Vodafone multada con más de 12 millones de euros por telemarketing ilegal

Según publica la asociación contra el SPAM, la operadora de telecomunicaciones VODAFONE ha sido sancionada con 12 millones de euros por prácticas agresivas de telemarketing en llamadas telefónicas no solicitadas (SPAM telefónico) por la autoridad de control en materia de protección de datos de Italia.

Más información en su fuente original: https://asociacioncontraelspam.com/vodafone-multada-con-mas-de-12-millones-de-euros-por-telemarketing-ilegal

Webinario ‘¿Cómo utiliza los datos la Inteligencia Artificial?’ en el ciclo ‘Mujer y ciencia’

Webinario ‘¿Cómo utiliza los datos la Inteligencia Artificial?’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 11/25/2020

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD ha promovido un ciclo de debates (webinarios: eventos o seminarios en línea) sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’ con el que pretende abrir un debate riguroso sobre temas de actualidad.

La sexta de las ponencias de este ciclo, que puede verse a continuación, contiene la intervención de Elena González Blanco, General Manager de Europa en insurtech Coverwallet, profesora en el IE de Inteligencia Artificial aplicada a negocio y experta en Transformación Digital e Innovación. Investigadora de prestigio internacional, lidera POSTDATA, un proyecto de investigación europeo de excelencia ERC sobre tecnología lingüística y web semántica. Fue Directora y fundadora del primer Laboratorio de Innovación en Humanidades Digitales en España, y miembro de numerosos comités internacionales.

Elegida nº 1 en 2018 y 3 en 2019 del Ranking Choiseul «Líderes Económicos del futuro de España”, y como una de las Top 100 mujeres de España en 2016, 2017 y 2018 del certamen www.lastop100.com y galardonada con el premio de investigación Julián Marías 2017 para menores de 40 años.

Su conferencia llevará por título ‘Innovación, protección de datos y transformación digital: ¿Cómo utiliza los datos la Inteligencia Artificial?’.

 

Más webinarios del ciclo Mujer y Ciencia

Los webinarios realizados con anterioridad pueden verse aquí:

La AEPD publica una guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas

La AEPD publica una guía que analiza el uso de nuevas tecnologías en las Administraciones Públicas
rperezm
Jue, 11/19/2020

  • El documento examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities
  • La Guía evalúa el impacto que pueden tener estas tecnologías en la protección de datos, poniendo de manifiesto los riesgos inherentes a las mismas, y señala las salvaguardas que deben implementar las AAPP
  • El tratamiento de datos personales por parte de las AAPP tiene un riesgo característico debido a la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanía
  • La Guía está orientada a personas Delegadas en Protección de Datos de las AAPP pero también es de utilidad para las empresas contratadas por estas, que actúan como encargadas de tratamiento
  • Acceso a la Guía Tecnologías y Protección de Datos en Administraciones Públicas

 

(Madrid, 19 de noviembre de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tecnologías y Protección de Datos en Administraciones Públicas, en la que analiza algunas de las tecnologías que están aplicándose en las AAPP, los riesgos inherentes a su uso en lo relativo a la protección de datos personales y las salvaguardas que deben ser implementadas por estas. La Guía examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities. Su contenido se ampliará en versiones sucesivas, extendiéndolo a otras tecnologías específicas.

Los servicios implementados en las AAPP están guiados por el servicio público, si bien el tratamiento de datos personales que realizan tiene un riesgo característico derivado de la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanía. Las AAPP, como entidades responsables del tratamiento de los datos de los ciudadanía, antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados, deben identificar los riesgos a los que puede estar expuesto el tratamiento y adoptar las medidas técnicas y organizativas que permitan eliminar o al menos mitigar los daños que pudieran derivarse del mismo para los derechos y libertades de las personas.

En cuanto al cloud computing, con sus indudables ventajas, presenta riesgos como la privacidad de la información almacenada, la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y las aplicaciones utilizadas. En el caso de las AAPP, por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis. No es improbable que en los servicios en la nube se produzcan brechas de seguridad que pongan en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales, con consecuencias para los derechos y libertades de las personas físicas. Un ciberataque, un mal funcionamiento del sistema o un error humano pueden poner en peligro los datos de la ciudadanía. La gestión del riesgo de seguridad de la información no recae de forma exclusiva en la empresa proveedora del servicio que actúa como encargada de tratamiento, sino que corresponde a la Administración determinar las medidas de seguridad que debe de exigir al encargado y que, obligatoriamente, han de quedar reflejadas de forma contractual.

Por otro lado, en la fase de diseño de los tratamientos de Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente, ajustarse al principio de minimización de datos y no adoptar estrategias en las que se recurre a recoger la máxima cantidad posible de datos. La Guía recoge que este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento, como los realizados en las Smart Cities. El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una evaluación del riesgo, requiriendo la realización de una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, de una consulta previa a la Autoridad de Control.

Además, el documento alerta del enriquecimiento de la información de una misma persona con datos de distintas fuentes, lo que puede derivar en nuevas conexiones o matices de su personalidad que por separado no se habrían manifestado. “Es posible incluso que, al cruzar varias fuentes de datos que supuestamente eran anónimas, por agregación de datos, se revele la identidad de personas concretas”, añade. La Agencia recomienda medir, evaluar y gestionar los riesgos de reidentificación, tomando las medidas necesarias para reducir la probabilidad de esa reidentificación, con consecuencias de gran impacto en caso de categorías especiales de datos como los datos médicos, de menores o de personas en condiciones de especial vulnerabilidad.

Parte de estos riesgos también se aplican a las smart cities: “incluso cuando se recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial o el empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca “las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.

Las personas destinatarias de esta Guía son principalmente las personas Delegadas de Protección de Datos de las AAPP y las empleadas y empleados públicos encargados de promover, gestionar y utilizar estas tecnologías en la Administración, aunque también puede ser útil a empresas que trabajen como encargadas de tratamiento o desarrolladoras de aplicaciones para las AAPP, así como a la propia ciudadanía, para entender cómo les afectan estas tecnologías en los servicios que les presta la Administración.

Guías específicas para ampliar información

Este documento tiene el propósito de exponer algunos aspectos característicos de estas tecnologías con relación a la protección de datos cuando son empleadas por las AA.PP. y que vienen a complementar lo ya establecido en el RGPD, la normativa nacional y sectorial y las guías específicas ya publicadas como la Guía y listado de Cumplimento Normativo, Guía de protección de datos y Administración Local, Código de buenas prácticas en proyectos Big Data, Guía para clientes que contraten servicios de Cloud Computing, Guía sobre el uso de Cookies, Guía de adecuación al RGPD de los tratamientos que incorporen IA, Guía de Privacidad desde el Diseño, Guía de Protección de Datos por Defecto, Guía práctica para el Análisis de Riesgos y Guía práctica para la realización de Evaluaciones de Impacto en protección de datos o Guía para la gestión de las Brechas de Seguridad.

Webinario ‘Smart cities: más allá de la seguridad, la privacidad de los ciudadanos’ en el ciclo ‘Mujer y ciencia’

Webinario ‘Smart cities: más allá de la seguridad, la privacidad de los ciudadanos’ en el ciclo ‘Mujer y ciencia’
rperezm
Mié, 11/11/2020

En el marco de los compromisos de la Agencia en materia de Responsabilidad Social y Sostenibilidad, especialmente en el ámbito de la tecnología y la protección de datos y de la igualdad de género, la AEPD ha promovido un ciclo de seis debates (webinarios) sobre ‘Innovación y Protección de Datos. Mujer y Ciencia’ con el que pretende abrir un debate riguroso sobre temas de actualidad.

La quinta de las ponencias de este ciclo, que puede verse a continuación, contiene la intervención de Sara Degli-Esposti, investigadora Juan de la Cierva en el Instituto de Políticas y Bienes Públicos (IPP) del CSIC, investigadora honoraria en Centre for Business in Society de la Universidad de Coventry (Reino Unido), y profesora en la Escuela Politécnica Superior de la UAM y la Universidad Nebrija. Es Directora Científica e IP del proyecto H2020 sobre desinformación TRESCA y parte del equipo del proyecto Cynamon. Su investigación se centra en cumplimento normativo con las leyes de protección de datos, el tradeoff privacidad-(vigilancia)-seguridad, y la ética y gobernanza de los algoritmos.

Su conferencia lleva por título ‘Smart Cities: más allá de la seguridad, la privacidad de los ciudadanos’.

Más webinarios del ciclo Mujer y Ciencia

Los webinarios realizados con anterioridad pueden verse aquí:

 

Cifrado y Privacidad IV: Pruebas de conocimiento cero

Cifrado y Privacidad IV: Pruebas de conocimiento cero
rperezm
Mié, 11/04/2020

Las pruebas de conocimiento cero o ZKP (del inglés zero-knowledge proof) dan nombre a un conjunto de técnicas que permiten la implementación de dos medidas establecidas en el art. 25 del RGPD: la minimización y la limitación en la accesibilidad a los datos. La particularidad de las ZKP es que permiten demostrar que se dispone de una determinada información sin que se exponga dicha información. Son, por lo tanto, una herramienta para implementar el principio de minimización en contextos distribuidos, como servicios de Internet en general, cloud computing, blockchain, etc.

Supongamos que un usuario de 19 años quiere acreditar que es mayor de 16 años a un servicio de Internet, a través de la red, sin revelar su verdadera edad ni su identidad. Para ello se podría ejecutar el siguiente procedimiento:

  • Ante un tercero de confianza, dicho usuario acredita su edad. El usuario genera un número aleatorio, llamado N, que no tenga que ver con su edad y que guarda de forma confidencial.
  • A partir de ese número se genera otro, denominado PRUEBA, que se obtiene de aplicar sobre N una función hash tantas veces como la diferencia entre la edad actual y la mayoría de edad sumando 1. Es decir:

PRUEBA = Hash 1+edad-16 (N)

En este caso PRUEBA = Hash 4 (N) = Hash(Hash(Hash(Hash(N))))

  • El valor PRUEBA obtenido se almacena en un servidor del tercero de confianza en una dirección accesible desde Internet con una URL construida con valores aleatorios, por ejemplo, URL (XXXX).
  • El usuario conserva el valor N y la dirección URL (XXXX). Mientras, en el servidor del tercero de confianza queda almacenado el valor PRUEBA accesible desde Internet en la dirección URL (XXXX) y desvinculado de la identidad personal del usuario.
  • Más tarde, dicho usuario quiere acreditar ante un servicio de Internet que es realmente mayor de 16 años. Para ello envía al servicio de Internet dos datos:

La dirección URL (XXXX),

Su edad codificada de forma no legible de la siguiente forma: EDADhash = Hash 1+edad(N).

Es decir, no calcula el hash de su edad, sino que realiza el hash del valor N que estableció al principio, pero tantas veces como años tiene el usuario más uno. En nuestro ejemplo, realizaría el hash del valor N que conserva de forma confidencial 20 veces:

EDADhash = Hash 20 (N).

  • El servicio de Internet, haciendo uso de la URL (XXXX) proporcionada por el usuario, consigue el valor PRUEBA allí almacenado. A continuación, a dicho valor le aplica la función hash tantas veces como la edad mínima que hay que demostrar, en este caso 16 años:

VERIFICA = Hash 16 (PRUEBA) = Hash 16 (Hash 4 (N)) = Hash 20 (N) = EDADhash

Por lo tanto, el servicio de Internet (en este caso llamado “verificador”) al comprobar que el valor VERIFICA coincide con el valor EDADhash puede establecer que el usuario (en este caso llamado “probador”) es mayor de 16 años. Esto lo ha conseguido sin que el usuario revele su edad concreta al servicio de Internet, ni sus datos de identidad y sin que dicha información viaje a través de la red. Este es un ejemplo de prueba de conocimiento zero, o ZKP, cuyo funcionamiento se puede comprobar en esta página web.

Blog - Cifrado y privacidad IV -2
Ejemplo práctico del algoritmo tomando como valor inicial N=12345667

El anterior protocolo se puede considerar que es una ZKP porque se cumple con tres requisitos:

  • Completitud (o integridad): si la declaración es correcta el verificador (servicio de Internet en este caso) tiene una seguridad razonable de lo que dice el probador (el usuario) es cierto.
  • Solidez (o robustez): si la declaración es falsa, es muy improbable que el probador pueda engañar al verificador.
  • Conocimiento cero: si la declaración es correcta el verificador no puede inferir información adicional sobre el probador, en este caso el usuario.

Las ZKP se basan en técnicas criptográficas, que a su vez se fundamentan en la utilización de algoritmos y funciones de muy difícil reversibilidad, como pueden ser cifrados, funciones hash o la utilización de aritmética modular. Por lo tanto, son pruebas que permiten dar una certeza probabilista, no absoluta, sobre si la información es correcta o no. A la hora de aplicar una ZKP en el diseño de un tratamiento es necesario evaluar si dicha incertidumbre alcanza valores lo suficientemente bajos para que el riesgo sea asumible en el marco de dicho tratamiento concreto.

Las debilidades de los sistemas ZKP, como el mostrado en el ejemplo, derivan de la diferencia que siempre se va a encontrar entre el concepto teórico y la aplicación práctica. Es decir, el riesgo para los derechos y libertades surge de la distancia que existe entre el planteamiento de algoritmos y procedimientos, y la implementación real de estos en un contexto técnico, organizativo y legal concreto.

La implementación concreta de un sistema como el mostrado podría tener, entre otras, las siguientes debilidades:

  • La vinculación realizada en el tercero confiable entre la URL(XXXX) y la identificación del sujeto.
  • El perfilado que podría realizar el tercero en base a la URL(XXXX) y el conjunto de servicios de Internet que reclaman acceso a la misma.
  • Elección de valores vulnerables en la construcción de la URL.
  • La debilidad en la robustez o aleatoriedad de los valores iniciales, en este caso la semilla inicial N (en otros tipos de ZKP en búsqueda de números primos).
  • Los metadatos asociados a los intercambios de información entre el sujeto, el tercero confiable y, sobre todo, el servicio de Internet.
  • El cruce de metadatos o huella del dispositivo entre distintos servicios de Internet.
  • El análisis de la información de tráfico en el acceso al usuario, tercero y servicios de Internet.
  • El compromiso del terminal del usuario o brechas de seguridad en los servidores del tercero.
  • La falta de aplicación del principio de minimización de datos en los servidores del tercero o los servicios de Internet accedidos.

En definitiva, estas debilidades surgen de la de carencia de una gestión de riesgos para los derechos y libertades más allá del concepto que tenga en cuenta también el diseño y la implementación de los ZKP. Estas debilidades pueden verse a su vez acentuadas por la carencia de acciones de revisión y supervisión (art.24.1 del RGPD), como pueden ser las auditorías, que son imprescindibles en el despliegue y  en la puesta a producción a gran escala y en contextos concretos.

Existen muchos tipos de ZKP y no existe una sistemática en el desarrollo de este tipo de soluciones. Incluso hay métodos de ZKP no vinculado a tratamiento digital y que se emplean para comprender intuitivamente este concepto.

Las ZKP se pueden categorizar en las que son interactivas, o que precisan que para cada verificación se interactúe con el sujeto/probador. También en ZKP no-interactivas (NIZK, ZK-SNARK o ZK-STARK), en las que el servicio/verificador puede comprobar la veracidad por sí mismo, sin necesidad de interaccionar con el probador. Estas últimas son más interesantes por ser más escalables. También es pueden clasificar en aquellas orientadas específicamente para comparaciones, como la comprobación de valores en determinados rangos (Zero Knowledge Range Proofs o ZKRP) o la inclusión en conjuntos (Zero Knowledge Set Membership o ZKSM).

Las ZKP son una herramienta que permiten la implementación de dos medidas establecidas en el art. 25 del RGPD: la minimización y la limitación en la accesibilidad de los datos. Estas medidas hay que implementarlas tanto por defecto como desde el diseño. Las aplicaciones de esta técnica son muy diversas: comprobación de límites de edad, comprobación de condiciones como nacionalidad, voto electrónico, compras, subastas, confidencialidad en las transacciones, análisis de provisiones de fondos, demostrar solvencia financiera, privacidad en blockchain, etc. Como en el ejemplo mostrado, la ZKP no elimina la información personal, de hecho, existe un identificador único, la dirección URL(XXXX), asociada a un sujeto, pero sí pueden ser potentes herramientas de seudonimización.

Finalmente, se aconseja seguir las recomendaciones elaboradas por la AEPD para aplicar los principios de minimización que se pueden encontrar en la página de Innovación y Tecnología, en particular:

 

El Canal INFORMA_RGPD se rediseña para ayudar en sus funciones a los Delegados de Protección de Datos

El Canal INFORMA_RGPD se rediseña para ayudar en sus funciones a los Delegados de Protección de Datos
rperezm
Mar, 11/03/2020

La Agencia Española de Protección de Datos ha rediseñado su canal INFORMA_RGPD, que pasará a llamarse Canal_DPD y que tiene como objetivo canalizar las consultas que plantean los Delegados de Protección de Datos a la Agencia.

El nuevo Canal_DPD da un servicio específico a los Delegados de Protección de Datos del sector público y privado, de designación obligatoria y voluntaria, y previamente comunicados a la Agencia. El número total de entidades que han comunicado su DPD a la AEPD en este momento supera los 63.000.

La AEPD presentó INFORMA_RGPD en febrero de 2018, tres meses antes de la aplicación del Reglamento General de Protección de Datos (RGPD), para ayudar a responsables, encargados y DPDs con la adaptación al nuevo marco normativo. Transcurridos más de dos años de la aplicación efectiva del Reglamento, el Canal INFORMA_RGPD, con cerca de 7.000 consultas atendidas, da por cumplido su objetivo de ayudar y facilitar las tareas de adaptación a la entonces novedosa regulación.

Durante este tiempo la Agencia ha ido presentando una amplia batería de servicios para facilitar la aplicación y el cumplimiento del RGPD. Facilita_RGPD, Facilita_EMPRENDE, Gestiona_EIPD, Comunica-Brecha_RGPD, además de guías, directrices y orientaciones, son algunas de las herramientas y materiales que están a disposición de responsables y encargados para dar soporte en aquellas dudas y cuestiones que puedan derivarse de la aplicación de la normativa.

Con este rediseño la Agencia quiere potenciar la figura creada por el RGPD en el marco del principio de responsabilidad proactiva, ofreciendo un servicio más eficaz. Los requisitos y condiciones de uso del Canal DPD se encuentran accesibles en: https://www.aepd.es/es/guias-y-herramientas/herramientas/canalDPD

Comunidad de DPD en el INAP

La Agencia participa también en la comunidad de Delegados de Protección de Datos de las AAPP que está disponible en la plataforma del Instituto Nacional de Administración Pública (INAP), un espacio colaborativo para compartir y discutir experiencias y dudas relacionadas con las funciones asignadas a las personas y equipos que ejercen estas funciones en el ámbito de las Administraciones Públicas.

 

La AEPD aprueba el primer Código de Conducta bajo el RGPD

La AEPD aprueba el primer Código de Conducta bajo el RGPD
rperezm
Mar, 11/03/2020

El Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria ha sido presentado por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL)

La Agencia Española de Protección de Datos, en el ejercicio de las funciones atribuidas por el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, ha aprobado el primer código de conducta y acreditado a su organismo de supervisión conforme a lo dispuesto en los artículos 40 y 41 del RGPD y 38 de la LOPDPGDD.  

El Código de Conducta de Tratamiento de Datos en la Actividad Publicitaria ha sido presentado por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL), cuyo contenido principal es el establecimiento de un sistema extrajudicial para tramitar reclamaciones sobre protección de datos y publicidad, ágil, eficaz y gratuito para las personas consumidoras.

El RGPD establece que las autoridades de control promoverán la elaboración de Códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas.

Con motivo de la aprobación del Código de AUTOCONTROL se ha puesto en marcha el Registro de Códigos de Conducta para darles publicidad, conforme establecen los artículos 40.6 del RGPD y 38.5 d la LOPDPGDD.