Comienza hoy a operar la ley de Habeas Data en Colombia

banderacolombiaLa confirmación fue hecha por el superintendente, Pablo Felipe Robledo quien reveló que a partir de hoy entre en vigencia de la nueva ley de Habeas Data tras concluir el período de transición de seis meses. De esta forma, dentro de las funciones asignadas a la Superintendencia de Industria y Comercio, está la posibilidad de adelantar investigaciones, ordenar medidas correctivas para proteger el derecho de Habeas Data de los ciudadanos, ordenar el bloqueo temporal de los datos, ordenar la eliminación o corrección de información en una base de datos y administrar el Registro Nacional Público de Bases de Datos. De acuerdo con Robledo la Superintendencia está plenamente facultada para ejercer sus facultades de autoridad de vigilancia, y en consecuencia podrá tramitar reclamos de los ciudadanos y adelantar investigaciones por el incumplimiento de los deberes de los responsables y encargados del tratamiento. En caso de comprobarse la comisión de una infracción a dichos deberes, la delegatura para la Protección de Datos Personales podrá imponer multas de hasta dos mil salarios mínimos legales mensuales vigentes, ordenar la suspensión de actividades u ordenar el cierre temporal o definitivo de las operaciones relacionadas con el tratamiento de datos personales. Fuente: Caracol radio – enlace

Anuncios

1984, Facebook y como Orwell se quedó cortísimo

facebook-big-brother-gran-hermanoHoy leemos en el blog de Mariano Amartino, Denken Über, una nota que nos hace pensar que George Orwell se quedó cortísimo cuando escribió 1984.

Solemos decir desde el CPDP que por lo general se teme más a la entrega de datos al Estado que a empresas privadas como Facebook. Situación paradójica, si tenemos en cuenta que el Estado tiene competencia en nuestros tribunales, que hay funcionarios con nombre y apellido a quienes podemos denunciar y que hay una normativa vigente en nuestro país a nivel nacional y local que nos permite saber qué hace el Estado con nuestros datos. Mientras que, por el contrario, cuando confiamos nuestros datos a Google, Facebook, Yahoo, Twitter, etc, la competencia está ubicada en EEUU, y que, incluso, los organismos de seguridad de dicho país requieren los datos personales que necesiten sobre usuarios de dichas empresas sin que siquiera nos enteremos, estén en el lugar del mundo que estén dichos datos.

Pero bueno… Les sugerimos prestar atención a la nota que publicamos ayer sobre CISPA.

La nota que mencionamos al inicio reza: Facebook lo sabe… todo. Y sigue: “Finalmente el Retargeting con datos de Facebook Exchange y Google Data es oficial y con cuatro partners extras: Acxion, Datalogix, Epsilon y BlueKai cada uno con sus particularidades de forma de tener perfiles que, si antes eran precisos, ahora son casi tu persona.

Para darles una idea de la magnitud de estos datos; Facebook tiene más de 150 campos de datos personales explícitos que uno llena constantemente, luego tiene las relaciones y publicaciones que generan datos personales “inferibles” (si existe esa palabra :P) a los que se suman en orden de relevancia de privacidad:

  • Acxion: agrega datos de empresas financieras y datos penales.
  • Epsilon: transacciones en la “vida real ®” agregadas para conocer tus hábitos de consumo
  • Datalogix: similar pero categorizada (y dicen que anonimizada) especializada en datos de gastos de universidades
  • Chango: acceso a datos de buscadores para entender que buscás fuera de Facebook
  • BlueKai: que hace unas cookies específicas para marcas que permiten entender patrones de navegacion en sus sitios

Es interesante, los millones de terabytes usados en entender y apuntar publicidad a un segmento cada día más y más específico es (en cierto sentido) atemorizante ¿unir mi mundo social con mi perfil judicial y mis hábitos de compra offline más las búsquedas en Google? Y seamos honestos ¿cuanto falta para que además incluyan datos de aplicaciones y geolocalización en estos perfiles?

“Es en última instancia, bueno para los usuarios” … “Llegan a ver mejores anuncios, más relevantes, de marcas y empresas que les interesan y que tienen una relación previa con ellos”… “No hay información sobre los usuarios que está siendo compartidos que no han compartido ya.”

Esta frase es del director de producto de Facebook Gokul Rajaram, uno de los tipos que más me intrigan en la industria, y más allá del consabido “Es bueno para el usuario” el detalle de “no hay información que no se haya compartido ya” me deja intranquilo ¿eso implica que como ya se compartió ahora se combina y vuelve a compartir? ¿hasta que punto mis datos están siendo “transados en el mercado”?

Si, no soy naif ni inocente, si uno no paga por algo el producto es uno mismo pero.. lo que me preocupa es que las posibilidades de monetizacion de esto son infinitas y con tantos datos y la posibilidad de cruzar encima tu base de emails de clientes o potenciales clientes con los de registro para ir aún más a fondo con este targeting; y así hacer cosas realmente geniales 😉

Creo que poco a poco a medida que pase el tiempo y Facebook siga por este camino el valor de sus usuarios y promociones va a crecer exponencialmente y no tengo claro todavía si a la gente le molesta, o no, que se usen tantos datos para vender una app mas.”

Fuente: Denken Über – enlace

 

Google y Yahoo deberán indemnizar a una modelo argentina

Horacio Liberti, juez nacional en lo civil, decidió condenar a los buscadores de Internet Google y Yahoo por la utilización indebida y sin consentimiento del nombre e imagen de una modelo.

De esta manera, las compañías deberán indemnizar a María Dolores López con 700.00 pesos más intereses por la aparición de su nombre en páginas de contenido pornográfico y que publicaban ofertas de sexo.

La demanda, promovida en el 2006 por la modelo, fue aceptada por el juez, entendiendo que si bien la actividad de los buscadores es un procedimiento automático, las empresas involucradas son responsables por las consecuencias generadas.

Liberti juzgó como probada la difusión del nombre y las fotografías de López. Asimismo, para el magistrado los buscadores “posibilitaron el acceso a los sitios para la inclusión de las imágenes y menciones”.

Cabe señalar que la sentencia incluyó la orden para que dentro de 48 horas de quedar firme el fallo, los buscadores eliminen de forma definitiva de sus resultados de búsqueda la imagen y el nombre de la modelo vinculados a sitios Web de contenido sexual.

Fuente: Abogados.com.ar – enlace

#CISPA y el futuro de la privacidad en Google, Facebook, Twitter y otros

1366180045_0Nota de P. Romero para El Mundo de España.  La futura normativa sobre seguridad en la Red que recoge el proyecto legislativo HR 3523 en EEUU, bautizado como CISPA (Cyber Intelligence Sharing and Protection Act), impedirá que compañías como Google, Facebook o Twitter se comprometan a proteger su privacidad de sus usuarios.

La Cámara de Representantes de EEUU ha rechazado una enmienda que hubiera garantizado a los usuarios la vigencia de las políticas de privacidad y términos de uso, de modo que seguirían siendo válidas y exigibles en el futuro, informa CNET News.

La enmienda, de sólo seis líneas, proponía modificar la última versión de CISPA de modo que se prohibiera a una compañía “violar un contrato con cualquier otra parte”, incluyendo a los términos de uso del servicio acordado.

CNET News informa de que la enmienda fue rechazada por 8 votos a 5, después de que el senador republicano Peter Sessions indicara a sus colegas votar contra ella, frente a los votos afirmativo de los demócratas .

‘Ciberseguridad’ en sentido amplio

El texto de CISPA -presentado a finales de 2011 por los representantes Mike Rogers y Ruppersberger- propone, en origen, una revisión de la normativa de seguridad nacional (National Security Act) de 1947 con la finalidad de facilitar más intercambios de información sobre ‘ciberamenazas’ entre el Gobierno de Washington y el sector privado, o entre las propias empresas privadas. La idea es que la Administración pueda combatir ‘ciberamenazas’ en tiempo real con ayuda de la industria de Internet.

La definición de “información sobre ciberamenazas” es amplísima, se refiere a cualquier información sobre vulnerabilidades o amenazas a redes, así como cualquier intento por “degradar, interrumpir o destruir” tales sistemas o redes, además del robo o la “apropiación indebida” de información privada o gubernamental, incluida la propiedad intelectual.

Por esa indefinición, varias entidades y asociaciones como la Asociación Americana de Bibliotecas, la Unión Americana de Libertades Civiles, la Electronic Frontier Foundation y Reporteros sin Fronteras se han manifestado abiertamente en contra y alertan de que podría amenazar de forma importante la privacidad de los usuarios.

Amenaza de veto

Por otro lado, la Casa Blanca ha vuelto a amenazar con vetar el proyecto al alegar, entre otras cosas, serias preocupaciones sobre protección de la privacidad, informa la agencia Reuters.

El proyecto incluye ciertos cambios respecto del de finales de 2012, como una disposición que obliga a las empresas a usar la información que reciben exclusivamente con fines de seguridad cibernética. También incluye algunas acciones para proteger la privacidad y la supervisión de las libertades civiles.

“Se han aprobado varias enmiendas en un esfuerzo de buena fe para incorporar algunas preocupaciones de fondo importantes de la administración. Sin embargo (…) todavía no aborda adecuadamente estas prioridades fundamentales”, dijo Caitlin Hayden, portavoz del Consejo de Seguridad Nacional.

Michelle Richardson, de la Unión Americana de Libertades Civiles, afirmó que la amenaza de veto está “totalmente justificada” y aseguró, citada por Reuters, que esto no presagia nada bueno para el futuro del proyecto de ley en el Senado.

El pasado año, la Cámara de Representantes ya tramitó CISPA de forma urgente, como una medida para la lucha contra el ‘ciberterrorismo’, aunque la propia Casa Blanca frenó el proyecto porque debía preservar “la privacidad, la confidencialidad de los datos y las libertades civiles de los estadounidenses”.

Leer más de esta entrada

El gobierno de EEUU tiene acceso a los servidores de Google en todo el mundo

Las autoridades estadounidenses tienen pleno acceso a los datos almacenados en la nube de Google, incluso si el material se encuentra fuera de los servidores instalados en su país.

En el año 2011, medios estadounidenses revelaron que las autoridades de ese país pueden acceder sin inconveniente alguno a los datos almacenados en la nube de Microsoft. Para ello, sólo requieren invocar la denominada Ley Patriótica.

Las agencias gubernamentales de EE.UU. enviaron un número récord de solicitudes a Google en 2012 para obtener los datos personales de sus usuarios, incluyendo los del correo electrónico, según la estadística revelada por la compañía estadounidense

El número total de estas solicitudes, según publica Google, ascendió a 13.753. Las agencias solicitaron la información acerca de más de 31.000 personas y en la mayoría de los casos lo hicieron sin orden judicial.

La ley federal permite a las agencias del Gobierno acceder a los archivos de Gmail, el correo electrónico de Google, y a algunos otros datos, como la información de usuario en YouTube y en blogs, sin necesidad de obtener una orden de registro.

Si las autoridades quieren acceder al contenido privado de Gmail, escuchar un mensaje de voz enviado a través del servicio telefónico Google Voice u obtener las direcciones IP de los usuarios, sí que tiene que presentar dicha orden bajo lo establecido por la ley federal.

Debido a que casi todas las solicitudes están vinculadas con algún tipo de investigación criminal, la compañía normalmente no notifica a los usuarios cuando el Gobierno exige leer sus correos electrónicos o acceder a la información de su cuenta. Sin embargo, Google asegura que si está legalmente autorizado a informarlos, trata de hacerlo.

“Notificamos a nuestros usuarios acerca de la solicitud de sus datos, salvo que esté prohibido por la ley o por orden judicial”, dice la compañía en su portal de transparencia.

Google anunció en junio de 2012 que tenía unos 425 millones de suscriptores activos de Gmail, por lo que este es el mayor servicio de correo electrónico en el mundo. Desde el año 2011, Google publica informes semestrales sobre las solicitudes de datos de sus usuarios depositados en sus servidores, que reciben por parte de las agencias gubernamentales de todo el mundo, incluidas las de EE.UU.

Según la publicación alemana Wirtschaftswoche parecida ya en el 2011, estas facultades del gobierno estadounidense van mucho más allá de sus fronteras, ya que la Ley Patriótica le faculta para obtener información almacenada en la nube por empresas y organizaciones europeas. La ley no obliga en lo absoluto a EEUU a dar aviso a los afectados.

Google, por su parte, ha confirmado que los servicios de inteligencia de Estados Unidos en varias oportunidades le han solicitado entregar información sobre sus usuarios. Al hacerlo, para tales servicios es indiferente que la información solicitada esté almacenada en servidores situados fuera de su área de jurisdicción; es decir, en Estados Unidos.

Respondiendo una consulta de la publicación Wirtschaftswoche, Google indicó en su momento que las autoridades estadounidenses “tienen acceso a los datos almacenados fuera de Estados Unidos”. Según Wirtschaftswoche, parece ser una práctica totalmente aceptada que los servicios policiales y de inteligencia de Estados Unidos soliciten acceso a datos físicamente almacenados en servidores europeos.

La publicación agrega que todos los proveedores de servicios en la nube, con sede en Estados Unidos, pueden verse obligados a entregar información a las autoridades estadounidenses, que en algunos casos incluso dan instrucciones al proveedor del caso de no informar al cliente afectado.

El tema es interesante en un mundo donde el almacenamiento de la información es cada vez más globalizado. Cuando una empresa opta por almacenar sus datos en la nube desaparecen las fronteras geográficas y políticas. En otras palabras, un cliente de un país X que opta por almacenar sus datos en la nube de Microsoft o de Google, acepta que estos datos sean puestos a disposición de las autoridades estadounidenses si estas lo estiman conveniente, incluso sin informarle.

En este contexto, muchas empresas se preguntarán entonces qué alternativa es más adecuada: almacenar los datos en una nube internacional o en un servidor propio.

El debate surgió cuando Microsoft lanzó Office 365, que incluye versiones de Office, Sharepoint, Exchange y Lync, basadas en la nube. El servicio permite a empresas de todo el mundo tener acceso a las soluciones de almacenamiento en la nube de Microsoft. Al menos en Europa, la política global de Microsoft -combinada con las amplias facultades que tienen las autoridades estadounidenses mediante la Ley Patriótica- podría verse en dificultades debido a las leyes europeas de protección de datos, que requieren que la información personal no sea enviada fuera de la UE.

Por largo tiempo se ha sabido que las autoridades estadounidenses pueden tener acceso a los datos de empresas extranjeras, almacenados en data centers de EEUU. La novedad es que Microsoft y Google han confirmado que los datos almacenados en servidores europeos pueden ser transmitidos a Estados Unidos si las autoridades de ese país así lo requieren.

Fuente:

RT – enlace

ZonaVirus – enlace

Globalgate – enlace

BackupTechnology – enlace

El tráfico de datos, un sector mueve millones de dólares en EE.UU.

2013040953winNota de Miguel Ángel Criado para Teknautas, de El Confidencial. Hay empresas que saben más de ti que tú mismo. Google y Facebook, por ejemplo, registran toda la actividad que realizas en sus servicios y la rentabilizan con publicidad. Es el precio a pagar por disfrutar gratis de sus buenos productos. Pero, al menos en teoría, no comercian con tus datos. De eso se encargan lo que en Estados Unidos llaman ‘data brokers’. En ese país el negocio de la información personal ha alcanzado tales dimensiones que tanto el Gobierno como las dos cámaras lo están investigando. Europa, y en particular España, tienen en sus leyes de privacidad un dique de contención que algunos dudan de que aguante la riada que viene.

Algunas empresas de datos recopilan información sobre familias que esperan un hijo, otras se hacen con los tiques de compra del supermercado, las hay que saben qué dinero se dona a una ONG o que graban las matrículas de los coches que pasan ante sus cámaras. Su objetivo es, mediante la tecnología, rentabilizar toda esa información. ¿Sus compradores? Los anunciantes que sueñan con la publicidad personalizada, los bancos o prestamistas que quieren saber el historial crediticio de los usuarios o los políticos a la caza de indecisos.

Hoy, más que nunca, los datos son poder.

No hay estimaciones fiables de lo que mueve el negocio de la información personal. Pero, para hacerse una idea, la empresa Acxiom, por ejemplo, asegura en su memoria anual contar con datos de 500 millones de personas de todo el mundo. Entre los servicios que ofrece, están indicadores sociodemográficos como nombres, direcciones, niveles de renta y hasta la raza. Epsilon, firma que ofrece datos sobre lo que llaman eventos de vida, como si uno ha sido padre recientemente o acaba de comprar una casa, dice contar con información de 280 millones de personas. Mientras, Rapleaf se vanagloria en su página web de contar con datos en tiempo real del 80% de las direcciones de correo de Estados Unidos.

Las tres empresas están siendo investigadas en Estados Unidos por distintos organismos. La Comisión Federal del Comercio (FTC) de ese país, tiene abierta una investigación a Axciom y Rapleaf, junto a otra decena de compañías. Quiere saber de dónde obtienen la información, qué hacen con ella y qué opciones dan a los usuarios sobre sus datos. Dos comisiones tanto del Senado como de la Cámara de Representantes también abrieron sus propias investigaciones. En total, una treintena de ‘data brokers’ están bajo su lupa.

Leer más de esta entrada

Encuentro entre la ONTI y el CPDP

Logotipo_OntiEn el marco de una serie de encuentros con diversos organismos nacionales e internacionales que viene llevando a cabo el Centro de Protección de Datos Personales, se realizó este 15 de abril de 2013 una reunión de trabajo con la Oficina Nacional de Tecnologías de la Información en su sede de la Av. Roque Sáenz Peña.

En la misma participaron el Director Nacional de la ONTI, Pedro Janices, la Jefa de la Oficina de Registros del CPDP, Inés Tornabene, y sus equipos técnicos, E. Belaustegui, del GAP (Grupo de Acción Preventiva, ONTI), Mariano Gasipi, del ICIC (Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad, ONTI), Agustina Callegari (Oficina de Registro, CPDP) y Javier Raimo (Oficina de Denuncias e Investigación, CPDP).

Debido al interés en la temática de la protección de los datos personales en las infraestructuras críticas de información y ciberseguridad y en las pautas de seguridad de la información que deben regir en materia de bancos de datos personales públicos, el CPDP planteó la necesidad de adherirse al programa ICIC de la ONTI a fin de adoptar los mismos criterios que se siguen a nivel nacional.

Asimismo, y detentando la ONTI la vicepresidencia del grupo de trabajo en materia de cibercrimen ante CEPAL desde la IV Conferencia Ministerial de Montevideo, también se propuso la adhesión del CPDP dicho grupo de trabajo.

 

Ataque de #Anonymous a sitios del gobierno argentino y empresas privadas

20130414-150923.jpg

Desde el blog de seguridad de la información Segu-Info se notifica que en el día de ayer, sábado 13 de abril de 2013, se ha lanzado una nueva #OPFuckGobierno por parte de Anonymous, atacando más de 100 sitios gubernamentales GOB.AR y de grandes empresas privadas de Argentina, en una operación de ataques de DDoS y Defacing.

Algunos de los sitios con Deface se pueden ver de la siguiente manera:

20130414-150736.jpg

Otros sitios directamente han dejado de responder luego del DDoS y en algunos casos se ha publicado información de correos electrónicos de algunas organizaciones del estado y dump de bases de datos.

Leer más: Segu-Info: Más de 100 sitios argentinos atacados por Anonymous #OPFuckGobierno http://blog.segu-info.com.ar/2013/04/mas-de-100-sitios-argentinos-atacados.html#ixzz2QSjuuPlv
Under Creative Commons License: Attribution Non-Commercial Share Alike
Mucho más de Seguridad Informática Segu-Info

La Declaración de Lima

20130414-143143.jpg

El pasado viernes 12 de abril de 2013, fue presentada, en la ciudad de Lima (Perú), en el transcurso del Seminario de Derecho Constitucional la primera Declaración emanada en el seno del Observatorio Iberoamericano de Protección de Datos. El seminario, organziado por la prestigiosa Sociedad Iusfilosfica Atlantida, contó con las intervenciones del Doctor Luis Saenz Davalos (El contenido especial de los Derechos Fundamentales en la jurisprudencia del Tribunal Constitucional) y del Doctor Jose Reynaldo Lopez Viera (El Neoconstitucionalismo y sus implicancias en el derecho. Análisis y críticas), quien dió lectura de la Declaración.

La Declaración de Lima, hacia la unificación de criterios sobre protección de datos en Iberoamérica, contó en su elabroación con la particpación de expertos de España, Argentina, Colombia, Ecuador y Perú, entre los que cabe reseñar el Prof. Emilio Suñé Llina, el propio José Reynaldo Lopez Viera, la Dra. Ines Tornabene, Óscar Costa Roman, Marta Sánchez Valdeón, los abogados Andrés Blázquez García, Romina Florencia Cabrera, Camilo Alfonso Escobar Mora, José María Fernández-Varela Villamor y Damián Armijo Álvarez, coordinados por Daniel A. López Carballo.

La Declaración nace como reflexión y exposición de la situación de la situación actual en materia de protección de datos en Iberoamérica y las líneas programáticas por los que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas, en una rama del derecho tan necesaria y en ocasiones desconocida por los ciudadanos,

El Seminario organizado por la Sociedad Iusfilosofica Atlantida, tuvo lugar en el Auditorio de la Corte Superior Lima-Norte en la capital peruana y contó con la colaboración del Instituto Español de Investigación y Formación Internacional y Comité de Damas del Poder Judicial. Auspiciado por el Observatorio Iberoamericano de Protección de Datos, Centro de Educación Jurídica Superior Derecho en Acción y Instituto Peruano de Cultura y Pefeccionamiento

El texto completo puede accederse a través del siguiente enlace.

Fuente: Observatorio Iberoamericano de Protección de Datos – enlace

Nuevo “virus de la policía” incluye imágenes de pedofilia

El blog de seguridad de la información español “Protegerse” analiza el “Virus de la Policía”, una amenaza del tipo ransomware que bloquea el sistema y pide a cambio una cantidad económica a los usuarios si quieren volver a poder utilizarlo.

“Protegerse” señala que han investigado nuevas variantes que van apareciendo con técnicas novedosas para intentar que más usuarios cedan ante el chantaje de los ciberdelincuentes. Hasta ahora investigaron cómo se suplantaban cuerpos de seguridad de varias nacionalidades, se activaba la cámara del ordenador infectado para hacer creer al usuario que estaba siendo monitorizado e incluso se buscaba en el historial de navegación para ver si se había consultado algún sitio de contenido pornográfico.

No obstante, una de las últimas variantes detectadas va un paso más allá y utiliza imágenes pedófilas para crear alarma entre los usuarios y hacer que estos cedan e ingresen el dinero solicitado. Nuestros compañeros del blog Naked Security de la empresa Sophos han alertado de esta nueva variante localizada, y que de momento está afectando a ordenadores en Alemania, tal y como se ve en la imagen a continuación:

eset_nod32_ransomware_alemaniaA pesar de que solo se haya localizado esta variante, es cuestión de tiempo que esta estrategia se aplique a las variantes utilizadas en otros países, siempre que consiga el éxito deseado por los ciberdelincuentes. El uso de este tipo de imágenes cruza una peligrosa línea y demuestra que para los perpetradores de estos delitos no hay moral que valga y que están dispuestos a hacer lo que sea para conseguir su objetivo, aunque esto incluya repulsivas imágenes de menores desnudos. Leer más de esta entrada