Irlanda denuncia a X por uso indebido de datos de usuarios en su IA Grok
La Comisión de Protección de Datos de Irlanda (DPC) ha iniciado un procedimiento de denuncia ante el Tribunal Superior de la Unión Europea contra X (antes Twitter) por utilizar datos personales de usuarios europeos sin su consentimiento para entrenar su modelo de inteligencia artificial (IA) Grok. Esta acción se basa en la sospecha de que X no cumple con las obligaciones del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, abriendo un debate crucial sobre la privacidad y la ética en el desarrollo de la IA. La DPC es la autoridad independiente de Irlanda responsable de la protección de los datos personales de los ciudadanos de la Unión Europea, un rol que ya ha desempeñado al investigar plataformas como Instagram por la administración y el uso de datos de los usuarios. Sin embargo, la situación con X presenta un nuevo desafío, dado que la compañía, propiedad de Elon Musk, ha sido acusada de recopilar datos personales de usuarios europeos a través de sus publicaciones en la red social sin su consentimiento explícito. El caso de la privacidad y la IA en X: un debate abierto X activó una nueva opción de privacidad y seguridad en las cuentas de los usuarios a finales del pasado julio, con la que se otorgaba permiso a la compañía para utilizar las publicaciones e interacciones con el ‘chatbot’ para entrenar a su modelo de lenguaje Grok. Sin embargo, la DPC considera que este mecanismo de exclusión voluntaria no es suficiente para garantizar el consentimiento previo de los usuarios, lo que abre un debate fundamental sobre la ética en el desarrollo y la utilización de la IA. Lea también: Histórica sentencia sobre Google advierte a empresas sobre la protección de datos La DPC ha expresado su preocupación por la posibilidad de que millones de usuarios europeos hayan sido, y sigan siendo, víctimas de esta recopilación de datos por parte de X, dado que no se les ha brindado una opción realmente efectiva para que la plataforma deje de acceder libremente a su información, tal y como exige el RGPD. Además, la DPC ha mostrado su inquietud por el lanzamiento de la próxima generación del ‘chatbot’ Grok, que, según cree, ha sido entrenado con datos personales de usuarios de la Unión Europea. Un paso legal para proteger la privacidad y el futuro de la IA Ante la negativa de X a detener el procesamiento de datos personales de los usuarios y a aplazar el lanzamiento de la próxima versión de Grok, la DPC ha decidido iniciar un procedimiento judicial, denunciando a Twitter International Unlimited Company (la división de X en Irlanda) por su uso de datos personales de usuarios europeos sin consentimiento. Con esta acción legal, la DPC busca una orden que suspenda, restrinja o prohíba procesar los datos personales de los usuarios de X para desarrollar, entrenar o refinar cualquier aprendizaje u otros sistemas de IA utilizados por X. Además, la DPC ha destacado la urgencia del incidente y ha anunciado que remitirá la denuncia al Comité Europeo de Protección de Datos, el organismo independiente encargado de supervisar el RGPD en la UE. Este movimiento refleja el compromiso de la Unión Europea con la protección de la privacidad de los ciudadanos en la era digital y sienta un precedente importante en el desarrollo y la utilización ética de la IA. FUENTE: Rodríguez, Ana Carina. »Irlanda denuncia a X por uso indebido de datos de usuarios en su IA Grok» 07/08/2024. Moncloa.com. (https://www.moncloa.com/2024/08/07/irlanda-denuncia-x-datos-2813016/).
Histórica sentencia sobre Google advierte a empresas sobre la protección de datos
La histórica sentencia del lunes que determinó que Google monopoliza ilegalmente las búsquedas en Internet, vino acompañada de una reprimenda al gigante tecnológico por ocultar posibles pruebas en el caso y de una advertencia a otras empresas sobre la protección de datos. Amit Mehta, juez del distrito de Washington, arremetió contra la empresa norteamericana, propiedad de Alphabet, por no preservar los chats internos y abusar de la protección de las comunicaciones legales, pero se negó a sancionar formalmente a la empresa. El Departamento de Justicia de Estados Unidos había pedido a Mehta que sancionara al gigante tecnológico por lo que el gobierno calificó de «destrucción sistemática» de los mensajes de los empleados y «abuso flagrante» del privilegio abogado-cliente que protege las comunicaciones con los abogados. Lea también: Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA El juez dijo que no era necesario pronunciarse sobre la manipulación de pruebas por parte de Google para decidir si la empresa violó la legislación antimonopolio. «Aun así, el tribunal se siente sorprendido por el empeño de Google en evitar la creación de un rastro de papel para los reguladores y los litigantes», escribió Mehta. La empresa «entrenó a sus empleados, con bastante eficacia, para no crear evidencia «negativa», dijo. Google y el Departamento de Justicia declinaron hacer comentarios sobre la decisión de Mehta de no sancionar a Google por sus salvaguardias en materia de pruebas. Google ha negado haber infringido la legislación antimonopolio y el lunes dijo que recurrirá la decisión del tribunal. También ha negado haber manejado mal la evidencia. El gigante norteamericano llevaba mucho tiempo eliminando automáticamente los mensajes de chat de sus empleados después de 24 horas, a menos que la persona pulse el botón «historial activado» para conservarlos. El año pasado cambió esta política para salvaguardar mejor los chats. Mehta también criticó a la empresa por su iniciativa «comunicar con cuidado», que consistía en que los empleados de Google añadieran abogados a los mensajes y los marcaran como «confidencial entre abogado y cliente». Podría interesarle: La demanda de Google a Colombia por la protección de nuestros datos personales La lucha por los registros de chats de Google se ha extendido a otros casos que cuestionan las prácticas empresariales de la empresa tecnológica. Un juez federal de California dictaminó el año pasado que Google no guardó «deliberadamente» pruebas relevantes de los chats en una demanda presentada por Epic Games, desarrollador de «Fortnite«. Epic se impuso en ese juicio, en el que se acusaba a Google de controlar excesivamente el mercado de aplicaciones de Android. A finales de este mes, un juez federal de Virginia escuchará los argumentos sobre la destrucción de pruebas en la demanda del Departamento de Justicia contra el gigante norteamericano por sus prácticas de publicidad digital. El mes que viene se celebrará un juicio sin jurado. Mehta dijo que su decisión de no sancionar a Google no era una exoneración. «Cualquier empresa que haga recaer en sus empleados la responsabilidad de identificar y conservar las pruebas pertinentes lo hace por su cuenta y riesgo«, escribió Mehta. «Google evitó las sanciones en este caso. Puede que no tenga tanta suerte en el próximo». FUENTE: Reuters. 06/08/2024. Histórica sentencia sobre Google advierte a empresas sobre la protección de datos. Eleconomista.com.mx. (https://www.eleconomista.com.mx/tecnologia/Historica-sentencia-sobre-Google-advierte-a-empresas-sobre-la-proteccion-de-datos-20240806-0048.html).
Whatsapp fue denunciada en Argentina por usar datos privados para entrenar su IA
La presentación de la denuncia a WhatsApp se hizo ante la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de la Ley de Protección de Datos Personales de Argentina (Ley 25.326). Los abogados especialistas en protección de datos personales, Facundo Malaureille y Daniel Monastersky, formalizaron la presentación contra Meta, la empresa matriz de Facebook, WhatsApp e Instagram, por el uso de datos personales en Argentina para el entrenamiento de IA, según publicó Ciberseguridad Latam. Consta de 22 puntos, en los que solicita a Meta Argentina explicaciones sobre sus prácticas de recolección y uso de datos personales a través de WhatsApp. Entre los puntos más relevantes de la denuncia a WhatsApp, figuran: También piden a la AAIP realizar una auditoría independiente de los procesos de Meta en el país y establecer directrices sobre los estándares de anonimización aceptables en Argentina, en el marco de sus facultades como autoridad de aplicación de la Ley 25.326. “Con esta presentación, buscamos que Argentina tome una posición proactiva en la regulación del uso de datos personales para el entrenamiento de IA“, comentó Facundo Malaureille, quien puso de relieve que “es crucial que no nos quedemos atrás en la protección de los derechos digitales de nuestros ciudadanos“. Monastersky agregó: “Esta denuncia busca establecer un precedente legal que guíe futuras regulaciones y prácticas en el ámbito de la IA y la protección de datos en nuestro país”. Lea también: La demanda de Google a Colombia por la protección de nuestros datos personales Ambos firmantes sostienen que “la ausencia de una legislación actualizada en este campo coloca a los ciudadanos en riesgo de sufrir abusos potenciales por parte de empresas multinacionales que manejan grande volúmenes de información personal”. E instaron a los diputados y senadores a tomar conciencia de la situación crítica en la que se encuentra la protección de datos personales en el país. El texto de la presentación advierte que “la falta de acción legislativa al no tratar el proyecto de reforma de la ley 25.326 deja a los ciudadanos argentinos en una posición vulnerable, expuestos a las decisiones unilaterales de corporaciones tecnológicas de gran envergadura, como Meta”. Quejas en Europa La corporación global Meta Platforms ya venía recibiendo desde junio 11 quejas presentadas en Austria, Bélgica, Francia, Alemania, Grecia, Italia, Irlanda, Países Bajos, Noruega, Polonia y España por los cambios propuestos en la forma en que utiliza datos personales para entrenar sus modelos de inteligencia artificial sin obtener consentimiento. Las quejas afirmaron que los recientes cambios en la política de privacidad de Meta, que entraron en vigor el 26 de junio, permitirían a la compañía utilizar años de publicaciones personales, imágenes privadas y datos de seguimiento en línea para su tecnología de inteligencia artificial. Debido a los cambios inminentes, NYOB pidió a las autoridades de protección de datos en los 11 países que inicien una revisión urgente. Según una declaración de NYOB, la recientemente actualizada política de privacidad de Meta cita un interés legítimo en usar los datos de los usuarios para entrenar y desarrollar sus modelos de IA generativa y otras herramientas de IA, las cuales pueden ser compartidas con terceros. El cambio de política impacta a millones de usuarios europeos, impidiéndoles eliminar sus datos una vez que están en el sistema. Amenazas de multas NYOB ha presentado previamente varias quejas contra Meta y otras grandes empresas tecnológicas por presuntas violaciones del Reglamento General de Protección de Datos (GDPR) de la UE, que amenaza con multas de hasta el 4% de la facturación global total de una empresa por violaciones. En tal sentido, el fundador de NYOB, Max Schrems, señaló en una declaración que el Tribunal de Justicia de la Unión Europea ya tomó una decisión histórica sobre este tema en 2021, la cual debería servir como punto de referencia para abordar el uso propuesto por Meta de los datos personales. Dijo: “El Tribunal de Justicia de la Unión Europea (CJEU) ya ha dejado claro que Meta no tiene un ‘interés legítimo’ para anular el derecho de los usuarios a la protección de datos cuando se trata de publicidad… Parece que Meta una vez más está ignorando descaradamente los fallos del CJEU”. Contexto internacional Esta denuncia en Argentina se produce en un contexto internacional de creciente escrutinio sobre las prácticas de las grandes tecnológicas en materia de IA y protección de datos. La comunidad tecnológica y legal del país observa atentamente el desarrollo de este caso, consciente de que el resultado podría tener un impacto significativo en la innovación en IA y la protección de datos personales en Argentina en los próximos años, habida cuenta del creciente poder y alcance de las plataformas digitales en la vida cotidiana. FUENTE: Sociedad. »WhatsApp fue denunciada en el país por usar datos privados para entrenar su IA» Laciudadavellaneda.com.ar. 30/07/2024. (https://laciudadavellaneda.com.ar/whatsapp-fue-denunciada-en-el-pais-por-usar-datos-privados-para-entrenar-su-ia/).
La demanda de Google a Colombia por la protección de nuestros datos personales
El Espectador da a conocer la batalla jurídica que entabló Google contra el Estado colombiano, en la que pide no estar sujeta a las leyes de datos vigentes en Colombia. Expertos creen que el país debe actualizar su normativa para proteger la información personal de los ciudadanos. En el Tribunal Administrativo de Cundinamarca se está librando una disputa legal sobre los datos personales de los colombianos, sin que la opinión pública se haya percatado hasta ahora. El Espectador conoció la demanda que presentó Google en la que pide tumbar tres resoluciones emitidas en 2020 y 2021 por la Superintendencia de Industria y Comercio (SIC), durante el gobierno de Iván Duque, en las que se le ordenó cumplir con la ley de tratamiento de datos personales. Según la demanda, la empresa californiana pide no estar sujeta a las leyes de protección de datos vigentes en Colombia, porque el tratamiento de esa información no se hace en el país, sino que, según Google, está sometida a leyes extranjeras. Las resoluciones demandadas hacen referencia a las cookies, un tipo de ficheros que se alojan en el navegador y reúnen información sobre los usuarios. La SIC afirma que Google, a través de las cookies, ha estado recolectando datos personales de los colombianos sin cumplir la normativa. Lea también: Una denuncia en Italia revela cómo Xandr, una filial publicitaria de Microsoft, infringe los fundamentos más básicos del RGPD En su defensa, Google dijo en su demanda que “la SIC en ningún momento acredita que las cookies impliquen la recolección de información que pueda considerarse como Datos Personales. Si bien con el ejercicio de cookies se recopila información, no necesariamente son Datos Personales y con alta probabilidad no lo son”. Sin embargo, para la SIC, esta vez en la era de Gustavo Petro, coincide en decir como en el gobierno Duque que “la utilización de cookies es una modalidad de Tratamiento de Datos Personales debido a que la ley colombiana no distingue la forma ni los mecanismos como se realiza el tratamiento en territorio colombiano, por lo que no le corresponde a la SIC excluir el uso de esas cookies como una de las herramientas por medio de las cuales se puede realizar dicho tratamiento”. En términos más especializados, es verdad que no todas las cookies son datos personales. Hay mucha información que se guarda en estos ficheros para personalizar la experiencia del usuario cuando utiliza un navegador y visita páginas web. Por ejemplo, hay cookies que registran el idioma para que cuando navegue en internet se le muestren páginas en español o en su idioma. También hay cookies que registran las credenciales de acceso de sus cuentas, de modo que no tenga que ingresarlas cada vez que quiera iniciar sesión. Estas son las llamadas “cookies técnicas”. Pero también hay cookies que no son técnicamente necesarias, pero se almacenan, por ejemplo, con fines publicitarios. Muchas de ellas registran su ubicación, sus búsquedas en internet, las redes sociales que utiliza y las publicaciones a las que les da “me gusta”. La controversia se centra en las que no son “técnicamente” necesarias. El manejo de cookies en Europa, otro de los argumentos de Google Otro de los argumentos que expuso Google ante el tribunal fue que Colombia, a diferencia de la Unión Europea, no cuenta con una regulación emitida por el órgano competente en la que haya reglas claras respecto de las cookies. Francia es el país que más ha avanzado en la regulación de estos asuntos, y su estándar se generalizó para el resto de la Unión Europea en 2002. La Comisión Nacional de Informática y de las Libertades de Francia (CNIL) estableció que las empresas de tecnología que utilizan cookies deben obtener consentimiento previo y explícito, y tales consentimientos deben ser granulares. Es decir, que el usuario debe poder activar algunas cookies y negar otras, sin estar obligado a dar su consentimiento para todas o ninguna. Además, el consentimiento debe poder retirarse tan fácilmente como fue otorgado. Por incumplir el estándar europeo, la CNIL ha impuesto sanciones y multas por más de 250 millones de euros a Google, Facebook y Amazon. Los europeos incluyeron en su normativa una cláusula que obliga a todas las empresas, sin importar su origen, a cumplir la directiva de protección de datos siempre que el usuario esté ubicado en la Unión Europea. Sin embargo, ese principio de extraterritorialidad de la ley no existe en la legislación colombiana y, en opinión de Heidy Balanta, directora de la Escuela de Privacidad en Colombia, es el punto más débil de la regulación vigente. “Google podría ganar la demanda si el Tribunal acoge su argumento de que no se pueden aplicar leyes colombianas a empresas domiciliadas en el extranjero, pero en realidad la SIC tiene razón. Hace ya tiempo que se estableció que las cookies sí tratan con datos personales, eso es un hecho”, explicó la experta. Podría interesarle: La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados Sobre este asunto, los apoderados de Google dijeron que de reconocerse la posibilidad que la SIC ejerza control y vigilancia sobre toda compañía extranjera que utilice cookies en Colombia, “esta debería empezar un proceso en todas las páginas web extranjeras que se pueden acceder desde Colombia, lo que implicaría una extralimitación en sus funciones y una violación de la norma que indica la territorialidad de la ley”, como se lee en la demanda que reposa en el Tribunal Administrativo de Cundinamarca. Además, la empresa tecnológica dijo que “la SIC omitió pronunciarse sobre las pruebas y argumentos referentes a que Google LLC solicita autorización previa, expresa e informada conforme a las disposiciones legales y tomando las medidas correspondientes de conformidad con la edad y grado de madurez”. El Espectador envió un mensaje a la SIC para entender por qué considera insuficiente el consentimiento que Google solicita de sus usuarios, pero al cierre de esta edición no hubo respuesta. ¿Impuestos, sí, datos, no? Aunque el principal argumento
La importancia de la protección de datos personales en el sistema empresarial de México
Las MIPYMES son fundamentales para el desarrollo económico de México. Representan una parte significativa del tejido empresarial y contribuyen de manera importante a la generación de empleo y al crecimiento económico del país. Su capacidad de adaptación, innovación y flexibilidad las convierte en actores clave para el futuro de México. En México, existen 280,489 empresas, de éstas, el 6.9% son medianas, el 35.3% son pequeñas y el 52.8% son microempresas. Además, según datos del Instituto Nacional de Estadística y Geografía (INEGI), se estima que hay 4.9 millones de PYMES en el país, de las cuales el 97.6% son microempresas, el 2% son pequeñas y las medianas representan solo el 0.4% restante. Por otro lado, en México, el comercio electrónico creció un 24.6% en 2023, alcanzando 658.3 mil millones de pesos, en dónde 5 de cada 10 compradores digitales declaró escribir reseñas sobre sus compras; así como guardar sus datos personales y bancarios. Sin duda, el comercio electrónico es un habilitador del desarrollo económico, sin embargo, al necesariamente estar involucrados los datos personales dentro de este desarrollo, también representa ser un reto para las empresas que recolectan, almacenan, procesan y transfieren información personal brindada por sus clientes, los cuales tienen la expectativa razonable que su privacidad estará protegida. Lea también: Cómo afecta la inteligencia artificial a la protección de datos personales Los datos personales se han transformado en uno de los activos más importantes y con más valor para las empresas. Las bases de datos acumulan un tesoro digital, ya que brindan información que ayudan a las empresas en la toma de decisiones estratégicas, personalización de servicios, segmentación de mercado y desarrollo de productos. El reto es que las empresas manejen estos datos de manera ética y conforme a las regulaciones de protección de datos para garantizar la privacidad y seguridad de los titulares. En ese sentido, las MIPYMES deben cumplir con las leyes de protección de datos personales. Esto implica tomar medidas para proteger la información personal de los clientes, empleados y proveedores, como es la puesta a disposición de avisos de privacidad, implementación de medidas de seguridad, obtención de consentimiento para el procesamiento de datos, información que puede ser consultada mas a detalle en: https://micrositios.inai.org.mx/mipymes/ Actualmente el INAI ha implementado talleres de cumplimiento en materia de protección de datos personales con diversas Organizaciones Empresariales, logrando que a través de acciones específicas y conjuntas, se facilite el cumplimiento normativo en la materia. Asimismo, el Instituto pone a dispocisión del sector privado la posiblidad de desarrollar y adoptar esquemas de autorregulación vinculante, demostrando el cumplimiento de la Ley y lo faculta para ostentar el sello de confianza REA-INAI, distinguiendolas como empresas comprometidas con la protección de datos personales. La protección de datos personales es un elemento esencial para preservar la seguridad, patrimonio y bienestar de las personas en su vida y en el entorno digital en constante evolución. FUENTE: Vergara Román, Josefina. »La importancia de la protección de datos personales en el sistema empresarial mexicano» Eluniversal.com.mx. 01/07/2024. (https://www.eluniversal.com.mx/opinion/josefina-roman-vergara/la-importancia-de-la-proteccion-de-datos-personales-en-el-sistema-empresarial-mexicano/).
Cómo afecta la inteligencia artificial a la protección de datos personales
Hasta hace relativamente poco tiempo, las pocas referencias que teníamos de la inteligencia artificial provenían del cine o de la literatura, donde se la solía (y suele) presentar como una tecnología que, generalmente, termina por escapar a nuestro control, dominar el mundo y someter a los humanos. Sin embargo, en el mundo real no paran de decirnos que la inteligencia artificial (IA) es el futuro, que es una herramienta con grandes posibilidades, que va a facilitar enormemente las vidas de la gente. Pero ¿realmente se saben las implicaciones y consecuencias del uso de esta tecnología? ¿Qué riesgos puede traer consigo? Para evitar caer bajo el yugo de una Skynet o una Shodan cualquiera, hemos hablado con los expertos de Grupo Atico34, una de las consultoras de protección de datos de referencia en España, quien nos ha aportado su visión acerca de este tema, ahora que está a punto de entrar en vigor la nueva Ley de Inteligencia Artificial, de la Unión Europea. ¿Un riesgo para los datos personales? Una de las principales cuestiones que hay que tener en cuenta a la hora de hablar de inteligencia artificial y protección de datos es que se trata de una tecnología relativamente joven y que, como tal, su uso todavía no se encuentra generalizado ni regulado. Por tanto, se podría decir que, de momento, ni siquiera se alcanza a vislumbrar una mínima parte de su potencial… o de sus riesgos. Según Alejandro Flores, del equipo jurídico de Grupo Atico34, “la gran mayoría de inteligencias artificiales que se usan en la actualidad son inteligencias artificiales generativas, las cuales se encargan de crear contenido de forma automatizada en base a contenido ya existente”. Un ejemplo de esto sería Meta, quien hace poco ha confirmado que ya está usando la IA en Facebook e Instagram para generar contenido nuevo a partir del contenido ya creado por los usuarios. En este sentido, el problema está en los datos con los que se alimenta a estos sistemas de IA. Al final, los datos con los que trabajan tienen que venir de alguna parte, y es posible que estas fuentes contengan datos incorrectos, sesgados o que incluso se utilicen para recabar datos personales con fines de mercadotecnia u otros. Lea también: El reto para la protección de datos que supone el tratamiento de neurodatos También tenemos ya ejemplos como el de Worldcoin, proyecto del CEO de OpenAI que escaneaba el iris de las personas a cambio de una remuneración en criptomonedas, y cuya actividad en España acaba de ser paralizada por la Agencia Española de Protección de Datos (AEPD). Para Atico34, “el principal problema es que la tecnología, como siempre, está avanzando más rápido que la legislación, y por tanto no queda muy claro hasta dónde está el límite en las obligaciones de los operadores de IA ni en los derechos de los usuarios”. ¿Cómo habría que actuar entonces mientras estamos en esta especie de limbo legal? Desde la consultora indican que lo recomendable es aplicar la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), esto es, la transposición española del Reglamento General de Protección de Datos europeo (RGPD). La ley que se avecina ¿Qué datos personales puede recabar una IA? ¿Para qué los puede emplear? ¿Quién es el responsable del tratamiento de los datos que maneja una IA? ¿Quién es el dueño del contenido generado por una IA? Son algunas de las preguntas que viene a resolver la próxima Ley europea de Inteligencia Artificial. Esta nueva normativa, cuyo texto preliminar ya ha sido aprobado y se encuentra en las últimas fases de su tramitación, viene a establecer las bases para la regulación de la IA a nivel europeo, poniendo especial énfasis en la protección de los derechos y libertades de los individuos. Se podría decir que esta normativa gravita sobre cuatro puntos principales: la transparencia de los contenidos creados mediante IA y la defensa de los derechos de autor; la prohibición de los sistemas de categorización biométrica; la prohibición del uso de la IA como una vía para engañar y manipular a los individuos o para explotar sus vulnerabilidades; la protección de los usuarios frente a las ultrafalsificaciones generadas por IA. Todavía es pronto para conocer dónde se situarán exactamente los límites al uso de esta tecnología y lo más probable es que la Ley de Inteligencia Artificial sufra continuas modificaciones una vez que vea la luz. Así que, habrá que estar atentos a ver cómo evolucionan las cosas porque, no hay duda ya, la IA va a ser parte activa, seguro, de nuestras vidas. FUENTE: Tablado, Fernando. »Cómo afecta la inteligencia artificial a la protección de datos personales» Aceprensa.com. 01/07/2024. (https://www.aceprensa.com/ciencia/tecnologia/como-puede-afectar-la-inteligencia-artificial-a-la-proteccion-de-datos-personales/).
La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados
Una política de Meta proponía que los usuarios paguen para evitar que sus datos sean usados para anuncios personalizados. En 2023, la UE emitió una multa de 2,3 billones de euros a la compañía por violar leyes de privacidad. A Europa no le gustó la postura de Meta de ‘o pagas o usamos tus datos’. La Comisión Europea dijo este lunes 1 de julio que la empresa estadounidense está incumpliendo la ley de mercados digitales. Se refirió específicamente a la política de recopilación de datos personales de los usuarios, al obligarles a pagar si no quieren que la compañía los utilice para mostrar anuncios personalizados en Facebook e Instagram. «Meta ha forzado a millones de usuarios en la Unión Europea a una elección binaria: pagar o dar consentimiento. En nuestra conclusión preliminar, esto es una infracción de la ley de mercados digitales», dijo el comisario europeo de Mercado Interior, Thierry Breton. «Queremos dar la capacidad a los ciudadanos para que sean capaces de tener el control sobre sus propios datos y elegir una forma de anuncios menos personalizada», añadió la vicepresidenta de la Comisión Europea de la Era Digital, Margrehte Vestager, en un comunicado. Una multa millonaria en el horizonte Bruselas continuará con su investigación hasta marzo de 2025 y mientras tanto, espera que Meta proporcione una solución alternativa a su modelo publicitario, pero si confirma sus conclusiones iniciales, podría acabar imponiendo una multa a la empresa del 10 % de su facturación mundial. La sanción podría ascender hasta el 20 % en caso de incumplir reiteradamente la normativa y la Comisión podría obligar a Meta a vender una parte de su negocio. Lea también: La UE contra Meta: ¡Sus sucripciones pagas no bastan para anuncios! La ley de mercados digitales, en Europa, obliga a las grandes empresas de internet a obtener el consentimiento de los usuarios para poder usar sus datos personales y combinarlos entre sus distintas plataformas con el objetivo de mostrar anuncios personalizados. Y en caso de que los usuarios no den su consentimiento, deben darles la opción de acceder a un servicio equivalente que no use con tanta frecuencia esta información para fines publicitarios. No es el primer freno de Meta en Europa El 14 de junio de 2024, la Comisión de Protección de Datos de Irlanda exigió a Meta que retrase el entrenamiento de su Inteligencia Artificial usando el contenido publicado por adultos tanto en Facebook como en Instagram. «Estamos decepcionados con el pedido», expresó la compañía estadounidense, apenas cuatro días después que anunciaran la expansión de estos servicios al territorio europeo. En mayo de 2023, el Comité Europeo de Protección de Datos, con sede en Bruselas, exigió a Meta el pago de una multa histórica por 1.2 billones de euros por haber violado las reglas de privacidad de la región. La entonces presidenta de este comité, Andrea Kelinek, expresó que la infracción era «muy seria» y que la multa era una «fuerte señal para las organizaciones» para recalcar que las «infracciones serias tienen consecuencias de gran alcance» FUENTE: Redacción Primicias. »La Unión Europea aprieta a Meta por forzar a los usuarios a pagar para que sus datos no sean utilizados» Primicias.ec. 01/07/2024. (https://www.primicias.ec/noticias/entretenimiento/tecnologia/meta-union-europea-incumplimiento-datos-personales/).
Violaciones de datos de empresas de alto perfil
La tasa de violaciones de la seguridad cibernética de lo datos en empresas grandes y pequeñas ha alcanzado niveles alarmantes. Con ataques de alto perfil dirigidos a la atención médica, las finanzas, el comercio minorista, el gobierno, la fabricación y la energía, está claro que el panorama de amenazas ha evolucionado significativamente en los últimos años. Según las proyecciones , se estima que los delitos cibernéticos costarán a la economía mundial 10,5 billones de dólares en 2025, lo que refleja un aumento anual del 15%. Las empresas nunca han sido más vulnerables; incluso las grandes empresas con importantes defensas de ciberseguridad pueden ser víctimas. Las lecciones aprendidas de estos ataques pueden ayudar a las empresas más pequeñas a preparar su estrategia de seguridad para cualquier eventualidad. En este artículo se analizan algunas de las violaciones de datos empresariales más notables en 2023 y 2024, sus causas, impactos y lo que debe hacer para mantenerse protegido. Violaciones recientes de datos de empresas de alto perfil Snowflake: mayo de 2024 Un ataque informático a la empresa de almacenamiento en la nube Snowflake ha desencadenado una ola de filtraciones que podría convertirse en “una de las mayores violaciones de datos de la historia”. Un número no revelado de bases de datos de clientes se vieron comprometidas en el ataque, lo que dio lugar a más violaciones en muchas otras empresas, incluidas Ticketmaster y Santander. Snowflake afirma que los piratas informáticos atacaron a los usuarios que dependían de la autenticación de un solo factor, utilizando credenciales robadas a través de malware. La empresa no aplica la autenticación de un solo factor , y opta por permitir que los usuarios administren su propia seguridad. En su divulgación inicial, afirmó: “Snowflake es un producto en la nube y cualquiera puede registrarse para obtener una cuenta en cualquier momento. Si un actor de amenazas obtiene las credenciales del cliente, es posible que pueda acceder a la cuenta”. Ticketmaster: mayo de 2024 En una de las infracciones más notorias vinculadas al ataque Snowflake, más de 500 millones de clientes de Ticketmaster vieron su información filtrada en la red oscura. Datos, incluidos nombres completos, direcciones, números de teléfono, direcciones de correo electrónico e historial de pedidos, se pusieron a la venta en un foro de piratería. El grupo “ShinyHunters” se atribuyó la fuga de información y, según se informa, intentó pedir un rescate antes de publicar los datos para su venta. La empresa matriz de Ticketmaster, Live Nation, confirmó la filtración en una presentación ante la Comisión de Bolsa y Valores de Estados Unidos y declaró: “Estamos trabajando para mitigar el riesgo para nuestros usuarios y la empresa, y hemos notificado y estamos cooperando con las autoridades”. AT&T: abril de 2024 Se estima que en abril se informó a 73 millones de clientes actuales y antiguos de AT&T de que sus datos personales habían sido vulnerados y publicados en la red oscura. Entre los datos filtrados se encontraban números de la Seguridad Social y códigos de acceso de clientes, con la posibilidad de que también se hubiera accedido a nombres, direcciones y fechas de nacimiento. Podría interesarle: Microsoft admite fallos que facilitaron ataque de espía chino a la ciberseguridad de EEUU En el momento del anuncio, AT&T declaró que no sabía si la violación de datos «se originó en AT&T o en uno de sus proveedores», pero que se estaban llevando a cabo investigaciones. Se cree que el ataque en sí tuvo lugar en 2019, pero no salió a la luz hasta 2021. Sin embargo, los clientes no fueron informados hasta que sus datos se localizaron en la red oscura en marzo de 2024. Desde entonces, se han presentado múltiples demandas colectivas contra AT&T como resultado de la violación de datos. American Express: marzo de 2024 A principios de marzo de 2024, se notificó a un número no revelado de clientes de American Express sobre una posible violación de sus datos. En un comunicado, American Express anunció que el incidente se debió a un acceso no autorizado a un procesador comercial externo, en lugar de a sus propios sistemas internos. Se informó a los clientes de que sus nombres, números de cuenta y datos de tarjetas podrían haber sido vulnerados en la vulneración de seguridad, y se les instó a que vigilaran sus cuentas para detectar actividades fraudulentas durante los siguientes 12 a 24 meses. También se animó a los usuarios de American Express a que habilitaran las notificaciones en tiempo real para alertarlos sobre compras o transacciones inusuales. Fujitsu: marzo de 2024 En marzo de 2024, Fujitsu confirmó la presencia de malware en su red corporativa, que podría haber dejado la información de los clientes vulnerable a los piratas informáticos. En su declaración inicial, la empresa se negó a revelar el número de usuarios afectados o la naturaleza de los datos que podrían haberse visto comprometidos. Así mismo, Fujitsu afirma que, al descubrir el malware, “desconectó inmediatamente los ordenadores afectados… Además, seguimos investigando las circunstancias que rodearon la intrusión del malware y si se ha filtrado información”. Fondo Monetario Internacional: marzo de 2024 El Fondo Monetario Internacional (FMI) confirmó que se detectó un incidente cibernético en febrero de 2024 en el que se vieron comprometidas 11 cuentas de correo electrónico. En un breve comunicado , la organización dijo que trabajó con expertos en ciberseguridad para investigar la vulneración y volver a proteger las cuentas afectadas. Concluyó: “El FMI se toma muy en serio la prevención y la defensa contra los incidentes cibernéticos y, como todas las organizaciones, actúa partiendo del supuesto de que, lamentablemente, se producirán incidentes cibernéticos. El FMI cuenta con un sólido programa de ciberseguridad para responder con rapidez y eficacia a dichos incidentes”. Roku: marzo de 2024 Roku, una plataforma de transmisión de televisión utilizada por 80 millones de clientes, sufrió un ciberataque que afectó a 15.000 titulares de cuentas a principios de este año. La empresa afirmó que los piratas informáticos «probablemente habían obtenido ciertos nombres de usuario y contraseñas de consumidores de fuentes de terceros… Parece probable que las mismas combinaciones de nombre de usuario y contraseña se hayan utilizado
El reto para la protección de datos que supone el tratamiento de neurodatos
La Agencia Española de Protección de Datos (AEPD) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado un informe conjunto en el que analizan los retos que supone el tratamiento de neurodatos para los derechos y libertades de las personas. El documento, que examina este fenómeno emergente, proporciona una descripción de los neurodatos y evalúa su impacto en la privacidad y la protección de datos personales, incluyendo casos prácticos. Los recientes avances en neurotecnología están permitiendo la aparición de un número creciente de dispositivos conectados que monitorizan la actividad cerebral para distintos propósitos. El cerebro desempeña un papel crucial en las capacidades cognitivas humanas, decisiones, emociones y comportamientos, entre otras funciones. El informe explica que las técnicas de imagen cerebral se desarrollaron originalmente en el contexto de la medicina clínica y la investigación neurocientífica, demostrando ser eficaces para diversos tratamientos. Sin embargo, en los últimos años, existe una tendencia hacia un uso relacionado con el marketing. Por ejemplo, para medir la reacción del cerebro humano ante anuncios o productos para estudiar, analizar y predecir el comportamiento de los consumidores. Las neurotecnologías también se han utilizado en dispositivos portátiles para una serie de actividades cotidianas, como la educación y el entretenimiento. Además, los implantes cerebrales ofrecen la posibilidad de influir y reescribir la actividad cerebral de las personas. Esta accesibilidad, junto con las capacidades de la Inteligencia Artificial para combinar datos de diversas fuentes, pueden interferir sustancialmente con los derechos y libertades fundamentales. Podría interesarle: Protección de datos personales: desafíos en un mundo digitalizado El informe analiza qué supone el tratamiento de neurodatos en distintos contextos y con ejemplos de casos de uso, como el entorno educativo o los videojuegos, así como las amenazas que suponen algunos de ellos. A continuación, especifica los requisitos y los principios de protección de datos que deben cumplirse para el tratamiento de esta tipología de datos personales que, con frecuencia, constituyen categorías especiales de datos (por ejemplo, datos biométricos o datos relativos a la salud). En principio, el tratamiento de categorías especiales de datos está prohibido, salvo excepciones en las que concurren unas circunstancias determinadas. El informe recoge que quienes se planteen tratar neurodatos deben tener siempre en cuenta el carácter intrusivo del tratamiento de dichos datos y valorar cuidadosamente si la finalidad que se persigue justifica plenamente este tratamiento de datos “extremadamente invasivo y sensible, que afecta al aspecto más íntimo de la vida” de las personas. Además, destaca como crucial llevar a cabo un análisis en profundidad de los neurodatos y evaluar el impacto de su tratamiento en los derechos fundamentales, incluida la necesidad de crear neuroderechos. La Carta de los Derechos Fundamentales de la Unión Europea reconoce expresamente el derecho fundamental a la integridad mental (artículo 3), como una de las expresiones del derecho fundamental a la dignidad humana (artículo 1), que es también el fundamento del derecho a la intimidad y a la protección de los datos personales (artículos 7 y 8 de la Carta). La Agencia ha establecido entre sus líneas estratégicas promover la regulación del tratamiento de los neurodatos y los correlativos neuroderechos, especialmente en el ámbito de los servicios dirigidos a menores. FUENTE: Noticia. »El reto para la protección de datos que supone el tratamiento de neurodatos» Elderecho.com. 27-06-2024. (https://elderecho.com/el-reto-para-la-proteccion-de-datos-que-supone-el-tratamiento-de-neurodatos).
