Brecha de seguridad

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebro, en Suecia.

Brecha de seguridad en la Comisión de Atención Sanitaria de la Provincia de Örebo, en Suecia, tras publicar datos sensibles en la página web de la región. 

 

La brecha de seguridad de la Comisión de Atención Sanitaria se descubrió después de que la Autoridad de Control de Suecia recibiese múltiples quejas al respecto. Conforme al artículo publicado por el Comité Europeo de Protección de Datos, las denuncias eran relativas a la publicación de los datos personales de un paciente admitido a psiquiatría forense, lo cual se reveló tras llevar a cabo una auditoría. La Autoridad de Control sueca descubrió así que se habían publicado por error categorías especiales de datos, sin una finalidad ni base legítima para ello. Tampoco se aplicaba ninguna de las excepciones recogidas en el Reglamento General de Protección de Datos. Como resultado, la Autoridad de Control multó a la Comisión y ordenó la realización de algunos cambios. 

 

La Autoridad de Control sueca descubrió una falta de instrucciones escritas en relación a la publicación de datos, lo cual incrementaba el riesgo de brecha de seguridad. 

 

La Autoridad de Control sueca inició una auditoría tras recibir una queja sobre la brecha de seguridad en cuestión y descubrió que no se habían elaborado instrucciones para la publicación de información en la página web de la Comisión. La Comisión ha dependido en este sentido únicamente de la comunicación oral cuando se trata de transmitir instrucciones para la publicación, de modo que el incidente se ha derivado de dicha práctica incompleta. Aunque en este caso fue accidental, los hechos evidencian la insuficiencia de sus medidas para asegurar la protección de los datos personales. 

La brecha de Seguridad de la Comisión de Atención Sanitaria ha resultado en una multa de 120.000 coronas suizas y una orden para enmendar sus acciones. 

La Autoridad de Control sueca ha ordenado a la Comisión la elaboración de instrucciones escritas y la implementación de medidas para asegurar el cumplimiento con las mismas de aquellos encargados de publicar datos en la página web. Además de requerir el cumplimiento absoluto con el RGPD, la Autoridad de Control ha impuesto también el pago de 120.000 coronas suizas como multa administrativa (aproximadamente 11.000 euros). El documento que origin la brecha de seguridad ha sido ya eliminado de la página web. 

 

¿Qué debería haber hecho la Comisión de Atención Sanitaria para evitar la brecha? 

 

-Deberían haber contado con una adecuada política de protección de datos interna en la que se ofreciesen instrucciones escritas sobre cómo tratar y proteger los datos personales en poder de la Comisión. 

Conforme al artículo 24 del RGPD “(1) Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario; (2) Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.

-Asimismo, tendrían que haber ofrecido formación a sus empleados. La formación es esencial cuando se trata de reducir el riesgo de brechas de seguridad, porque sólo así el personal entenderá los procesos internos y las normas de protección de datos que les afectan. 

¿Por qué son estas medidas especialmente importantes en este caso? 

Los datos afectados por el incidente incluyen información de salud, lo cual es una categoría especial de datos personales, con lo que se deben aplicar medidas de seguridad adicionales y recordar que las bases para el tratamiento se reducen. Sin embargo, en este caso cabe destacar que la brecha habría tenido lugar aunque los datos publicados no hubiesen sido sensibles, porque igualmente no hay base legítima para hacer dicha información pública. 

 

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

EasyJet Customers Hacked

EasyJet sufre un ataque masivo que afecta a 9 millones de consumidores

EasyJet revela que nueve millones de consumidores se han visto afectados por un “sofisticado ciberataque”. 

 

Los datos de nueve millones de consumidores de EasyJet se han visto comprometidos tras un ataque, conforme a un reciente artículo de la BBC. En enero de este año EasyJet descubrió un ciberataque que alcanzó a nueve millones de consumidores, y que ha hecho público ahora según el consejo de la ICO, a fin de minimizar los efectos de posibles intentos de phishing. Hasta ahora se sabe que los datos robados incluyen detalles de los viajes y 2.208 también han visto expuestos los datos de sus tarjetas de crédito. 

 

Aunque la investigación está todavía en curso, EasyJet informó a la BBC que hasta abril no pudieron identificar a los consumidores afectados. 

 

«Esto fue un ataque muy sofisticado. Llevó mucho tiempo entender el alcance e identificar el impacto. No pudimos informar a la gente hasta que la investigación progresó lo suficiente para ser capaces de identificar a los consumidores afectados y la información comprometida”, en palabras de EasyJet recogidas por la BBC. 

 

Por el momento, EasyJet no ha encontrado ninguna evidencia de que se haya hecho un uso malicioso de la información, aunque la ICO está investigando el incidente y podría tomar acciones en consecuencia. Se debería tener en cuenta que, independientemente de cómo los hackers usen los datos personales comprometidos, el riesgo para los derechos y libertades que el ataque implica juega un papel esencial para evaluar las consecuencias y decidir las medidas que deberían implementarse. 

 

¿Cuál debería ser la respuesta de EasyJet tras el incidente? 

 

Los pasos que han de tomarse tras descubrir una brecha de seguridad son los siguientes: 

  • Aplcar las medidas necesarias para contener la brecha.
  • Informar al DPO.
  • Evaluar el riesgo de la brecha e identificar elementos relevantesc omo las categorías de datos y los sujetos afectados ademas de las medidas de mitigación.  
  • Informar del incidente si es necesario.
    • La ICO debería haber sido notificada en el plazo de 72 horas tras descubrir el incidente, salvo que fuese poco probable de resultar en un riesgo para los derechos y las libertades de los sujetos. 
    • Los consumidores deberían ser notificados salvo que EasyJet haya tomado las pertinentes medidas para asegurar que ya no se da la posibilidad de que se materialice el alto riesgo para los derechos y libertades de los sujetos. Esto no se da en este caso, pues datos sensibles como detalles de los viajes y de las tarjetas de créditos se han visto comprometidos y podría derivar en ataques ulteriores como phishing. Por ejemplo, bajo la actual situación de emergencia global, los detalles de viaje podrían incluir información de categorías especiales como datos de salud y confirmación de si la persona es positivo en COVID-19. 
  • Evaluar la respuesta y prevenir futuras brechas de seguridad.

 

Es importante recordar que el motive de la mayor parte de brechas de seguridad reside en un error humano, con lo que ofrecer formación a los empleados es crucial.  

¿Has implementado todas las medidas necesarias para cumplir con el RGPD y la LOPDGDD? Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

AI and retail industry

IA y la industria del retail después del COVID-19: oportunidades, privacidad y ética (Parte I)

Nuestras vidas han cambiado, y lo harán aún más después del COVID-19. La IA puede ayudar a la industria del retail y ofrecer oportunidades para minimizar el impacto de la pandemia, sin olvidar la privacidad y la ética.  

En los últimos dos meses hemos sido testigos de cómo al mundo entero ha cambiado: desde colegios hasta fábricas, todos hemos sustituido nuestras prácticas y actividades habituales por otras nuevas a prueba de pandemias. Ahora somos conscientes de cómo debemos lavarnos las manos, nos han enseñado cómo proteger nuestra red para trabajar y estudiar desde casa y somos muy cuidadosos en lo que concierne al uso de los datos de geolocalización por los Gobiernos. Una de las principales industrias que se ha visto afectada es el retail, y la IA puede ayudar a maximizar las oportunidad con respeto a la privacidad y la ética. 

¿Qué ocurre con la “nueva normalidad”? ¿Cómo va a ser nuestro día a día después del COVID-19? No podemos predecirlo con certeza, pero parece que la IA tendrá un rol clave en todo ello. En este artículo analizamos algunos de los usos de IA que pueden liderar la realidad post-pandemia, también desde una perspectiva ética. 

¿Qué cambios afrontará la industria del retail? 

La pandemia del COVID-19 es la primera de su tipo en los últimos cien años. Los efectos de la enfermedad resultarán, previsiblemente, en cambios en nuestros hábitos: el modo en que la gente compra, socializa, aprende, trabaja y establece sus preferencias no será el mismo que antes del brote del COVID-19.  

¿Cómo impactará entonces al retail? Pensemos en lo que podría ser un viernes típico en Reino Unido o en España. Te levantas, coges el tren hasta la oficina, comes con tus compañeros y después vas de compras a por el regalo de cumpleaños de tu hermano. Tras ello, quedas con tus amigos en un restaurante para celebrarlo. Suena normal, ¿verdad? Bien, quizá ya nunca más.

Mientras que, desafortunadamente, mucha gente perderá su trabajo debido a la pandemia, otros, aunque lo conserven, decidirán mantener una postura reservada en lo que concierne al gasto debido a la incertidumbre del futuro. Los dilemas económicos no serán sin embargo el único obstáculo en la industria del retail, pues el riesgo de contagio también limitará en gran medida nuestros movimientos. Si volvemos al ejemplo de arriba, quizá tu hermano habría decidido invitar a sus amigos a casa en lugar de llevarlos a un restaurante, para así reducir al mínimo el contacto con otras personas. Y tú, por tu parte, tal vez habrías comprado el regalo a través de un marketplace en la tienda online, en un descanso del teletrabajo. 

Parece por tanto que nuestras actividades de tiempo libre van a tomar una óptica más casera, lo cual también influirá en los productos que compramos. Por ejemplo, bebidas o comida premium para tomar en casa puede tomar mayor relevancia, al igual que electrodomésticos de alto nivel que hagan nuestra vida más fácil y agradable en la nueva normalidad. 

¿Qué cambios surgirán de la reinvención de la industria y cómo puede ayudar la IA? 

Hay dos categorías concretas de cambios, que hemos organizado en “físicos” y “digitales”. Una tercera podría venir de la combinación de ambos. 

Cambios físicos

Los minoristas necesitarán transmitir una sensación de seguridad al comprar en sus tiendas, lo cual requiere la implementación de un amplio rango de medidas, como: 

  • Gestión de colas. La IA puede ayudar a contar el número de personas que hay dentro de la tienda, y controlar sus movimientos, así como gestionar los tiempos de espera en las colas. Se puede diseñar una app a estos efectos, basado en la reserva de huecos y notificaciones SMS. 
  • Distanciamiento social. Los mapas de calor pueden ser útiles en lo que se refiere al control de aforo y distancia mínima de consumidores. La IA puede ser de ayuda en la identificación de las áreas de mayor tráfico, así como en el uso de los datos para rediseñar el espacio. 
  • Control de temperatura y síntomas. El reconocimiento facial y de emociones junto a los sensores de control de temperatura y otros tipos pueden conducir a la automatización de la identificación de clientes contagiados, a fin de prevenir la expansión del virus. 
  • Logística y reparto. Drones construidos con IA pueden repartir paquetes de forma autónoma, con respeto a la política de cero contacto. 
  • Auto-pago. La IA puede ser clave en la sustitución de los métodos tradicionales de pago por cajeros de auto-pago, o incluso la eliminación de dicha fase del proceso de compra en absoluto, mediante el uso de tarjetas virtuales con sensores y deep learning. 
  • Desinfección de productos. Uno de los principales obstáculos a las compras dentro de las tiendas es que el COVID-19 puede permanecer durante días en superficies, lo cual incluye la ropa y otros productos. Una solución a este problema podría pasar por el uso de probadores virtuales: mediante la combinación de IA y realidad aumentada, el cliente puede probarse la ropa en su propio cuerpo de forma virtual con un avatar personal en 3D. Esto sería de aplicación doble, pues también es válido para el ecommerce. 

Cambios digitales

Aunque los minoristas harán todo lo que esté en sus manos a fin de que las tiendas resulten atractivas para los clientes, las compras online se volverán inevitablemente más populares, lo cual será en detrimento de las tiendas físicas. En este contexto, la industria necesitará mejorar el ecommerce si quiere dar una respuesta adecuada a la demanda. Las siguientes alternativas pueden ayudar sacar el máximo provecho de la nueva normalidad en este sentido:  

  • Ofertas y publicidad dirigidas. Si se tiene en cuenta que hay muy pocos datos sobre los nuevos hábitos del consumidor, ser capaz de personalizar las ofertas de forma individual se volverá esencial. La elaboración de perfiles es crucial para prevenir el comportamiento y maximizar las oportunidades de atraer clientes al negocio. 
  • Diseño y usabilidad de las páginas de ecommerce. Prácticas como hacer la navegación simple o automatizar la búsqueda y ofrecer recomendaciones útiles hacen al cliente sentir cómodo mientras navega nuestra, lo cual incrementa así las opciones de compra.  
  • Rastrear y comparar diferentes mercados. ”Renovarse o morir”. Los nuevos tiempos requieren adaptación, y en los casos en que no hay datos históricos disponibles, usar otras técnicas como la comparación de países o cruzar insights de otros productos o servicios puede ser determinante a la hora de entender las nuevas tendencias.   
  • Marketing omnicanal. La experiencia de cliente estará en el centro del modelo de negocio, con lo que ajustarlo y adaptarlo al cliente basado en su comportamiento durante todo el proceso es necesario para ofrecer la mejor de las experiencias de compra. 
  • Emplazamiento de producto. En lo que concierne a la publicidad, habrá nuevos espacios que considerar, como Netflix o series y películas de otras plataformas “on demand”, que pueden ahora ser más rentables que los medios tradicionales. 

Sin embargo, la línea entre físico y digital es muy fina en un mundo tan sumamente conectado. Mientras que algunos ejemplos son claros, otros pueden resultar de una combinación de ambos. Por ejemplo, los paneles inteligentes funcionan con datos recogidos de la presencia física e información que proviene de nuestros dispositivos, como la huella digital. 

En este contexto, se pueden derivar grandes oportunidades de negocio de un análisis óptimo de los datos. Sin embargo, dado el carácter temporal de esta nueva normalidad causado por una pandemia, la flexibilidad continua siendo crucial, pues la capacidad de adaptarse a los cambios en la demanda tan pronto como sea posible será lo que efectivamente marque la diferencia, en un sentido o en otro. 

¿Podemos incorporar estos cambios de forma ética?

Parece que la IA desempeñará un papel protagonista en la adaptación de la industria del retail a los cambios de los hábitos de los consumidores. La finalidad que las empresas persiguen con la implementación de estos cambios es mantener su nivel de ingresos anterior a la crisis, o incluso aumentarlo, pero esto sólo puede conseguirse si se infunde confianza en los clientes. 

Todos las medidas descritas en las líneas anteriores se relacionan con la gestión de riesgos de salud, pero debemos recordar que, aunque en la actualidad son efectivamente los más importantes debido al brote del COVID-19, hay también otras preocupaciones a las que tienen que enfrentarse las compañías, sobre todo cuando algunas de ellas son inherentes a las nuevas medidas, como por ejemplo: protección de datos, privacidad y ética. 

Los clientes no podrán depositar su confianza una empresa que utiliza una IA que no cumple los requisitos para transmitirla. Es este el motivo por el que los sistemas de IA deberán ser: 

(1) legítimos –  respeto a todas las leyes y normativa aplicable.

(2) éticos – respeto a los principios y valores éticos.

(3) robustez – tanto desde la perspectiva técnica como en consideración de su entorno social. 

Se debería llevar a cabo una Evaluación de Impacto de Protección de Datos antes de implementar cambios que impliquen el uso de sistemas de IA, para valorar el alcance de los dilemas éticos y de protección de datos. Los siguientes aspectos deberían quedar cubiertos:  

  • Acción y supervisión humanas. Por ejemplo, un miembro del personal debería intervenir en los casos en que el precio cobrado por un producto en su cuenta virtual no sea correcto. 
  • Solidez técnica y seguridad. Por ejemplo, las empresas deberán asegurar que no se ejerce violencia física sobre una persona por parte de un sistema de IA a fin de bloquear el acceso a la tienda porque se ha detectado temperatura alta. 
  • Gestión de la privacidad y los datos. Se habrá de garantizar cumplimiento absoluto con el RGPD y otras leyes relevantes cuando se use tecnología IA. Por ejemplo, el acceso a los datos debería limitarse por usuario y rol, así como se tendrán que aplicar técnicas de pseudonimización siempre y cuando sea posible. 
  • Transparencia. Se deberán ofrecer mecanismos de trazabilidad a fin de posibilitar una explicación de todas las acciones de la IA. Los clientes necesitan ser conscientes de que están interactuando con un sistema de IA, y en consecuencia sería obligatorio que recibiesen información de sus capacidades y limitaciones. Por ejemplo, el responsable de los datos debería ser capaz de explicar la lógica detrás de la restricción de acceso a la tienda. 
  • Diversidad, no discriminación y equidad. Cualquier tipo de sesgo discriminatorio debería eliminarse, ya sea en el conjunto de datos de entrenamiento, como en la creación del algoritmo o en su aplicación. Por ejemplo, las tiendas deberán asegurarse de que no se le veta el acceso a nadie por un motive distinto de temperatura o síntomas sospechosos. Este podría ser el caso de alguien que vive en un barrio de bajos ingresos y que ha sido golpeado por el COVID-19, a quien se le prohíbe entrar a un centro comercial por el único motivo de provenir de dicha zona. Esto podría conducir a la marginalización de ciertos grupos vulnerables, o la exacerbación del prejuicio y la discriminación. 
  • Bienestar social y ambiental. Los sistemas de IA en este contexto no se utilizan sólo para mejorar los ingresos, sino que también sirven para prevenir la expansión del virus por el bien de la salud pública. 
  • Rendición de cuentas. Sería recomendable que las empresas contasen con medidas como seguros civiles para cubrir cualquier daño responsabilidad de los sistemas de IA. 

A principios de este mes el Parlamento Europeo publicó un informe sobre nuevos desarrollos e innovaciones en el campo de la IA aplicados al ecommerce. Lo analizaremos en detalle en la Parte II. 

Suscríbete a nuestro canal de YouTube para no perderte la Parte II. 

¿Estás enfrentando nuevos retos en la industria del retail durante la crisis del coronavirus? Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

New facial recognition bill

El Estado de Washington aprueba una ley sobre reconocimiento facial.

La nueva ley sobre reconocimiento facial aprobada en el Estado de Washington limita el uso de dicha tecnología por el Gobierno. ¿Qué aguarda el futuro para el reconocimiento facial en Europa y otros lugares? 

 

La nueva ley sobre reconocimiento facial aprobada en Washington requerirá a las agencias públicas informar de forma regular del uso de dicha tecnología, así como probar su imparcialidad y precisión. Se podrá emplear esta tecnología en aras del cumplimiento de la ley, pero se deberá primero obtener una orden judicial, excepto en casos de emergencia. Con esta nueva ley sobre reconocimiento facial, cualquier agencia pública que la use para tomar decisiones que puedan tener efectos legales en los sujetos, debe asegurarse de que los resultados son supervisados por un humano, lo cual incluye cualquier prueba que abarque aspectos relacionados con materia laboral, servicios financieros, vivienda, seguros y educación. 

 

La nueva ley sobre reconocimiento facial de Washington también establece un  grupo de trabajo para estudiar el uso de la tecnología de reconocimiento facial por parte de agencias gubernamentales. Debido a que muchos grupos por los derechos civiles e investigadores afirman que el reconocimiento facial puede enfatizar y ampliar los sesgos humanos, la Unión por las Libertades Civiles de América (ACLU) ha solicitado una demora en la implementación de reconocimiento facial tanto por agencias locales como federales. La ACLU y el MIT llevaron a cabo unos análisis sobre el software de reconocimiento facial de Amazon (Rekognition) que reveló que la tecnología identifica de manera errónea a mujeres y personas de color de forma mucho más frecuente que a hombres blancos. El CEO de Amazon, Jeff Bezos, considera el reconocimiento facial “un ejemplo perfecto de campo en el que se requiere regulación”. El Estado de Washington acoge tanto a Microsoft como a Amazon, dos de las mayores compañías de software de reconocimiento facial en EE.UU. Los líderes de ambas empresas han solicitado al legislador crear normas al respecto de manera urgente, pues en su mayoría no está regulado. 

 

El RGPD ofrece el derecho de oponerse a la elaboración de perfiles, lo que incluye también datos biométricos como el reconocimiento facial, e impone a las organizaciones la elaboración de una Evaluación de Impacto de Protección de Datos antes de realizar una observación sistemática a gran escala de una zona de acceso público. Conforme al artículo 35 del RGPD “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales”. Por este motivo, la UE está considerando la imposición de un veto temporal en el uso de software de reconocimiento facial

 

En uno de los últimos vídeos de nuestro vlog, exploramos diferentes aspectos del uso de reconocimiento facial en espacios públicos. Puedes echarle un ojo aquí, y suscribirte a nuestro canal de YouTube para más contenido. 

 

https://www.youtube.com/watch?v=3dV5lI2DlUc&t=47s

 

¿Utilizas en tu empresa datos biométricos como reconocimiento facial? El cumplimiento con la normativa relevante como el RGPD y la LOPDGDD resulta esencial a este respecto. Podemos ayudarte. Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA y subcontratación del Delegado de Protección de Datos. Infórmate aquí.