Se publica el primer borrador de la nueva Ley de Protección de Datos Personales de Vietnam (PDPL) para comentarios públicos
El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL) para su consideración por parte del público. El proyecto de ley tiene disposiciones más estrictas que el Decreto de Protección de Datos Personales y está previsto que entre en vigor a partir del 1 de enero de 2026. El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL). Este proyecto de ley, que entrará en vigor el 1 de enero de 2026, marca otro paso adelante en los esfuerzos de Vietnam por construir un marco sólido para la protección de datos personales. El proyecto está actualmente abierto a consulta pública hasta el 24 de noviembre de 2024, lo que permite a las partes interesadas enviar comentarios. Lea también: 5 claves: Guía para entender la nueva Ley de Protección de Datos Personales de Chile El borrador de la PDPL, elaborado por el Ministerio de Seguridad Pública (MPS), consta de 68 artículos repartidos en siete capítulos. El borrador de la PDPL es más completo que el Decreto Nº 13/2023/ND-CP sobre Protección de Datos Personales (PDPD) del año pasado y cubre una amplia gama de áreas, incluidos los servicios de marketing, la publicidad basada en el comportamiento, el procesamiento de macrodatos, la inteligencia artificial, la computación en la nube, el seguimiento y la contratación de empleados, los datos financieros y crediticios, la atención sanitaria, los seguros y más. Se espera que la Asamblea Nacional adopte el proyecto de ley en mayo de 2025. No prevé un período de transición para su cumplimiento, excepto para las microempresas, las pymes y las empresas emergentes, que solo están exentas de designar un departamento de protección de datos durante los dos primeros años desde su creación. Sin embargo, estas empresas más pequeñas deben cumplir con todas las demás obligaciones de la ley en el mismo plazo que las empresas más grandes. Principales objetivos y políticas En marzo de 2024, el Ministerio de Seguridad Pública (MPS) presentó una propuesta a la Asamblea Nacional para elaborar un proyecto de Ley de Protección de Datos Personales. El MPS destacó que el proyecto tiene como objetivo mejorar el marco legal de Vietnam para la protección de datos personales, establecer una base jurídica clara para salvaguardar los datos personales, mejorar la capacidad de las organizaciones y los individuos nacionales para proteger los datos personales a fin de cumplir con los estándares internacionales y regionales, y fomentar el uso legal de los datos personales para apoyar el desarrollo económico y social. Para lograr los objetivos antes mencionados, el proyecto de PDPL se ha elaborado de acuerdo con cuatro misiones clave: Características principales del proyecto de ley PDPL Podría interesarle: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA Evaluaciones de impacto de la protección de datos (EIPD) y evaluaciones de impacto de transferencia (EIT): el borrador de la PDPL exige que las organizaciones realicen evaluaciones de impacto de la protección de datos y evaluaciones de impacto de transferencia, que deben actualizarse cada seis meses o ante cualquier cambio sustancial. Esto garantiza que el procesamiento de datos personales se controle de forma continua y cumpla con el cambiante panorama regulatorio. Obligaciones de las empresas: El proyecto de ley impone a las empresas obligaciones estrictas en materia de cumplimiento de la normativa de protección de datos. Por ejemplo, las empresas deben designar un departamento de protección de datos para el tratamiento de datos básicos y sensibles. Este departamento puede ser subcontratado a proveedores de servicios externos, lo que permite una mayor flexibilidad para las empresas. El proyecto de ley también establece que las empresas deben tener al menos un experto en protección de datos personales en estos departamentos, al tiempo que establece requisitos detallados para la contratación de este personal. Otros contenidos: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA Exención para las MIPYMES: Las microempresas, las PYMES y las empresas emergentes solo están exentas del requisito de contar con un departamento de protección de datos durante los primeros dos años, y todas las demás obligaciones deben cumplirse dentro del mismo plazo que las organizaciones más grandes. Sin embargo , las microempresas , las PYMES y las empresas emergentes que participan directamente en actividades de procesamiento de datos personales no están sujetas a la exención. Notificaciones de violaciones de datos: las empresas tendrán un plazo de 72 horas para notificar a las autoridades cualquier incidente de violación de datos, una norma heredada de la PDPD. Este requisito de respuesta rápida refleja las mejores prácticas internacionales, lo que garantiza una acción oportuna en caso de violaciones de la seguridad de los datos. Nuevos mecanismos de certificación: el proyecto introduce la certificación de protección de datos personales, creando de hecho un sistema de calificación crediticia para las empresas en función de su cumplimiento. Las empresas pueden obtener calificaciones como “alta credibilidad” o “confianza” en función de sus prácticas de protección de datos personales, lo que podría mejorar la confianza de los consumidores y la reputación en el mercado. Prohibición de venta de datos personales en cualquier forma El proyecto de PDPL establece claramente ocho principios de protección de datos personales, uno de los cuales es que los datos personales no pueden comprarse ni venderse en ninguna forma. Según el proyecto de ley, los datos personales son información en forma de símbolos, letras, números, imágenes, sonidos o formas similares en el entorno electrónico que se asocian a una persona determinada o que permiten identificarla. Estos datos se dividen en dos tipos: Detener las actividades de marketing cuando lo solicite el titular de los datos El proyecto de ley reserva un artículo separado para regular la protección de datos personales en los servicios de marketing. En consecuencia, las organizaciones y personas que prestan servicios de marketing solo pueden utilizar los datos personales de los clientes recopilados a través de sus
La Firma Electrónica impulsa la transformación digital en trámites gubernamentales y empresariales
La digitalización de trámites se ha convertido en una tendencia global, transformando la manera en que ciudadanos y empresas interactúan con los servicios públicos y privados. Según el «Digital Government Index 2019» de la OCDE, el 80% de los países miembros han implementado estrategias de gobierno digital, con la Firma Electrónica como un componente fundamental. Este cambio hacia lo digital responde a múltiples factores, incluyendo la necesidad de eficiencia y la creciente demanda ciudadana por servicios más ágiles. De acuerdo con AutenTIC, empresa especializada en firma electrónica, las empresas que implementen soluciones digitales pueden ahorrar hasta un 30% de sus costos, convirtiendo a esta en una herramienta fundamental en la transformación digital, ofreciendo no solo agilidad sino también seguridad y validez legal en una amplia gama de procesos. La implementación de la firma electrónica en la digitalización de trámites ofrece varios beneficios clave: Lea también: ¿Sabía que la Firma Electrónica se puede utilizar para suscribir contratos laborales? La adopción de esta herramienta marca un hito importante en la modernización de organizaciones y gobiernos a nivel global.A medida que avanzamos hacia un futuro cada vez más digital, la firma electrónica se posiciona como una herramienta esencial para garantizar la seguridad, la eficiencia y la accesibilidad en las interacciones digitales. Su implementación no solo promete transformar la manera en que realizamos trámites, sino que también tiene el potencial de impulsar una mayor participación ciudadana y transparencia en los procesos gubernamentales y empresariales. FUENTE: AndeanWire-Colombia. »La firma electrónica impulsa la transformación digital en trámites gubernamentales y empresariales» 13/09/2024. Business.col.com. (https://www.businesscol.com/la-firma-electronica-impulsa-la-transformacion-digital-en-tramites-gubernamentales-y-empresariales/).
El regulador de la UE investiga la IA de Google por el cumplimiento de la protección de datos
La Comisión de Protección de Datos (CPD) de Irlanda ha abierto una investigación sobre Google para determinar si el gigante tecnológico ha respetado la legislación de la Unión Europea en materia de protección de datos al utilizar datos personales de usuarios de la UE en el desarrollo de su modelo de inteligencia artificial. La investigación, anunciada el jueves, se centra en el Pathways Language Model 2 (PaLM 2) de Google, un avanzado sistema de inteligencia artificial diseñado por Google, de Alphabet Inc, que tiene su sede de la UE en Irlanda. El CPD está examinando los procesos empleados por Google para garantizar la protección de los datos personales antes de utilizarlos para mejorar el modelo de IA. Esta acción forma parte de un esfuerzo más amplio del CPD y sus homólogos del Espacio Económico Europeo para regular cómo se procesan los datos personales de los ciudadanos de la UE en la creación de modelos y sistemas de IA. Lea también: Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos La investigación sigue a una decisión reciente de una empresa de redes sociales, que acordó la semana pasada detener el entrenamiento de sus sistemas de IA con datos de usuarios de la UE hasta que los usuarios tuvieran la oportunidad de excluirse. Este acuerdo se alcanzó después de que el regulador irlandés llevara a los tribunales a la plataforma de redes sociales. Alphabet Inc, la empresa matriz de Google, cotiza en la bolsa NASDAQ bajo el ticker NASDAQ:GOOGL. La actual investigación del CPD sobre las prácticas de protección de datos de Google refleja la preocupación y el escrutinio constantes sobre la forma en que las empresas tecnológicas manejan los datos de los usuarios, especialmente en el contexto del desarrollo de la IA. Reuters ha contribuido a este artículo. FUENTE: Ghigini, Emilio. »El regulador de la UE investiga la IA de Google por el cumplimiento de la protección de datos» 12-09-24. Mx.investing.com. (https://mx.investing.com/news/stock-market-news/el-regulador-de-la-ue-investiga-la-ia-de-google-por-el-cumplimiento-de-la-proteccion-de-datos-93CH-2899387).
Los 10 proyectos de inteligencia artificial que están redefiniendo la ciberseguridad
Existen numerosos proyectos de ciberseguridad que utilizan la inteligencia artificial (IA) para reforzar la protección frente a amenazas cibernéticas. A continuación, se presenta una selección de los proyectos más destacados, con el fin de ofrecer al lector una visión clara del estado actual de esta tecnología, ya sea para que quienes están menos familiarizados se orienten o para que los expertos puedan comparar con sus propias preferencias. El CEO de Quantum Babylon y alumno certificado del Máster Profesional de Analista de Inteligencia de LISA Institute, Juan Pablo Castillo Cubillo, analiza en este artículo los avances más relevantes y su impacto en la ciberseguridad global. Esta lista no solo tiene un propósito informativo, sino también busca invitar a reflexionar sobre hasta qué punto, tanto en España como en otras naciones, somos realmente conscientes del reto que supone el avance de los sistemas de asistencia virtual en la toma de decisiones. Los proyectos de inteligencia artificial más destacados en ciberseguridad 1. AI4CYBER AI4CYBER es un innovador proyecto europeo que, recientemente, ha sido puesto en marcha con el objetivo de abordar una problemática contemporánea de gran relevancia. Su propósito principal es explorar y descubrir formas efectivas de enfrentar los diversos ataques cibernéticos que puedan surgir en el mundo digital de hoy. Para lograr esto, el proyecto se apoya en el uso de herramientas de inteligencia artificial. Este ambicioso proyecto está bajo la dirección del prestigioso Centro de Investigación y Desarrollo Tecnológico (TECNALIA) de España. El proyecto propone el desarrollo de AI4VULN Code Testing, una herramienta de código abierto que utiliza la inteligencia artificial para identificar y verificar las vulnerabilidades de manera automática y eficiente. Adicionalmente, se introduce el sistema AI4FIX Vulnerability Fixing, diseñado para la reparación de estas vulnerabilidades mediante pruebas automáticas, garantizando confiabilidad y una significativa economía de tiempo. 2. DeepArmor, otro proyecto interesante en ciberseguridad Otro proyecto interesante es DeepArmor, una creación de la empresa SparkCognition. Se trata de un sistema de ciberseguridad que utiliza la inteligencia artificial para detectar y proteger contra amenazas en tiempo real. Esta plataforma está diseñada para pequeñas y medianas empresas, pero es lo suficientemente flexible para ser utilizada por equipos de operaciones de seguridad y proveedores de servicios de seguridad. Ofrece una serie de funciones útiles, como la prevención antes de la ejecución, que emplea algoritmos y aprendizaje automático para repeler cualquier tipo de ataque. También tiene la capacidad de analizar las tácticas de los atacantes, preparándose para escenarios futuros, y prevenir ataques avanzados de malware de día cero. Además, supervisa las conexiones realizadas en aplicaciones y nos protege contra posibles exploits con sus herramientas de protección contra intrusiones. Lo que hace que DeepArmor sea realmente especial es su combinación de varias técnicas de IA, como redes neuronales, heurística, ciencia de datos y procesamiento del lenguaje natural, con software antivirus. DeepArmor se presentó en el evento BlackHat, donde destacó como el primer sistema antivirus cognitivo basado en IA. 3. CylancePROTECT CylancePROTECT, un producto de BlackBerry, es una plataforma de ciberseguridad de endpoints para detectar y neutralizar amenazas antes de que lleguen a un dispositivo. En lugar de confiar en firmas reactivas, sistemas basados en confianza o entornos de prueba, aplica un enfoque matemático para la identificación de malware. Esto desactiva nuevos malware, virus, bots y sus futuras variantes. Sus principales funciones incluyen la detección previa a la ejecución, que analiza posibles ejecuciones de archivos en las capas del sistema operativo y la memoria para prevenir la entrega de cargas maliciosas. Diseñado para utilizar recursos mínimos del sistema, prioriza archivos o procesos en ejecución. CylancePROTECT es compatible con los sistemas operativos Windows, Mac, Linux, iOS/iPadOS, Android y Chrome OS. 4. Securonix, análisis de comportamiento para mejorar la ciberseguridad Securonix es una plataforma que une análisis de comportamiento de usuarios y entidades (UEBA), aprendizaje automático y detección de amenazas en tiempo real para reforzar la seguridad y defender contra riesgos cibernéticos. Su tecnología se apoya en el aprendizaje automatizado y la inteligencia artificial para identificar actividades anómalas antes de que lleguen a ser amenazas. Permite extender la vigilancia de seguridad a entornos en la nube gracias a sus API integradas para aplicaciones e infraestructuras en la nube. Une eventos con el contexto del usuario para alertar sobre comportamientos que se apartan de la línea de base definida. Como solución nativa en la nube, Securonix UEBA se pone en marcha rápidamente, posibilitando una respuesta eficaz a amenazas externas o internas. 5. Sophos Intercept X Sophos Intercept X es una solución que emplea análisis de comportamiento, aprendizaje automático y detección de amenazas en tiempo real para salvaguardar contra ataques de ransomware, malware y exploits. Hace uso de CryptoGuard, una tecnología que impide el ransomware desconocido y los ataques de arranque maestro. Lea también: Consejos de ciberseguridad para el sector financiero En caso de detección de un intento de cifrado no autorizado, CryptoGuard devuelve los archivos a su estado original, anulando el impacto del ransomware sobre las víctimas. Esto evita que las víctimas de un ciberataque se vean obligadas a pagar un rescate para recuperar sus datos robados. Intercept X recurre al Deep Learning avanzado para identificar malware de día cero y variantes de exploits desconocidas. Con la Seguridad Sincronizada de Sophos, las soluciones para endpoints y firewalls comparten datos sobre amenazas y colaboran para proteger tus datos, simplificando así la defensa contra un posible ataque. 6. GARD GARD, que significa Generative Adversarial Resilient DNNs, es un proyecto de investigación llevada a cabo por la Agencia de Proyectos de Investigación Avanzada de Defensa de los Estados Unidos, comúnmente conocida por sus siglas en inglés, DARPA. Se dedica a enfrentar la creciente complejidad y presencia omnipresente de los componentes de aprendizaje automático (ML) en los sistemas avanzados. Su misión es establecer una base teórica para identificar las debilidades en estos y describir las propiedades que aumentan la resistencia del sistema y promover el desarrollo de defensas eficaces. Esta técnica específica se utiliza para fortalecer y mejorar la resiliencia y robustez de las redes neuronales profundas, una categoría de algoritmos de aprendizaje automático que ha demostrado ser extremadamente útil en una variedad de aplicaciones. En esencia, este programa está diseñado para asegurarse de que estas redes neuronales profundas puedan resistir y adaptarse a nuevas amenazas y desafíos, asegurando su eficacia y precisión a largo plazo. 7. Skyborg Skyborg es un proyecto de la Fuerza Aérea de los Estados Unidos
X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA
La red social X, propiedad de Elon Musk, acordó detener de manera definitiva el uso de datos personales de sus usuarios europeos para entrenar su sistema de inteligencia artificial (IA) conocido como Grok, tras llegar a un acuerdo con las autoridades de protección de datos de la Unión Europea (UE). La Comisión de Protección de Datos de Irlanda (DPC), el regulador principal de la empresa en Europa, debido a la ubicación de su sede en Irlanda, anunció la resolución este miércoles. El conflicto comenzó en agosto de 2024, cuando la DPC solicitó ante el Tribunal Superior de Irlanda que X dejara de procesar información personal de los usuarios de la UE, citando violaciones a las normativas de protección de datos del bloque. La empresa había utilizado datos personales de los usuarios europeos recopilados entre el 7 de mayo y el 1 de agosto de ese año para entrenar a Grok, lo cual fue considerado ilegal en ocho países europeos, según la organización austriaca Noyb, que monitorea el cumplimiento de las leyes de privacidad. En respuesta a las advertencias de la DPC, X suspendió temporalmente esta práctica en agosto, pero ahora ha decidido convertir esta suspensión en un compromiso permanente. Podría interesarle: Privacidad ante todo: X detiene el uso de datos de usuarios no autorizado para su IA Según Graham Doyle, jefe de comunicación de la DPC, X ha acordado dejar de procesar los datos personales de los usuarios europeos de manera definitiva, cumpliendo así con las exigencias de la legislación europea sobre privacidad. El regulador irlandés tomó medidas luego de recibir múltiples quejas en toda Europa sobre el uso indebido de los datos personales en la plataforma de X. Entre los principales puntos de preocupación estaban los posibles riesgos para los derechos de los usuarios al procesar datos sin consentimiento explícito para el entrenamiento de sistemas de IA. La utilización de datos personales en herramientas de inteligencia artificial ha sido motivo de controversia en los últimos meses, no solo en el caso de X, sino también en otras grandes plataformas tecnológicas como Meta Platforms, Inc. La DPC explicó que el uso de datos personales de usuarios sin su consentimiento explícito contraviene las normas de protección de datos de la UE, que son de las más estrictas a nivel mundial. Las regulaciones en cuestión están diseñadas para proteger la privacidad de los ciudadanos europeos, quienes tienen derecho a saber cómo se utilizan sus datos y a dar su aprobación para cualquier uso que se realice con fines distintos a los originalmente establecidos. Lea también: Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA Con este acuerdo, X ha logrado evitar mayores sanciones legales y la continuación de los procedimientos judiciales en su contra. La DPC también ha solicitado al Comité Europeo de Protección de Datos que inicie un debate sobre cómo deben interactuar las normativas de protección de datos y el desarrollo de modelos de inteligencia artificial. Este es un tema que ha cobrado relevancia en los últimos tiempos, a medida que las tecnologías de IA avanzan y requieren grandes volúmenes de datos para su entrenamiento, muchas veces obtenidos de las publicaciones de los usuarios en plataformas digitales. Por el momento, la medida representa una victoria para los reguladores europeos en su esfuerzo por proteger la privacidad de los usuarios frente al uso no autorizado de sus datos personales en la era de la inteligencia artificial. FUENTE: Redacción Tecnología. »X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA» 04/09/2024. Semana.com. (https://www.semana.com/tecnologia/articulo/x-de-elon-musk-dejara-de-usar-datos-personales-de-los-usuarios-en-la-ue-para-entrenar-a-su-ia/202443/).
5 claves: Guía para entender la nueva Ley de Protección de Datos Personales de Chile
Chile acaba de aprobar una nueva ley de protección de datos personales que busca alinearse con estándares internacionales, como el GDPR de la Unión Europea. Multas significativas y una Agencia de Protección de Datos Personales son algunos de los cambios. Luego de siete años de tramitación, este lunes la Cámara de Diputados aprobó la Ley de Protección de Datos, siendo despachada para su promulgación. Como anunció el gobierno, la nueva normativa busca “regular la forma y condiciones en las que se realiza el tratamiento de este tipo de información”. Como contexto, distintas empresas, instituciones e incluso personas manejan diversos datos de la población: Nombres, RUTs, correos electrónicos, teléfonos, domicilio, situación crediticia, hay una enorme variedad de información de las personas que está circulando y utilizándose permanentemente con distintos fines. Con esta nueva ley, la forma de manejar esos datos cambiará. Aquí 5 claves para entender lo que se viene. 1. Esta ley busca poner a Chile a la altura de la regulación de los países europeos La ley tiene como objetivo actualizar el marco normativo para la protección y tratamiento de datos personales, alineándose con estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Algunos de los puntos que se ajustarán a estos criterios son: En conversación con Pulso, el expresidente del Consejo para la Transparencia, Marcelo Drago, explicó que esta nueva normativa “permitirá que Chile sea declarado ‘país adecuado’ por la UE, lo que permite un libre flujo de datos con ese bloque económico. Esto abre nuevas oportunidades de intercambio comercial con los países europeos y con muchos otros que han obtenido la misma declaración”. 2. Debe crearse una agencia de protección de datos personales para implementar la ley en Chile A través de la creación de la Agencia de Protección de Datos Personales, la ley pretende introducir mecanismos para proteger los derechos de los ciudadanos y regular con detalle los deberes de las empresas en el tratamiento de datos, con el fin de elevar el estándar de protección de la información personal. Esta nueva normativa aplica a cualquier persona natural o jurídica, incluyendo órganos públicos o privados que realicen manejo de datos personales en territorio nacional o dirigido a personas en Chile, exceptuando ciertos tratamientos relacionados a emitir opiniones e informar. 3. Habrá multas y sanciones (y algunas serán muy duras) La nueva ley establece multas de hasta 20.000 UTM (US$1.418.000) por infracciones, que pueden triplicarse en caso de reincidencia, clasificándolas en leves, graves y gravísimas. Las grandes empresas enfrentan sanciones de hasta el 2% de sus ingresos anuales por infracciones graves y hasta el 4% por infracciones gravísimas. Las sanciones son multas a beneficio fiscal, según la gravedad: Macarena Gatica, socia de Alessandri y directora de AmCham, explicó a Pulso que esta nueva normativa corrige una debilidad de la ley vigente al incluir multas disuasivas, aunque las sanciones para grandes empresas, en caso de reincidencia, podrían considerarse desproporcionadas. “La reincidencia, con un periodo de 30 meses, podría desincentivar la inversión debido a la falta de cultura en protección de datos en el país”, detalla. 4. Esta ley sumará derechos para las personas de Chile y deberes para los que manejan datos, pero su aplicación aún no está definida Como explica el estudio de abogados Carey, la ley otorga a los titulares de datos personales varios derechos irrenunciables e intransferibles, conocidos como Derechos ARCOP, que incluyen: 5. La aplicación de la ley tomará tiempo y los detalles de esta aún están difusos La misma ley establece que esta debería entrar en vigor 24 meses después de su publicación en el Diario Oficial. Sin embargo, la creación de la Agencia de Protección de Datos Personales que debe generar el marco regulatorio de ley podría tomar la misma cantidad de tiempo e incluso más. Por ende, detalles de la ley, como qué acciones específicas serán consideradas infracciones y cómo funcionarán las denuncias, aún es una incógnita. Dicho lo anterior, hay cosas que ya sabe serán sancionadas, como las llamadas comerciales no deseadas. Según explicó la subsecretaria de la presidencia, Macarena Lobos, “si yo entrego mi correo electrónico o mi número de teléfono a un banco, con el fin único de tramitar un crédito que estoy solicitando, ese banco no podrá utilizar mi número de teléfono o mi correo para otros fines, como hacer publicidad o tratar de ofrecer otros de sus productos”. FUENTE: Solis, Isadoris. »5 claves: Guía para entender la nueva Ley de Protección de Datos Personales» 31/08/2024. Latercera.com. (https://www.latercera.com/servicios/noticia/5-claves-guia-para-entender-la-nueva-ley-de-proteccion-de-datos-personales/U6DTRT7GRJDWNJA26EZ2UVON6A/).
Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos
Según la autoridad neerlandesa, Uber recopiló información sensible de conductores europeos, incluido licencias de taxi, datos de localización, fotos, detalles de pago, documentos de identidad, “y en algunos casos incluso datos penales y médicos”. La autoridad neerlandesa de protección de datos multó este lunes a Uber 324 millones de dólares por transferir a su sede en Estados Unidos los datos personales de conductores europeos sin la suficiente protección. Las transferencias son una “violación seria” del reglamento general de protección de datos de la Unión Europea (RGPD), afirmó el regulador neerlandés. “Uber no cumplió los requisitos del RGPD para garantizar el nivel de protección a los datos transferidos a Estados Unidos”, señaló en un comunicado el presidente del organismo, Aleid Wolfsen, considerando que “es muy grave”. Según la autoridad neerlandesa, Uber recopiló información sensible de conductores europeos, incluido licencias de taxi, datos de localización, fotos, detalles de pago, documentos de identidad, “y en algunos casos incluso datos penales y médicos”. Durante un periodo de dos años, la información se mandó a la sede de la compañía en Estados Unidos sin usar las herramientas adecuadas, criticó la agencia regulatoria. “La protección de los datos personales no era suficiente”, denunció. Quejas de conductores franceses En los últimos años, el bloque de 27 países europeos ha impuesto una serie de reglas para las grandes empresas tecnológicas. También ha infligido enormes multas por infracciones. La agencia neerlandesa empezó a investigar el caso después de que más de 170 conductores franceses se quejaran a un grupo de derechos humanos, que interpuso una queja a la agencia de protección de datos de Francia. Según el RGPD, una empresa que procesa datos en varios países de la UE debe tratar con la autoridad de protección de datos del lugar donde se encuentre su sede principal. La sede europea de Uber está en Países Bajos. “En Europa, el RGPD protege los derechos fundamentales de las personas, exigiendo a las empresas y a los gobiernos que manejen los datos personales con el debido cuidado”, dijo Wolfsen. “Pensemos en los gobiernos que pueden intervenir datos a gran escala. Por eso, las empresas suelen estar obligadas a tomar medidas adicionales si almacenan datos personales de europeos fuera de la UE”, prosiguió. La multa de Uber es la tercera que impone la autoridad regulatoria neerlandesa a la empresa. Las anteriores, en 2018 y 2023, fueron respectivamente de 600.000 euros y 10 millones de euros. La decisión judicial en Uruguay contra Uber La justicia de Uruguay obligó a la compañía estadounidense de servicios de transporte Uber a reconocer la relación laboral de dependencia con uno de sus choferes, algo que hasta ahora no había ocurrido en el país sudamericano. El Tribunal de Apelaciones de Trabajo de primer turno confirmó la sentencia de primera instancia a favor del conductor demandante emitida en marzo y dispuso que Uber lo afilie como “trabajador dependiente” ante el organismo de seguridad social uruguayo BPS. La sentencia condenó a Uber a contratar un seguro de accidentes de trabajo y enfermedades profesionales y regularizar toda la documentación laboral relativa a la condición de dependencia del chófer, así como pagarle las diferencias de salarios reclamadas. Aunque Uber “se presenta y define como una empresa de tecnología que sólo presta un servicio que permite el uso de una plataforma informática llamada ‘driver app’, la realidad que surge de la forma en que se ejecutó el contrato entre las partes pone en evidencia que la actividad de Uber no se limitó a unir oferta y demanda”, indica el tribunal. Lea también: SIC investiga a Worldcoin Foundation por posibles infracciones en protección de datos personales en Colombia Según los magistrados, “existió un involucramiento en la etapa de ejecución del servicio de transporte y una injerencia y participación preponderante de Uber en la forma en que se prestó dicho servicio, siendo el actor en tanto conductor vinculado a ella, un engranaje en su organización con miras a cumplir el objetivo de la empresa”. El conductor en cuestión trabaja con la plataforma Uber desde 2015. El servicio de Uber, compañía con sede en Estados Unidos, está disponible en unos 70 países de América, Europa (excluyendo Rusia), Medio Oriente, África y Asia (excluyendo China y el Sudeste Asiático). La plataforma de transporte, creada en 2010, defiende con vigor el uso del estatuto de trabajador independiente, pero decisiones judiciales de varios países le obligaron a conceder el estatuto de empleado a sus conductores. FUENTE: Redacción Mundo. »Países Bajos impone multimillonaria multa a Uber por incumplir normas sobre protección de datos» 26/08/2024. Semana.com. https://www.semana.com/mundo/articulo/paises-bajos-impone-multimillonaria-multa-a-uber-por-incumplir-normas-sobre-proteccion-de-datos/202441/.
Toyota confirma el robo de datos financieros y personales de sus clientes
El gigante automovilístico Toyota se ha visto envuelto en un importante incidente de ciberseguridad consistente en el robo de datos que ha puesto en riesgo la privacidad de sus clientes. La compañía ha confirmado un incidente significativo tras la filtración de un archivo de 240 GB de información robada en un foro de ciberdelincuencia. ¿Qué datos fueron robados? El 25 de diciembre de 2022, los atacantes lograron acceder a un servidor de respaldo donde se almacenaban datos críticos de Toyota Financial Services (TFS). Este ataque, confirmado por la compañía a Bleeping Computer, compromete tanto datos financieros como personales, ha sido reivindicado por el grupo de ransomware Medusa. El archivo robado contenía información sobre empleados, clientes, contratos y detalles financieros de la compañía. TFS es la rama financiera de Toyota Motor Corporation, encargada de proporcionar servicios como préstamos para automóviles, leasing y soluciones de seguros a nivel mundial. Entre los datos comprometidos se encuentran nombres completos, direcciones de residencia, información de contacto, detalles de arrendamiento con opción de compra y números de cuenta bancaria internacional (IBAN). Esta información es altamente sensible, ya que puede ser utilizada para fraudes financieros y suplantación de identidad, lo que agrava la situación para los afectados. La amenaza del grupo de ransomware Medusa El 17 de noviembre de 2023, el grupo de ransomware Medusa reclamó la autoría del ataque a Toyota y exigió un rescate de 8 millones de dólares para no filtrar la información robada. Además, ofrecieron una extensión del plazo por un costo adicional de 10.000 dólares por día. Lea también: ¿Cuál fue el error de la firma de ciberseguridad CrowdStrike que provocó la falla global de Microsoft? El grupo Medusa estableció el 26 de noviembre como fecha límite para el pago del rescate, y como prueba de su ataque, publicaron una muestra de los datos robados. Entre los documentos filtrados se encuentran documentos financieros, facturas, contraseñas cifradas, escaneos de pasaportes y más. Los documentos en alemán sugieren que gran parte de la información fue extraída de sistemas de la oficina de Toyota en Alemania. La vulnerabilidad de Citrix Bleed: el vector de ataque El experto en ciberseguridad Kevin Beaumont fue uno de los primeros en descubrir que la oficina de Toyota en Alemania tenía un Citrix Gateway vulnerable expuesto en línea. Los ciberdelincuentes probablemente aprovecharon la vulnerabilidad conocida como Citrix Bleed para obtener acceso inicial a la red de la empresa. Este tipo de vulnerabilidad en las infraestructuras digitales expone a las organizaciones a riesgos significativos, especialmente cuando se trata de grandes corporaciones con datos valiosos y sensibles. Citrix Bleed es una vulnerabilidad conocida que afecta a las puertas de enlace Citrix ADC, utilizadas comúnmente por grandes organizaciones para permitir el acceso remoto a sus redes. La explotación de esta vulnerabilidad permitió a los atacantes infiltrarse en los sistemas de Toyota y robar los datos críticos que posteriormente fueron utilizados para extorsionar a la compañía. La respuesta de Toyota Toyota ha intentado restar importancia al incidente, afirmando que la brecha de seguridad tiene un «alcance limitado» y que no afecta a todo su sistema. La compañía ha notificado a las personas afectadas y se ha comprometido a proporcionar asistencia si es necesario. Sin embargo, Toyota no ha ofrecido detalles técnicos sobre el ataque ni ha revelado cuántos clientes o empleados se vieron afectados. En un comunicado, Toyota declaró: «Somos conscientes de la situación. El problema es de alcance limitado y no afecta a todo el sistema. Estamos comprometidos con aquellos que se han visto afectados y proporcionaremos asistencia si es necesario». A pesar de estas declaraciones, la gravedad del incidente y la cantidad de datos filtrados han generado preocupación entre los expertos en ciberseguridad y los clientes. Toyota ha aconsejado a los clientes afectados que estén atentos a cualquier actividad sospechosa en sus cuentas y que informen de inmediato cualquier irregularidad a sus bancos. Además, la compañía ha ofrecido servicios de protección contra el robo de identidad a las personas afectadas, lo que incluye la monitorización de crédito y el acceso a asistencia legal en caso de fraude. FUENTE: Domínguez, MLuz. »Toyota confirma el robo de datos financieros y personales de sus clientes» 20/08/2024. Bitlifemedia.com. (https://bitlifemedia.com/2024/08/toyota-confirma-el-robo-de-datos-financieros-y-personales-de-sus-clientes/).
Privacidad ante todo: X detiene el uso de datos de usuarios no autorizado para su IA
En un movimiento sin precedentes que pone de relieve la importancia de la protección de datos en la era digital, la Comisión de Protección de Datos de Irlanda (DPC) ha llegado a un acuerdo con la plataforma X (anteriormente conocida como Twitter) para suspender el procesamiento de datos personales de usuarios de la Unión Europea (UE) recopilados sin su consentimiento. Este acuerdo se produce después de que la DPC iniciara un procedimiento de denuncia ante el Tribunal Superior de la Unión Europea contra la compañía. La DPC, la autoridad independiente de Irlanda responsable de la protección de datos personales de los ciudadanos de la UE, señaló que millones de usuarios europeos habían sido víctimas de la recopilación de datos por parte de X sin su consentimiento. Según la DPC, la plataforma había utilizado estos datos personales para entrenar su modelo de inteligencia artificial (IA) conocido como Grok, sin ofrecer a los usuarios una opción realmente efectiva para que la red social dejara de acceder libremente a su información, tal como exige el Reglamento General de Protección de Datos (RGPD). La denuncia de la DPC y el acuerdo con X En su demanda, la DPC señaló que X había rechazado las solicitudes para dejar de procesar los datos personales de los usuarios y denegado el aplazamiento del lanzamiento de la próxima versión de Grok. Sin embargo, tras un «amplio compromiso» entre la DPC y X, se ha llegado a un acuerdo para suspender el procesamiento de los datos personales de los usuarios de la UE recopilados entre el 7 de mayo y el 1 de agosto de 2024 con el objetivo de entrenar a la IA de la plataforma. La DPC ha destacado que esta solicitud «urgente» presentada ante el Tribunal Superior se realizó «para proteger los derechos y libertades de los usuarios de la Unión Europea en X». Este acuerdo representa un importante avance en la lucha por la privacidad y el control de datos de los ciudadanos europeos en el entorno digital, estableciendo un precedente significativo para las plataformas tecnológicas que buscan utilizar datos personales sin el consentimiento expreso de los usuarios. Implicaciones y lecciones aprendidas Este caso pone de manifiesto la creciente preocupación y el mayor escrutinio de las autoridades reguladoras en torno al uso de datos personales por parte de las empresas tecnológicas, especialmente en el desarrollo de soluciones de IA. Las compañías deben comprender que la confianza de los usuarios y el cumplimiento de las normas de protección de datos son factores clave para mantener su sostenibilidad y reputación en el mercado. Además, este acuerdo subraya la importancia de que las plataformas digitales implementen políticas de privacidad sólidas y transparentes, que brinden a los usuarios un control efectivo sobre sus datos personales. La rápida adopción de estas prácticas se vuelve crucial en un entorno cada vez más regulado y consciente de la necesidad de proteger la privacidad de los ciudadanos. En resumen, el acuerdo alcanzado entre la DPC y X representa un hito en la lucha por la protección de datos y los derechos de los usuarios en el entorno digital. Este caso servirá como un llamado de atención para que otras empresas del sector tecnológico adopten un enfoque más responsable y respetuoso con la privacidad de sus usuarios, estableciendo así un nuevo estándar en la industria. FUENTE: Servente, Diego. »Privacidad ante todo: X detiene el uso no autorizado de datos de usuarios para su IA» 09/08/2024. Que.es. (https://www.que.es/2024/08/09/privacidad-ante-todo-x-detiene-el-uso-no/).