28/04/2024

privacidad

LOPD Ecuador

Ecuador: Aprueba la Ley Orgánica de datos Personales

Guido Rosales 24/05/2021

Garantizar el ejercicio del derecho a la protección de datos de los ciudadanos es el objetivo de la Ley Orgánica de Datos Personales, aprobada el pasado lunes por el pleno de la Asamblea Nacional con 118 votos a votos.

Esta norma fue planteada por el Gobierno a través del Ministerio de Telecomunicaciones y Sociedad de la Información (Mintel) y la Dirección Nacional de Registro de Datos Públicos (Dinardap).

Con la ley se prevé llevar un registro nacional de protección de datos, crear una Superintendencia de Protección de Datos Personales y establecer infracciones a quienes incumplen, entre otros aspectos.

A que se refiere como datos personales?

Pero, ¿a qué se refiere cuando se habla de datos personales? El artículo 4 de la norma detalla diversas definiciones.

  • Dato biométrico: personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.
  • Dato genético: relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.
  • Dato personal: identifica o hace identificable a una persona natural, directa o indirectamente.
  • Datos personales crediticios: datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera.
  • Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual...
  • Datos relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Lorena Naranjo, directora nacional de Registro de Datos Públicos, menciona que el objetivo de la ley es darle a las personas derechos en los entornos digitales, derechos de acceso, rectificación, cancelación, oposición, educación digital, y otros.

“Para que pueda estar resguarda y protegida por los bancos, entidades públicas que están almacenando nuestra información y necesitan un marco que determine cómo y para qué, de qué manera tecnológica deben resguardar esa información para que no se mal utilice y se filtre”, indica.

La ley tiene 77 artículos, nueve disposiciones generales, cuatro disposiciones transitorias, cuatro reformatorias, cuatro derogatorias y una final.

Y justamente en el artículo 77 menciona que el superintendente de Protección de Datos será designado de acuerdo con lo establecido en la Constitución, es decir, de la terna que remita el presidente de la República.

Esta autoridad deberá ser un profesional del derecho, de sistemas de información, de comunicación o de tecnologías, con título de cuarto nivel y experiencia de al menos 10 años con áreas afines a la materia objeto de regulación de esta ley. Las funciones serán por un periodo de 5 años.

En tanto, la Ley Orgánica de Datos Personales también se regirá por trece principios, otro punto de importancia, señala Naranjo.

Como los principios de confidencialidad de la información, calidad, pertinencia. “Estas instituciones públicas y privadas cuando almacenen esta información tienen que hacerlo con absoluta pulcritud y revisando que el dato esté actualizado y no esté incorrecto”, apunta.

Porque si el dato registrado es incorrecto, de acuerdo con Naranjo, afecta “al derecho al crédito, vivienda, mi derecho a la educación… esa información sobre mí puede tener repercusiones negativas. Los principios son importantes y deben ser cumplidos por los responsables del tratamiento”, añade.

En la normativa también se establecen infracciones leves y graves para el encargado de los datos personales y responsable de la información. Estos constan en los artículos 67, 68, 69 y 70.

“Las sanciones leves van desde 0,1% a 0,7% del volumen del negocio o las graves de 0,7% a 1% del volumen del negocio”, dice Naranjo, quien explica que la sanción es la cuantía resultante de la venta de productos y prestación de servicios realizados.

La Ley no será aplicable en los siguientes casos:

  1. Personas naturales que utilicen estos datos en la realización de actividades familiares o domésticas.
  2. Datos anonimizados, en tanto no sea posible identificar a su titular.
  3. Actividades periodísticas y otros contenidos editoriales.
  4. Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado, en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.
  5. Datos o bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales.
  6. Datos que identifican o hacen identificable a personas jurídicas. (I)

Bossware – Rastreo invasivo del trabajador

Guido Rosales 23/07/2020

Bossware generalmente vive en una computadora o teléfono inteligente y tiene privilegios para acceder a datos sobre todo lo que sucede en ese dispositivo. La mayoría de los jefes recolectan, más o menos, todo lo que el usuario hace. Analizamos materiales de marketing, demostraciones y reseñas de clientes para tener una idea de cómo funcionan estas herramientas. Hay demasiados tipos individuales de monitoreo para enumerar aquí, pero trataremos de desglosar las formas en que estos productos pueden analizarse en categorías generales.

El tipo de vigilancia más amplio y común es el "monitoreo de la actividad". Esto generalmente incluye un registro de las aplicaciones y sitios web que usan los trabajadores. Puede incluir a quién envían por correo electrónico o mensaje, incluyendo líneas de asunto y otros metadatos, y cualquier publicación que hagan en las redes sociales.

La mayoría de los jefes también registran niveles de entrada desde el teclado y el mouse; por ejemplo, muchas herramientas ofrecen un desglose minuto por minuto de cuánto escribe y hace clic un usuario, utilizándolo como un proxy de productividad. El software de monitoreo de productividad intentará reunir todos estos datos en cuadros o gráficos simples que brinden a los gerentes una vista de alto nivel de lo que los trabajadores están haciendo.

Todos los productos que analizamos tienen la capacidad de tomar capturas de pantalla frecuentes del dispositivo de cada trabajador, y algunos proporcionan videos directos y en vivo de sus pantallas. Estos datos de imagen sin procesar a menudo se agrupan en una línea de tiempo, por lo que los jefes pueden volver a través del día de un trabajador y ver lo que estaban haciendo en cualquier momento. Varios productos también actúan como keylogger, registrando cada pulsación de tecla que hace un trabajador, incluidos los correos electrónicos no enviados y las contraseñas privadas. Un par incluso permite que los administradores intervengan y se hagan cargo del control remoto del escritorio de un usuario. Estos productos generalmente no distinguen entre actividad relacionada con el trabajo y credenciales de cuenta personal, datos bancarios o información médica.

InterGuard anuncia que su software "se puede instalar de forma silenciosa y remota, por lo que puede realizar investigaciones encubiertas [de sus trabajadores] y recopilar pruebas a prueba de balas sin alarmar al presunto infractor".

Monitoreo visible
A veces, los trabajadores pueden ver el software que los está vigilando. Pueden tener la opción de activar o desactivar la vigilancia, a menudo enmarcado como "marcado" y "marcado". Por supuesto, el hecho de que un trabajador haya desactivado el monitoreo será visible para su empleador. Por ejemplo, con Time Doctor, los trabajadores pueden tener la opción de eliminar capturas de pantalla particulares de su sesión de trabajo. Sin embargo, eliminar una captura de pantalla también eliminará el tiempo de trabajo asociado, por lo que los trabajadores solo obtienen crédito por el tiempo durante el cual son monitoreados.

Los trabajadores pueden tener acceso a parte o toda la información que se recopila sobre ellos. Crossover, la compañía detrás de WorkSmart, compara su producto con un rastreador de ejercicios para el trabajo de la computadora. Su interfaz permite a los trabajadores ver las conclusiones del sistema sobre su propia actividad presentadas en una variedad de gráficos y tablas.

Las diferentes compañías de bossware ofrecen diferentes niveles de transparencia a los trabajadores. Algunos dan a los trabajadores acceso a toda, o la mayoría, de la información que tienen sus gerentes. Otros, como Teramind, indican que están encendidos y recopilan datos, pero no revelan todo lo que recopilan. En cualquier caso, a menudo puede no estar claro para el usuario qué datos, exactamente, se recopilan, sin solicitudes específicas a su empleador o un escrutinio cuidadoso del software en sí.

Monitoreo invisible
La mayoría de las empresas que crean software de monitoreo visible también fabrican productos que intentan esconderse de las personas que están monitoreando. Teramind, Time Doctor, StaffCop y otros fabrican elementos de diseño diseñados para que sean lo más difíciles de detectar y eliminar posible. A nivel técnico, estos productos no se pueden distinguir del stalkerware. De hecho, algunas compañías requieren que los empleadores configuren específicamente el software antivirus antes de instalar sus productos, para que el antivirus del trabajador no detecte y bloquee la actividad del software de monitoreo.

Una captura de pantalla del flujo de registro de TimeDoctor, que permite a los empleadores elegir entre monitoreo visible e invisible.

Este tipo de software se comercializa para un propósito específico: monitorear a los trabajadores. Sin embargo, la mayoría de estos productos son realmente solo herramientas de monitoreo de propósito general. StaffCop ofrece una versión de su producto diseñada específicamente para monitorear el uso de Internet por parte de los niños en el hogar, y ActivTrak declara que sus padres o funcionarios escolares también pueden usar su software para monitorear la actividad de los niños. Las revisiones de los clientes para algunos de los programas indican que muchos clientes usan estas herramientas fuera de la oficina.

La mayoría de las compañías que ofrecen monitoreo invisible recomiendan que solo se use para dispositivos que posee el empleador. Sin embargo, muchos también ofrecen características como la instalación remota y "silenciosa" que puede cargar software de monitoreo en las computadoras de los trabajadores, sin su conocimiento, mientras sus dispositivos están fuera de la oficina. Esto funciona porque muchos empleadores tienen privilegios administrativos en las computadoras que distribuyen. Pero para algunos trabajadores, la computadora portátil de la compañía que usan es su única computadora, por lo que el monitoreo de la compañía está siempre presente. Existe un gran potencial para el mal uso de este software por parte de empleadores, funcionarios escolares y socios íntimos. Y es posible que las víctimas nunca sepan que están sujetas a dicho monitoreo.

La siguiente tabla muestra las funciones de monitoreo y control disponibles de una pequeña muestra de proveedores de software de seguridad. Esta no es una lista exhaustiva y puede no ser representativa de la industria en su conjunto; analizamos las empresas a las que se hizo referencia en las guías de la industria y los resultados de búsqueda que tenían materiales informativos de marketing orientados al público.

Ver el articulo completo y la tabla en:https://www.eff.org/deeplinks/2020/06/inside-invasive-secretive-bossware-tracking-workers

Te pueden interesar

portada curso NMSI NETHO

Curso: Nivel de madurez con NETHO e ISO 27001:2022

Guido Rosales 05/02/2024
perito informatico

Pericias: Lecciones aprendidas

Guido Rosales 02/11/2023
hack banking

Seminario Presencial Tarija: Banca digital ciber riesgos, estafas y pericias forenses

Guido Rosales 28/10/2023
criptolavanderia

Seminario: PREVENCION DEL LAVADO DE CRIPTOACTIVOS

Guido Rosales 05/10/2023
ciberguerra rusia ucrania

Por qué la Ciberguerra Rusia-Ucrania debe preocuparnos como Pais?

Guido Rosales 03/09/2023