Un «agujero negro» de datos: La Europol recibe la orden de eliminar un enorme almacén de datos personales

https://www.theguardian.com/world/2022/jan/10/a-data-black-hole-europol-ordered-to-delete-vast-store-of-personal-data

La agencia policial de la UE, Europol, se verá obligada a eliminar gran parte de un vasto almacén de datos personales que, según el organismo de control de la protección de datos del bloque, ha acumulado ilegalmente. La conclusión sin precedentes del Supervisor Europeo de Protección de Datos (SEPD) se refiere a lo que los expertos en privacidad denominan un «arca de grandes datos» que contiene miles de millones de puntos de información. Los datos sensibles del arca se han extraído de informes sobre delitos, se han pirateado de servicios telefónicos encriptados y se han tomado muestras de solicitantes de asilo nunca implicados en ningún delito.

Según documentos internos vistos por The Guardian, la caché de Europol contiene al menos 4 petabytes, lo que equivale a 3 millones de CD-Roms o a una quinta parte de todo el contenido de la Biblioteca del Congreso de Estados Unidos. Los defensores de la protección de datos afirman que el volumen de información que contienen los sistemas de Europol equivale a una vigilancia masiva y es un paso más en su camino para convertirse en un homólogo europeo de la Agencia de Seguridad Nacional (NSA) de Estados Unidos, la organización cuyo espionaje clandestino en línea fue revelado por el denunciante Edward Snowden.

Entre los cuatrillones de bytes almacenados se encuentran datos sensibles de al menos un cuarto de millón de sospechosos de terrorismo y delitos graves, actuales o pasados, y de una multitud de personas con las que estuvieron en contacto. Se han acumulado a partir de las autoridades policiales nacionales durante los últimos seis años, en una serie de volcados de datos procedentes de un número desconocido de investigaciones criminales.

El organismo de control ordenó a Europol que borrara los datos conservados durante más de seis meses y le dio un año de plazo para resolver lo que podía conservarse legalmente.

El enfrentamiento enfrenta al organismo de control de la protección de datos de la UE con una poderosa agencia de seguridad que se está preparando para convertirse en el centro del aprendizaje automático y la inteligencia artificial en el ámbito policial.

La sentencia también pone de manifiesto las profundas divisiones políticas entre los responsables de la toma de decisiones en Europa sobre las compensaciones entre seguridad y privacidad. El resultado final de su enfrentamiento tiene implicaciones para el futuro de la privacidad en Europa y más allá.

La comisaria europea de Interior, Ylva Johansson.

La Comisaria Europea de Asuntos de Interior, Ylva Johansson, ha argumentado que Europol apoya a las autoridades policiales nacionales en la «hercúlea tarea» de analizar los datos transmitidos legalmente. Fotografía: Agencia Anadolu/Getty Images

La Comisaria de Asuntos de Interior de la UE, Ylva Johansson, pareció defender a Europol. «Las autoridades policiales y judiciales necesitan las herramientas, los recursos y el tiempo para analizar los datos que se les transmiten legalmente», dijo. «En Europa, Europol es la plataforma que apoya a las autoridades policiales nacionales en esta hercúlea tarea».

*** Translated with http://www.DeepL.com/Translator (free version) ***

La ética de cambiar la privacidad por la seguridad: Los efectos multifacéticos de la privacidad en la libertad y la seguridad

https://www.sciencedirect.com/science/article/pii/S0160791X21003298

Una cuestión recurrente en la filosofía política es cómo entender y analizar el compromiso entre seguridad y libertad. Sin embargo, con la tecnología moderna, es posible argumentar que la primera disyuntiva puede intercambiarse con la disyuntiva entre seguridad y privacidad. Me centraré en las consideraciones éticas que conlleva la compensación entre privacidad y seguridad en relación con la elaboración de políticas. En primer lugar, las diferentes concepciones de la libertad implican diferentes funciones de la privacidad. En segundo lugar, la privacidad y la libertad forman una relación compleja e interdependiente con la seguridad. Para que la privacidad y la libertad tengan valor, es necesaria cierta seguridad, pero intentar aumentar la seguridad más allá del nivel requerido erosionará el valor de ambas y, a su vez, amenazará la seguridad. No existe un equilibrio sencillo entre ninguno de los conceptos, ya que hay que tener en cuenta los tres y sus relaciones son complejas. Esto requiere un enfoque teórico pluralista para evaluar la elaboración de políticas relacionadas con el intercambio propuesto de privacidad por seguridad.

Francia ordena a Clearview AI que borre los datos

https://www.infosecurity-magazine.com/news/france-orders-clearview-ai-delete/

El organismo regulador de la protección de datos de Francia ha ordenado a la empresa estadounidense de software de reconocimiento facial Clearview AI que deje de procesar imágenes de forma ilegal.

En un comunicado publicado hoy, la CNIL dijo que el software de reconocimiento facial de Clearview se basa en una base de datos de fotografías construida mediante la extracción de fotografías y vídeos disponibles públicamente en Internet. 

La autoridad de protección de datos ordenó a Clearview que desistiera de extraer dichas imágenes de personas en territorio francés y que borrara los datos que había recopilado de esta manera en un plazo de dos meses. 

La CNIL inició una investigación sobre Clearview AI en la primavera de 2020 después de que la autoridad recibiera quejas de particulares sobre las prácticas de datos de la empresa. 

Los investigadores descubrieron que Clearview AI «no responde eficazmente a las solicitudes de acceso y borrado. Proporciona respuestas parciales o no responde en absoluto a las solicitudes».

La asociación Privacy International también advirtió a la CNIL sobre las prácticas de datos de Clearview en mayo de 2021.

«Estas quejas revelaron las dificultades encontradas por los denunciantes para ejercer sus derechos con Clearview AI», dijo la autoridad. 

La investigación de la CNIL descubrió que Clearview AI había infringido el Reglamento General de Protección de Datos (RGPD) vigente en la Unión Europea de dos maneras diferentes.

La primera infracción cometida por Clearview AI fue el tratamiento ilícito de datos personales en violación del artículo 6 del RGPD. La CNIL determinó que Clearview AI era culpable de esta transgresión «porque la recopilación y el uso de datos biométricos se llevan a cabo sin una base legal.»

La CNIL determinó que, en un proceso «intrusivo y masivo», Clearview AI extrajo imágenes de personas de Internet para ser utilizadas por su software de reconocimiento facial sin obtener previamente su consentimiento para ello. 

«Estas personas, cuyas fotografías o vídeos son accesibles en diversos sitios web, incluidas las redes sociales, no esperan razonablemente que sus imágenes sean procesadas por la empresa para suministrar un sistema de reconocimiento facial que podría ser utilizado por los Estados con fines policiales», declaró la CNIL.

El segundo punto de Clearview es que «no ha tenido en cuenta los derechos de las personas de forma efectiva y satisfactoria, en particular las solicitudes de acceso a sus datos», contraviniendo los artículos 12, 15 y 17 del RGPD.

*** Translated with http://www.DeepL.com/Translator (free version) ***

La RCMP quiere utilizar la IA para aprender contraseñas en las investigaciones, pero los expertos advierten de los riesgos para la privacidad

https://www.theglobeandmail.com/business/article-rcmps-plan-to-use-ai-to-learn-passwords-in-investigations-has-privacy/

La Policía Montada de Canadá quiere utilizar tecnología de inteligencia artificial para obtener contraseñas y así poder descifrar los datos incautados durante las investigaciones criminales, lo que ha llevado a expertos en ciberseguridad y libertades civiles a advertir que la tecnología podría poner en riesgo los derechos de privacidad de los canadienses.

En Canadá, la policía no puede obligar a las personas a revelar sus contraseñas. Esta semana, la policía ha declarado que está buscando posibles socios para construir un sistema basado en la inteligencia artificial que «ingeriría el material incautado durante una investigación» para averiguar las contraseñas de los datos cifrados.

Las fuerzas del orden suelen decir que el uso delictivo de la encriptación para ocultar actividades es un problema creciente a medida que se dispone de tecnología más sofisticada.

Pero los tribunales han reconocido que los dispositivos personales requieren mayores expectativas de privacidad «precisamente porque vivimos nuestra vida en estos dispositivos», dijo Brenda McPhail, directora del programa de privacidad, tecnología y vigilancia de la Asociación Canadiense de Libertades Civiles.

Obligar a la gente a descifrar los dispositivos sería inconstitucional, dijo, y añadió que el uso de la tecnología para hacerlo equivaldría a una solución con importantes implicaciones en los derechos de privacidad. La tecnología de escaneo que busca la RCMP podría examinar el contenido de estos dispositivos tan profundamente que una fuerza policial podría obtener «un conocimiento de quiénes somos y qué hacemos». Así que la invasión de la privacidad es clarísima», dijo el Dr. McPhail.

La tecnología de descifrado que busca la RCMP podría no entrar en la directiva de Ottawa sobre la toma de decisiones automatizada, que exige a los departamentos federales que evalúen el riesgo de utilizar tecnología como los modelos predictivos y la inteligencia artificial.

Yuan Stevens, responsable de políticas del programa de tecnología, ciberseguridad y democracia de la Universidad de Ryerson, dijo que el sistema propuesto por la RCMP podría estar exento porque proporciona un servicio interno para el gobierno, no uno externo.

El Comisionado Federal de Privacidad descubrió a principios de este año que el Departamento de Defensa Nacional eludió las normas de evaluación de riesgos en una campaña de contratación de diversidad. «Hay un patrón de agencias que quieren utilizar la IA y no quieren estar sujetas a la supervisión, y eso podría ser problemático», dijo Stevens.

*** Translated with http://www.DeepL.com/Translator (free version) ***

Privacidad y ética digital tras la pandemia

https://www.nature.com/articles/s41928-020-00536-y

La pandemia de coronavirus ha

cambiado permanentemente nuestra relación

con la tecnología, acelerando el

impulso hacia la digitalización. Aunque este

cambio ha traído ventajas, como

mayores oportunidades de trabajar desde casa

y las innovaciones en el comercio electrónico, también ha

ha ido acompañado de fuertes inconvenientes,

que incluyen un aumento de la desigualdad y

y dinámicas de poder indeseables.

Las asimetrías de poder en la era digital

han sido una preocupación desde que la gran tecnología se hizo grande.

Los tecnófilos han argumentado a menudo que si los usuarios

Si los usuarios no están satisfechos con los servicios en línea, pueden

siempre pueden excluirse. Pero la exclusión voluntaria no se ha sentido

una alternativa significativa durante años, al menos por dos razones.

al menos dos razones.

En primer lugar, el coste de no utilizar ciertos

servicios puede suponer una desventaja

desventaja competitiva: desde no ver un anuncio de

de trabajo hasta no tener acceso a herramientas útiles

que utilizan los colegas. Cuando una plataforma

Cuando una plataforma se vuelve demasiado dominante, pedirle a la gente que no la use es como pedirle que se abstenga de usarla.

que no la utilicen es como pedirles que se abstengan de

que se abstengan de participar plenamente en la sociedad. En segundo lugar,

plataformas como Facebook y Google son

inevitables: nadie que tenga una vida en línea

que tenga una vida en línea puede evitarlas. Google

y sus rastreadores se extienden por gran parte de

gran parte de Internet1

y Facebook tiene perfiles

perfiles en la sombra de los internautas, incluso cuando

nunca han tenido una cuenta en la plataforma2

.

Los ciudadanos han respondido a los innumerables

abusos de datos en los últimos años con lo que

con lo que se ha descrito como un «techlash «3

. La tecnología

cuyo modelo de negocio se basa en la vigilancia

en la vigilancia dejaron de ser percibidas

como buenos tipos con capucha que ofrecían

servicios para mejorar nuestras vidas. Ellos

eran en cambio depredadores de datos que ponían en peligro

no sólo la privacidad y la seguridad de los usuarios, sino

sino también la propia democracia. Durante el bloqueo,

las aplicaciones de comunicación se hicieron necesarias

para cualquier interacción social más allá de

nuestros hogares. La gente ha tenido que utilizar herramientas

para trabajar, obtener una educación, recibir

recibir atención médica y disfrutar del tan necesario

entretenimiento. El agradecimiento por tener

tecnología que nos permite estar en

contacto durante estas circunstancias ha

diluido el techlash general.

*** Translated with http://www.DeepL.com/Translator (free version) ***

Condicionar a toda una sociedad»: el auge de la tecnología de datos biométricos

https://www.theguardian.com/technology/2021/oct/26/conditioning-an-entire-society-the-rise-of-biometric-data-technology

En un comedor escolar de Gateshead, las cámaras escanean los rostros de los niños y cobran automáticamente tras identificarlos con el reconocimiento facial. A más de 200 millas de distancia, en el norte de Londres, el personal de una residencia de ancianos participó recientemente en un ensayo que utilizaba datos faciales para verificar su estado de vacunación contra el virus Covid-19. Y en las tiendas de todo el país, el personal es alertado de posibles ladrones por un sistema de CCTV inteligente que accede a una base de datos de personas consideradas sospechosas.

En todos los casos, los datos biométricos se han aprovechado para intentar ahorrar tiempo y dinero. Pero el creciente uso de nuestros cuerpos para desbloquear áreas de la esfera pública y privada ha suscitado cuestiones que van desde la privacidad hasta la seguridad de los datos y los prejuicios raciales.

CRB Cunninghams, la empresa estadounidense cuya tecnología de reconocimiento facial se está implantando en los comedores, ha afirmado que sus sistemas agilizan el pago y podrían reducir el riesgo de contagio de Covid-19 por contacto con las superficies. El sistema se probó por primera vez en el colegio Kingsmeadow de Gateshead el año pasado y decenas de colegios se han apuntado a seguir su ejemplo.

Sin embargo, el entusiasmo por el sistema puede estar decayendo ahora, después de que el ayuntamiento de North Ayrshire suspendiera el uso de la tecnología en nueve colegios tras una reacción violenta. La decisión de dar marcha atrás se produjo después de que los padres y los expertos en ética de los datos expresaran su preocupación por la posibilidad de que no se haya tenido en cuenta la relación entre la comodidad y la privacidad.

«Se trata de ahorrar tiempo», dijo la profesora Sandra Wachter, experta en ética de datos del Oxford Internet Institute. «¿Merece la pena tener una base de datos con las caras de los niños en algún lugar?».

Stephanie Hare, autora de Technology Ethics, considera que el uso de los datos biométricos de los niños es una forma «desproporcionada» de agilizar las colas para comer. «Estás normalizando que los niños entiendan su cuerpo como algo que usan para hacer transacciones», dijo. «Así se condiciona a toda una sociedad a usar el reconocimiento facial».

*** Translated with http://www.DeepL.com/Translator (free version) ***

Por qué no deberías comprar las gafas inteligentes Ray-Ban de Facebook

Imagina que estás paseando por una tranquila playa en traje de baño. De repente, un desconocido que camina hacia ti saca su teléfono y empieza a grabarte. Puede que te armes de valor y le preguntes cómo se atreve a invadir tu intimidad, y le exijas que borre la grabación.

Afortunadamente, grabar abiertamente a las personas en espacios públicos no es tan común como podría ser, porque implica apuntar a alguien con una cámara. Pero acaba de ser mucho más fácil con la nueva herramienta de Facebook y Ray-Ban para vigilar en secreto a la gente: Las gafas inteligentes Stories (como se ve en la imagen). 

A continuación, explicaremos por qué no deberías comprar estas cámaras de vigilancia portátiles, por qué no se pueden utilizar de forma segura en espacios públicos y por qué Facebook y otras empresas deben dar prioridad a los derechos humanos a la hora de desarrollar gafas «inteligentes».

La nueva ley de privacidad

https://lawreview.law.ucdavis.edu/online/55/waldman.html

Nos encontramos en una segunda ola de legislación sobre privacidad. La primera ola se caracterizó por las políticas de privacidad, la autorregulación y la notificación y elección. Pero en los últimos tres años, se han presentado once propuestas de legislación integral sobre privacidad en el Congreso de Estados Unidos y cuarenta en los estados. Desde el punto de vista de la práctica, casi todas estas propuestas son más o menos iguales: garantizan los derechos individuales sobre los datos y se basan en el cumplimiento interno de las empresas para un control continuo. Esta segunda oleada de leyes de privacidad es sin duda diferente de la primera, pero ¿cómo? Este ensayo ofrece una taxonomía para entender los cambios en la ley de privacidad de Estados Unidos, distinguiendo entre dos «olas» a lo largo de tres métricas: sus prácticas, teorías de gobernanza e ideologías subyacentes. Una primera ola se caracterizó por las políticas de privacidad, la autorregulación y la aplicación limitada de la normativa. Sus prácticas se centraban en la notificación, su gobernanza era autorreguladora y su ideología era el laissez faire. Una segunda ola se basa casi uniformemente en los derechos y en las estructuras internas de cumplimiento de las empresas para gestionar la recogida, el tratamiento y el uso de los datos. Sus prácticas se centran en el cumplimiento, su gobernanza es gerencial y su ideología subyacente es neoliberal. Esta taxonomía ofrece a los estudiosos del derecho de la privacidad una nueva forma de entender y criticar el estado actual del campo. El ensayo concluye con cuatro preguntas de investigación para los estudiosos.

En la intersección de la IA y la ley de protección de datos: Reglas de toma de decisiones automatizadas, una perspectiva global (CPDP LatAm Panel)

El jueves 15 de julio de 2021, el Foro del Futuro de la Privacidad (FPF) organizó durante la Conferencia CPDP LatAm un panel titulado «En la intersección de la IA y la ley de protección de datos: Normas de toma de decisiones automatizadas, una perspectiva global». El objetivo del panel era explorar cómo se aplican las leyes de protección de datos existentes en todo el mundo a las prácticas de elaboración de perfiles y toma de decisiones automatizadas. A la luz de la reciente propuesta de Reglamento sobre IA de la Comisión Europea, es importante explorar la forma y el grado en que las leyes existentes ya protegen los derechos y libertades fundamentales de las personas contra las actividades de procesamiento automatizado impulsadas por las tecnologías de IA. 

El panel estuvo compuesto por Katerina Demetzou, Policy Fellow for Global Privacy en el Future of Privacy Forum; Simon Hania, Senior Director y Data Protection Officer en Uber; Prof. Laura Schertel Mendes, Profesora de Derecho en la Universidad de Brasilia y Eduardo Bertoni, Representante de la Oficina Regional para América del Sur, Instituto Interamericano de Derechos Humanos. El panel de discusión fue moderado por la Dra. Gabriela Zanfir-Fortuna, Directora de Privacidad Global del Foro del Futuro de la Privacidad.

Las leyes de protección de datos se aplican a las prácticas de ADM a la luz de disposiciones específicas y/o de su amplio alcance material

Para iniciar la conversación, se presentaron los resultados preliminares de un proyecto en curso dirigido por el Equipo de Privacidad Global del FPF sobre la Toma de Decisiones Automatizada (ADM) en todo el mundo. Se presentaron siete jurisdicciones de forma comparativa, entre las cuales cinco ya tienen una ley general de protección de datos en vigor (UE, Brasil, Japón, Corea del Sur, Sudáfrica), mientras que dos jurisdicciones tienen proyectos de ley de protección de datos que se espera que se conviertan en leyes en 2021 (China e India).

A efectos de este análisis, se examinan las siguientes disposiciones: las definiciones de «operación de tratamiento» y «datos personales», dado que son dos conceptos esenciales para definir el ámbito material de la ley de protección de datos; los principios de equidad y transparencia y las obligaciones y derechos legales que se relacionan con estos dos principios (por ejemplo, el derecho de acceso, el derecho a una explicación, el derecho a una información significativa, etc.); las disposiciones que se refieren específicamente a la ADM y a la elaboración de perfiles (por ejemplo, el artículo 22 del GDPR).

*** Translated with http://www.DeepL.com/Translator (free version) ***

Así es como la policía puede obtener tus datos, incluso si no eres sospechoso de un delito

https://www.vox.com/recode/22565926/police-law-enforcement-data-warrant

Si alguna vez has leído una política de privacidad, habrás notado que hay una sección que dice algo sobre cómo se compartirán tus datos con las fuerzas del orden, lo que significa que si la policía lo pide y tiene la documentación necesaria, es probable que lo consiga. Pero tal vez, como la mayoría de los adultos estadounidenses, usted no lee las políticas de privacidad con mucha atención, si es que lo hace. En ese caso, puede que te sorprenda saber cuántos de tus datos están en manos de terceros, cuánto acceso tienen a ellos las fuerzas del orden, cómo pueden ser utilizados en tu contra o cuáles son tus derechos -si es que los tienes- para evitarlo.

Muchos de los insurrectos del Capitolio podrían estar descubriendo esto ahora, ya que los casos contra ellos se construyen con pruebas tomadas de servicios de Internet como Facebook y Google. Aunque dejaron un rastro de pruebas digitales para que los investigadores (y los detectives de Internet) las siguieran, no todos esos datos estaban disponibles públicamente. Si se leen los casos de personas acusadas de delitos relacionados con los sucesos de Washington del 6 de enero, se verá que el FBI también obtuvo registros internos de varias plataformas de medios sociales y compañías de telefonía móvil.

Pero no hace falta ser un presunto insurrecto para que las fuerzas del orden obtengan datos sobre ti de otra empresa. De hecho, no tienes que ser sospechoso de un delito en absoluto. La policía utiliza cada vez más tácticas como las órdenes de búsqueda inversa para hacerse con los datos de muchas personas con la esperanza de encontrar a su sospechoso entre ellas. Puede que te veas envuelto en una de ellas sólo por haber estado en el lugar equivocado en el momento equivocado o por haber buscado el término equivocado. Y es posible que nunca sepas que has sido atrapado en la red de arrastre.

«Los investigadores se dirigen a estos proveedores sin un sospechoso y piden un amplio conjunto de información que no es específica para identificar básicamente a los sospechosos que no tenían ya en mente», dijo a Recode Jennifer Granick, asesora de vigilancia y ciberseguridad del proyecto de discurso, privacidad y tecnología de la ACLU. «Estas técnicas de vigilancia más masivas son cada vez más comunes».

*** Translated with http://www.DeepL.com/Translator (free version) ***

Crea tu sitio web con WordPress.com
Comenzar