privacidad archivos

octubre 14, 2023octubre 14, 2023

El primer contrato de Palantir en España

Peter Thiel speaks on the fourth day of the 2016 RNC

Palantir ha logrado su primer contrato público en España por 16,5 millones: su software Gotham será usado por las Fuerzas Armadas.

No hablamos de cualquier empresa: Palantir es una gran tecnológica muy opaca y trabaja con las agencias de seguridad nacional de EEUU desde sus inicios. Ha sido acusada de violaciones a los derechos humanos

Esta semana hemos publicado varias piezas sobre un tema que ha llevado meses de pedir información utilizando el derecho al acceso a la información y la ley de Transparencia. Contamos cómo ha sido la entrada de Palantir en España, en un momento en el que su estrategia es conseguir entrar en las infraestructuras de los estados europeos, como la NHS en Reino Unido o los servicios policiales en Alemania.

Más:

El Ministerio de Defensa adjudica a Palantir un contrato por 16,5 millones de inteligencia militar [Archivo]
Qué es Palantir y quiénes son Peter Thiel y Alex Karp [Archivo]
Cómo es la excepción en la adjudicación que usó Defensa en España para dar el contrato a Palantir: el procedimiento negociado sin publicidad [Archivo]
Varias leyes y mucho secreto, los argumentos de Defensa sobre el contrato con Palantir y la ley de secretos oficiales [Archivo]

julio 7, 2023julio 11, 2023

Vigilancia de las comunicaciones en la UE

¿Quiere Europa poner software espía en cada dispositivo? Dicho así, no. Pero sí quiere vigilar todas nuestras comunicaciones privadas, y eso sólo es posible obligando a los proveedores a poner software que escanee todas nuestros mensajes. Todo es todo: audios, textos, imágenes, fotos. Es otra forma de explicar una ley que puede tener graves consecuencias en nuestros derechos, y que hasta se puede volver en contra de aquello que pretende, prevenir y luchar contra el abuso sexual infantil.

Esto es lo que han advertido cientos de investigadores que han firmado una carta contra la propuesta de la UE para luchar contra el abuso infantil. La tecnología existente es extremadamente deficiente, e imponerla a escala global puede tener efectos colaterales dañinos que pueden incluso afectar la democracia.

“No esperamos que en 10-20 años haya una solución escalable que pueda ejecutarse localmente en el dispositivo del usuario sin filtración de información ilegal, ni que pueda detectarse CSAM de una manera confiable, es decir con un número aceptable de falsos positivos y negativos”. Lo hemos contado esta semana en Newtral.

[Archivo]

noviembre 25, 2022diciembre 7, 2022

Qué pasa con la privacidad en Mastodon

Tengo una cuenta en Mastodon desde 2018, pero en estas semanas del éxodo desde Twitter es cuando estamos construyendo comunidad. Se trata de llegar a un lugar, seguir a gente, ver quiénes nos siguen, saludarse, comentar, empezar a compartir.

Y pensar mucho en todo este proceso: qué tipo de contenidos voy a compartir, quién quiero ser en esta red, qué comparten quienes sigo, qué puedo aportar. Esto ya sucedió cuando empezábamos a abrir perfiles en redes hace 15 años y hay algo de nostalgia en estos recuerdos.

Ahora sucede además que venimos baqueteados: nos preguntamos a nivel colectivo por la seguridad de nuestra instancia, quién es el administrador, si está cumpliendo las normativas de privacidad y qué hace con nuestros datos.

En el medio de estos debates muchos se dieron cuenta de que en Twitter los mensajes directos aún no están cifrados (aunque se había dicho que estaban en ello y Elon Musk ha vuelto a anunciarlo). Escribí sobre la privacidad de DMs en una y otra plataforma en este artículo en el que creo que se abre la puerta a muchas preguntas sobre la seguridad que queremos en Mastodon.

En Newtral: Qué pasa con la privacidad y los mensajes privados en Mastodon
[Archive]

septiembre 12, 2022septiembre 12, 2022

La privacidad de los consumidores

woman in white hijab using laptop computer

Un 99% de los usuarios dice que la privacidad es importante y la mitad no confía en la seguridad de sus datos online. Sin embargo el 66% dice que haría clic en un anuncio personalizado. Estos son algunos de los datos interesantes que hay en este estudio de IAS y YouGov.

Los consumidores están más dispuestos a compartir sus datos con sitios de compras (34%) que con redes sociales (10 puntos de diferencia, 24%) o que con sitios de noticias (sólo un 16%)

Los usuarios se responsabilizan a sí mismos de la seguridad de sus datos personales en un 52%. El 40% pone este deber en las plataformas y sólo un 7% en el Gobierno.

La encuesta recoge respuestas de 1.131 consumidores y 346 expertos en medios digitales en Estados Unidos. 55% dijeron no conocer legislación relativa a la privacidad que regulase la recolección y el uso de datos personales. EE.UU. no tiene una ley federal como el RGPD, aunque algo así, la American Data Privacy Protection Act (ADPPA) está en proceso. Algunos estados como California tienen una ley que protege los datos de los usuarios online.

Lo que más les preocupa es la posibilidad de que puedan hackear su email. El 24% teme el uso indebido de sus datos por parte de entidades financieras, y un 15% está preocupado por su uso en conflictos políticos.

El 62% de los expertos de publicidad y medios reconocen que les falta familiarizarse con conceptos como estas leyes, o al nivel de dispositivos (como IdFA de Apple) o el fin de las cookies. Toda la info está en este artículo que escribí para Newtral.

[Archivo]

junio 29, 2022diciembre 7, 2022

Radar COVID, sancionada por incumplir protección de datos

¿Recuerdas Radar COVID? El caso de la app española basada en el protocolo más respetuoso con la privacidad terminó en un expediente de la Agencia de Protección de Datos por violar 8 artículos del RGPD. Una vulnerabilidad de la app permitía desanonimizar los datos e identificar a los contagiados. Afectaba a datos como localización, contactos, registros de llamadas, SMS y chats, historial de navegación, credenciales de autenticación, fotos y vídeos y datos biométricos. Esa vulnerabilidad fue reconocida por la misma SEDIA, en las alegaciones, que se incorporan a las 112 páginas del expediente. Afectó a 3.059 códigos a nivel nacional, durante el período que fue desde el 19 de agosto hasta el 8 de octubre de 2020.

El proyecto de Radar COVID había nacido con buenos presagios. Adoptó el protocolo DPT3, el más garante de los derechos de los usuarios. Pero el desarrollo e implementación de la app española careció de la transparencia necesaria. No hubo evaluación de impacto, un análisis obligatorio según la normativa europea cuando se realiza el tratamiento a gran escala de datos sensibles, como son los datos de salud. Sin ella resulta imposible cumplir con principios como la privacidad por diseño, como explica Sergio Carrasco, abogado representante de Rights International Spain.

Radar COVID detectó apenas el 1% de los positivos, y costó 4,2 millones de euros. De esa cantidad, la partida más cuantiosa, 2,1 millones, fueron destinados a una publicidad que evidentemente no funcionó.

No habrá multa, ya que las administraciones públicas están eximidas de sanciones económicas. Si el responsable de Radar COVID hubiese sido una empresa podría haber tenido que pagar entre 40.000 y 300.000 en multas sólo por la falta de la evaluación de impacto. El análisis de lo que sucedió y más detalles de la resolución en este reportaje para Newtral.

[Archivo]

mayo 31, 2022mayo 31, 2022

Escaneo masivo con la justificación del abuso infantil

La Comisión Europea ha presentado una propuesta que obligará a las plataformas al escaneo masivo de todos los mensajes interpersonales en internet. La razón es una a la que nadie puede oponerse: el abuso infantil. ¿Es necesario y proporcionado? ¿Y sobre todo, útil?

Decenas de organizaciones de la sociedad civil y expertos están preocupadas, entre ellas la EFF y EDRi. Algunos lo consideran el fin del cifrado en la UE y el mayor mecanismo de vigilancia colectiva establecido fuera de China.

La Agencia de Protección de Datos alemana ya ha dicho que la propuesta es incompatible con la Carta de Derechos Fundamentales. Este es su comisario:

Geplante „Chatkontrolle“ der Kommission aus Sicht des Datenschutzes – ein Thread nach erster Prüfung: Der Entwurf der Kommission ist nicht vereinbar mit unseren europäischen Werten und kollidiert mit geltendem Datenschutzrecht.
— Ulrich Kelber (@UlrichKelber) May 12, 2022

Traducción: El «control de chat» planificado por la Comisión desde el punto de vista de la protección de datos: un hilo después de un primer examen: el borrador de la Comisión no es compatible con nuestros valores europeos y choca con la ley de protección de datos aplicable.

El hashing tiene varios problemas. Por un lado, los falsos positivos. La CE dice que son pocos, pero tanto PhotoDNA como el de Facebook han mostrado porcentajes altos de errores, con impacto en inocentes.

Por otro lado está el problema de la ciberseguridad: los atacantes podrían, por ejemplo, inyectar imágenes o documentos marcados como abuso infantil en los dispositivos de las personas a las que quieren desacreditar

Y luego está la cuestión del cifrado. No existe técnicamente la posibilidad de escanear algo que está cifrado. El escaneo del lado del cliente es un mensaje a los usuarios: aunque cifres, revisaremos todo. Lo que es básicamente una puerta trasera, una backdoor en relación al cifrado.

¿Te acuerdas de Chatcontrol? Ya existía una excepción a la privacidad de las comunicaciones privadas en tierras europeas. Una resolución de la UE permite actualmente a las compañías tecnológicas escanear comunicaciones electrónicas privadas de los usuarios, en busca de contenidos pedófilos.

Facebook, Google, y otras plataformas ya realizan voluntariamente este escaneo y reportan los resultados a las autoridades. Chatcontrol tiene una fecha límite: el 31/12/2022. La Comisión parece tener prisa para cerrar una cobertura legal para las plataformas

Otra directiva, la de la conservación de datos en relación con prestación de servicios electrónicos, ya intentó poner por delante la seguridad sobre la intimidad de las personas. Terminó siendo anulada por el TJUE por ser contraria a los derechos fundamentales de la UE. Habrá que seguir atentos.

El reportaje completo está en Newtral: La Comisión Europea propone obligar a las plataformas al escaneo masivo de mensajes privados en busca de abuso infantil

[Archivo]

agosto 14, 2020septiembre 12, 2020

Radar COVID: por qué hay que pedir seguridad y privacidad en una app de rastreos

Radar COVID, la app de rastreo de contactos española para luchar contra la pandemia, ha pasado el período de pruebas. Llevo semanas siguiendo este tema y hablando con fuentes para saber por qué aún tiene tantas sombras (y despejarlas), y esta semana he publicado este reportaje sobre las dudas que persisten, meses después.

Se dice que es de código abierto, como el resto de apps europeas, pero todavía no hemos podido verlo. Esto despejaría el 100% de esas dudas (esperamos al 15 de septiembre, que es cuando dicen que la abrirán). Dicen que se basa en DP-3T, una app abierta europea, que en principio podría ser adaptada con ligeras modificaciones, pero el proceso parece estar llevando demasiado tiempo, y Carmela Troncoso, la líder del equipo de DP-3T, nos ha dicho que no llamaría colaboración a lo que hubo con España. Sólo en Europa, contamos ya 10 apps basadas en este código abierto que están funcionando.

La ministra de Economía, Nadia Calviño, dijo a finales de mayo en el Congreso que las pruebas comenzarían en junio. Luego lo retrasaron hasta julio, con el piloto de La Gomera. Hace dos semanas empezamos a buscar el contrato, que no estaba publicado aún. Fuentes de SEDIA me dijeron que igual era por la tramitación de emergencia, pero esto no es así. La tramitación de emergencia permite saltarse la adjudicación para agilizar el trámite, pero una vez adjudicado toda esa documentación debe ser puesta a disposición del público, según la ley de contratos públicos.

Por otro lado, el tema de la localización. Se repite que la app funciona con Bluetooth y no utiliza datos de localización pero en Android no puedes usarla con localización desactivada. Haz la prueba, tu teléfono te mandará un mensaje como el de la imagen de esta entrada. Es decir que tu teléfono sí está cogiendo datos de localización. “Pero la app no los pide”, dicen desde SEDIA. Muy bien, pero a día de hoy, con más de un millón de apps instaladas y activas en los bolsillos de los españoles, no podemos comprobar eso, o si Google está haciendo algo con esos datos. Por eso además de una auditoría externa de esta app sería bueno también auditar la API que Google y Apple crearon para esto y en lo que se basa la app. Esa auditoría ha sido pedida por Troncoso, sin respuesta aún.

Una app de rastreos implica un desafío tecnológico y ético tremendo, más en épocas de pandemia, en las que siempre planea la tentación y la excusa de dejar de lado la privacidad por la seguridad. No es imposible. En pandemia necesitamos tecnologías seguras, abiertas y auditadas para garantizar la confianza de los usuarios. Los ciudadanos deben tener la información clara para que la instalen con decisiones informadas. Seguridad por diseño, no por confianza.

El reportaje completo ha sido publicado en Newtral: Luces y sombras de la app de rastreo en España