La nueva era de la protección de datos en Colombia
Escrito por: German Realpe Delgado, Ceo de Cloud Seguro – @germread.
Martes 9 de la mañana, entra una llamada a mi celular. Al otro lado de la línea una persona que escasamente saluda, se identifica como un asesor de la entidad bancaria a la que pertenezco seguidamente me solicita los tres números finales de la cédula con el fin de darme una información. Mi respuesta es negativa, si no obtengo más información sobre el motivo de la llamada. Luego de varios minutos y de mi negativa de suministrar mis datos, la persona corta la conversación telefónica.
En la actualidad las llamadas y los correos electrónicos ofreciendo productos son temas cotidianos, y en muchos casos, no sabemos por qué nuestra información personal se encuentra en una base de datos.
La privacidad está de moda, con todo el caso de Edward Snowden, ex agente de la agencia de inteligencia de Estados Unidos, se ha demostrado que los gobiernos y muchas compañías nos vigilan. El problema es que no hacemos nada para evitarlo, a muchos no les interesa, y otros, nos hemos vuelto desconfiados al entregar información personal.
Pero el tema de privacidad no es algo nuevo, se debe señalar que la mayoría de las constituciones de los países lo tratan. En Colombia es señalado en el artículo 15 de la constitución nacional, donde hace referencia al derecho fundamental conocido como ‘el habeas data’, el cual consiste en que las personas tienen derecho a solicitar la rectificación, eliminación y actualización de información que se encuentre en bases de datos públicas y privadas.
Así mismo, la jurisprudencia de la Corte Constitucional ha incorporado en múltiples sentencias el concepto de autodeterminación informática, definido como la facultad de la persona a la cual se refieren los datos, para autorizar su conservación, uso y circulación, de conformidad con las regulaciones legales.
Ley 1581 de 2012
Toda la regulación, de jurisprudencia de habeas data, lleva a la Ley 1581 de 2012, la cual fue sancionada el 17 de octubre de 2012. Esta entró en vigencia en abril del presente año y se encarga de regular la protección de datos personales en Colombia.
La normativa tiene importantes aspectos, entre ellos, la definición del dato personal, dato sensible como la imposición de una serie de derechos y deberes para todo tipo de empresas que deben contar con una protección especial para las bases que contengan información personal o sensible.
Esta Ley crea en Colombia la necesidad de que las empresas cuenten con políticas de tratamiento de datos, donde debe quedar claro la forma, el procedimiento y los mecanismos para el manejo de datos personales y datos sensibles. En la ley se define dato personal, como cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
Por dato sensible, se debe entender aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promuevan intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual y los datos biométricos .
Se incorpora un concepto para las personas o empresas que tienen datos, y es la definición del encargado del tratamiento; el cual es la persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.
Existe la obligación de que las empresas adopten un manual interno de políticas y procedimientos para el manejo de datos personales. Las políticas se convierten en la herramienta fundamental para todo tipo de organizaciones, sin importar la industria o el sector público o privado.
De las cosas más interesantes de la Ley, es la creación de la autoridad en protección de datos, que es designada a la Superintendencia de Industria y Comercio, por medio de la Delegatura de protección de datos. Este Ente encargado de velar porque en Colombia se aplique de manera adecuada la protección de datos para todos los ciudadanos.
Decreto 1377 de 2013
La Ley 1581 de 2012, fue reglamentada parcialmente por el decreto 1377 de 2013. Decreto que complementa la aplicación de la Ley 1581, y que en su articulado define la forma de aplicar la Ley de datos personales.
El decreto introduce la figura de aviso de privacidad que es la comunicación verbal o escrita generada por el responsable, dirigida al titular para el tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de tratamiento de información que le serán aplicables.
Una regla que deben aplicar todas las empresas, es que en la recolección de datos se incluyan aquellos que sean pertinentes y adecuados para la finalidad para la cual son recolectados. Esto significa que la organización debe recopilar los datos de acuerdo con una finalidad, y no extralimitarse con el manejo.
En Colombia existen casos de empresas, que recogen más de 10 registros, y se extralimitan en la finalidad y uso. Solo se deben pedir y entregar los datos estrictamente necesarios, las organizaciones deben identificar, clasificar y administrar de manera correcta los ficheros con información de trabajadores y clientes.
El decreto reglamenta lo que deben contener las políticas de tratamiento de datos, y da las pautas para el tratamiento de los datos antes de la expedición de la Ley. La autorización puede recogerse a través de medios técnicos que faciliten al titular su manifestación automatizada. Se entenderá que; la autorización cumple con estos requisitos cuando se manifieste (1) por escrito, (2) de forma oral o (3) mediante conductas inequívocas del titular, que permitan concluir de forma razonable que otorgó la autorización.
Ya en muchos diarios de amplia circulación nacional, puede verse como las empresas invitan a los usuarios para que conozcan las políticas, que rectifiquen o actualicen sus datos, y se les informa de los mecanismos para cumplir la Ley.
Las empresas no solo deben limitarse a generar un aviso de prensa, se deben crear mecanismos eficientes para rectificar, actualizar y eliminar los datos personales. En Colombia, hay empresas como Gesdatos, líderes en Europa en la consultoría de protección de datos por medio de software especializado, el cual al ser instalado en los servidores de una compañía ayuda a identificar las distintas bases de datos existentes.
El uso de sistemas de información es la manera más eficiente para tener un control sobre el manejo de datos, el uso de comunicaciones certificadas y avisos claros contribuye a una correcta gestión de los datos personales.
El manejo de datos un tema cultural
Colombia se encuentra en una nueva era de la protección de datos, se tienen todas las herramientas legales que protegen los datos de los ciudadanos. En unos meses, la Superintendencia de Industria y Comercio (SIC) habilitará el registro nacional de base de datos, y esto llevará nuevas obligaciones de registro de las políticas en un sistema informático que habilite la SIC.
Una asesoría correcta y la aplicación de la normatividad lo pueden ayudar a evitar sanciones de hasta 2000 salarios mínimos legales vigentes. Un manejo correcto de datos e información le evitarán incurrir en delitos informáticos, así como ser atractivo para sus clientes por el cuidado de la información personal.
Lo importante de todo esto, es entender que los datos personales son un activo. La protección de datos tiene componentes legales, tecnológicos y culturales para todas las empresas y personas en Colombia.
Tomado de: Colombia Digital
Por mal uso de bases de datos 371 empresas han sido sancionadas
El superintendente de Industria y Comercio, Pablo Felipe Robledo, defendió este martes en el Senado la normatividad emitida sobre el uso de las bases de datos de los ciudadanos.
Ante la avalancha de críticas que recibió el Gobierno por cuenta del decreto de la superintendencia, Robledo aclaró que todas las bases de datos futuras, deben pedir autorización a los ciudadanos para poder usar la información.
Por eso, advirtió que quien no tenga autorización será objeto de sanciones en altas sumas de dinero.
“Si no se tiene autorización expresa le caerán todas las sanciones establecidas que pueden llegar a los $1.200 millones por violar los derechos de habeas data de los colombianos”, señaló en el Congreso.
De hecho, el alto funcionario indicó que 371 empresas han sido sancionadas por más de $5.500 millones por mal uso de bases de datos.
Bases de datos ‘viejas’
Sin embargo, Robledo insistió en que el Gobierno no cree que esa autorización se aplique desde el punto de vista legal, a las bases de datos preexistentes.
Según él, es inconveniente para el país que en el régimen de transición se aclare la autorización expresa de los ciudadanos.
“En el Gobierno no estamos locos como para desproteger a los ciudadanos y que a los 30 días se pudiese hacer lo que quieran quienes tienen las bases de datos”, explicó.
Además, según el superintendente, el decreto ha servido para que los mismos ciudadanos sepan en cuántas bases de datos están incluidos.
“Nadie sabe en cuántas bases de datos estamos, bajo ninguna circunstancia…nos estamos enterando”, agregó.
Tomado de: El Espectador
La actitud del líder también protege a las empresas
Un tercio de las compañías que reportaron ser ‘hackeadas’ en el mundo son pequeñas y medianas.
El nivel de confianza que un líder empresarial tiene en la tecnología determinará cuán protegida puede estar su empresa ante a las amenazas informáticas.
Así lo encontró la Encuesta Global de Pymes 2013, un sondeo realizado por Symantec en 20 países del mundo.
Entre los hallazgos del estudio, se encontró que las pymes que utilizan la tecnología en su cotidianidad y confían en ella están mejor preparadas ante las posibles agresiones de criminales virtuales que aquellas que no implementan mucho estas herramientas.
Al respecto, Daniel Rojas, director de mercadeo de Symantec para el norte de Latinoamérica, explicó que cuando una compañía toma estas herramientas, implementa y las aprovecha, es más consciente de los riesgos que su compañía tiene de ser atacada por internet y, por ende, toma las medidas necesarias para evitarlo, caso contrario de aquellas que son renuentes al cambio.
“Cuando implementan la tecnología y confían en ella reportan 51 por ciento menos pérdidas en ataques cibernéticos que aquellas que no la apropian de la misma forma. Aparentemente se exponen más pero, a la vez, están más preparadas y saben cómo protegerse, que es el punto clave para las empresas”, señaló el directivo.
De hecho, esa tendencia también se refleja en la tranquilidad que muestran los empresarios frente a los riesgos que corren en internet. Por ejemplo, mientras el 78 por ciento de quienes implementan la tecnología dice sentirse seguro, la incidencia baja al 39 por ciento en aquellas compañías que abiertamente dicen desconfiar y no implementar estas herramientas con tanta tranquilidad.
En este sentido, el estudio encontró que un factor determinante en el nivel de receptividad que tiene una empresa frente a la tecnología y su actitud frente a la misma dependen del fundador o líder de la compañía.
De hecho, el 74 por ciento de las organizaciones con un alto índice de confianza en la tecnología dijo que la experiencia profesional previa de su fundador influencia su filosofía frente al tema. “Parece que el hecho de que el fundador tenga experiencia con tecnología es un requisito para que las empresas, a su vez, entiendan los beneficios de estar metidos en internet”, agregó Rojas.
Finalmente, la encuesta también arrojó que la innovación se ve impactada de manera positiva cuando los directivos se suben en la ola tecnológica, pues el índice de innovación en estos casos está entre 36 y 47 puntos por encima de los casos en los que las compañías desconfían de dichas herramientas.
UN FUERTE IMPACTO ECONÓMICO
Los resultados de una empresa también se ven beneficiados cuando se incluye la tecnología como columna vertebral de una empresa. Por ejemplo, el estudio encontró que el 81 por ciento de las pymes con alto índice de apropiación dijo que el uso estratégico del cómputo fue una forma muy efectiva de impulsar su negocio e incrementar su participación en el mercado.
Cabe resaltar que el puente que usan muchos criminales cibernéticos para llegar a las grandes empresas son las pequeñas compañías que les proveen productos o servicios, por lo que el tema trasciende las barreras internas de las organizaciones.
Tomado de: Portafolio.co
Proteger y almacenar los datos, un tema pendiente entre los usuarios de tecnología
Fotos personales, Vídeos familiares, documentos de trabajo, viejos apuntes del colegio y la universidad, miles de canciones y alguna docena de películas de colección guardadas en la computadora. Esta descripción suele ser común a la mayoría de los usuarios de tecnología que -algunos más y otros menos- suelen dedican grandes espacios de almacenamientos tanto en equipos portátiles como de escritorio. Lo que también es común entre los usuarios es el dolor de cabeza que aparece cuando tenemos un problema con la computadora y esos datos desaparecen o se extravían, tanto por roturas, robos de los virus informáticos.
Según un estudio realizado por WD®, una compañía de Western Digital, en los últimos meses estos son los principales “olvidos” de los usuarios.
- Los motivos por las que los usuarios no hacen copias de seguridad es porque no saben cómo hacerlo (39% de hombres y 49% de mujeres).
- El 56% no hace back up de contenido de su PC o computador portátil, mientras que el 44% no hace back up de contenido en tabletas o smartphones.
- Uno de cada seis adultos dice que perdió información embarazosa y potencialmente algo que no quisieran que otras personas vean.
- Los adultos (45 años y más) son significativamente menos propensos a hacer copias de seguridad de ningún dispositivo.
- El 41% de los usuarios dice que las fotografías son los artículos que más extrañaría después de una pérdida de información.
- El 30% que el contenido de su disco duro no tiene precio.
Por tal motivo, WD® declara a abril como el mes de la copia de seguridad e invita a los usuarios a reflexionar sobre la importancia de proteger sus recuerdos más preciados y sus archivos más importantes.
Debido a que los usuarios van llevando una vida cada vez más digital, la necesidad de resguardar datos regularmente nunca ha sido tan necesaria como hasta ahora. Pero un solo error del sistema, y el virus, un robo, o un líquido derramado puede ser la razón de perderlo absolutamente todo. Western Digital (WD), uno de los principales fabricantes de discos duros, anima a los consumidores a confeccionar su propio plan de seguridad con estos cinco consejos básicos:
No esperes a que sea demasiado tarde y utiliza un disco duro externo
Una copia de seguridad o backup significa tener al menos dos copias de seguridad de cualquier dato que consideres valioso, y utilizar discos duros externos es la mejor forma de hacer copias de seguridad locales de tus archivos, por su gran relación calidad precio, por su velocidad y por su mayor capacidad de almacenamiento comparado con un USB o un CD.
Utilice software de copia de seguridad automática. ¡Configuralo y olvidate!
Es mejor no depender de copias de seguridad manuales de tus datos, es probable que te olvides o que no puedas hacer un backup de tus datos. También es fácil cometer errores u omitir algo importante cuando estás haciendo backups de forma manual. Utilice software de copia de seguridad, como el WD SmartWare, tu para automatizar el proceso de copia de seguridad. Un programa de backup fácil de usar crea una copia de tus datos de forma fiable y automática, mantiene los registros y te avisa si hay algún problema.
Ten copias en diferentes lugares.
Asegúrate de que tienes como mínimo dos copias de tus datos más importantes. Tener varias copias en diferentes unidades y en diferentes lugares, reduce el riesgo de perder por completo tus datos. Recuerda que mover importantes archivos de tu computadora a un disco duro no es una copia de seguridad, si no almacenar, así que tus datos aún están en riesgo de perderse si las cosas se complican.
Cuenta con tu propia nube personal
Tus asegurar que los datos están seguros en casa, pero también accesibles cuando estás fuera a través de tu propio sistema de almacenamiento personal en la nube. Con las opciones de almacenamiento de WD, como de la gama de discos My Book Live ® conectados a la red doméstica, puedes guardar contenidos desde tu PC, portátil, teléfono inteligente o tableta.
¡Prueba tu plan de copia de seguridad!
Tu software de copia de seguridad registra todos los problemas que haya tenido al guardar tus archivos, asegúrate que no ha perdido nada… podría ser justamente esa foto o video tan especial que nunca podrás repetir.
WD ofrece varios modelos de discos duros externos entre los que se encuentra un software de respaldo automático continuo que incluye My Passport, My Book for Mac, My Book Live y My Book Live Duo.
Tomado de: Diario TI
El número de teléfono de los usuarios de Facebook no es tan privado como parece
Sophos, compañía de seguridad TI y protección de datos, ha puesto sobre aviso sobre los números de teléfono de los usuarios de Facebook, que nos son tan privados como se cree.
Una manera por la cual la privacidad de Facebook puede ser motivo de abuso, se ha hecho pública, la cual sin duda sorprenderá a muchos usuarios. Sin embargo la propia red social parece considerarlo como una característica intrínseca.
De este modo, si un usuario introduce un número de teléfono en el buscador de Facebook, el sitio puede realizar una búsqueda inversa y decirle a quién pertenece dicho número telefónico, facilitando el nombre, la foto y el enlace a su perfil.
Aparentemente, el usuario tiene su privacidad correctamente configurada, de tal modo que el número de teléfono sólo puede ser visto por el usuario y sus amigos autorizados de Facebook. Sin embargo, se ha demostrado que no esto así, de tal modo que cualquier persona puede hacer una búsqueda de los datos del usuario con dicho número de teléfono
Esto puede suponer un problema ya que muchas empresas pueden utilizar números de teléfono para realizar campañas agresivas de marketing o cualquier otro uso de la información para la intromisión a la privacidad del usuario.
En definitiva, es decisión del usuario si su número de teléfono debe estar vinculado a su perfil de Facebook o no.
Cómo conseguir mayor privacidad del número de teléfono en Facebook
La solución consiste en acceder otra sección de configuración de privacidad denominada “Cómo conectas». El usuario puede ver que, por defecto, entre las diferentes opciones a “¿Quien puede buscarte en Facebook usando tu dirección de correo o el número de teléfono que indicaste?» es la opción “Todos».
Una vez más, Facebook ha elegido por defecto la opción menos privada acerca de los datos del usuario.
Para tener mayor control sobre el número de teléfono, de tal manera que se pueda limitar la búsqueda inversa del número, el usuario debe cambiar la configuración a “Amigos» o, al menos, “Amigos de amigos». Por supuesto, esto implica que la misma configuración aplicará a las direcciones de correo electrónico que el usuario tenga asociadas.
Ante esta situación Pablo Teijeira, Sales Manager de Sophos Iberia afirma “Facebook cada vez es más insistente en conseguir el número del móvil de sus usuarios. Durante mucho tiempo Facebook ha intentado conocer el número de móvil de los usuarios e incluso ha usado tácticas amenazantes para conseguirlo. Muchos usuarios tienen que darlo por temas de autenticación cuando crean una cuenta, o para ser usado como prueba de seguridad en caso de actividad sospechosa».
El consejo es que el usuario debe ser muy cuidadoso a la hora de compartir su número de teléfono en Internet. Debe mantener su número lejos de aquellos sitios en los que no crea que sea legítimo que se conozcan.
Para más información, puede visitar el Blog de Seguridad de Sophos Iberia sophosiberia.es
Tomado de: Diario Ti
Protección de datos confirma que Facebook no publicó mensajes privados de los usuarios
La Agencia Española de Protección de Datos (AEPD) ha archivado la denuncia de la asociación de consumidores Facua contra Facebook, en la que solicitaba una investigación para verificar si la red social había publicado mensajes privados de usuarios, al no encontrar filtraciones.
En concreto, la AEPD incide en que Facebook Ireland Limited, de la que depende la versión española de la página web, ha aportado documentación que prueba que no se ha producido tal publicación. Lo que sí que ha ocurrido es que, con la entrada en funcionamiento de la nueva interfaz de la red social, la denominada biografía, se han unificado de manera cronológica las distintas interacciones que han tenido los usuarios en el pasado, incluidas las conversaciones mantenidas en la modalidad ‘muro a muro’.
Estas conversaciones, establecidas públicamente por los usuarios, estaban repartidas entre los distintos muros de los participantes, pero ahora han pasado a quedar consolidadas en cada una de las biografías. Así, las respuestas publicadas por otros usuarios en sus muros, que antes no eran directamente visibles en el propio muro, han pasado a ser fácilmente accesibles en la biografía del usuario en un hilo unificado.
Asimismo, Facebook ha ratificado a la Agencia que los mensajes privados de los usuarios, almacenados desde antes de 2006 en el ‘Facebook Messages Inbox’, forman parte de una base de datos diferenciada del muro, que nunca ha sido cruzada con el contenido del muro o con la biografía de los usuarios. Además, ha confirmado que, como resultado de su investigación interna, no ha obtenido ninguna evidencia de que se hubiesen filtrado a las biografías de los usuarios interacciones privadas de estos con otros usuarios.
En relación con la puesta en funcionamiento de la nueva interfaz, la red social ha confirmado que los usuarios han dispuesto de un período de siete días para borrar u ocultar los contenidos antiguos antes de permitir el acceso a la biografía a las audiencias seleccionadas por ellos mismos.
Por todo ello, la AEPD asegura que, aunque la alerta despertada pone de manifiesto un déficit de información en los usuarios al respecto de la trascendencia de los cambios introducidos por la nueva interfaz de Facebook, no se han hallado evidencias de que los datos de carácter personal hayan experimentado una modificación no autorizada en la configuración de privacidad seleccionada, en particular, en lo referido a los contenidos voluntariamente publicados en el pasado a través de los respectivos muros.
Tomado de: 20minutos.es