar inteligente de la Fundación Mozilla. El hackeo en marcha: ¿se puede pasar a controlar una webcam? “La gente tiene que ser consciente de que cualquier dispositivo doméstico conectado la red es susceptible de tener un problema de seguridad y de suponer un riesgo para la privacidad”, asegura Marta Beltrán, investigadora y directora del Grado de Ciberseguridad de la Universidad Rey Juan Carlos. Beltrán defiende que la seguridad de los aparatos inteligentes que utilizamos en casa flaquea porque no suelen estar tan bien protegidos como otros dispositivos. “Cuando se descubre una vulnerabilidad en un sistema operativo de un móvil o un ordenador, se pone un parche. Si se descubre en una nevera, se queda sin parchear”, porque los diseñadores no son empresas tecnológicas acostumbradas a lidiar con esas inseguridades, sino fabricantes de electrodomésticos. Nos explica un método por el cual se puede controlar la red a la que están controlados muchos dispositivos llamado “denegación de servicio”: consiste en controlar una red enorme de miles de dispositivos que ya están infectados con un malware. En un momento determinado, la persona que los controla los fuerza a comunicarse todos a la vez con la red que quieren hackear. Esa red recibe miles de millones de mensajes a la vez, no es capaz de gestionarlos y se cae. En ese momento es más vulnerable. ¿Qué ha pasado en los últimos años? Que las redes de aparatos infectados se hacen cada vez más grandes porque los dispositivos domésticos son más “tontos” que un ordenador o un móvil más sofisticado y son un blanco fácil, nos cuenta la académica. Oficina de Seguridad del Internauta. Los casos que hemos mencionado son reales y una brecha nos podría tocar a nosotros si empezaramos a estirar las capacidades de la domótica: una red WiFi personal comprometida a través de una simple bombilla, espionaje a integrantes de la casa por una webcam o asistentes de voz hackeados con un láser. Al hogar inteligente le
Ciberseguridad – ¿Por qué es tan fácil hackear la cámara de vigilancia de un bebé?
Las cámaras de seguridad y los monitores de vigilancia de bebés se han convertido en un jugoso objetivo para los piratas informáticos. Muchos de estos dispositivos se conectan a internet con unas claves que vienen por defecto dadas por los fabricantes. Después de descubrir esta brecha de seguridad, el Centro Nacional de Seguridad Cibernética (NCSC) de Reino Unido está recomendando modificar la configuración que viene predeterminada a la hora de comprarlos. Unas contraseñas fáciles de adivinar podrían permitir que un pirata informático observe secretamente un hogar y todo lo que sucede en él mediante los dispositivos conectados, dijo el organismo. Ian Levy, el director técnico del NCSC, advirtió que si bien los dispositivos eran «fantásticas innovaciones», eran vulnerables a los ciberataques. Hay muchos ejemplos de dispositivos a los que se puede acceder sin permiso y sin que el hogar tenga conocimiento. En uno de ellos, el hacker habló con una niña fingiendo ser Papá Noel. Otra investigación descubrió que una pareja de Leeds había sido espiada miles de veces online sin su conocimiento. Personal del NCSC consiguió también hackear en 2017 fácilmente un juguete para adultos que tenía una cámara conectada. La nueva guía para los propietarios de cámaras inteligentes y monitores de bebés tiene 3 recomendaciones básicas: Cambiar la contraseña que viene predeterminada, que a menudo es una palabra obvia como «admin» o «00000» Mantener actualizado el software de la cámara, a veces llamado firmware. Desactivar las funciones que le permiten acceder a la cámara de forma remota, si no las necesita o no las usa. Análisis de Gordon Corera, corresponsal de seguridad de la BBC Esta advertencia del organismo público sugiere una creciente preocupación por los peligros potenciales que plantea el «internet de las cosas», es decir, todas las tecnologías que permite que los objetos físicos se conecten a internet. A medida que los dispositivos conectados van llegando a los hogares y a la vida cotidiana de las personas, los riesgos de ciberseguridad se vuelven intensamente personales, y se vuelve muy importante proteger los datos y la privacidad de las personas. Las cámaras que transmiten lo que está sucediendo dentro de una casa son un excelente ejemplo. Uno de los problemas es que las empresas que fabrican estos dispositivos a menudo intentan hacerlos baratos y rápidos para capturar el nuevo mercado, y la seguridad es a menudo una preocupación secundaria. El problema está llevando no solo a más advertencias como esta, sino también a que en todo el mundo se elaboren nuevas leyes para imponer normas de seguridad. La organización de consumidores británica Which?, que en el pasado denunció las fallas de seguridad en los juguetes para niños y otros dispositivos inteligentes, respaldó las nuevas directrices y recomendaciones del organismo. Dice que es necesario imponer a los fabricantes «requisitos de seguridad obligatorios que tengan una aplicación estricta». Pero aunque regulaciones de este tipo son «un paso positivo», algunos expertos creen que deberían ir más allá. Por ejemplo, obligando a que los dispositivos incluyan la autenticación de dos factores, explica Blake Kozak, un analista de hogares inteligentes. La autenticación de dos factores involucra usar una contraseña fuerte y ofrecer un número de teléfono móvil para recibir un código de verificación de seis dígitos. «Se necesitará una legislación más detallada para hacer cumplir la guía de mejores prácticas de las marcas, desde los componentes en los dispositivos hasta la seguridad de los centros de datos», dijo. Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/por-que-es-tan-facil-hackear-la-camara-de-vigilancia-de-un-bebe-y-como-puedes-protegerte-468484
Protección de Datos – Temor al reconocimiento facial: ¿deberíamos prohibir esta tecnología?
De unos años a esta parte, nos hemos acostumbrado a vivir con las cámaras de vigilancia. Tanto, que ni siquiera reparamos en su presencia. Si sale de casa, y pega una vuelta por el centro de su ciudad, seguramente se sorprenda con la cantidad de dispositivos de este tipo anclados a las fachadas. Ahora, gracias al desarrollo de la tecnología, algunos paises han decidido dar una paso más y añadirles un software de reconocimiento facial con fines de vigilancia. Algo que ha generado una importante polémica debido a sus implicaciones éticas y legales. «Teniendo en cuenta el desarrollo de la tecnología, es normal que se emplee. Pero esto no significa que sea necesariamente bueno. Hay un problema de reflexión. Estamos viendo que el reconocimiento facial se está empleando, en algunos casos, para monitorizar a la población. Especialmente en lugares donde no hay derechos reconocidos», dice a este diario Ofelia Tejerina, abogada y presidenta de la Asociación de Internautas. «Hay un problema de reflexión. Estamos viendo que el reconocimiento facial se está empleando, en algunos casos, para monitorizar a la población» Efectivamente, esta tecnología se está asentando con facilidad. «Smartphones», como el iPhone X y 11 o el Samsung Galaxy S20, permiten su empleo para mejorar la seguridad del dispositivo. Lo mismo ocurre con entidades bancarias, comercios o redes sociales como Facebook. Incluso las empresas automovilísticas están trabajando para adoptarla, junto al reconocimiento de voz, en sus futuros vehículos. Hasta aquí, todo correcto. Sin embargo, cuando se emplea en espacios públicos con fines de vigilancia, ¿qué pasa si falla o se le da un uso erroneo? «Ante un error del software de reconocimiento, que podría ocurrir, el usuario va a tener muy difícil demostrar que él no estaba ahí. También hay que saber quien tiene acceso a esa información y para qué la va a utilizar. Si hubiese una brecha de seguridad, y alguien la emplease para hacer ver que estaba en un sitio, puede resultar también muy difícil demostrar lo contrario. Por otra parte, si esa tecnología cuenta con mecanismos para reconocer las emociones e intenciones de los ciudadanos, nos encontramos ante otro problema. ¿Qué pasaría si se utilizase esa información para realizar propaganda electoral? La manipulación del ciudadano sería mucho más fácil con esos datos», explica Tejerina. Monitorización social La preocupación por el uso de esta tecnología no es infundada. Especialmente, si atendemos al empleo que se le está dando en países como China. «Existe un gran riesgo de que el Estado [chino] pueda utilizar estos datos para sus propios fines como la vigilancia, el seguimiento de disidentes políticos, el control de la sociedad y de la información, así como de los perfil étnicos o, como en el caso de los uigures en Xinjiang, incluso para implantar un sistema vigilancia policial predictiva», explicaba hace unos meses en declaraciones a AFP Adam Ni, investigador de China en la Universidad Macquarie de Sydney (Australia). Más allá del estado asiático, la policía de Londres (Reino Unido) ha avanzado su intención de usar cámaras con reconocimiento facial en sus labores de vigilancia de delincuentes. A su vez, el reciente descubrimiento de un software que empleaba el FBI estadounidense ha vuelto a poner de relieve la falta de una regulación más exhaustiva en esta materia. Desarrollado por una «startup» desconocida llamada Clearview IA, su objetivo es el reconocimiento facial de posibles delincuentes. En este caso, una sola fotografía es más que suficiente para acceder a un banco de 3.000 millones de imágenes. Falta de regulación Estos ejemplos han llevado a la Comisión Europea a meditar la posibilidad de prohibir durante cinco años su empleo con fines de identificación en lugares públicos. Sin embargo, según adelantaba hace unos días «Expansión», Bruselas ha terminado optando por dejar en manos de los estados miembro la posibilidad de adoptarla o restringirla. Independientemente de lo que ocurra, los juristas destacan la importancia de que el uso se regule específicamente. Y es que el reconocimiento facial no solo representa un riesgo para el derecho a la privacidad de las personas, sino que también choca contra la libertad de expresión reconocida por las constituciones occidentales. «Es un dato personal que entra en la regulación de la normativa, pero como tiene una característica especial necesita una regulación igualmente peculiar porque ahora mismo es genérica» «A diferencia de otros mecanismos de seguimiento, con el reconocimiento facial tú no puedes desconectar tu cara. Si no quiero que me sigan con el GPS, desconecto la función del móvil. Con la red Wifi sucede igual. Pero no puedo apagar mi rostro temporalmente. Y no puedo ir por la calle con un pasamontañas. Además, el reconocimiento facial es invisible para el usuario por lo que tú no te das cuenta de que te están haciendo un reconocimiento», apunta a ABC Samuel Parra, jurista experto en derecho digital. El abogado destaca, además, que en el marco del Reglamento General de Protección de Datos (RGPD) se considera que el rostro es un dato biométrico que identifica a una persona. Algo que implica que es personal, y, por tanto sensible: «Es un dato personal que entra en la regulación de la normativa, pero como tiene una característica especial necesita una regulación igualmente peculiar porque ahora mismo es genérica». Fuente: https://www.abc.es/tecnologia/informatica/software/abci-reconocimiento-facial-deberiamos-prohibir-esta-tecnologia-202002170212_noticia.html
Protección de Datos – La AEPD publica un informe sobre los tratamientos de datos en relación con el COVID-19
El RGPD permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública y en el cumplimiento de obligaciones legales en el ámbito laboral derivado de dichas situaciones. (Madrid, 12 de marzo de 2019). La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19. El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general. En consecuencia, según se recoge en el informe, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia. El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados. Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD: El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas. El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g). Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h). Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c). Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”. En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas AAPP las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad. Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria. Así, serán las autoridades sanitarias de las distintas AAPP quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud. Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo. Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad. Fuente: https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/la-aepd-publica-un-informe-sobre-los-tratamientos-de-datos-en
Protección de Datos – Alerta: falsos mapas sobre coronavirus pueden robar sus datos y claves
Después de las falsas cadenas por WhatsApp, las publicaciones engañosas de Facebook y lo correos electrónicos falsos, los delincuentes informáticos crearon mapas que infectan las computados de los usuarios con el fin de robar claves de cuentas, tarjetas de crédito y acceder a todo tipo de información personal. Según expertos el malware afecta solamente computadoras con el sistema operativo Windows aunque no se descarta que puedan crear un software que pueda afectar otras plataformas. La pandemia del coronavirus ha provocado que millones de personas sigan de cerca su propagación por lo que varias organizaciones han creado mapas virtuales que se actualizan en vivo. Uno de los mapas más usados por los usuarios y recomendado por expertos es el que ofrece Google Maps, donde se puede hacer seguimiento no solo a la propagación del virus — Casos de infectados, sospechas y fallecidos— además de informar sobarlo casos de recuperación.(Google Maps: herramientas para hacer seguimiento al coronavirus) REDACCIÓN TECNÓSFERA @TecnosferaET Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/alerta-falsos-mapas-del-coronavirus-pueden-robar-claves-y-tarjetas-de-credito-472186
