Privacidad y Ciberseguridad ¿Dónde están los límites?
Como hemos visto en los diferentes Miércoles con Nunky hemos abordado temas relacionados con diferentes sectores como Recursos Humanos, Sector Salud, Contact Center etc.. Esta vez hablamos de un tema de absoluta prioridad para todos “Privacidad y Ciberseguridad”. Un tema que nos afectan a todos, desde el punto de vista personal y corporativo.
Desde el punto de vista del usuario hablaremos de Privacidad Digital.
¿Qué es? Es el derecho de los usuarios a proteger sus datos en la red y decidir qué está visible (privacidad del dato). Hablaremos con el experto Oscar Lopez Rodríguez del derecho al olvido y otras muchísimas cosas.
Los Riesgos de la privacidad pueden ser muy diferentes contemplando:
- Tratamiento de la información por parte de terceros (páginas web, RRSS, Correo electrónico, compras, etc.)
- Suplantación de la identidad y otros peligros (phishing, spam, virus, ciberacoso, secting, etc.)
- Mal uso de las tecnologías digitales
- Robo o pérdida de dispositivos
Los datos vulnerables de los que estamos hablando son: nombre, apellidos, dirección, DNI, Geolocalización, datos bancarios, email ,fotos, videos, teléfono y todos aquellos que contengan datos personales. Posteriormente Oscar nos ayudará a comprender qué hay detrás del permiso de las cookies
Las personas están preocupadas, nos lo indica el gráfico de Medium que aparece a continuación, que indica que el 85% de las personas se manifiestan preocupados con que las empresas manejan sus datos personales. Y ese es un buen dato, porque ocuparnos del “problema” pasa por preocuparnos.
Les preocupa según este otro gráfico de la misma fuente en primer lugar no tener el control de sus datos, en segundo que los datos son usados en su contra y en tercer lugar que no se respeten sus derechos.
Ante todo ello los usuarios ¿qué hacemos? Por orden de acción hacemos lo siguiente:
- Borramos las cookies del navegador
- Configuramos la privacidad de las RRSS
- Cambiamos la contraseña de manera regular
- Usamos los bloqueadores de anuncios
- Se examinan las políticas de privacidad de notificaciones y cookies
- Se usa el modo incógnito para navegar por la red
- Se usa encriptación
- Y algunos no hacen ninguna de las anteriores
En este Miércoles con Nunky, cuya sesión completa puedes ver aquí, hablamos también de Ciberseguridad o Seguridad Informática. Por definición es el área de la informática relacionada con la protección de la infraestructura computacional y especialmente con la información contenida en la computadora y circulante a través de las redes.
¿Qué amenazas existen a nivel de Ciberseguridad?
- La primera amenaza son los propios usuarios. Es la causa de mayor riesgo. Suele ocurrir por permisos sobredimensionados
- Programas maliciosos (malware). Hablamos de los famosos virus, un troyano, spyware, una bomba lógica, etc.
- Errores de programación (son la puerta de los hackers)
- Intrusos (que acceden a nuestros datos y a nuestra información)
- Un siniestro (robo, incendio o una inundación por ejemplo. Estos acontecimientos también nos hacen perder el material y los archivos)
Según Gartner el gasto en seguridad empresarial mundial alcanzó los 124 M$ EN 2019
El Observatorio Español de delitos informáticos hablaba en 2014 de 50.000 casos de delitos informáticos y en el 2018 de 110.613 casos. 5.000 personas han sido detenidas o son investigadas por estos delitos en España según Statista.
Hablamos pues de un programa creciente, grave, que se va sofisticando además y que debemos conocer ya seamos individuos o empresas.
A continuación sintetizamos las respuestas a las preguntas abordadas durante la sesión:
índice de contenidos
- 1 ¿Dónde están los límites de la Privacidad y la Ciberseguridad?
- 2 ¿Las cúpulas directivas son conscientes de su responsabilidad sobre los datos?
- 3 ¿Quién debe informar a los ciudadanos en materia de protección de datos?
- 4 ¿A qué tenemos derecho como dueños de nuestro dato?
- 5 ¿Están preparados los servicios de e-Salud para garantizar la Privacidad?
- 6 ¿A dónde van los datos que damos y qué consentimos sobre ellos?
- 7 ¿Pueden los fabricantes de teléfonos móviles de utilizar nuestros datos biométricos con otra función que no sea desbloquear nuestros terminales?
- 8 ¿Pueden las compañías monitorizar el trabajo de sus empleados en remoto?
- 9 ¿Cómo previenen las empresas la potencial vulneración de sus entornos corporativos?
¿Dónde están los límites de la Privacidad y la Ciberseguridad?
Los límites están en el propio derecho y en nuestra conciencia de lo que está bien y lo que está mal, nosotros mismos deberíamos marcar los límites.
En el ámbito de la seguridad, las organizaciones no son conscientes del valor que tiene la información para su negocio, si fueran conscientes se preocuparían de los riesgos y empezarían a poner más problemas a los ciberdelincuentes en materia de seguridad y ciberseguridad.
¿Las cúpulas directivas son conscientes de su responsabilidad sobre los datos?
Los consejos de administración no son conscientes del valor del activo del dato, la digitalización te lleva a la capacidad de predicción y prescripción que es donde está el modelo de valor, necesitamos entender qué datos tenemos, en dónde están, cómo se protegen, y qué derechos se han puesto sobre ellos.
¿Quién debe informar a los ciudadanos en materia de protección de datos?
La AAPP de manera directa, y la ciudadanía desde el labor de responsabilidad. Todas las organizaciones que recolectan datos tienen la obligación de informar, pero hay una labor muy importante que tiene la AAPP de concienciación y pedagogía en relación con los riesgos de la ciberdelincuencia y con los riesgos del cumplimiento de las leyes.
¿A qué tenemos derecho como dueños de nuestro dato?
Sí, todas las personas tenemos un derecho fundamental a la protección de datos. La protección de datos nos facilita unos derechos que podemos ejercer, por ejemplo: derecho de cancelación, de rectificación, oposición, revocación del consentimiento, etc.. Existe la obligación de informar de la finalidad del tratamiento de los datos.
¿Están preparados los servicios de e-Salud para garantizar la Privacidad?
Este sector y el sector bancario están muy avanzados en materia de seguridad de la información, aunque tienen un largo camino por hacer. En España entró en vigor la ley de autonomía del paciente y hay otras tantas que dejan sentirlos como sectores maduros y evolucionados.
¿A dónde van los datos que damos y qué consentimos sobre ellos?
Las compañías que viven de la información y del dato, les estamos consintiendo barbaridades. Si compramos un billete de avión y autorizamos que nuestros datos se cojan de una red social, sin darnos cuenta toda la información de la red social está compartida con la compañía.
¿Pueden los fabricantes de teléfonos móviles de utilizar nuestros datos biométricos con otra función que no sea desbloquear nuestros terminales?
Depende de tu consentimiento, tienen derecho a lo que tu autorices. Siempre tienes la opción de ver qué has consentido en tu móvil, revisarlo y cambiar las restricciones de seguridad y privacidad.
¿Pueden las compañías monitorizar el trabajo de sus empleados en remoto?
El trabajador tiene derecho a su intimidad pero también existe el empleador que tiene poder de acceder a los contenidos de información relacionados con las labores de la empresa. En el caso de ser pertinente tienen que informar debidamente al empleado de qué, cuándo, cómo y por qué se recaba esa información.
¿Cómo previenen las empresas la potencial vulneración de sus entornos corporativos?
Evaluando los riesgos, cómo se va a hacer, con qué dispositivos, dónde estará almacenada la información, con qué procesos telemáticos trabajas en relación a tu actividad y, sobre la base de tu realidad, evaluar riesgos y establecer controles y medidas.
A modo de resumen de la sesión, cuyo video puedes ver aquí, dejamos a continuación unos bullets con las ideas más destacadas:
- Los límites de la privacidad y la ciberseguridad los marca el derecho. El problema es que el usuario no sea consciente de los permisos (el límite también es nuestra consciencia). Seamos conscientes de que el dato no se da gratis.
- El dato es un negocio. Se busca el dato porque el dato es poder y eso es legal. Te ofrecen servicios y tecnología a cambio de tu dato y eso es legal, por eso tenemos que ser conscientes de la información que estamos aportando
- Las organizaciones no son conscientes de la importancia del dato porque si lo fueran atenderían más los riesgos
- Desde el año 92 existe legislación al respecto, mucha, entre otras la legislación del secreto empresarial y la normativa de protección de datos
- Algunas personas es cierto que se aprovechan de las vulnerabilidades del usuario, pero otras simplemente usan legítimamente los datos que dejamos.
- Las AAPP tienen que realizar mucha presión en concienciación social. A día de hoy la Agencia Oficial de Protección de Datos ya lo está haciendo. Las empresas, por su parte, tienen el deber de informar de cada dato que recogen y para qué lo recogen.
- Las Compañías deben empezar a aplicar la política de prevención, valorar los riesgos primero para mitigarlos de forma posterior.
- Nos debemos preocupar más de la pequeña empresa que de la gran empresa. Porque la gran empresa ya empieza a madurar sus responsabilidades y empieza a conocer qué riesgos y responsabilidades tiene en el tratamiento de los datos. El mercado ha empezado a madurar, especialmente algunas industrias como la sanitaria y bancaria, que por la sensibilidad de los datos que manejan se han convertido en sectores que están más profesionalizados en este aspecto y más maduros que otras industrias. También ayuda que las multas ya son acordes a los delitos llegando incluso a suponer las máximas entre un 2% y un 4% de la facturación de las compañías del año anterior.
- La norma hay que simplificarla para poder seguirla
- Los usuarios tenemos el derecho fundamental a la protección de nuestros datos. Derecho de cancelación, de supresión de rectificación entre otros. Podemos además reclamar a la agencia de protección de datos si entendemos que alguno de ellos no se ha cumplido.
- Existe la figura del delegado de protección de datos y tenemos derecho al olvido, a eliminar la indexación de las noticias que hablen de nosotros y perjudiquen nuestra huella digital. Eso si, este derecho tiene algunos matices como que no debe colisionar con el derecho a la información, entre otros.
- Tenemos una enorme confusión entre dato personal y dato profesional. Nuestro email profesional es más vulnerable porque hay leyes que amparan que se pueda obtener si la información a recibir puede ser relevante. Y es que es muy complejo limitar la privacidad de los usuarios procurando el comercio justo. Tengamos en cuenta que la globalización se consigue en parte con la libre circulación de los datos, eso es el progreso y el objetivo no es limitar el progreso, sino facilitarlo consiguiendo respetar los límites y los derecho fundamentales.
- Aunque también existen miles de matices en esto, es lícito enviar comunicaciones comerciales si se hacen con previo aviso y ha existido la posibilidad de oposición. Por tanto, se vuelve a insistir en la importancia de ser conscientes de a qué damos permiso.
- Cuidado con logarse con las redes sociales, en muchas ocasiones estamos permitiendo que accedan a toda nuestra información personal.
- La robotización, la inteligencia artificial y el Blockchain, entre otras tecnologías, van a ayudar mucho al cumplimiento normativo y a avanzar en alinear la seguridad con la disponibilidad del dato.
- Debemos confiar en las compañías que son transparentes en el uso de los datos.
- En nuestros propios terminales podemos ver qué hemos consentido que se utilice (como la huella digital y para qué) y podemos cambiarlo en todo momento.